Referenzdokumente: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{#seo:
|title=ISMS-Ratgeber WiKi - Referenzdokumente
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,Muster,Beispiele,WiKi,Hilfe,Vorlagen,Richtlinien,Leitlinien,Leitfaden,Konzepte,IT-Sicherheit,Dokumente,Dokumentation,Zertifizierung,ISO 27001,ISO 27002
|description=Dieser Artikel beschreibt, welche Dokumente für ein funktionierendes ISMS erforderlich sind und welche für eine Zertifizierung benötigt werden.
}}{{SHORTDESC:Für eine Zertifizierung benötigte Referenzdokumente eines ISMS.}}
<big>'''Erforderliche Referenzdokumente für ein ISMS'''</big>
<big>'''Erforderliche Referenzdokumente für ein ISMS'''</big>
Es gibt eine Reihe wichtiger Dokumente, die in keinem ISMS fehlen dürfen und oft auch Bestandteil von Zertifizierungsanforderungen sind. Diese Seite listet die relevanten Referenzdokumente zu den einzelnen Standards auf.


== Welche Dokumente sind für ein funktionierendes ISMS erforderlich? ==
== Welche Dokumente sind für ein funktionierendes ISMS erforderlich? ==
Zeile 5: Zeile 13:
Die Entscheidung welche Dokumente für ein funktionierendes ISMS erforderlich sind ist von mehreren Faktoren abhängig:
Die Entscheidung welche Dokumente für ein funktionierendes ISMS erforderlich sind ist von mehreren Faktoren abhängig:


*  Größe der Organisation
*  Größe und Aufbau der Organisation
*  Wird eine Zertifizierung angestrebt und wenn ja, welche?
*  Wird eine Zertifizierung angestrebt und wenn ja, welche?
*  Umfang und Komplexität der IT Infrastruktur
*  Umfang und Komplexität der IT-Infrastruktur
*  Art und Umfang der verarbeiteten Informationen
*  Art und Umfang der verarbeiteten Informationen
*  Eigenbetrieb oder Outsourcing von Dienstleistungen
*  Eigenbetrieb oder Outsourcing von Dienstleistungen
Zeile 18: Zeile 26:
==== Referenzdokumente zur Basisabsicherung ====
==== Referenzdokumente zur Basisabsicherung ====


Folgende Dokumente müssen zur Beantragung einer Auditierung vorliegen:
Folgende Dokumente müssen zur Beantragung einer Auditierung für ein Testat nach der Basis-Absicherung vorliegen:


*  [[Informationssicherheitsleitlinie|Leitlinie zur Informationssicherheit]]
*  [[Informationssicherheitsleitlinie|Leitlinie zur Informationssicherheit]]
*  [[RiLi-Dokumentenlenkung|Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen]]
*  [[Strukturanalyse]]
*  [[RiLi-InterneAuditierung|Richtlinie zur internen ISMS-Auditierung]]
*  [[LF-Modellierung|Modellierung]]
*  [[RiLi-KVP|Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen]]
*  Ergebnis der IT-Grundschutz-Checks
*  [[LF-Realisierungsplan|Realisierungsplan]]


==== Referenzdokumente zur Zertifizierung (ISO 27001 auf Basis von IT-Grundschutz) ====
==== Referenzdokumente zur Zertifizierung (ISO 27001 auf Basis von IT-Grundschutz) ====
Zeile 34: Zeile 43:
*  [[RiLi-KVP|Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen]]
*  [[RiLi-KVP|Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen]]
*  [[RiLi-Risikoanalyse|Richtlinie zur Risikoanalyse]]
*  [[RiLi-Risikoanalyse|Richtlinie zur Risikoanalyse]]
*  [[Strukturanalyse]]
*  [[Schutzbedarf|Schutzbedarfsfeststellung]]
*  [[LF-Modellierung|Modellierung]]
*  Ergebnis der IT-Grundschutz-Checks
*  Ergebnis der Risikoanalyse
*  [[LF-Realisierungsplan|Realisierungsplan/Risikobehandlungsplan]]
==== Weitere Dokumente ====
Die oben genannten Dokumente werden bereits bei der Antragstellung benötigt. D.h. ohne diese Dokumente kann keine Testierung/Zertifizierung beantragt werden. D.h. aber nicht, dass damit die Dokumentationspflichten für eine erfolgreiche Zertifizierung erfüllt sind! Im Zuge des eigentlichen Audits werden weitere Dokumente geprüft.
Im Gegensatz zu den oben genannten Dokumenten, die in der Regel klassisch in Papierform oder als PDF mit Unterschrift der Organisationsleitung vorliegen, sind Umfang und Form aller weiteren Dokumentationen weitgehend der Organisation überlassen, je nach Größe und interner Organisationsform. Entscheidend ist, dass die Aktualität und die tatsächliche Inkraftsetzung der Regelungen in irgendeiner Form erkennbar sind. Die Mitarbeitenden müssen wissen, welche Regelungen sie wo finden, und sie müssen ungehinderten Zugang zu den für sie relevanten Regelungen haben.
Weitere Regelungen und Dokumentationen sind unter anderem zu folgenden Themen erforderlich:


