Nachfolgend finden Sie die Kernanforderungen der ISO 27001:2013. Wenn Sie nach der aktualisierten
Um die Kernanforderungen von ISO 27001:2022 zu erfahren, klicken Sie bitte auf die Schaltfläche unten.
Was beinhaltet Abschnitt 7.5?
Eine der Hauptanforderungen der ISO 27001 besteht daher darin, Ihr Informationssicherheitsmanagementsystem zu beschreiben und anschließend aufzuzeigen, wie die beabsichtigten Ergebnisse für die Organisation erreicht werden. Es ist unglaublich wichtig, dass alles, was mit dem ISMS zu tun hat, dokumentiert, gut gepflegt und leicht zu finden ist, wenn die Organisation eine unabhängige ISO 27001-Zertifizierung von einer Stelle wie UKAS erreichen möchte.
ISO 27001 Abschnitt 7.5 gliedert sich wie folgt:
Abschnitt 7.5.1 – Allgemeine Dokumentation für ISO 27001
Das ISMS muss Folgendes klar umfassen:
- Eine Beschreibung, wie die Kernanforderungen 4.1 bis 10.2 erfüllt werden, einschließlich der Risikobewertung und -behandlung, die zur Auswahl der Anhang-A-Kontrollen führt.
- Die relevanten Kontrollen in Anhang A, die Teil der Anwendbarkeitserklärung sind – was im Endeffekt bedeutet, dass Sie alle Kontrollen aufgelistet haben müssen. Auch wenn eine Organisation entscheidet, dass eine Kontrolle nicht relevant ist, sollte sie dokumentieren, dass sie dem Auditor beispielsweise zeigen muss, dass sie einen Bedarf an Liefer- und Ladeflächen gemäß Anhang A 11.1.6 hat, weil es sich um ein rein digitales Unternehmen handelt Es wird davon ausgegangen, dass kein Risiko besteht und keine Notwendigkeit für diese Kontrolle besteht.
Abschnitt 7.5.2 – Erstellen und Aktualisieren dokumentierter Informationen für ISO 27001
ISO 27001 möchte Klarheit in der Dokumentation und sucht nach Identifizierung und Beschreibung, Format, Überprüfung und Genehmigung für die Eignung und Angemessenheit, um ihren Zweck zu erfüllen. Es ist leicht, die Nuancen dieser Anforderungen zu übersehen, aber in der Praxis bedeutet dies, dass Autor, Datum, Titel, Referenz usw. berücksichtigt werden müssen, und dass der Genehmigungsprozess auch für die Abstimmung mit Anhang A 5.1.2, wie unten beschrieben, sehr wichtig ist.
Abschnitt 7.5.3 – Kontrolle dokumentierter Informationen für ISO 27001
Im Mittelpunkt des ISMS steht der Grundsatz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Das Gleiche gilt für das ISMS selbst. Es muss bei Bedarf verfügbar und angemessen vor Verlust der Vertraulichkeit, unbefugter Nutzung oder potenzieller Integritätsbeeinträchtigung geschützt sein.
Das einfache Ablegen der ISMS-Inhalte auf dem gemeinsam genutzten Teamlaufwerk und dessen unkontrollierter Zugriff oder unwirksame Zugriffsberechtigungen würde bei einem Audit mit ziemlicher Sicherheit zu Problemen für die Organisation führen. Ebenso wäre es ein Problem, es auf einem persönlichen Laufwerk zu belassen, das für diejenigen, die sich mit dem ISMS auskennen müssen, unzugänglich ist, sodass zahlreiche Bereiche für eine wirksame Kontrolle berücksichtigt werden müssen. ISO sucht nach einer Organisation, die sich mit den folgenden Aspekten befasst:
- Klarheit beim Teilen und Verteilen, Kontrolle des Zugriffs auf einige oder alle ISMS – wobei zu berücksichtigen ist, dass die Zugriffsberechtigungen zum Lesen, Aktualisieren, Genehmigen, Löschen usw. je nach Rolle des Stakeholders unterschiedlich sein müssen
- Speicherung und Aufbewahrung, einschließlich Kontrolle von Änderungen (Anzeige älterer Versionen, historischer Genehmigungen usw.)
