Die Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tems (ISMS) erfor­dert, dass zahl­rei­che Doku­men­ta­tio­nen und Nach­wei­se als soge­nann­te “doku­men­tier­te Infor­ma­tio­nen” vom CISO bzw. Infor­ma­ti­ons­si­cher­heits­ver­ant­wort­li­chen erstellt, gepflegt und ver­öf­fent­licht wer­den. Spe­zi­ell bei der Ein­füh­rung eines neu­en ISMS nach ISO 27001:2022 oder nach VDA ISA für eine TISAX® Zer­ti­fi­zie­rung suchen neue CIS­Os nach einer Lis­te der erfor­der­li­chen ISMS Dokumente.

In die­sem Betrag tei­len wir die SEC4YOU Lis­te der doku­men­tier­ten Infor­ma­tio­nen für ein ISMS nach ISO 27001:2022, das auch die Basis für TISAX®, DORA, NIS2 und ande­re Bran­chen­stan­dards bil­den kann. Die Doku­men­ten­lis­te ist bei zahl­rei­chen ISO 27001:2013 und 27001:2022 sowie TISAX® Zer­ti­fi­zie­run­gen nach VDA ISA 5 und VDA ISA 6 erprobt und bei allen unse­ren Kun­den im Einsatz.

Rund 40 ISMS Doku­men­te für eine ISO 27001 Zertifizierung

Je nach Grö­ße der Unter­neh­men kann die Lis­te erwei­tert oder ver­ein­facht wer­den, indem zusätz­li­che Richt­li­ni­en erstellt oder Doku­men­te zusam­men­ge­fasst werden.

