04 – Dokumente und Richtlinien

In dieser Lektion erfährst du, welche Dokumente es in jedem ISMS geben muss und was bei der Erstellung und Pflege beachtet werden sollte.
Startseite » ISO 27001 Wissen » 04 – Dokumente und Richtlinien
TL;DR

Dokumentenlenkung

Die ISO 27001 fordert eine Reihe von “dokumentierten Informationen” und Richtlinien, die in den folgenden Kapiteln beschrieben werden. Die Norm fordert, dass die daraus resultierenden Dokumente “gelenkt” werden. Wir sprechen von der Dokumentenlenkung, die genauer in Kapitel 7.5 der Norm erklärt werden. Für ein tieferes Verständnis lohnt sich ein Blick dorthin.

Besonders wichtig ist dabei aber, dass Änderungen an Dokumenten nachvollziehbar sind. In der Regel wird dies über eine Versionierung und Änderungshistorie gewährleistet. Ferner sollte man sich auch über Berechtigungen Gedanken machen. Während jede Mitarbeiterin und jeder Mitarbeiter die Möglichkeit haben sollte, die Richtlinien zu lesen, sollte die Bearbeitung der Inhalte nur einem begrenzten Mitarbeiterkreis vorbehalten sein.

Solche Regelungen können zum einen mit herkömmlichen Office-Anwendungen umgesetzt werden. Dennoch sind spezialisierte Document Collaboration Tools, wie beispielsweise Confluence des Herstellers Atlassian oder Notion, besser für die Erstellung und Pflege geeignet.

Keine Sorgen mehr über Versionierung und Änderungshistorie mit dem ISMS SmartKit. Basierend auf Atlassian Confluence bieten wir integrierte Dokumentenvorlagen in einer Dokumentenlenkung.

Entdecke jetzt das ISMS SmartKit

Auch über die Kommunikation wichtiger ISMS-Dokumente, wie z.B. der Leitlinie zur Informationssicherheit, muss nachgedacht werden. Der Inhalt der Leitlinie sollte jedem Mitarbeiter bekannt sein. Wie stelle ich also sicher, dass auch neue Mitarbeiterinnen und Mitarbeiter die Leitlinie schnellstmöglich zum Lesen erhalten? Kann ich den Onboarding-Prozess entsprechend anpassen?

Das Erstellen von Richtlinien und anderen ISMS-Dokumenten stellt keine einmalige Herausforderung dar. Da sich die Unternehmensbedingungen wandeln und das ISMS sich weiterentwickelt, müssen wir die Dokumente ständig auf Aktualität prüfen und bei Bedarf aktualisieren. Diese wiederkehrende Prüfung erfordert eine sorgfältige Planung und eine Dokumentation in der Änderungshistorie.

Obligatorische ISMS Dokumente

Im vorherigen Modul „Organisation“ haben wir bereits einige normspezifische Dokumente kennengelernt, welche für eine ISO 27001 Zertifizierung unbedingt notwendig sind.

Hier bekommst du noch einmal eine Übersicht.

Übersicht obligatorischer ISMS Dokumente

  • Anwendungsbereich (auch Geltungsbereich oder Scope genannt)
  • Anwendbarkeitserklärung (engl.: SoA – Statement of Applicability)
  • Interessierte Parteien und deren Anforderungen
  • Ziele der Informationssicherheit
  • Planung der ISMS-Ressourcen
  • ISMS-Rollen und -Verantwortlichkeiten
  • Gesetzliche und regulatorische Anforderungen
  • Interne und externe Kommunikation im ISMS
  • Auditprogramm
  • Managementbericht
  • Risikobehandlungsplan

Richtlinien

Obwohl die Norm nicht festlegt, wie umfangreich diese Richtlinien sein sollen, betont sie dennoch, dass der Umfang der dokumentierten Informationen je nach Organisation variieren kann. Dies hängt insbesondere von der Unternehmensgröße und der Art der Produkte und Dienstleistungen ab. Daher sollte der Informationssicherheitsbeauftragte dieses immer im Hinterkopf behalten, wenn er Richtlinien erstellt. Es ist nicht der Umfang der Dokumente, die zählt, sondern vielmehr, dass Unternehmen die in den Richtlinien festgelegten Anforderungen auch tatsächlich einhalten und in die Praxis umsetzen. Auditor*innen können solch eine Umsetzung leicht feststellen und nehmen solche Kontrollen häufig vor. Ein gutes Beispiel hierfür ist, dass manche Unternehmen, trotz festgelegter Richtlinien, strenge Sicherheitsanforderungen für die Softwareentwicklung nicht erfüllen können. Daher bleibt es stets wichtig, das richtige Maß zu finden und die Dokumente regelmäßig zu überprüfen und anzupassen.

  • Leitlinie zur Informationssicherheit
  • Richtlinie zum Risikomanagement
  • Richtlinie zum Umgang mit Sicherheitsvorfällen
  • Richtlinie Lieferanten, Dienstleister und Fremdfirmen
  • Richtlinie zur Klassifizierung und Umgang mit Informationen
  • Richtlinie zum sicheren IT-Betrieb
  • Richtlinie für Personal- und Berechtigungsmanagement
  • Richtlinie zum Gebrauch von kryptographischen Maßnahmen
  • Allgemeine Regeln zur Informationssicherheit für alle Beschäftigten

Um die Akzeptanz der Richtlinien bei den Mitarbeitern zu erhöhen, ist es sinnvoll, betroffene Mitarbeiter frühzeitig mit in den Schaffensprozess einzubinden. Technische Richtlinien sollten z.B. vor der Freigabe von den eigenen Administratoren gegengelesen und kommentiert werden – nimm das Feedback ernst. Nur so kann es gelingen, dass das ISMS im Unternehmen auch wirklich gelebt wird.

TL;DR

  1. Dokumente in einem Managementsystem müssen „gelenkt“ werden. Diese Dokumentenlenkung bedeutet in erster Linie, dass inhaltliche Änderungen jederzeit nachvollzogen werden können, Berechtigungen und Freigabeprozesse geregelt sind und Dokumente vor Verlust geschützt sind.
  2. Der Umfang der Richtlinien kann von Unternehmen zu Unternehmen unterschiedlich ausfallen. Es kommt u.a. auf die Unternehmensgröße und die Art der Produkte und Dienstleistungen an.
  3. Der Zugang zu den Richtlinieninhalten sollte den Mitarbeitern so einfach und verständlich wie möglich gemacht werden. Manchmal ist weniger mehr.
  4. Überzogene Sicherheitsanforderungen, welche lediglich auf dem Papier bestehen aber im Unternehmen nicht gelebt werden, sind wenig zielführend.
weiter zu Lektion 5