- Auch die Aufbewahrung und Entsorgung muss berücksichtigt werden
Diese Anforderung steht auch im Einklang mit der regelmäßigen Überprüfung der in Anhang A.5.1.2 hervorgehobenen Richtlinien, auf die weiter unten eingegangen wird.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Wie viel muss geschrieben werden, damit die Dokumentation des ISMS von einem Auditor als akzeptabel angesehen wird?
Eine häufig gestellte Frage zur Dokumentation des Informationssicherheitsmanagements lautet: „Wie viel ist genug?“. Die kurze Antwort lautet: Es geht um Qualität, nicht um Quantität. Solange die Organisation die unten zusammengefassten Anforderungen erfüllt und nachweisen kann, dass sie keine langwierige ausführliche Dokumentation benötigt, wird der Auditor dies zweifellos bei einem Audit berücksichtigen – z. B. weil es sich um eine kleine Organisation mit wenigen Teilnehmern rund um das ISMS handelt , stabil, übersichtlich, gepflegt und einfach in der Bedienung.
Handelt es sich bei der Dokumentation des Informationssicherheitsmanagementsystems um Dokumente im Word-Stil oder sind andere Formen von Inhalten zulässig?
Die Frage, welche Art von Dokumentation erwartet wird, ist eine weitere häufig gestellte Frage zur Dokumentation von Abschnitt 7.5 für das Informationssicherheits-Managementsystem. Tatsächlich heißt es in ISO 27001 in der Anmerkung 7.5.1 eindeutig:
„Der Umfang der dokumentierten Informationen für ein Informationssicherheitsmanagementsystem kann von Organisation zu Organisation unterschiedlich sein aus folgenden Gründen:“
- die Größe der Organisation und ihre Art von Aktivitäten, Prozessen, Produkten und Dienstleistungen;
- die Komplexität von Prozessen und deren Wechselwirkungen; Und
- die Kompetenz von Personen.
Eine Reihe von ISO 27001-Anbietern von Informationssicherheitsdokumentations-„Toolkits“ haben den Mythos aufrechterhalten, dass dokumentierte Informationen für ein ISMS Word-Dokumente und Excel-Tabellen sein müssen. Natürlich können diese Dokumente einen Platz in einem ISMS haben (z. B. dort, wo auch Bilder oder komplexe Prozesse kommuniziert werden müssen), sollten aber angesichts der Einführung besserer Online-Tools sparsam verwendet werden.
Online-Dienste wie ISMS.online ermöglichen die traditionellere Dokumentenverwaltung und bieten effektivere Möglichkeiten zur Dokumentationsverwaltung. Diese ermöglichen eine bessere Kontrolle und Koordination, erleichtern die Weitergabe und Veröffentlichung und vereinfachen den gesamten Prozess des Dokumentationsmanagements gemäß den Anforderungen von Abschnitt 7.5. Die Zeiten, in denen man zeitaufwändig Dokumente mit Versionsänderungen und E-Mail-Freigaben auf den Titelseiten verschicken musste, sind damit vorbei!
Verbindung von 7.5 mit Anhang-A-Regelungen
Wenn man bedenkt, dass die Anforderungen von Abschnitt 7.5 auch mit den Kontrollzielen in den Anhängen im Einklang stehen, ist es umso sinnvoller, über ein integriertes, gut koordiniertes Managementsystem statt über altmodische Dokumente und gemeinsame Speicherlaufwerke nachzudenken. Beispiele dafür, wo Abschnitt 7.5 mit den Kontrollen in Anhang A verknüpft werden kann, sind:
Anhang A 5.1.1
Richtlinien zur Informationssicherheit müssen nicht nur definiert, sondern auch vom Management genehmigt, veröffentlicht und den Mitarbeitern sowie relevanten externen Parteien mitgeteilt werden. Es ist nicht einfach, die Genehmigung von Dokumenten per se nachzuweisen, und die Veröffentlichung umfangreicher Dokumente wird von den Beteiligten wahrscheinlich nicht verstanden, selbst wenn sie kommuniziert wurden (was das Unternehmen der Gefahr der Nichteinhaltung und der Gefahr von Verlusten durch Unwissenheit aussetzt).
Anhang A 5.1.2
Überprüfung der Richtlinien zur Informationssicherheit. ISO 27001 besagt, dass Richtlinien regelmäßig in geplanten Abständen (oder bei wesentlichen Änderungen) überprüft werden sollten, um ihre dauerhafte Eignung sicherzustellen. Unabhängige ISO-Prüfer erwarten, dass diese Überprüfung mindestens einmal jährlich für jede Richtlinie durchgeführt wird.