Doku­ment
Kurz­be­schrei­bung oder Begründung
Eig­ner
Aktua­li­sie­rung
pas­sen­de Vorlage
ISMS-Betrieb
Info­Sec-Poli­tik
gemäß ISO 27001, Kapi­tel 5.2
Geschäfts­füh­rung
1 Jahr
Info­Sec Politik
ISMS-Hand­buch
gemäß ISO 27001 Kapi­tel 4–10
CISO
1 Jahr
ISMS-Hand­buch
Inter­es­sier­te Parteien
gemäß ISO 27001 Kapi­tel 4.2
CISO
1 Jahr
ISMS-Tool, Blatt Inter­es­sier­te Parteien
ISMS Chan­cen & Risiken
eine Bewer­tung der Risi­ken und Chan­cen für das ISMS selbst gemäß ISO 27001 Kapi­tel 6.1.1
CISO
1 Jahr
ISMS-Tool, Blatt Chancen&Risiken
Anwendbarkeitserklärung/SoA gemäß ISO 27001 Kapi­tel 6.1.3 d
eine Bewer­tung der Risi­ken und Chan­cen für das ISMS selbst gemäß ISO 27001 Kapi­tel 6.1.1
CISO
1 Jahr
ISMS-Tool, Blatt Chancen&Risiken
Risi­ko­ma­nage­ment Methode
gemäß ISO 27001 Kapi­tel 6.1.2
CISO
1 Jahr
Vor­la­ge Risiko-Management-Methode
Risi­ko-Assess­ment
gemäß ISO 27001 Kapi­tel 6.1.2
CISO
anlass­be­zo­gen, sonst 1 Jahr
ISMS-Tool, Blatt Risiko-Assessment
Audit­pro­gramm
gemäß ISO 27001 Kapi­tel 9.2
CISO
3 Jah­re
ISMS-Tool, Blatt Auditprogramm
Audit­pro­gramm: Auditplanung
gemäß ISO 27001 Kapi­tel 9.2
CISO
3 Jah­re
Vor­la­ge Auditprogramm/Planung
ISMS Maß­nah­men­lis­te
Maß­nah­men­ver­fol­gung, Ursa­chen­ana­ly­se und Wirk­sam­keits­prü­fung gemäß ISO 27001
CISO
tag­ak­tu­ell, Arbeitsdokument
ISMS-Tool, Blatt Auditprogramm
Doku­ment
Kurz­be­schrei­bung oder Begründung
Eig­ner
Aktua­li­sie­rung
pas­sen­de Vorlage
Richt­li­ni­en
Benut­ze­rIn­nen Richtlinie
gemäß ISO 27001, Anhang A 5.1
CISO
1 Jahr
Vor­la­ge BenutzerInnen-Richtlinie
Infor­ma­ti­ons­si­cher­heits-Richt­li­nie
gemäß ISO 27001, Anhang A 5.1, A 5.10, A 5.12, A 5.13
CISO
1 Jahr
Vor­la­ge Informationssicherheits-Richtlinie
Cloud-Frei­ga­ben
Lis­te der erlaub­ten und ver­bo­te­nen Cloud Diens­te gemäß ISO 27001, Anhang A 5.23
CISO
1 Jahr
Vor­la­ge Informationssicherheits-Richtlinie
Doku­ment
Kurz­be­schrei­bung oder Begründung
Eig­ner
Aktua­li­sie­rung
pas­sen­de Vorlage
Orga­ni­sa­to­ri­sche Maßnahmen
Pro­jekt­lis­te
Lis­te nach Info­Sec bewer­te­ter Pro­jek­te gemäß ISO 27001 Anhang A 5.8
CISO
tag­ak­tu­ell, Arbeitsdokument
ISMS-Tool, Blatt Projekte
Infor­ma­ti­ons­wer­te
Infor­ma­ti­ons­wer­te (Assets) grup­piert gemäß ISO 27001 Anhang A 5.9
CISO
1 Jahr
ISMS-Tool, Blatt Informationswerte
Sekun­där­as­sets
Sekun­där­as­sets (IT-Assets, Spei­cher­or­te, IT-Diens­te/­Cloud) grup­piert gemäß ISO 27001 Anhang A 5.9
CISO
1 Jahr
ISMS-Tool, Blatt Informationswerte
Lie­fe­ran­ten­be­wer­tung
gemäß ISO 27001 Anhang A 5.19 bis 5.22
Lei­ter-Ein­kauf
tag­ak­tu­ell, Arbeitsdokument
ISMS-Tool, Blatt Lieferanten
Cloud-Frei­ga­ben
Ver­öf­fent­li­chung der erlaub­ten Cloud-Diens­te gemäß ISO 27001 Anhang A 5.23
CISO
1 Jahr
ISMS-Tool, Blatt Cloud-Freigaben
IT-Not­fall­or­ga­ni­sa­ti­on, Notfallhandbuch
gemäß ISO 27001 Anhang A 5.30
IT-Lei­ter
1 Jahr
Vor­la­ge IT-Notfallorganisation
Doku­men­tier­te Betriebsverfahren
gemäß ISO 27001 Anhang A 5.37
IT-Lei­ter
tag­ak­tu­ell, Arbeitsdokument
indi­vi­du­el­les Doku­ment z.B. im Intra­net, Confluence
Per­so­nel­le Maßnahmen
Secu­ri­ty Awa­re­ness Schulungskonzept
Inhal­te des lfd. Jah­res für die Mit­ar­bei­ter­schu­lung gemäß ISO 27001 Anhang A 6.3
CISO
1 Jahr
Schu­lungs­prä­sen­ta­ti­on oder e‑Learning Tool
Info­Sec Schulungskalender
Plan über 3 Jah­re für Info­Sec Schu­lungs­maß­nah­men gemäß ISO 27001 Anhang A 6.3
CISO
3 Jah­re
ISMS-Tool, Blatt Schulungsprogramm
Phy­si­sche Maßnahmen
Gebäu­de Zonenplan
Gebäudeplan/Büroplan mit Kenn­zeich­nung der Zonen gemäß ISO 27001 Anhang A 7.1
Lei­ter-Faci­li­ty
1 Jahr
eige­nes Dokument
Tech­ni­sche Maßnahmen
Chan­ge-Manage­ment-Metho­de
Beschrei­bung der Metho­de zur Durch­füh­rung von Ände­run­gen an Sys­te­men und dem ISMS selbst gemäß ISO 27001 Anhang A 8.32
CISO
tag­ak­tu­ell, Arbeitsdokument
ISMS-Tool, Blatt Projekte
Kapa­zi­täts­pla­nung
gemäß ISO 27001 Anhang A 8.6
IT-Lei­ter
1 Jahr
ISMS-Tool, Blatt Kapazitäten
Kryp­to­gra­phie
Erhe­bung der Kryp­to­gra­phie­n­ut­zung gemäß ISO 27001 Anhang A 8.24
IT-Lei­ter
1 Jahr
ISMS-Tool, Blatt Kryptographie
Secu­re Coding Manu­al für Entwickler
Vor­ga­ben für Ent­wick­ler zur siche­ren Soft­ware­ent­wick­lung gemäß ISO 27001 Anhang A 8.27
IT-Lei­ter
1 Jahr
Vor­la­ge Secu­re Coding Manual
Doku­ment
Kurz­be­schrei­bung oder Begründung
Eig­ner
Aktua­li­sie­rung
pas­sen­de Vorlage
Vor­la­gen
Check­lis­te HR für Per­so­nal Ein- und Austritt
Berück­sich­ti­gung von Info­Sec bei Per­so­nal­ver­än­de­run­gen, u.a. Ver­pflich­tung NDA, Daten­schutz, Richt­li­ni­en gemäß ISO 27001 Anhang A 6.1
Lei­ter-HR
1 Jahr
eige­nes Dokument
Ver­trau­lich­keits­ver­ein­ba­rung MitarbeiterInnen
NDA Vor­la­ge für Mit­ar­bei­te­rIn­nen gemäß ISO 27001 Anhang A 6.6
Lei­ter-HR
1 Jahr
eige­nes Dokument
NDA für Firmen
NDA Vor­la­ge für exter­ne Fir­men gemäß ISO 27001 Anhang A 6.6
Lei­ter-Legal
1 Jahr
eige­nes Dokument
NDA für exter­ne Personen
NDA Vor­la­ge per­sön­lich für exter­ne Per­so­nen gemäß ISO 27001 Anhang A 6.6
Lei­ter-Legal
1 Jahr
eige­nes Dokument
Doku­ment
Kurz­be­schrei­bung oder Begründung
Eig­ner
Aktua­li­sie­rung
Quel­le
Refe­renz
ISO 27001:2022 Norm
Refe­renz­do­ku­ment der Norm für das Info­Sec Team
CISO
-
ISO.org
Doku­ment
Kurz­be­schrei­bung oder Begründung
Eig­ner
Aktua­li­sie­rung
Abla­ge
Nach­wei­se
Bestel­lung ISB/CISO
Bestel­lungs­ur­kun­de mit Über­tra­gung der Ver­ant­wor­tung gemäß ISO 27001 Kapi­tel 5.3
Geschäfts­füh­rung
bei ISB/CISO Wechsel
ISMS-Hand­buch
Cloud-Diens­te Freigabeprotokolle
Ein­zel­be­wer­tun­gen und Frei­ga­ben für Cloud-Diens­te gemäß ISO 27001 Anhang A 5.23
CISO
-
geschütz­tes Verzeichnis
Audit­be­rich­te intern, extern/CISO
Archiv der inter­nen Audit­be­rich­te, Zer­ti­fi­zie­rungs­au­dits, tech­ni­sche Audits, Pen­tests gemäß ISO 27001 Kapi­tel 9.2.2
CISO
-
geschütz­tes Verzeichnis
Log Datei­en Aufzeichnungen
Pro­to­kol­le der sicher­heits­re­le­van­ten Ereig­nis­se gemäß ISO 27001 Anhang A 8.15
IT-Lei­ter
-
Log-Ser­ver oder SIEM
Manage­ment-Reviews
Archiv der bis­he­ri­gen Manage­ment-Reviews und deren Mee­ting Pro­to­kol­le gemäß ISO 27001 Kapi­tel 9.3
CISO
-
geschütz­tes Verzeichnis