=== Referenzdokumente ISO 27001 ===
*[[Managementbericht]]
*[[RiLi-Sensibilisierung|Schulung und Sensibilisierung]]
*Benutzerrichtlinie
*Idenditäts- und Berechtigungsmanagement
*[[RiLi-Freigabe|Test und Freigabe]]
*Überwachung und Protokollierung
*[[RiLi-Schadsoftware|Schutz vor Schadsoftware]]
*[[RiLi-Schwachstellenmanagement|Schwachstellen-Management]]
*[[RiLi-Sicherheitsvorfallmanagement|Sicherheitsvorfallmanagement]]
*[[RiLi-Ausnahmemanagement|Ausnahmemanagement]]
*[[RiLi-Notfallmanagement (BCM)|Notfallmanagement (BCM)]]
*Gebäude und Räume
*Netzwerk-Management
*Server-Management
*Client-Management
*Datensicherung und -wiederherstellung
*Patch- und Änderungsmanagement
*Löschen und Vernichten von Informationen
*Regelung für mobiles Arbeiten (ggf. auch für Ausland)
*Softwareentwicklung und QS
*Kryptographie
*Betriebsdokumentation und Checklisten
*Fernwartung
*Archivierung
*ggf. Cloud-Nutzung
*ggf. Outsourcing
*ggf. Produktionssteuerung
*ggf. Automatisierungstechnik / IoT
*ggf. Internetnutzung dienstlich/privat
*ggf. Private Nutzung von IT / BYOD
*Verpflichtungserklärung Informationssicherheit für Mitarbeitende
*Verpflichtungserklärung Informationssicherheit für Dienstleister
*uvm.


