Heimat der Akademie
Blogs
Die wichtigsten Dokumente im ISO 27001-Zertifizierungsaudit
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Die wichtigsten Dokumente im ISO 27001-Zertifizierungsaudit

ISO 27001-Sammlung
Die wichtigsten Dokumente im ISO 27001-Zertifizierungsaudit
NIS2-Sammlung
Die wichtigsten Dokumente im ISO 27001-Zertifizierungsaudit
Cyberday Blog
Die wichtigsten Dokumente im ISO 27001-Zertifizierungsaudit

Die Dokumentation ist zwar ein wesentlicher Bestandteil von ISO 27001, doch geht es bei der Norm im Wesentlichen um den Aufbau eines wirksamen, risikobasierten und auf das Unternehmen abgestimmten ISMS (Informationssicherheitsmanagementsystem).

Einige Organisationen betrachten ISO 27001 lediglich als eine Übung zum Ankreuzen, um ein Audit zu bestehen, und geben dem Papierkram Vorrang vor tatsächlichen Sicherheitsverbesserungen. Wenn Sie der Meinung sind, dass sich der Prozess zu sehr auf den Papierkram konzentriert, lohnt es sich, den Implementierungsansatz neu zu bewerten, um ihn praktischer und wirkungsvoller für Ihr Unternehmen zu gestalten.

Welche Rolle spielen Dokumente und Unterlagen im Zusammenhang mit ISO 27001?

Die Dokumentation ist nur ein Mechanismus, der die Konsistenz, Verantwortlichkeit und Überprüfbarkeit beim Aufbau des ISMS gewährleistet . Jeder kann sicherlich verstehen, warum es wichtig ist, Prozesse und Verfahren im Zusammenhang mit der Informationssicherheit schriftlich festzuhalten - und zwar nicht nur im Kopf des CISO oder eines anderen wichtigen Vertreters der Informationssicherheit.

Die Dokumentation ist auch unter mehreren anderen Gesichtspunkten wichtig:

  • Beweise liefern: Die Dokumentation liefert Beweise für die Einhaltung der Vorschriften und macht Ihre Informationssicherheit im Allgemeinen überprüfbar.
  • Verbessert die Konsistenz: Die Dokumentation sorgt für Konsistenz und Klarheit bei Ihrer Sicherheitsimplementierung.
  • Ermöglicht Rechenschaftspflicht: Die Dokumentation ermöglicht die Rechenschaftspflicht und erleichtert die Kommunikation in Bezug auf Ihre Informationssicherheit.

Sie brauchen hier keine Dokumentation im herkömmlichen Sinne zu sehen. Dokumentation kann z.B. auch aus Aufgaben und Vermögenswerten, ihren Beschreibungen und ihren Eigentümern innerhalb eines intelligenten ISMS-Systems bestehen. Wir reden hier nicht über schwer zu pflegende Word-Dokumente mit manuellen Versionsprotokollen. Der Schlüssel ist, dass die Dinge definiert sind.

In der ISO 27001-Norm sind jedoch einige Schlüsseldokumente definiert, die gesammelt werden und z. B. für den Auditor leicht zugänglich sein müssen. In diesem Blog stellen wir diese wichtigsten Dokumente für ein ISO 27001-Zertifizierungsaudit vor .

Welches sind die wichtigsten Dokumente bei der ISO 27001-Zertifizierungsprüfung?

In diesem Abschnitt werden die wichtigsten Dokumente der obersten Ebene bei der Umsetzung der ISO 27001-Norm aufgelistet und eine kurze Zusammenfassung ihres Zwecks und ihrer Bedeutung gegeben.

Erklärung zur Anwendbarkeit (SoA)

Was ist das?

  • Ein Dokument mit einer Auflistung aller Kontrollen der ISO 27002 und Details zum Status jeder Kontrolle (z.B. Ihr Implementierungsstatus der Kontrolle, kurze Beschreibung der Implementierung und Kontrollen, die als nicht anwendbar gelten).

Warum ist das wichtig?

  • SoA ist die zentrale Referenz für Ihr ISMS.
  • Schafft einen Überblick für Ihre Organisation, um den Fortschritt bei der Implementierung der ISO 27002-Kontrollen zu verfolgen.
  • Zeigt die Gründe Ihrer Organisation für die ausgewählten Kontrollen zur Erreichung der Sicherheitsziele auf.
  • Prüfer nehmen dies häufig unter die Lupe, um die Übereinstimmung mit Ihrer Risikobewertung und anderen Unterlagen zu überprüfen.
  • Das wichtigste Dokument während eines ISO 27001-Zertifizierungsaudits, da es sich auf die Umsetzung aller 93 ISO 27002-Kontrollen bezieht.

