Dokumentenmanagement nach ISO 27001 und BS 25999-2


Warum wird die Dokumentenkontrolle in ISO 27001 und BS 25999-2 so sehr betont? Beide Normen definieren sehr streng, wie Dokumente verwaltet werden müssen. Sie verlangen nicht nur, dass die Organisation ein dokumentiertes Verfahren zur Lenkung von Dokumenten vorweisen muss – noch schlimmer, Sie werden erst zertifiziert, wenn Sie ein solches Verfahren eingeführt haben.

Dokumente können in verschiedenen Formen vorliegen – Papierdokumente, Text- oder Tabellenblattdateien, Video- oder Audio-Dateien usw. Eine Organisation muss nicht nur interne Dokumente verwalten (z. B. verschiedene Richtlinien, Verfahren, Projektdokumentation usw.), sondern auch externe Dokumente (zum Beispiel verschiedene Arten von Korrespondenz, zusammen mit Geräten erhaltene Dokumentation usw.). Mit anderen Worten ist die Verwaltung von Dokumenten eine recht komplexe und umfassende Aufgabe.

Also warum ist es so wichtig, Dokumente zu verwalten? Haben Sie sich jemals in einer Situation befunden, in der Sie nicht wussten, wo einige wichtige Dokumente zu finden waren? Oder Sie fanden heraus, dass Ihre Mitarbeiter eine falsche (veraltete) Version eines Verfahrens angewendet haben? Oder einige Mitarbeiter haben ein wichtiges Verfahren überhaupt nicht erhalten? Oder vielleicht war nicht klar, welche Version dieses Verfahren aktuell war? Oder einige vertrauliche Dokumente wurden an die falschen Leute weitergegeben? Wenn Sie diese problematischen Situationen nie erlebt haben, dann haben Sie wahrscheinlich doch eine Erfahrung gemacht – Ihre Verfahren sind einfach nicht aktuell.

Wenn Sie keinen systematischen Ansatz für die Verwaltung Ihrer Dokumente haben, werden Sie sich wahrscheinlich in einigen dieser Situationen wiedererkennen. Aus diesem Grund fordern ISO 27001 und BS 25999-2, dass Organisationen eine solche systematische Herangehensweise einführen, indem ein Verfahren für Dokumentenmanagement erstellt wird.

Dieses Verfahren muss klare Verantwortlichkeiten für die Dokumente festlegen – wer kann sie genehmigen, wie werden sie verteilt und archiviert, wie werden sie aktualisiert, welches Versionierungssystem wird verwendet, wie werden Änderungen in Dokumenten verfolgt, was geschieht mit externen Dokumenten usw.

Da Dokumentenmanagement ist eine solch grundlegende Sache ist, stellen Sie bitte sicher, dass der Zertifizierungsprüfer nicht nur nach einem solchen Verfahren sucht, sondern auch prüft, ob Ihre Dokumentation wirklich so verwaltet wird, wie Sie in Ihrem Verfahren für das Dokumentenmanagement festgelegt haben. Aufgrund der Einführung dieses Verfahrens müssen Sie wahrscheinlich Ihr System für den Umgang mit Dokumenten ändern müssen, die Dokumentation im Intranet speichern oder ein komplexeres Dokumentenmanagement umsetzen sowie das Archiv für Papierdokumente organisieren.

Wenn Sie anfangen, die Norm ISO 27001 / BS 25999-2 umzusetzen, erfassen Sie zunächst die Bedeutung, Dinge schriftlich festzuhalten. Sie werden aber auch sehen, dass diese schriftlich festgehaltenen Dinge organisiert werden müssen, damit Sie nicht die Kontrolle über sie verlieren. Die Dokumente sind in der Tat das Blutsystem Ihres Managementsystems – pflegen Sie es gut, damit Ihr System gesund bleibt.

Um Ihre Dokumente einfacher verwalten zu können, lesen Sie das Conformio Dokumentverwaltungssystem.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.