ISO 27001 Anforderung 7.5 – Dokumentierte Informationen

Was beinhaltet Abschnitt 7.5?

Eine der Hauptanforderungen der ISO 27001 besteht daher darin, Ihr Informationssicherheitsmanagementsystem zu beschreiben und anschließend aufzuzeigen, wie die beabsichtigten Ergebnisse für die Organisation erreicht werden. Es ist unglaublich wichtig, dass alles, was mit dem ISMS zu tun hat, dokumentiert, gut gepflegt und leicht zu finden ist, wenn die Organisation eine unabhängige ISO 27001-Zertifizierung von einer Stelle wie UKAS erreichen möchte.

ISO 27001 Abschnitt 7.5 gliedert sich wie folgt:

Abschnitt 7.5.1 – Allgemeine Dokumentation für ISO 27001

Das ISMS muss Folgendes klar umfassen:

• Eine Beschreibung, wie die Kernanforderungen 4.1 bis 10.2 erfüllt werden, einschließlich der Risikobewertung und -behandlung, die zur Auswahl der Anhang-A-Kontrollen führt.
• Die relevanten Kontrollen in Anhang A, die Teil der Anwendbarkeitserklärung sind – was im Endeffekt bedeutet, dass Sie alle Kontrollen aufgelistet haben müssen. Auch wenn eine Organisation entscheidet, dass eine Kontrolle nicht relevant ist, sollte sie dokumentieren, dass sie dem Auditor beispielsweise zeigen muss, dass sie einen Bedarf an Liefer- und Ladeflächen gemäß Anhang A 11.1.6 hat, weil es sich um ein rein digitales Unternehmen handelt Es wird davon ausgegangen, dass kein Risiko besteht und keine Notwendigkeit für diese Kontrolle besteht.

Abschnitt 7.5.2 – Erstellen und Aktualisieren dokumentierter Informationen für ISO 27001

ISO 27001 möchte Klarheit in der Dokumentation und sucht nach Identifizierung und Beschreibung, Format, Überprüfung und Genehmigung für die Eignung und Angemessenheit, um ihren Zweck zu erfüllen. Es ist leicht, die Nuancen dieser Anforderungen zu übersehen, aber in der Praxis bedeutet dies, dass Autor, Datum, Titel, Referenz usw. berücksichtigt werden müssen, und dass der Genehmigungsprozess auch für die Abstimmung mit Anhang A 5.1.2, wie unten beschrieben, sehr wichtig ist.

Abschnitt 7.5.3 – Kontrolle dokumentierter Informationen für ISO 27001

Im Mittelpunkt des ISMS steht der Grundsatz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Das Gleiche gilt für das ISMS selbst. Es muss bei Bedarf verfügbar und angemessen vor Verlust der Vertraulichkeit, unbefugter Nutzung oder potenzieller Integritätsbeeinträchtigung geschützt sein.

Das einfache Ablegen der ISMS-Inhalte auf dem gemeinsam genutzten Teamlaufwerk und dessen unkontrollierter Zugriff oder unwirksame Zugriffsberechtigungen würde bei einem Audit mit ziemlicher Sicherheit zu Problemen für die Organisation führen. Ebenso wäre es ein Problem, es auf einem persönlichen Laufwerk zu belassen, das für diejenigen, die sich mit dem ISMS auskennen müssen, unzugänglich ist, sodass zahlreiche Bereiche für eine wirksame Kontrolle berücksichtigt werden müssen. ISO sucht nach einer Organisation, die sich mit den folgenden Aspekten befasst:

• Klarheit beim Teilen und Verteilen, Kontrolle des Zugriffs auf einige oder alle ISMS – wobei zu berücksichtigen ist, dass die Zugriffsberechtigungen zum Lesen, Aktualisieren, Genehmigen, Löschen usw. je nach Rolle des Stakeholders unterschiedlich sein müssen
• Speicherung und Aufbewahrung, einschließlich Kontrolle von Änderungen (Anzeige älterer Versionen, historischer Genehmigungen usw.)
• Auch die Aufbewahrung und Entsorgung muss berücksichtigt werden

Diese Anforderung steht auch im Einklang mit der regelmäßigen Überprüfung der in Anhang A.5.1.2 hervorgehobenen Richtlinien, auf die weiter unten eingegangen wird.

Wie viel muss geschrieben werden, damit die Dokumentation des ISMS von einem Auditor als akzeptabel angesehen wird?