Die Anwendbarkeitserklärung (Statement of Applicability, SoA) in ISO 27001 ist ein eindeutig benanntes Dokument, auf das jedoch manchmal auch unter anderen Namen verwiesen wird (z. B. ISO 27001 Control Statement, Annex A Control Mapping oder ISO 27001 Control Applicability Statement). Während alternative Namen manchmal verwendet werden können, ist es entscheidend, den Hauptzweck des SoA beizubehalten, nämlich die anwendbaren Kontrollen zu identifizieren, ihre Einbeziehung oder ihren Ausschluss zu begründen und ihre Umsetzung zu beschreiben.

Beschreibung des ISMS Ihrer Organisation und dessen Umfang

Was ist das?

  • DiesesDokument muss dem Prüfer erklären, wie das ISMS der Organisation strukturiert, betrieben und überwacht wird. Es erklärt auch, welche Teile der Organisation das ISMS abdeckt, welche Schlüsselrollen damit verbunden sind, welche Art von Informationen mit dem ISMS verbunden ist und wie diese kontrolliert werden. Anhand dieses Dokuments weiß der Auditor, wie er die wichtigsten Informationen für das Zertifizierungsaudit finden kann.

Warum ist das wichtig?

  • Legt den Schwerpunktbereich für Ihre ISMS-Implementierung fest.
  • Hilft sicherzustellen, dass jeder (internes Team, Auditoren, Interessenvertreter) sich darüber im Klaren ist, was unter das ISMS fällt und welche Art von Inhalt damit verbunden ist.
  • Eine falsche Ausrichtung des Geltungsbereichs kann bei der Zertifizierung zu Nichtkonformitäten führen.

Organisatorische Informationssicherheitspolitik

Was ist das?

  • EinDokument auf hoher Ebene, das das Engagement Ihrer Organisation für die Informationssicherheit, die Einhaltung ausgewählter bewährter Praktiken und z. B. die Rolle der obersten Führungsebene bei der Gewährleistung der Einhaltung und der erforderlichen Unterstützung für die Arbeit beschreibt.

Warum ist das wichtig?

  • Gibt den Ton für das ISMS an und demonstriert die Unterstützung durch die oberste Leitung.
  • Informiert Mitarbeiter und Interessengruppen über die Bedeutung der Sicherheit.
  • Es muss für die Mitarbeiter kommuniziert werden und für andere Stakeholder zugänglich sein, daher enthalten die Unternehmen in der Regel nicht viele Details in diesem Dokument (es sollte auf der obersten Ebene bleiben).
  • Dies ist oft eines der ersten Dokumente, die die Prüfer sehen wollen.

Verfahren für das Risikomanagement

Was ist das?

  • ‍BeschreibtIhr Verfahren zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken. Im Grunde beschreibt dieses Dokument also Ihre Risikomanagementmethode.

Warum ist das wichtig?

  • Das Risikomanagement ist das Kernstück von ISO 27001.
  • Stellt sicher, dass Risiken auf der Grundlage der Risikobereitschaft Ihres Unternehmens konsequent identifiziert und gemindert werden.
  • Bildet die Grundlage für eine kontinuierliche Verbesserung aus risikobasierter Sicht, nachdem z.B. schon einmal eine Zertifizierung erreicht wurde.

Internes Auditverfahren

Was ist das?

  • ‍BeschreibtIhr Verfahren zur Durchführung interner Audits und zur Einhaltung eines Auditplans. Sie müssen in der Lage sein, die Ergebnisse eines internen Audits, das gemäß dem Verfahren durchgeführt wurde, vor dem Zertifizierungsaudit vorzulegen (sonst handelt es sich um eine schwerwiegende Nichtkonformität).

Warum ist das wichtig?

  • Interne Audits gewährleisten die laufende Einhaltung und Wirksamkeit des ISMS.
  • Nachweis der kontinuierlichen Verbesserung und der Vorbereitung auf Zertifizierungsaudits.
  • Hilft, Schwachstellen oder Lücken zu erkennen, bevor externe Prüfer dies tun.

Verfahren der Managementbewertung

Was ist das?

  • ‍BeschreibtIhr Verfahren zur Durchführung von Managementprüfungen. Dies ist eine der wichtigsten Möglichkeiten, wie die oberste Leitung Ihrer Organisation an der Informationssicherheit beteiligt wird. Sie müssen in der Lage sein, die Ergebnisse einer gemäß dem Verfahren durchgeführten Managementbewertung vor dem Zertifizierungsaudit vorzulegen (sonst handelt es sich um eine schwerwiegende Nichtkonformität).