Wo soll man die Doku­men­te ver­wal­ten und speichern?

Die Doku­men­ta­tio­nen kön­nen im ein­fachs­ten Fall mit Word und Excel erstellt wer­den, jedoch ist eine stren­ge Doku­men­ten­len­kung mit Ver­si­on, Datum, Ände­rungs­his­to­rie, Doku­men­ten­eig­ner und Frei­ga­be­per­son erfor­der­lich. Micro­soft Teams Teams mit akti­ver Ver­sio­nie­rung eig­nen sich sehr gut für die Abla­ge der Bear­bei­tungs­do­ku­men­te, hin­ge­gen ist für die Ver­öf­fent­li­chung der frei­ge­ge­ben Doku­men­te eine PDF Ver­si­on empfohlen.

Atlas­si­an Kun­den kön­nen anstel­le von Micro­soft Word und Excel die Doku­men­te und Tabel­len die­se direkt in Con­fluence erstel­len und die ent­spre­chen­den Auf­ga­ben für die Umset­zung in Jira pla­nen. In die­ser Kon­stel­la­ti­on las­sen sich die ver­schie­de­nen Ver­sio­nen von Con­fluence-Doku­men­ten für die Ver­sio­nie­rung im ISMS ver­wen­den, wäh­rend ein Con­fluence-Work­flow für den Frei­ga­be­pro­zess im ISMS ein­ge­setzt wer­den kann.

Ver­ges­sen Sie nicht die Ver­öf­fent­li­chung aller rele­van­ter ISMS Doku­men­te an die jewei­li­ge Ziel­grup­pe. Ver­trau­li­che Doku­men­te wie das Risi­ko-Assess­ment ver­blei­ben im Zugriff nur durch den CISO und die Geschäftsleitung.

ISMS nach ISO 27001

Pas­sen­de Pro­duk­te aus dem SEC4YOU Shop