Referenzdokumente: Unterschied zwischen den Versionen
Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Dirk (Diskussion | Beiträge) |
Dirk (Diskussion | Beiträge) |
||
| Zeile 18: | Zeile 18: | ||
==== Referenzdokumente zur Basisabsicherung ==== | ==== Referenzdokumente zur Basisabsicherung ==== | ||
Folgende Dokumente müssen zur Beantragung einer | Folgende Dokumente müssen zur Beantragung einer Auditierung für ein Testat nach der Basis-Absicherung vorliegen: | ||
* [[Informationssicherheitsleitlinie|Leitlinie zur Informationssicherheit]] | * [[Informationssicherheitsleitlinie|Leitlinie zur Informationssicherheit]] | ||
Version vom 5. März 2023, 08:22 Uhr
Erforderliche Referenzdokumente für ein ISMS
Welche Dokumente sind für ein funktionierendes ISMS erforderlich?
Die Entscheidung welche Dokumente für ein funktionierendes ISMS erforderlich sind ist von mehreren Faktoren abhängig:
- Größe der Organisation
- Wird eine Zertifizierung angestrebt und wenn ja, welche?
- Umfang und Komplexität der IT Infrastruktur
- Art und Umfang der verarbeiteten Informationen
- Eigenbetrieb oder Outsourcing von Dienstleistungen
- ...
Zertifizierungsanforderungen
BSI IT-Grundschutz
Referenzdokumente zur Basisabsicherung
Folgende Dokumente müssen zur Beantragung einer Auditierung für ein Testat nach der Basis-Absicherung vorliegen:
- Leitlinie zur Informationssicherheit
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Referenzdokumente zur Zertifizierung (ISO 27001 auf Basis von IT-Grundschutz)
Folgende Dokumente müssen zur Beantragung einer Zertifizierung vorliegen:
- Leitlinie zur Informationssicherheit
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
- Richtlinie zur Risikoanalyse
Referenzdokumente ISO 27001
- Anwendungsbereich von ISMS (A 4.3)
- Leitlinie Informationssicherheit (A 5.2, A 6.2)
- Risikobewertungs- und Risikobehandlungsmethodik (A 6.1.2)
- Anwendbarkeitserklärung (A 6.1.3 d)
- Risikobehandlungsplan (A 6.1.3 e, A 6.2)
- Definition der Sicherheitsrollen und Verantwortlichkeiten (Abschnitte A 7.1.2 und A 13.2.4)
- Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen (A 7.2)
- Sicherheitsrollen und Verantwortlichkeiten (A 7.2.1)
- Verzeichnis der Assets (A 8.1.1)
- Regelung zur Nutzung von Assets (A 8.1.3)
- Risikobewertungsbericht (A 8.2)
- Überwachungs- und Messergebnisse (A 9.1)
- Richtlinie für Zugriffskontrolle (A 9.1.1)
- internes Audit-Programm und Ergebnisaufzeichnungen (A 9.2)
- Ergebnisse aus Managementbewertungen (A 9.3)
- Ergebnisse von Korrekturmaßnahmen (A 10.1)
- Richtlinie für die Verwendung von kryptographischen Algorithmen (A 10.1.1)
- Betriebsprozesse für das IT-Management (A 12.1.1)
- Aktivitätsprotokolle und deren regelmäßig Auswertung (A 12.4.1 und A 12.4.3)
- Prinzipien des sicheren Systembetriebs (A 14.2.5)
- Sicherheitsrichtlinie für Lieferanten (A 15.1.1)
- Sicherheitsvorfall Management (A 16.1.5)
- Verfahren für betriebliche Kontinuität (BCM) (A 17.1.2)
- Gesetzliche, behördliche und vertragliche Anforderungen (Abschnitt A 18.1.1)