Eine häufig gestellte Frage zur Dokumentation des Informationssicherheitsmanagements lautet: „Wie viel ist genug?“. Die kurze Antwort lautet: Es geht um Qualität, nicht um Quantität. Solange die Organisation die unten zusammengefassten Anforderungen erfüllt und nachweisen kann, dass sie keine langwierige ausführliche Dokumentation benötigt, wird der Auditor dies zweifellos bei einem Audit berücksichtigen – z. B. weil es sich um eine kleine Organisation mit wenigen Teilnehmern rund um das ISMS handelt , stabil, übersichtlich, gepflegt und einfach in der Bedienung.

Handelt es sich bei der Dokumentation des Informationssicherheitsmanagementsystems um Dokumente im Word-Stil oder sind andere Formen von Inhalten zulässig?

Die Frage, welche Art von Dokumentation erwartet wird, ist eine weitere häufig gestellte Frage zur Dokumentation von Abschnitt 7.5 für das Informationssicherheits-Managementsystem. Tatsächlich heißt es in ISO 27001 in der Anmerkung 7.5.1 eindeutig:

„Der Umfang der dokumentierten Informationen für ein Informationssicherheitsmanagementsystem kann von Organisation zu Organisation unterschiedlich sein aus folgenden Gründen:“

• die Größe der Organisation und ihre Art von Aktivitäten, Prozessen, Produkten und Dienstleistungen;
• die Komplexität von Prozessen und deren Wechselwirkungen; Und
• die Kompetenz von Personen.

Eine Reihe von ISO 27001-Anbietern von Informationssicherheitsdokumentations-„Toolkits“ haben den Mythos aufrechterhalten, dass dokumentierte Informationen für ein ISMS Word-Dokumente und Excel-Tabellen sein müssen. Natürlich können diese Dokumente einen Platz in einem ISMS haben (z. B. dort, wo auch Bilder oder komplexe Prozesse kommuniziert werden müssen), sollten aber angesichts der Einführung besserer Online-Tools sparsam verwendet werden.

Online-Dienste wie ISMS.online vereinfachen Dokumente auf traditionellere Weise und bieten auch effektivere Möglichkeiten zur Verwaltung von Dokumentationen, die eine bessere Kontrolle und Koordination, bessere Möglichkeiten für die gemeinsame Nutzung und Veröffentlichung für Zielgruppen bieten und den gesamten Prozess der Dokumentationsverwaltung an die Anforderungen von anpassen Abschnitt 7.5 unten viel einfacher. Es bedeutet auch, dass die alten Zeiten, in denen man Zeit damit verschwendete, auf den Titelseiten von Dokumenten alle Versionsänderungen und Genehmigungen per E-Mail zu verfassen, längst vorbei sind!

Verbindung von 7.5 mit Anhang-A-Regelungen

Wenn man bedenkt, dass die Anforderungen von Abschnitt 7.5 auch mit den Kontrollzielen in den Anhängen im Einklang stehen, ist es umso sinnvoller, über ein integriertes, gut koordiniertes Managementsystem statt über altmodische Dokumente und gemeinsame Speicherlaufwerke nachzudenken. Beispiele dafür, wo Abschnitt 7.5 mit den Kontrollen in Anhang A verknüpft werden kann, sind:

Anhang A 5.1.1

Zusätzlich zur Definition müssen Informationssicherheitsrichtlinien vom Management genehmigt, veröffentlicht und den Mitarbeitern und relevanten externen Parteien mitgeteilt werden. Es ist nicht einfach, die Genehmigung von Dokumenten an sich nachzuweisen, und die Veröffentlichung umfangreicher Dokumente wird von den Stakeholdern wahrscheinlich nicht verdaut oder verstanden, selbst wenn sie kommuniziert wurden (wodurch die Organisation dem Risiko einer Nichteinhaltung und der Gefahr von Verlusten durch Unwissenheit ausgesetzt ist).

Anhang A 5.1.2

Überprüfung der Richtlinien zur Informationssicherheit. ISO 27001 besagt, dass Richtlinien regelmäßig in geplanten Abständen (oder bei wesentlichen Änderungen) überprüft werden sollten, um ihre dauerhafte Eignung sicherzustellen. Unabhängige ISO-Prüfer erwarten, dass diese Überprüfung mindestens einmal jährlich für jede Richtlinie durchgeführt wird.

