Ihre Richtlinien und Verfahren sind das Was und Wie des ISMS Ihres Unternehmens. Ihre Dokumentation ist der Nachweis, den Sie Ihrem Auditor vorlegen werden, um die Stärke Ihrer Sicherheitskontrollen zu beweisen.
Welche Art von ISO/IEC 27001 Konformitätsdokumentation wird für Ihre Prüfung benötigt?
Liste der Dokumentation des Informationssicherheitsmanagementsystems (ISMS)
Ein typisches ISO 27001 Zertifizierungsaudit erfordert Dokumentation für:
- Abschnitt 4.3: Geltungsbereich des ISMS
- Abschnitt 5.2: Informationssicherheitspolitik
- Abschnitt 5.5.1: Jegliche dokumentierte Informationen, die die Organisation als notwendig erachtet, um das ISMS zu unterstützen
- Abschnitt 6.1.2: Prozess/Methode zur Bewertung von Informationssicherheitsrisiken
- Abschnitt 6.1.3: Plan zur Behandlung von Informationssicherheitsrisiken und Erklärung zur Anwendbarkeit (SoA)
- Abschnitt 6.2: Informationssicherheitsziele
- Abschnitt 7.1.2 und 13.2.4: Definierte Sicherheitsrollen und -verantwortlichkeiten
- Abschnitt 7.2: Nachweis der Kompetenz
- Abschnitt 8.1: Anlageninventar, akzeptable Nutzung von Anlagen und Betriebsplanung
- Abschnitt 8.2 und 8.3: Ergebnisse der Bewertung von Informationssicherheitsrisiken und der Behandlung von Informationssicherheitsrisiken
- Abschnitt 9.1: Zugriffskontrollrichtlinie, Nachweis der Überwachung und Verfolgung von ISMS-Kennzahlen
- Abschnitt 9.2: Ein dokumentierter interner Auditprozess und abgeschlossene interne Auditberichte
- Abschnitt 9.3: Ergebnisse von Managementbewertungen
- Abschnitt 10.1: Nachweis von Nichterfüllungen und ergriffen Maßnahmen zur Korrektur
- Abschnitt 12.4: Benutzeraktivitäten, Ausnahmen und Protokolle zu Sicherheitsvorfällen
Liste der Dokumentation von Anhang A
Alle Klauseln in Anhang A sind für die ISO 27001-Konformität erforderlich und können eine erhebliche Menge an Dokumentation umfassen. Nachfolgend finden Sie einige Beispiele für Dokumente, die typischerweise für die ISO 27001-Zertifizierung erstellt werden:
- Abschnitt 6.2.1: Richtlinien für mobile Geräte, BYOD und Remote-Arbeit
- Abschnitt 7.5: Dokumentenkontrollprozess und Kontrollen zur Verwaltung von Aufzeichnungen
- Abschnitt 8.2.1: Richtlinie zur Informationsklassifikation
- Abschnitte 8.3 und 11.2: Richtlinie zur Datenspeicherung und -löschung
- Abschnitte 9.2, 9.3, 9.4: Passwortrichtlinie
- Abschnitt 11.1.5: Verfahren für Arbeiten in sicheren Bereichen
- Abschnitt 11.2: Richtlinien für saubere Schreibtische und saubere Bildschirme
- Abschnitte 12.1 und 14.2: Änderungsmanagementrichtlinie
- Abschnitt 12.3: Datensicherungsrichtlinie
- Abschnitt 13.2: Richtlinie zur Datenübertragung
- Abschnitt 14.2.5: Prinzipien für sichere Softwareentwicklung/-engineering
- Abschnitt 15.1.1: Sicherheitsrichtlinie für Lieferanten
- Abschnitt 16.1.5: Verfahren zum Vorfallmanagement
- Abschnitt 17.1: Verfahren für die Geschäftskontinuität
- Abschnitt 18.1.1: Gesetzliche, regulatorische und vertragliche Anforderungen
Vorbereitung von Dokumenten für Ihren Auditor
Eine gut organisierte Dokumentation erspart Kopfschmerzen und hilft Ihnen, Ihr Audit der Stufe 1 rechtzeitig abzuschließen. Die Überprüfung der Dokumentation ermöglicht es Ihrem Auditor, Ihre Systeme besser zu verstehen, bevor ein Audit der Stufe 2 beginnt.
Wenn Sie Dokumente für Ihr Audit sammeln, sollten Sie ein standardisiertes Berichtsformat in Betracht ziehen, das Folgendes umfasst:
- Der Grund, warum die Richtlinie oder das Verfahren erstellt wurde
- Die Abteilung, die für die Genehmigung, Implementierung und Aktualisierung der Richtlinie verantwortlich ist
- Die Genehmigungs- und Implementierungsdaten
- Die Systeme, Prozesse oder Anwendungen, die von der Richtlinie betroffen sind
- Verfolgung der Benutzerakzeptanz der Richtlinie
Ein einfacherer Weg, ISO 27001-Mandatorische Dokumente zu erstellen
Einer der mühsamsten Aspekte der ISO 27001-Compliance ist die Erstellung von Richtlinien und das Sammeln der erforderlichen Dokumentation. Wenn Sie sich auf Ihr Zertifizierungsaudit vorbereiten, müssen Sie wahrscheinlich Hunderte von Dokumenten erstellen, sammeln, mit den richtigen Kontrollen organisieren und auf dem neuesten Stand halten.
Secureframe vereinfacht und optimiert den gesamten Prozess der Vorbereitung und Aufrechterhaltung Ihrer ISO 27001-Zertifizierung. Wir helfen Ihnen, ein konformes ISMS aufzubauen, Ihren Tech-Stack auf Schwachstellen zu überwachen und Risiken zu managen. Vereinbaren Sie noch heute eine Demo, um mehr zu erfahren.