===Referenzdokumente ISO 27001===


* Anwendungsbereich von ISMS (A 4.3)
Und hier die obligatorischen Referenzdokumente für eine ISO27001 nativ Zertifizierung:
* Leitlinie Informationssicherheit (A 5.2, A 6.2)
*Anwendungsbereich von ISMS (A 4.3)
* Risikobewertungs- und Risikobehandlungsmethodik (A 6.1.2)
*Leitlinie Informationssicherheit (A 5.2, A 6.2)
* Anwendbarkeitserklärung (A 6.1.3 d)
*Risikobewertungs- und Risikobehandlungsmethodik (A 6.1.2)
* Risikobehandlungsplan (A 6.1.3 e, A 6.2)
*Anwendbarkeitserklärung (A 6.1.3 d)
* Definition der Sicherheitsrollen und Verantwortlichkeiten (Abschnitte A 7.1.2 und A 13.2.4)
*Risikobehandlungsplan (A 6.1.3 e, A 6.2)
* Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen (A 7.2)
*Definition der Sicherheitsrollen und Verantwortlichkeiten (Abschnitte A 7.1.2 und A 13.2.4)
* Sicherheitsrollen und Verantwortlichkeiten (A 7.2.1)
*Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen (A 7.2)
* Verzeichnis der Assets (A 8.1.1)
*Sicherheitsrollen und Verantwortlichkeiten (A 7.2.1)
* Regelung zur Nutzung von Assets (A 8.1.3)
*Verzeichnis der Assets (A 8.1.1)
* Risikobewertungsbericht (A 8.2)
*Regelung zur Nutzung von Assets (A 8.1.3)
* Überwachungs- und Messergebnisse (A 9.1)
*Risikobewertungsbericht (A 8.2)
* Richtlinie für Zugriffskontrolle (A 9.1.1)
*Überwachungs- und Messergebnisse (A 9.1)
* internes Audit-Programm und Ergebnisaufzeichnungen (A 9.2)
*Richtlinie für Zugriffskontrolle (A 9.1.1)
* Ergebnisse aus Managementbewertungen (A 9.3)
*internes Audit-Programm und Ergebnisaufzeichnungen (A 9.2)
* Ergebnisse von Korrekturmaßnahmen (A 10.1)
*Ergebnisse aus Managementbewertungen (A 9.3)
* Richtlinie für die Verwendung von kryptographischen Algorithmen (A 10.1.1)
*Ergebnisse von Korrekturmaßnahmen (A 10.1)
* Betriebsprozesse für das IT-Management (A 12.1.1)
*Richtlinie für die Verwendung von kryptographischen Algorithmen (A 10.1.1)
* Aktivitätsprotokolle und deren regelmäßig Auswertung (A 12.4.1 und A 12.4.3)
*Betriebsprozesse für das IT-Management (A 12.1.1)
* Prinzipien des sicheren Systembetriebs (A 14.2.5)
*Aktivitätsprotokolle und deren regelmäßig Auswertung (A 12.4.1 und A 12.4.3)
* Sicherheitsrichtlinie für Lieferanten (A 15.1.1)
*Prinzipien des sicheren Systembetriebs (A 14.2.5)
* Sicherheitsvorfall Management (A 16.1.5)
*Sicherheitsrichtlinie für Lieferanten (A 15.1.1)
* Verfahren für betriebliche Kontinuität (BCM) (A 17.1.2)
*Sicherheitsvorfall Management (A 16.1.5)
* Gesetzliche, behördliche und vertragliche Anforderungen (Abschnitt A 18.1.1)
*Verfahren für betriebliche Kontinuität (BCM) (A 17.1.2)
*Gesetzliche, behördliche und vertragliche Anforderungen (Abschnitt A 18.1.1)


== Weitere Sicherheitsrelevante Dokumente ==
==Empfehlenswerte weitere Dokumente==


== empfehlenswerte weitere Dokumente ==
[[Kategorie:Artikel]]
[[Kategorie:Artikel]]

Aktuelle Version vom 2. August 2024, 15:49 Uhr


Erforderliche Referenzdokumente für ein ISMS

Es gibt eine Reihe wichtiger Dokumente, die in keinem ISMS fehlen dürfen und oft auch Bestandteil von Zertifizierungsanforderungen sind. Diese Seite listet die relevanten Referenzdokumente zu den einzelnen Standards auf.

Welche Dokumente sind für ein funktionierendes ISMS erforderlich?

Die Entscheidung welche Dokumente für ein funktionierendes ISMS erforderlich sind ist von mehreren Faktoren abhängig:

  • Größe und Aufbau der Organisation
  • Wird eine Zertifizierung angestrebt und wenn ja, welche?
  • Umfang und Komplexität der IT-Infrastruktur
  • Art und Umfang der verarbeiteten Informationen
  • Eigenbetrieb oder Outsourcing von Dienstleistungen
  • ...

Zertifizierungsanforderungen

BSI IT-Grundschutz

Referenzdokumente zur Basisabsicherung

Folgende Dokumente müssen zur Beantragung einer Auditierung für ein Testat nach der Basis-Absicherung vorliegen:

Referenzdokumente zur Zertifizierung (ISO 27001 auf Basis von IT-Grundschutz)

Folgende Dokumente müssen zur Beantragung einer Zertifizierung vorliegen:

Weitere Dokumente

Die oben genannten Dokumente werden bereits bei der Antragstellung benötigt. D.h. ohne diese Dokumente kann keine Testierung/Zertifizierung beantragt werden. D.h. aber nicht, dass damit die Dokumentationspflichten für eine erfolgreiche Zertifizierung erfüllt sind! Im Zuge des eigentlichen Audits werden weitere Dokumente geprüft.

