Referenzdokumente
Erforderliche Referenzdokumente für ein ISMS
Welche Dokumente sind für ein funktionierendes ISMS erforderlich?
Die Entscheidung welche Dokumente für ein funktionierendes ISMS erforderlich sind ist von mehreren Faktoren abhängig:
- Größe der Organisation
- Wird eine Zertifizierung angestrebt und wenn ja, welche?
- Umfang und Komplexität der IT Infrastruktur
- Art und Umfang der verarbeiteten Informationen
- Eigenbetrieb oder Outsourcing von Dienstleistungen
- ...
Zertifizierungsanforderungen
BSI IT-Grundschutz
Referenzdokumente zur Basisabsicherung
Folgende Dokumente müssen zur Beantragung einer Auditierung für ein Testat nach der Basis-Absicherung vorliegen:
- Leitlinie zur Informationssicherheit
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Referenzdokumente zur Zertifizierung (ISO 27001 auf Basis von IT-Grundschutz)
Folgende Dokumente müssen zur Beantragung einer Zertifizierung vorliegen:
- Leitlinie zur Informationssicherheit
- Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
- Richtlinie zur internen ISMS-Auditierung
- Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
- Richtlinie zur Risikoanalyse
Weitere Dokumente
Die oben genannten Dokumente werden bereits bei der Antragstellung benötigt. D.h. ohne diese Dokumente kann keine Testierung/Zertifizierung beantragt werden. D.h. aber nicht, dass damit die Dokumentationspflichten für eine erfolgreiche Zertifizierung erfüllt sind! Im Zuge des eigentlichen Audits werden weitere Dokumente geprüft.
Im Gegensatz zu den oben genannten Dokumenten, die in der Regel klassisch in Papierform oder als PDF mit Unterschrift der Organisationsleitung vorliegen, sind Umfang und Form aller weiteren Dokumentationen weitgehend der Organisation überlassen, je nach Größe und interner Organisationsform. Entscheidend ist, dass die Aktualität und die tatsächliche Inkraftsetzung der Regelungen in irgendeiner Form erkennbar sind. Die Mitarbeitenden müssen wissen, welche Regelungen sie wo finden, und sie müssen ungehinderten Zugang zu den für sie relevanten Regelungen haben.
Weitere Regelungen und Dokumentationen sind unter anderem zu folgenden Themen erforderlich:
- Schulung und Sensibilisierung
- Passwort- und Berechtigungsmanagement
- Test und Freigabe
- Überwachung und Protokollierung
- Schadsoftware
- Schwachstellen-Management
- Ausnahmemanagement
- Notfallmanagement (BCM)
- Gebäude und Räume
- Netzwerk-Management
- Server-Management
- Client-Verwaltung
- Kryptographie
- Betriebsdokumentation und Checklisten
- ggf. Cloud-Nutzung
- ggf. Outsourcing
- uvm.
Referenzdokumente ISO 27001
Und hier die obligatorischen Referenzdokumente für eine ISO27001 nativ Zertifizierung:
- Anwendungsbereich von ISMS (A 4.3)
- Leitlinie Informationssicherheit (A 5.2, A 6.2)
- Risikobewertungs- und Risikobehandlungsmethodik (A 6.1.2)
- Anwendbarkeitserklärung (A 6.1.3 d)
- Risikobehandlungsplan (A 6.1.3 e, A 6.2)
- Definition der Sicherheitsrollen und Verantwortlichkeiten (Abschnitte A 7.1.2 und A 13.2.4)
- Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen (A 7.2)
- Sicherheitsrollen und Verantwortlichkeiten (A 7.2.1)
- Verzeichnis der Assets (A 8.1.1)
- Regelung zur Nutzung von Assets (A 8.1.3)
- Risikobewertungsbericht (A 8.2)
- Überwachungs- und Messergebnisse (A 9.1)
- Richtlinie für Zugriffskontrolle (A 9.1.1)
- internes Audit-Programm und Ergebnisaufzeichnungen (A 9.2)
- Ergebnisse aus Managementbewertungen (A 9.3)
- Ergebnisse von Korrekturmaßnahmen (A 10.1)
- Richtlinie für die Verwendung von kryptographischen Algorithmen (A 10.1.1)
- Betriebsprozesse für das IT-Management (A 12.1.1)
- Aktivitätsprotokolle und deren regelmäßig Auswertung (A 12.4.1 und A 12.4.3)
- Prinzipien des sicheren Systembetriebs (A 14.2.5)
- Sicherheitsrichtlinie für Lieferanten (A 15.1.1)
- Sicherheitsvorfall Management (A 16.1.5)
- Verfahren für betriebliche Kontinuität (BCM) (A 17.1.2)
- Gesetzliche, behördliche und vertragliche Anforderungen (Abschnitt A 18.1.1)
