ISO 27001: Welche Dokumentation erfordert die Zertifizierung?

ISMS

Die ISO 27001-Zertifizierung ist eine der wichtigsten Standards beim Sicherstellen eines nachhaltigen Informationssicherheits-Management-Systems (ISMS). Ein komplexer Anforderungskatalog, der den Zertifizierungsprozess sehr aufwendig macht, schreckt viele Unternehmen jedoch immer noch ab.

Viele Verantwortliche fürchten die von der Norm vorgesetzten Dokumentationsanforderungen. Dass vielen von ihnen nicht klar ist, welche Dokumentation die Zertifizierung erfordert, liegt nicht zuletzt an teilweise indirekt formulierten Anforderungen sowie Falschannahmen.

Was fordert der Standard nun wirklich?

Betrachtet man die entsprechenden Anforderungen aus ISO 27001 (7.5.1), stellt man Folgendes fest: 

  • Erforderlich sind die von ISO 27001 direkt geforderten dokumentierten Informationen. Diesen Punkt könnte man auch formale Dokumentationsanforderung nennen.
  • Erforderlich ist die dokumentierte Information, die das betreffende Unternehmen selbst als notwendig für die Wirksamkeit des eigenen ISMS bestimmt hat. Diesen Punkt könnte man kurz als unternehmenseigene Anforderungen bezeichnen.

Obwohl sehr weitläufig und unkonkret formuliert, wird doch eines deutlich: Neben der verpflichtenden formalen Dokumentation, die der Standard direkt fordert – das sind etwa der Scope (4.3) oder auch die Informationssicherheitspolitik (5.2.e) – können und müssen Unternehmen selbst bestimmen, welche Dokumentation für sie notwendig ist, damit ihr ISMS funktioniert. Anders als vielleicht zunächst angenommen, geht es also nicht um das Erfüllen von starren Dokumentationsvorgaben, sondern um individuelle Entscheidungen, die jedes Unternehmen selbst trifft.

Was ist mit „dokumentierter Information“ gemeint?

Üblicherweise erstellen und sprechen wir im Zuge von ISMS-Implementierungen sehr viel über klassische Dokumente im herkömmlichen Sinne. Das sind beispielsweise Policies oder auch Prozessbeschreibungen. Dies ist aber längst nicht ausreichend, um die dokumentierte Information gänzlich abzudecken. Mit dokumentierter Information wird nämlich jegliche Information verstanden, die im Unternehmen gelenkt und aufrechterhalten werden muss. Diese ist nicht auf die üblichen Office-Applikationen wie Word und Excel beschränkt, sondern kann überall erstellt und gespeichert werden – unabhängig vom Medium und auch auf Papier. Somit zählen zu dokumentierten Informationen neben klassischen Policies z.B. auch Videoaufzeichnungen, Besucherprotokolle, Incident Logs, NDAs, Strafregisterauszüge, Verträge, Organigramme, Personalakten, Nachweise für die sichere Entsorgung/Zerstörung/Löschung von Medien, Logfiles, Informationen über Updates und eventuell auch Taxirechnungen. 

Die richtige Frage

Der Standard gibt jedem Unternehmen die Freiheit und die Möglichkeit, selbst zu bestimmen, was dokumentiert werden muss. Dementsprechend ist die initiale Frage – Wie viel Dokumentation erfordert die Zertifizierung wirklich? – vielleicht nicht optimal und bedarf einer Umformulierung:

Wie viel Dokumentation ist erforderlich, um ein wirksames ISMS zu betreiben?

Diese Frage verdeutlicht, worum es geht: ein effektives, auf das Unternehmen zugeschnittenes Informationssicherheits-Management-System vorweisen zu können. Sobald dies (unter Einhaltung der formalen Anforderungen) gelingt, wird jedes Unternehmen das Zertifizierungsaudit ohne Probleme bestehen.

Wie dies funktioniert, zeigt folgendes Beispiel:

  1. Stellen Sie sich vor, Sie schreiben eine Policy für Sicherheitsbereiche in Ihrem Unternehmen. Diese speziellen Bereiche haben den Sinn, eine geschützte Umgebung für ein sicheres Arbeiten sicherzustellen. Somit muss etwa der Zutritt zu solchen Räumlichkeiten strikt geregelt werden bzw. müssen die Namen der Besucher*innen protokolliert werden.

  2. Für jede Anforderung überlegen Sie sich, ob Sie eine dokumentierte Information benötigen, um die Erfüllung zu ermöglichen bzw. zu unterstützen. Falls nein, dann fordern Sie auch keine.

  3. Falls ja, fordern Sie, dass diese Information in dokumentierter Form vorliegen muss. Das heißt, damit Sie wissen und nachvollziehen können, ob Besucher*innen im Sicherheitsbereich empfangen worden sind, muss deren Anwesenheit in einem Besucher*innenprotokoll (= dokumentierte Information) festgehalten werden. Oder, damit Sie nachvollziehen können, wer den Sicherheitsbereich betreten hat, muss eine Aufzeichnung der Zutritte (= dokumentierte Informationen) vorhanden sein.

  4. Dokumentieren Sie die dokumentierte Information im letzten Kapitel der Policy. Dieses letzte Kapitel nennen Sie „Aufzeichnungen“ und kann beispielsweise folgendermaßen aussehen:

Bezeichnung Typ Aufbewahrungsort Verantwortlich Aufbewahrungsfrist
Besucher*innenprotokoll Papier Archiv Facility Manager 3 Jahre
Aufzeichnungen der Zutrittskontrolle Digital Server für Zutrittskontrolle Facility Manager 3 Jahre

Mit Hilfe dieser Aufstellung erleichtern Sie auch dem/der Auditor*in den Job. Denn anstatt sich durch die Policy kämpfen zu müssen, um selbst herauszufinden, welche Dokumentationen vorhanden sein sollten, muss er/sie nun nur noch diese Aufzeichnungen auf Vorhandensein und Vollständigkeit überprüfen.

Eine übersichtliche und standardisierte Dokumentation aller Prozesse und Regelungen ist die Basis eines gelungenen ISMS. Dabei muss man verstehen, dass jedes Unternehmen selbst festlegen kann und muss, welche Informationen notwendigerweise dokumentiert werden sollen, und darf gleichzeitig nicht aus den Augen verlieren, dass die Dokumentation nicht der Zweck, sondern das Mittel ist. Ziel jeglicher Dokumentation ist es, Prozesse und Verfahren und damit letztlich die Informationssicherheit zu optimieren.

Mehr zum Thema

Über den Autor

[Translate to German:]
Amir Salkic
SEC Consult
Principal Security Consultant

Amir ist studierter Informatiker mit über 13 Jahren Berufserfahrung und zugelassener NIS-Prüfer. Er verantwortet den Bereich „Information Security Management“ und berät nationale sowie internationale Unternehmen rund um das Thema organisatorische Informationssicherheit. Gemeinsam mit seinem Team hat er bereits über 350 Projekte in mehr als 20 Ländern auf drei Kontinenten für verschiedene Branchen und unterschiedliche Unternehmensgrößen umgesetzt.