Anhang A 18.2

Bei dieser Kontrolle in Anhang A geht es um Überprüfungen der Informationssicherheit. Wenn sie gut umgesetzt wird, fügt sie sich nahtlos in Abschnitt 7.5 für die Dokumentationsverwaltung eines ISMS ein, einschließlich unabhängiger Überprüfungen, Überprüfungen der Konformität und gegebenenfalls auch technischer Konformität. Überprüfung, Versionskontrolle, Anzeige von Aktualisierungen und anschließende Genehmigung alter Gestaltete Dokumente, bei denen es sich nicht unbedingt um Dokumente per se handeln muss, können Administratoren des ISMS wirklich verlangsamen. Es kann auch das Engagement der Mitarbeiter verzögern oder verlieren und zu Nichteinhaltung führen.

Wie verwalten Sie die Dokumentation in Ihrem ISMS?

Klausel 7.5 kann leicht missverstanden und herumgepfuscht werden, was zu einem Audit-Misserfolg führt oder vielleicht zu viel Zeit in die Entwicklung einer Lösung investiert und viel zu viel Zeit damit verbringt, eine Managementsystemstruktur aufzubauen, die bei der ersten Änderung zu schwer aufrechtzuerhalten ist. Der Business-Case-Planer von ISMS.online befasst sich mit den Optionen „Build versus Buy“. Schauen Sie sich das also an, wenn Sie darüber nachdenken, Ihre eigene Lösung zu entwickeln.

Es ist wirklich schwierig, alles richtig zu machen und alle Anforderungen von Abschnitt 7.5 und den zugehörigen Kontrollen in Anhang A zu erfüllen. Aus diesem Grund suchen viele Organisationen nach einer speziell entwickelten ISMS-Softwarelösung und wollen etwas mit den Eigenschaften von ISMS.online.

Schließlich würden Sie keine Zeit damit verschwenden, Ihr eigenes CRM- oder Finanzsystem aufzubauen, wenn andere bereits Zeit damit verbracht haben, die richtige Lösung zu entwickeln, die sofort einsatzbereit ist und das zu einem Bruchteil der Kosten einer DIY-Lösung gehören nicht zu den Kernkompetenzen der Organisation.

ISMS.online bietet eine leicht verständliche Struktur für die gesamte erforderliche Dokumentation. Es folgt genau der gleichen Struktur wie der Standard selbst, sodass Sie und ein Prüfer einfach und schnell zur erforderlichen Dokumentation navigieren können. Es verfügt über integrierte Rollen und Berechtigungen für den Zugriff, die Bearbeitung, die Genehmigung und die Freigabe. Außerdem gibt es eine automatische Versionskontrolle und Erinnerungen für Rezensionen. Wir sind sogar noch einen Schritt weiter gegangen und haben eine Richtlinien- und Kontrolldokumentation hinzugefügt, die Sie sofort übernehmen, anpassen und ergänzen können.

Durch den Einsatz der Softwarelösung ISMS.online können Sie sich auf Ihre ISMS-Ziele konzentrieren. ISMS.online erleichtert Ihnen die Verwaltungsarbeit, sodass Sie Ihre Dokumentation einfach erstellen, steuern, koordinieren, verwalten und an Stakeholder weitergeben können, unter anderem über Policy Packs, was das Vertrauen in die Compliance durchgängig stärkt. Darüber hinaus erhalten Sie alle Werkzeuge, um die vielen von der Norm geforderten Arbeitsprozesse durchzuführen. Aus diesem Grund sagen wir auch, dass die von uns bereitgestellten Dokumente „anfechtbar“ sind. Dabei handelt es sich um mehr als einfache Dokumentvorlagen, die es Ihnen überlassen, Ihre Prozesse zu interpretieren und zu demonstrieren. ISMS.online ist eine komplette ISMS-Lösung an einem Ort.

Lassen Sie sich mit ISMS.online bis zu 5x schneller zertifizieren

Compliance muss nicht kompliziert sein – ISMS.online soll Ihnen dabei helfen, die ISO 27001-Zertifizierung schnell und kostengünstig zu erreichen, ohne dass eine Schulung erforderlich ist.
Wir haben den ISO 27001-Prozess mit unserer Assured Results Method, einem Vorsprung von 80 %, Ihrem eigenen virtuellen Coach rund um die Uhr, einfachem Onboarding und Expertensupport optimiert.

Buchen Sie eine Plattformdemo, um zu sehen, wie ISMS.online Ihrem Unternehmen helfen kann