(nach ISO/IEC 27001:2022)

Dokumentierte Informationen sind ein zentrales Element des Informationssicherheitsmanagementsystems (ISMS). Sie dienen dazu, Anforderungen festzuhalten, Prozesse zu steuern, Nachweise zu erbringen und die Wirksamkeit des ISMS nachvollziehbar darzustellen. Diese Klausel stellt sicher, dass alle erforderlichen dokumentierten Informationen identifiziert, bereitgestellt und aufrechterhalten werden.

Zweck der Klausel

Klausel 7.5.1 soll gewährleisten, dass die Organisation alle dokumentierten Informationen bestimmt, die für die Wirksamkeit des ISMS erforderlich sind. Ziel ist es, Transparenz, Nachvollziehbarkeit und Auditfähigkeit des ISMS sicherzustellen.

Anforderungen und Maßnahmen

1. Bestimmung erforderlicher dokumentierter Informationen

Die Organisation muss festlegen, welche dokumentierten Informationen erforderlich sind, insbesondere:

• Dokumente, die durch die ISO/IEC 27001 gefordert werden
• Dokumente, die die Organisation selbst für notwendig hält
• Nachweise zur Umsetzung und Wirksamkeit des ISMS
• Dokumente zur Steuerung von Prozessen und Maßnahmen

Der Umfang muss angemessen und risikobasiert sein.

2. Berücksichtigung normativer Anforderungen

Die dokumentierten Informationen müssen die Anforderungen der Norm erfüllen, zum Beispiel:

• Informationssicherheitspolitik
• Risikobewertungs- und Risikobehandlungsverfahren
• Erklärung zur Anwendbarkeit (SoA)
• Informationssicherheitsziele
• Audit- und Managementbewertungsnachweise

Normative Vorgaben dürfen nicht fehlen.

3. Angemessenheit und Zweckmäßigkeit

Dokumentierte Informationen müssen zweckmäßig sein:

• verständlich und eindeutig
• an die Organisation angepasst
• nicht unnötig komplex oder umfangreich
• geeignet zur Unterstützung der Prozesse

Über- oder Unterdokumentation ist zu vermeiden.

4. Unterstützung der Prozesssteuerung

Dokumentierte Informationen müssen Prozesse unterstützen:

• klare Beschreibung von Abläufen
• Festlegung von Verantwortlichkeiten
• Vorgaben für Umsetzung und Kontrolle
• Unterstützung bei Schulung und Einarbeitung

Dokumente sind ein Steuerungsinstrument.

5. Unterstützung der Nachweisführung

Dokumentierte Informationen dienen als Nachweise:

• für interne und externe Audits
• gegenüber Kunden oder Behörden
• für Managementbewertungen
• für die kontinuierliche Verbesserung

Nachweise müssen belastbar sein.

6. Integration in bestehende Dokumentationsstrukturen

Die Dokumentation des ISMS sollte integriert sein:

• Nutzung bestehender Dokumentationssysteme
• Abstimmung mit anderen Managementsystemen
• einheitliche Struktur und Benennung
• klare Versionierung und Ablage

Integration erhöht Effizienz und Akzeptanz.

7. Zugänglichkeit und Verfügbarkeit

Dokumentierte Informationen müssen verfügbar sein:

• für berechtigte Personen
• in aktueller Version
• zum richtigen Zeitpunkt
• in geeigneter Form

Nur verfügbare Dokumente sind wirksam.

8. Regelmäßige Überprüfung des Dokumentationsumfangs

Der Umfang der dokumentierten Informationen muss regelmäßig überprüft werden:

• bei Änderungen von Prozessen oder Risiken
• bei neuen normativen Anforderungen
• bei Auditergebnissen
• zur Optimierung der Dokumentation

So bleibt die Dokumentation aktuell und angemessen.

Zusammenfassung

Klausel 7.5.1 fordert, dass Organisationen die für das Informationssicherheitsmanagementsystem erforderlichen dokumentierten Informationen bestimmen und bereitstellen. Durch eine angemessene, zweckmäßige und integrierte Dokumentation wird sichergestellt, dass das ISMS wirksam gesteuert, überprüft und kontinuierlich verbessert werden kann. Diese Klausel bildet die Grundlage für Transparenz, Nachvollziehbarkeit und Auditfähigkeit des ISMS nach ISO/IEC 27001:2022.