Warum ist das wichtig?

  • Zeigt die aktive Beteiligung der Führungskräfte und ihr Engagement für das ISMS.
  • Stellt die Übereinstimmung mit der Unternehmensstrategie sicher und identifiziert verbesserungswürdige Bereiche.
  • Das Fehlen einer wirksamen Managementbewertung ist eine häufige Nichtkonformität bei Audits.

Jüngste Ergebnisse des internen Audits und der Managementbewertung

Was sind sie?

  • IhrPrüfer wird Sie bitten, die Ergebnisse des letzten internen Audits und der Managementbewertung vor dem Audit der Stufe 1 vorzulegen. Diese werden dem Prüfer zeigen, dass Sie die entsprechenden Verfahren umgesetzt haben und in der Lage sind, diese wichtigen ISMS-Überwachungsmaßnahmen durchzuführen.

Warum sind sie wichtig?

  • Interne Audits zeigen Lücken oder Schwachstellen auf, die korrigiert werden können, um das ISMS zu stärken - und somit eine kontinuierliche Verbesserung zu gewährleisten.
  • Die dokumentierten Ergebnisse dienen als Nachweis für interne Audits, eine Anforderung gemäß Abschnitt 9.2 der ISO 27001.
  • Die Überprüfung durch das Management stellt sicher, dass sich die oberste Führungsebene für die Informationssicherheit einsetzt und dass das ISMS weiterhin mit den Geschäftszielen, den gesetzlichen Änderungen und den sich entwickelnden Risiken in Einklang gebracht wird.
  • Zertifizierungsauditoren erwarten dokumentierte Managementprüfungsergebnisse als Nachweis für die Einhaltung von Abschnitt 9.3 der ISO 27001.

Verfahren zur Sensibilisierung des Personals

Was ist das?

  • Beschreibt Ihr Verfahren, mit dem Sie sicherstellen, dass Mitarbeiter, Auftragnehmer und relevante Dritte über ihre Aufgaben und Verantwortlichkeiten bei der Aufrechterhaltung der Informationssicherheit informiert sind. Dieses Dokument sollte z. B. beschreiben, wie Sie Ihre Mitarbeiter schulen, ihnen Richtlinien für sicheres Arbeiten an die Hand geben und sicherstellen, dass sie sich zur Einhaltung der Richtlinien verpflichten.

Warum ist das wichtig?

  • Eine Hauptanforderung der ISO 27001 ist es, sicherzustellen, dass sich die Mitarbeiter ihrer Verantwortung in Bezug auf die Informationssicherheit bewusst sind (7.3 und z.B. Kontrolle A.7.2.2).
  • Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette, so dass eine Sensibilisierung Bedrohungen wie Phishing, Social Engineering oder den falschen Umgang mit sensiblen Daten verringern kann.
  • Ein solides Sensibilisierungsprogramm spiegelt ein unternehmensweites Engagement für die Sicherheit wider, das für die ISO-Zertifizierung unerlässlich ist.

Themenbezogene Politiken zum Nachweis der Durchführung von Kontrollen nach Anhang A

Die Verwendung von themenbasierten Sicherheitsrichtlinien ist eine eigene Entscheidung in Ihrem Unternehmen.

Sie werden in ISO 27001 nicht ausdrücklich als gemeinsam nutzbare Dokumente erwähnt. Entscheidend ist, dass Sie die Durchführung der entsprechenden Kontrollen klar definieren.

Einige Organisationen werden jedoch beschließen, themenbezogene Sicherheitsrichtlinien zu erstellen , z. B. für die folgenden beliebten Themen:

  • Richtlinie für die Zugangsverwaltung: Legt fest, wie der Zugang zu Systemen und Daten verwaltet und eingeschränkt wird.
  • Passwort-Richtlinie: Legt die Anforderungen an die Komplexität, die Gültigkeitsdauer und die Handhabung von Passwörtern fest.
  • Richtlinie zur akzeptablen Nutzung: Umreißt die zulässige Nutzung von Unternehmensressourcen (z. B. Internet, E-Mail).
  • Richtlinie zur Reaktion auf Zwischenfälle: Bietet ein schrittweises Verfahren zur Identifizierung, Verwaltung und Lösung von Vorfällen.
  • Datenschutzpolitik: Gewährleistet die Einhaltung der Datenschutzgesetze und den Schutz sensibler Informationen.
  • Richtlinie zur Fernarbeit: Enthält Sicherheitsmaßnahmen für Mitarbeiter, die außerhalb des Unternehmens arbeiten.
  • Sicherheitsrichtlinien für Lieferanten: Verwaltung von Risiken im Zusammenhang mit externen Anbietern und Partnern.Warum gibt es Richtlinien?