Anhang A 18.2
Diese Kontrolle in Anhang A befasst sich mit der Überprüfung der Informationssicherheit. Bei guter Umsetzung fügt sie sich nahtlos in Abschnitt 7.5 zum Dokumentationsmanagement eines ISMS ein, einschließlich unabhängiger Überprüfungen, Konformitätsprüfungen und gegebenenfalls auch der technischen Konformität. Überprüfung, Versionskontrolle, Anzeige von Aktualisierungen und anschließende Genehmigung veralteter Dokumente, die nicht unbedingt Dokumente sein müssen, können die ISMS-Administratoren erheblich ausbremsen. Dies kann auch das Engagement der Mitarbeiter verzögern oder verlieren und zu Nichteinhaltung der Vorschriften führen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wie verwalten Sie die Dokumentation in Ihrem ISMS?
Klausel 7.5 kann leicht missverstanden und herumgepfuscht werden, was zu einem Audit-Misserfolg führt oder vielleicht zu viel Zeit in die Entwicklung einer Lösung investiert und viel zu viel Zeit damit verbringt, eine Managementsystemstruktur aufzubauen, die bei der ersten Änderung zu schwer aufrechtzuerhalten ist. Der Business-Case-Planer von ISMS.online befasst sich mit den Optionen „Build versus Buy“. Schauen Sie sich das also an, wenn Sie darüber nachdenken, Ihre eigene Lösung zu entwickeln.
Es ist wirklich schwierig, alle Anforderungen von Abschnitt 7.5 und den zugehörigen Kontrollen in Anhang A richtig zu erfüllen. Aus diesem Grund suchen viele Organisationen nach einer speziell entwickelten ISMS-Softwarelösung und möchten etwas mit den Eigenschaften von ISMS.online.
Schließlich würden Sie keine Zeit damit verschwenden, Ihr eigenes CRM- oder Finanzsystem aufzubauen, wenn andere bereits Zeit damit verbracht haben, die richtige Lösung zu entwickeln, die sofort einsatzbereit ist und das zu einem Bruchteil der Kosten einer DIY-Lösung gehören nicht zu den Kernkompetenzen der Organisation.
ISMS.online bietet eine übersichtliche Struktur für die gesamte erforderliche Dokumentation. Sie folgt exakt der Struktur des Standards selbst, sodass Sie und ein Prüfer einfach und schnell zur erforderlichen Dokumentation navigieren können. Integrierte Rollen und Berechtigungen für Zugriff, Bearbeitung, Freigabe und Freigabe sind integriert. Darüber hinaus gibt es eine automatische Versionskontrolle und Erinnerungen für Überprüfungen. Wir sind sogar noch einen Schritt weiter gegangen und haben Richtlinien- und Kontrolldokumentation integriert, die Sie direkt übernehmen, anpassen und erweitern können.
Mit der Softwarelösung ISMS.online können Sie sich voll und ganz auf Ihre ISMS-Ziele konzentrieren. ISMS.online vereinfacht die Administration: Erstellen, kontrollieren, koordinieren, verwalten und teilen Sie Ihre Dokumentation ganz einfach mit Stakeholdern, auch über Policy Packs, die die Compliance-Sicherheit erhöhen. ISMS.online bietet Ihnen alle Werkzeuge für die zahlreichen Arbeitsprozesse der Norm. Deshalb bezeichnen wir die von uns bereitgestellten Dokumente als „umsetzbar“. Sie sind mehr als nur einfache Dokumentvorlagen, die Sie interpretieren und Ihre Prozesse demonstrieren können. ISMS.online ist eine umfassende ISMS-Lösung an einem Ort.
Lassen Sie sich mit ISMS.online bis zu 5x schneller zertifizieren
Compliance muss nicht kompliziert sein – ISMS.online soll Ihnen dabei helfen, die ISO 27001-Zertifizierung schnell und kostengünstig zu erreichen, ohne dass eine Schulung erforderlich ist.
Wir haben den ISO 27001-Prozess mit unserer Assured Results Method, einem Vorsprung von 80 %, Ihrem eigenen virtuellen Coach rund um die Uhr, einfachem Onboarding und Expertensupport optimiert.
Buchen Sie eine Plattform-Demo, um zu sehen, wie ISMS.online Ihrem Unternehmen helfen kann.
