Richtlinien

„Dokumentation“ bedeutet für ein ISMS nach ISO 27001 insbesondere das Erstellen von Richtlinien zur Informationssicherheit. Es gibt einige obligatorische Richtlinien, die in einem Audit vorgelegt werden müssen.

Über den Umfang dieser Richtlinien sagt die Norm selbst jedoch nichts aus. Ganz im Gegenteil: In der Norm wird explizit erwähnt, dass sich der Umfang dokumentierter Informationen von Organisation zu Organisation unterscheiden kann. Hier kommt es insbesondere auf die Unternehmensgröße und die Art der Produkte und Dienstleistungen an. Das sollte der Verantwortliche für die Informationssicherheit immer im Hinterkopf haben, wenn es an das Schreiben von Richtlinien geht. Wichtiger als umfangreiche Dokumente ist, dass die Anforderungen, die in den Richtlinien festgehalten werden, auch wirklich im Unternehmen umgesetzt und gelebt werden. Ein Aspekt, der in einem Audit einfach überprüft werden kann und genau deshalb auch oft geprüft wird. Ein Negativbeispiel sind z. B. überzogene Sicherheitsanforderungen an die eigene Softwareentwicklung, die in einer Richtlinie definiert sind, jedoch in der Praxis von den Entwicklern nicht eingehalten werden. Es ist wichtig, eine Balance zu finden und Dokumente regelmäßig einem Review zu unterziehen und zu verbessern.