ISO 27001/ISO 22301 Wissensdatenbank

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

Liste obligatorisch erforderlicher Dokumente für ISO 27001 (2013 Überarbeitung)

Bei der neuen Überarbeitung von ISO/IEC 27001, die erst vor ein paar Tagen veröffentlicht wurde, fragen sich viele Leute, welche Dokumente in dieser neuen 2013-Überarbeitung obligatorisch sind. Werden mehr oder weniger Dokumente gefordert?

Hier ist daher die Liste – Sie werden hier unten nicht nur obligatorische Dokumente angeführt sehen, sondern auch die am häufigsten verwendeten Dokumente für die ISO 27001-Implementierung.

Obligatorische, für ISO 27001:2013 erforderliche Dokumente und Aufzeichnungen

blogpost-banner-risk-de

Hier sind die Dokumente, die Sie erstellen müssen, wenn Sie mit ISO 27001 konform sein möchten: (Beachten Sie bitte, dass die Dokumente aus Anhang A nur obligatorisch sind, wenn Risiken bestehen, welche deren Implementierung erforderlich machen.)

  • Anwendungsbereich von ISMS (Abschnitt 4.3)
  • Informationssicherheitspolitik und Ziele (Abschnitte 5.2 und 6.2)
  • Risikobewertungs- und Risikobehandlungsmethodik (Abschnitt 6.1.2)
  • Anwendbarkeitserklärung (Abschnitt 6.1.3 d)
  • Risikobehandlungsplan (Abschnitte 6.1.3 e und 6.2)
  • Risikobewertungsbericht (Abschnitt 8.2)
  • Definition der Sicherheits-Rollen und Verantwortlichkeiten (Abschnitte A.7.1.2 und A.13.2.4)
  • Verzeichnis der Assets (Abschnitt A.8.1.1)
  • Akzeptable Nutzung von Assets (Abschnitt A.8.1.3)
  • Richtlinie für Zugriffskontrolle (Abschnitt A.9.1.1)
  • Betriebsverfahren für das IT-Management (Abschnitt A.12.1.1)
  • Prinzipien des sicheren System Engineering (Abschnitt A.14.2.5)
  • Sicherheitspolitik für Lieferanten (Abschnitt A.15.1.1)
  • Incident Management-Verfahren (Abschnitt A.16.1.5)
  • Verfahren für betriebliche Kontinuität (Abschnitt A.17.1.2)
  • Gesetzliche, behördliche und vertragliche Anforderungen (Abschnitt A.18.1.1)

Und hier sind die obligatorischen Aufzeichnungen:

  • Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen (Abschnitt 7.2)
  • Überwachungs- und Messergebnisse (Abschnitt 9.1)
  • Internes Audit-Programm (Abschnitt 9.2)
  • Ergebnisse interner Audits (Abschnitt 9.2)
  • Ergebnisse aus Managementbewertungen (Abschnitt 9.3)
  • Ergebnisse von Korrekturmaßnahmen (Abschnitt 10.1)
  • Protokolle über Anwenderaktivitäten, Ausnahmen und Sicherheitsereignisse (Abschnitte A.12.4.1 und A.12.4.3)

Nicht obligatorische Dokumente

Es gibt zahlreiche nicht obligatorische Dokumente, die für die ISO 27001-Implementierung verwendet werden können, insbesondere für die Sicherheitskontrollen aus Anhang A., doch finde ich diese nicht obligatorischen Dokumenten hier als die am häufigsten verwendeten:

  • Verfahren zur Lenkung von Dokumenten (Abschnitt 7.5)
  • Kontrollen für die Verwaltung von Aufzeichnungen (Abschnitt 7.5)
  • Verfahren für interne Audits (Abschnitt 9.2)
  • Verfahren für Korrekturmaßnahmen (Abschnitt 10.1)
  • Bring Your Own Device (BYOD)-Richtlinie (Abschnitt A.6.2.1)
  • Richtlinie für Mobilgeräte und Telearbeit (Abschnitt A.6.2.1)
  • Richtlinie zur Informationsklassifizierung (Abschnitte A.8.2.1, A.8.2.2, und A.8.2.3)
  • Passwort-Richtlinie (Abschnitte A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, und A.9.4.3)
  • Richtlinie für Entsorgung und Vernichtung (Abschnitte A.8.3.2 und A.11.2.7)
  • Verfahren für Arbeiten in Sicherheitsbereichen (Abschnitt A.11.1.5)
  • Clear Desk und Clear Screen-Richtlinie (Abschnitt A.11.2.9)
  • Change Management-Richtlinie (Abschnitte A.12.1.2 und A.14.2.4)
  • Backup-Richtlinie (Abschnitt A.12.3.1)
  • Richtlinie für Informationstransfer (Abschnitte A.13.2.1, A.13.2.2, und A.13.2.3)
  • Geschäftsauswirkungsanalyse (Abschnitt A.17.1.1)
  • Übungs- und Testplan (Abschnitt A.17.1.3)
  • Wartungs- und Überprüfungsplan (Abschnitt A.17.1.3)
  • Strategie für betriebliche Kontinuität (Abschnitt A.17.2.1)

So, das ist es jetzt – was denken Sie? Ist es zu viel zum Schreiben? Decken diese Dokumente alle Aspekte der Informationssicherheit ab?

Klicken Sie hier, um das Whitepaper Checkliste für die erforderliche Dokumentation nach ISO 27001 (Revision von 2013) herunterzuladen. Es enthält detailliertere Informationen zu den gebräuchlichsten Methoden für die Strukturierung und Implementierung von obligatorischen Dokumenten und Aufzeichnungen.

Wenn Ihnen dieser Artikel gefallen hat, können Sie Updates abonnieren

Weiten Sie Ihre Kenntnisse mit unseren kostenlosen Ressourcen zu den Normen ISO 27001 und ISO 22301 aus.

Sie können sich jederzeit abmelden.

Weitere Informationen darüber, welche persönlichen Daten wir sammeln, warum wir diese benötigen, was wir mit ihnen machen, wie lange wir sie aufbewahren und welche Rechte Sie haben, finden Sie in dieser Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

KOSTENLOSE ISO 27001/22301-BERATUNG
Dejan Kosutic
Führender Experte für ISO 27001/ISO 22301, Advisera

ERHALTEN SIE KOSTENLOSE BERATUNG

Upcoming free webinar
ISO 27001/ISO 22301: The certification process
Wednesday – October 23, 2019

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera ist ein von Exemplar Global zertifizierter TPECS-Anbieter für die IS, QM, EM, TL und AU Kompetenzeinheiten.
  • ITIL® ist ein eingetragenes Warenzeichen von AXELOS Limited. Wird unter der Lizenz von AXELOS Limited verwendet. Alle Rechte vorbehalten.
  • DNV GL Business Assurance ist einer der führenden Anbieter von akkreditierten Managementsystemzertifizierungen.