Sie sollten themenbezogene Sicherheitsrichtliniendokumente als Werkzeuge für einen einfacheren Informationsaustausch und eine leichtere Überprüfung des Inhalts betrachten. Die tatsächliche Delegation und Überwachung der implementierten Schutzmaßnahmen (ob technologisch, organisatorisch oder personell), auf die in den Strategiedokumenten Bezug genommen wird, erfolgt viel besser in einem intelligenten ISMS-Tool - nicht in einem Textdokument.

Die wichtigsten Erkenntnisse in Bezug auf ISO 27001 und die wichtigsten Dokumente

Bei ISO 27001 geht es nicht um die Erstellung von Dokumenten um der Dokumentation willen. Es geht darum, diese Dokumente zu nutzen, um ein funktionales, risikoorientiertes ISMS aufzubauen, das die Informationswerte Ihrer Organisation schützt und die Geschäftsziele unterstützt. Ja, die Dokumente sind notwendig, aber sie sind Hilfsmittel und nicht das Ziel.

  • Zusammenhängende Dokumente bilden die Grundlage des ISMS: Die wichtigsten Dokumente - wie die Anwendbarkeitserklärung (Statement of Applicability, SoA), das Risikomanagementverfahren, der Geltungsbereich des ISMS, das interne Audit, die Managementbewertung und die Informationssicherheitspolitik - bilden zusammen das Rückgrat Ihres ISMS. Jedes Dokument dient einem bestimmten Zweck, indem es z. B. festlegt, wie ein ordnungsgemäßes Informationssicherheitsmanagement aufrechterhalten wird, wie Kontrollen durchgeführt werden oder wie eine kontinuierliche Verbesserung erreicht wird.
  • Konzentrieren Sie sich auf das, was Sie definieren, nicht auf das Dokument selbst: Die Dokumente sind Werkzeuge, die Ihnen helfen, Ihre Sicherheitsziele, -prozesse und -entscheidungen zu umreißen. Aber der eigentliche Schwerpunkt liegt auf dem, was Sie in diesen Dokumenten definieren und wie Sie es in der Praxis anwenden. Es geht nicht darum, perfekte Papiere zu erstellen, sondern darum, das, was Sie dokumentieren, in die Praxis umzusetzen.
  • Auditoren interessieren sich für die Umsetzung: Bei ISO 27001-Audits geht es nicht nur darum, das Vorhandensein von Dokumenten zu prüfen, sondern auch darum, sicherzustellen, dass Ihre Organisation gemäß den dokumentierten Definitionen arbeitet. Aus diesem Grund ist die Anpassung Ihres ISMS an Ihre tatsächlichen Praktiken entscheidend.

Einige Organisationen tappen immer noch in die Falle, der Zertifizierung als Ziel zu viel Bedeutung beizumessen und ISO 27001 als dokumentationslastige Checkbox-Übung zu behandeln. Dieser Ansatz führt oft zu Frustration und dem Gefühl, dass der Prozess übermäßig bürokratisch ist, was vom tatsächlichen Wert des ISMS ablenkt.

Wenn ISO 27001 effektiv umgesetzt wird, wird der Papierkram zu einem natürlichen Bestandteil Ihres Informationssicherheitsprogramms, das darauf ausgerichtet ist, die Sicherheitslage Ihrer Organisation zu stärken und das Vertrauen der Beteiligten zu fördern.

Geschrieben von
Aleksi Pulkkanen
30.1.2025
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

ISMS-Einführung: Vergleich von Dokumenten, Wikis, ISMS-Tools und GRC

Für den Aufbau eines ISMS gibt es verschiedene Ansätze. In diesem Beitrag vergleichen wir diese verschiedenen Methoden und helfen Ihnen zu verstehen, welche für die Anforderungen Ihrer Organisation an das Sicherheitsmanagement am besten geeignet sein könnte.
6.3.2025

Was ist die Erklärung zur Anwendbarkeit (SoA) in ISO 27001?

In diesem Blog werden wir den Hauptzweck und die Vorteile eines gut funktionierenden Statement of Applicability-Dokuments behandeln. Wir erklären auch, warum SoA wichtig ist und welche 4 Schlüsselrollen es bei der Arbeit im Bereich der Informationssicherheit spielen kann.
4.3.2025

Warum ist die Einhaltung von ISO 27001 heute wichtiger denn je?

Jahr für Jahr ist die ISO 27001-Norm einer der wichtigsten Standards für die Informationssicherheit geblieben. Die weltweite Norm ist nach wie vor relevant, aber woher stammt ISO 27001? Und warum wird sie immer beliebter?
27.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit