Referenzdokumente

Erforderliche Referenzdokumente für ein ISMS

Welche Dokumente sind für ein funktionierendes ISMS erforderlich?

Die Entscheidung welche Dokumente für ein funktionierendes ISMS erforderlich sind ist von mehreren Faktoren abhängig:

• Größe der Organisation
• Wird eine Zertifizierung angestrebt und wenn ja, welche?
• Umfang und Komplexität der IT Infrastruktur
• Art und Umfang der verarbeiteten Informationen
• Eigenbetrieb oder Outsourcing von Dienstleistungen
• ...

Zertifizierungsanforderungen

BSI IT-Grundschutz

Referenzdokumente zur Basisabsicherung

Folgende Dokumente müssen zur Beantragung einer Auditierungfür ein Testat nach der Basis-Absicherung vorliegen:

• Leitlinie zur Informationssicherheit
• Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
• Richtlinie zur internen ISMS-Auditierung
• Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Referenzdokumente zur Zertifizierung (ISO 27001 auf Basis von IT-Grundschutz)

Folgende Dokumente müssen zur Beantragung einer Zertifizierung vorliegen:

• Leitlinie zur Informationssicherheit
• Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
• Richtlinie zur internen ISMS-Auditierung
• Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
• Richtlinie zur Risikoanalyse

Referenzdokumente ISO 27001

• Anwendungsbereich von ISMS (A 4.3)
• Leitlinie Informationssicherheit (A 5.2, A 6.2)
• Risikobewertungs- und Risikobehandlungsmethodik (A 6.1.2)
• Anwendbarkeitserklärung (A 6.1.3 d)
• Risikobehandlungsplan (A 6.1.3 e, A 6.2)
• Definition der Sicherheitsrollen und Verantwortlichkeiten (Abschnitte A 7.1.2 und A 13.2.4)
• Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen (A 7.2)
• Sicherheitsrollen und Verantwortlichkeiten (A 7.2.1)
• Verzeichnis der Assets (A 8.1.1)
• Regelung zur Nutzung von Assets (A 8.1.3)
• Risikobewertungsbericht (A 8.2)
• Überwachungs- und Messergebnisse (A 9.1)
• Richtlinie für Zugriffskontrolle (A 9.1.1)
• internes Audit-Programm und Ergebnisaufzeichnungen (A 9.2)
• Ergebnisse aus Managementbewertungen (A 9.3)
• Ergebnisse von Korrekturmaßnahmen (A 10.1)
• Richtlinie für die Verwendung von kryptographischen Algorithmen (A 10.1.1)
• Betriebsprozesse für das IT-Management (A 12.1.1)
• Aktivitätsprotokolle und deren regelmäßig Auswertung (A 12.4.1 und A 12.4.3)
• Prinzipien des sicheren Systembetriebs (A 14.2.5)
• Sicherheitsrichtlinie für Lieferanten (A 15.1.1)
• Sicherheitsvorfall Management (A 16.1.5)
• Verfahren für betriebliche Kontinuität (BCM) (A 17.1.2)
• Gesetzliche, behördliche und vertragliche Anforderungen (Abschnitt A 18.1.1)

Weitere Sicherheitsrelevante Dokumente

empfehlenswerte weitere Dokumente