(nach ISO/IEC 27001:2022)

Dokumentierte Informationen müssen nicht nur erstellt und aktuell gehalten, sondern auch wirksam gesteuert werden. Eine unzureichende Lenkung kann dazu führen, dass falsche, veraltete oder unbefugte Informationen verwendet werden, was die Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS) beeinträchtigt. Diese Klausel stellt sicher, dass dokumentierte Informationen geschützt, verfügbar und kontrolliert genutzt werden.

Zweck der Klausel

Klausel 7.5.3 soll gewährleisten, dass dokumentierte Informationen angemessen gelenkt werden, um deren Verfügbarkeit, Vertraulichkeit, Integrität und Nachvollziehbarkeit sicherzustellen. Ziel ist es, die zuverlässige Nutzung der ISMS-Dokumentation zu ermöglichen und Risiken durch Fehl- oder Missbrauch von Dokumenten zu vermeiden.

Anforderungen und Maßnahmen

1. Sicherstellung von Verfügbarkeit und Zugriff

Dokumentierte Informationen müssen verfügbar sein:

• für berechtigte Personen
• am vorgesehenen Einsatzort
• in der jeweils gültigen Version
• in geeigneter Form und Sprache

Der Zugriff muss bedarfsgerecht geregelt sein.

2. Schutz dokumentierter Informationen

Dokumentierte Informationen müssen geschützt werden, insbesondere vor:

• unbefugtem Zugriff
• unbeabsichtigter Änderung
• Verlust oder Zerstörung
• unzulässiger Offenlegung

Geeignete technische und organisatorische Maßnahmen sind umzusetzen.

3. Zugriffsbeschränkungen und Berechtigungen

Der Zugriff auf dokumentierte Informationen muss geregelt sein:

• Definition von Zugriffsrechten
• rollenbasierte Berechtigungen
• regelmäßige Überprüfung der Zugriffe
• Entzug von Rechten bei Änderungen

Dies schützt sensible Inhalte.

4. Lenkung externer dokumentierter Informationen

Externe dokumentierte Informationen müssen ebenfalls gesteuert werden:

• Gesetze, Normen und Richtlinien
• Verträge und Vereinbarungen
• externe Vorgaben oder Berichte

Die Relevanz, Aktualität und Verfügbarkeit müssen sichergestellt sein.

5. Vermeidung unbeabsichtigter Nutzung veralteter Informationen

Es muss sichergestellt werden, dass:

• veraltete Dokumente eindeutig gekennzeichnet sind
• ungültige Versionen entfernt oder gesperrt werden
• Mitarbeitende nur aktuelle Informationen nutzen
• historische Versionen nur zu Nachweiszwecken verfügbar sind

Dies verhindert Fehlanwendungen.

6. Aufbewahrung und Archivierung

Dokumentierte Informationen müssen geregelt aufbewahrt werden:

• Festlegung von Aufbewahrungsfristen
• sichere Archivierung
• Schutz archivierter Dokumente
• Berücksichtigung rechtlicher Anforderungen

Die Aufbewahrung muss nachvollziehbar sein.

7. Lenkung von Änderungen und Versionen

Die Steuerung von Versionen muss sichergestellt sein:

• eindeutige Versionskennzeichnung
• Dokumentation von Änderungen
• Nachvollziehbarkeit des Änderungsverlaufs
• Kontrolle der Verteilung neuer Versionen

Versionierung ist zentral für Transparenz.

8. Dokumentation und Überprüfung der Steuerung

Die Steuerung dokumentierter Informationen muss dokumentiert und überprüft werden:

• Dokumentenlenkungsverfahren
• Nachweise über Zugriffs- und Änderungsrechte
• Überprüfung im Rahmen interner Audits
• Anpassung bei Änderungen oder Feststellungen

So bleibt die Dokumentenlenkung wirksam.

Zusammenfassung

Klausel 7.5.3 fordert, dass Organisationen dokumentierte Informationen wirksam steuern. Durch klare Regelungen zur Verfügbarkeit, zum Schutz, zu Zugriffsrechten, Versionierung, Archivierung und Nutzung externer Dokumente wird sichergestellt, dass die ISMS-Dokumentation zuverlässig, sicher und auditfähig ist. Diese Klausel bildet die Grundlage für eine kontrollierte und vertrauenswürdige Dokumentation im Informationssicherheitsmanagementsystem nach ISO/IEC 27001:2022.