(nach ISO/IEC 27001:2022)

Dokumentierte Informationen müssen nicht nur vorhanden sein, sondern auch korrekt, aktuell und geeignet, um das Informationssicherheitsmanagementsystem (ISMS) wirksam zu unterstützen. Fehlerhafte, veraltete oder unklare Dokumente können zu Fehlentscheidungen, ineffektiven Maßnahmen oder Auditabweichungen führen. Diese Klausel stellt sicher, dass dokumentierte Informationen systematisch erstellt, geprüft und aktuell gehalten werden.

Zweck der Klausel

Klausel 7.5.2 soll gewährleisten, dass dokumentierte Informationen in geeigneter Form erstellt und bei Bedarf aktualisiert werden. Ziel ist es, die Qualität, Konsistenz und Verlässlichkeit der ISMS-Dokumentation sicherzustellen.

Anforderungen und Maßnahmen

1. Festlegung von Anforderungen an dokumentierte Informationen

Bei der Erstellung dokumentierter Informationen müssen Anforderungen definiert werden, insbesondere:

• Titel und eindeutige Identifikation
• Zweck und Geltungsbereich
• Verantwortlichkeiten
• Versionierung und Datum

Dies schafft Klarheit und Einheitlichkeit.

2. Geeignete Formate und Medien

Dokumentierte Informationen müssen in geeigneter Form vorliegen:

• digitale oder physische Dokumente
• standardisierte Vorlagen
• lesbare und verständliche Darstellung
• geeignete Sprache und Terminologie

Das Format muss zur Nutzung passen.

3. Überprüfung und Freigabe vor Verwendung

Dokumentierte Informationen müssen vor der Nutzung geprüft und freigegeben werden:

• fachliche und inhaltliche Prüfung
• Sicherstellung der Normkonformität
• formale Freigabe durch autorisierte Personen
• Dokumentation der Freigabe

Nur freigegebene Dokumente dürfen verwendet werden.

4. Sicherstellung der Aktualität

Dokumentierte Informationen müssen aktuell gehalten werden:

• regelmäßige Überprüfung
• Aktualisierung bei Änderungen von Prozessen, Risiken oder Anforderungen
• Berücksichtigung von Audit- oder Vorfallerkenntnissen
• zeitnahe Anpassung bei Abweichungen

Aktualität ist entscheidend für Wirksamkeit.

5. Nachvollziehbarkeit von Änderungen

Änderungen an dokumentierten Informationen müssen nachvollziehbar sein:

• Versionsstände und Änderungsverlauf
• Beschreibung der Änderungen
• Datum der Änderung
• verantwortliche Personen

Dies unterstützt Transparenz und Auditfähigkeit.

6. Sicherstellung der Konsistenz

Dokumentierte Informationen müssen konsistent sein:

• Abstimmung zwischen Richtlinien, Verfahren und Nachweisen
• Vermeidung widersprüchlicher Aussagen
• Einheitliche Begriffe und Definitionen
• Konsistenz mit anderen Managementsystemen

Konsistenz erhöht Verständlichkeit.

7. Berücksichtigung relevanter Anforderungen

Bei Erstellung und Aktualisierung müssen relevante Anforderungen berücksichtigt werden:

• normative Anforderungen der ISO/IEC 27001
• rechtliche und regulatorische Vorgaben
• vertragliche Verpflichtungen
• organisatorische Rahmenbedingungen

So wird Konformität sichergestellt.

8. Dokumentation und Nachweisführung

Die Erstellung und Aktualisierung dokumentierter Informationen muss nachvollziehbar sein:

• Freigabe- und Prüfprotokolle
• Versionshistorien
• Archivierung vorheriger Versionen
• Nachweise über Überprüfungen

Diese Nachweise sind auditrelevant.

Zusammenfassung

Klausel 7.5.2 fordert, dass dokumentierte Informationen systematisch erstellt, geprüft, freigegeben und aktuell gehalten werden. Durch klare Anforderungen an Form, Inhalt, Freigabe und Aktualisierung wird sichergestellt, dass die ISMS-Dokumentation zuverlässig, konsistent und wirksam ist. Diese Klausel bildet eine zentrale Grundlage für die Qualität und Auditfähigkeit des Informationssicherheitsmanagementsystems nach ISO/IEC 27001:2022.