Der wichtigste Aspekt eines Informationssicherheitsmanagementsystems ist die Dokumentation. Wie die Pflichtdokumentation aussieht und was sie beinhaltet, schauen wir uns heute an.
Anwendungsbereich des ISMS
Die Dokumentation über den Anwendungsbereich beinhaltet die Bedingungen für ein ISMS. Es beschäftigt sich mit den externen und internen Themen und wie sie auf des ISMS wirken, sowie mit den interessierten Parteien und ihren Anforderungen an das ISMS. Der wichtigste Teil beinhaltet den Geltungsbereich, in dem das ISMS wirkt.
Informationssicherheitsleitlinie
Die Informationsleitlinie hat zwei Aufgaben. Zum einen soll es die Leitlinien der Informationssicherheit im Unternehmen verbreiten, aber auch sicherstellen, dass die oberste Führung die Einführung eines ISMS unterstützt.
Die Inhalte strecken sich über folgende Themen, die Zielsetzung, den Stellenwert der Informationssicherheit und die Sicherheitsziele. Zudem sollte die Führung Grundsätze der Informationssicherheit und einen Risikomanagementansatz festlegen. Informationen über die Wirksamkeit der Informationssicherheit (KPIs), Maßnahmenziele, die Organisation der Informationssicherheit, sowie über den Lebenszyklus runden das Dokument ab.
Risikomanagementmethode
In der Risikomanagementmethode wird der Risikobeurteilungsprozess und der Risikobehandlungsprozess beschrieben. Daraus ergibt sich anschließend ein Risikobehandlungsplan.
Schulungskonzept
Ein Schulungskonzept oder Awarenessplan hat das Ziel sicherheitsrelevante Informationen zu verbreiten, ein positives Bewusstsein zu erzeugen und die Befolgung sicherheitsrelevanter Richtlinien zu fördern. Dafür werden Zielgruppen, Medien, Kommunikationsinhalte und ein Zeitplan festgelegt.
Managementbewertung
In einer regelmäßigen Bewertung des ISMS-Managers und der obersten Führung wird die Eignung, Angemessenheit und Wirksamkeit des Informationssicherheitsmanagements sichergestellt.
Inhalt der Besprechung und Dokumentation ist der Status der Maßnahmen vorheriger Managementbewertungen, die letzten Auditergebnisse, die Ergebnisse aus dem Risikomanagement und die Maßnahmen der Risikobehandlung, die Auswertung der Kennzahlen, evtl. Rückmeldungen von interessierten Parteien und die Bewertung des ISMS-Managers und der Geschäftsführung zum Stand des ISMS.
Kennzahlenkonzept
Kennzahlen sollen zuverlässige Informationen über Risiken, Informationssicherheit und das implementierte ISMS bieten. Diese Dokument beschriebt, wie Kennzahlen erhoben und ausgewertet werden, um den aktuellen Informationssicherheitsgrad greifbar und darstellbar zu machen. Zusätzlich zeigen sie eventuellen Handlungsbedarf auf.
Anwendbarkeitserklärung (SOA)
In diesem Dokument wird erklärt, welche der 114 Controls angewendet werden. Dabei ist ine Begründung der Anwendbarkeit oder Nichtanwendbarkeit unerlässlich.
Bestellungsurkunde und Kompetenznachweise
Für den ISMS-Manager oder ISB ist eine Bestellungsurkunde und ein Kompetenznachweis über die ISO Norm 27001 notwendig.
Dokumente der festgelegten Controls und Nachweise zur korrekten Ausführung der ISMS-Prozesse
Die Norm beinhaltet 114 Controls, je nach dem welche Controls vom Unternehmen ausgewählt wurden, sind für diese Controls die jeweiligen Dokumentationen und deren Nachweise zur korrekten Ausführung erforderlich.
Wenn Du mehr über Dokumentation im ISMS erfahren möchtest, nimm gerne Kontakt mit mir auf.