Im Gegensatz zu den oben genannten Dokumenten, die in der Regel klassisch in Papierform oder als PDF mit Unterschrift der Organisationsleitung vorliegen, sind Umfang und Form aller weiteren Dokumentationen weitgehend der Organisation überlassen, je nach Größe und interner Organisationsform. Entscheidend ist, dass die Aktualität und die tatsächliche Inkraftsetzung der Regelungen in irgendeiner Form erkennbar sind. Die Mitarbeitenden müssen wissen, welche Regelungen sie wo finden, und sie müssen ungehinderten Zugang zu den für sie relevanten Regelungen haben.

Weitere Regelungen und Dokumentationen sind unter anderem zu folgenden Themen erforderlich:

  • Managementbericht
  • Schulung und Sensibilisierung
  • Benutzerrichtlinie
  • Idenditäts- und Berechtigungsmanagement
  • Test und Freigabe
  • Überwachung und Protokollierung
  • Schutz vor Schadsoftware
  • Schwachstellen-Management
  • Sicherheitsvorfallmanagement
  • Ausnahmemanagement
  • Notfallmanagement (BCM)
  • Gebäude und Räume
  • Netzwerk-Management
  • Server-Management
  • Client-Management
  • Datensicherung und -wiederherstellung
  • Patch- und Änderungsmanagement
  • Löschen und Vernichten von Informationen
  • Regelung für mobiles Arbeiten (ggf. auch für Ausland)
  • Softwareentwicklung und QS
  • Kryptographie
  • Betriebsdokumentation und Checklisten
  • Fernwartung
  • Archivierung
  • ggf. Cloud-Nutzung
  • ggf. Outsourcing
  • ggf. Produktionssteuerung
  • ggf. Automatisierungstechnik / IoT
  • ggf. Internetnutzung dienstlich/privat
  • ggf. Private Nutzung von IT / BYOD
  • Verpflichtungserklärung Informationssicherheit für Mitarbeitende
  • Verpflichtungserklärung Informationssicherheit für Dienstleister
  • uvm.

Referenzdokumente ISO 27001

Und hier die obligatorischen Referenzdokumente für eine ISO27001 nativ Zertifizierung:

  • Anwendungsbereich von ISMS (A 4.3)
  • Leitlinie Informationssicherheit (A 5.2, A 6.2)
  • Risikobewertungs- und Risikobehandlungsmethodik (A 6.1.2)
  • Anwendbarkeitserklärung (A 6.1.3 d)
  • Risikobehandlungsplan (A 6.1.3 e, A 6.2)
  • Definition der Sicherheitsrollen und Verantwortlichkeiten (Abschnitte A 7.1.2 und A 13.2.4)
  • Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen (A 7.2)
  • Sicherheitsrollen und Verantwortlichkeiten (A 7.2.1)
  • Verzeichnis der Assets (A 8.1.1)
  • Regelung zur Nutzung von Assets (A 8.1.3)
  • Risikobewertungsbericht (A 8.2)
  • Überwachungs- und Messergebnisse (A 9.1)
  • Richtlinie für Zugriffskontrolle (A 9.1.1)
  • internes Audit-Programm und Ergebnisaufzeichnungen (A 9.2)
  • Ergebnisse aus Managementbewertungen (A 9.3)
  • Ergebnisse von Korrekturmaßnahmen (A 10.1)
  • Richtlinie für die Verwendung von kryptographischen Algorithmen (A 10.1.1)
  • Betriebsprozesse für das IT-Management (A 12.1.1)
  • Aktivitätsprotokolle und deren regelmäßig Auswertung (A 12.4.1 und A 12.4.3)
  • Prinzipien des sicheren Systembetriebs (A 14.2.5)
  • Sicherheitsrichtlinie für Lieferanten (A 15.1.1)
  • Sicherheitsvorfall Management (A 16.1.5)
  • Verfahren für betriebliche Kontinuität (BCM) (A 17.1.2)
  • Gesetzliche, behördliche und vertragliche Anforderungen (Abschnitt A 18.1.1)

Empfehlenswerte weitere Dokumente

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Referenzdokumente&oldid=1081