Ein ISMS nach ISO 27001 erfordert eine Reihe von Pflichtdokumenten. Ohne diese Dokumentation ist eine Zertifizierung nicht möglich. Dieser Artikel listet alle Pflichtdokumente und erklärt deren Zweck.
Welche Dokumente schreibt ISO 27001 zwingend vor
ISO 27001 fordert explizit: Geltungsbereich (Scope), Informationssicherheitsleitlinie, Risikobeurteilungsmethodik, Risikobehandlungsplan, Statement of Applicability (SoA), IS-Ziele und Pläne zur Erreichung, Nachweise über Kompetenz, Ergebnisse aus Überwachung und Messung, Internes Auditprogramm und Auditberichte, Ergebnisse des Management-Reviews, Nachweise über Korrekturmaßnahmen.
Was ist die Statement of Applicability
Die SoA ist das zentrale Kontrolldokument des ISMS. Sie listet alle 93 Controls aus ISO 27001 Annex A und dokumentiert für jedes: anwendbar ja/nein, Begründung bei Nicht-Anwendbarkeit, Umsetzungsstatus. Die SoA ist Pflichtdokument für jede ISO-27001-Zertifizierung und wird im Stage-1-Audit detailliert geprüft.
Was ist die Informationssicherheitsleitlinie
Die IS-Leitlinie (auch IS-Policy) ist das übergeordnete Strategiedokument. Inhalt: Commitment der Geschäftsleitung, IS-Ziele, Rahmenbedingungen, Verantwortlichkeiten, Verbindlichkeit. Muss von der Geschäftsleitung unterzeichnet sein. Länge: 1–3 Seiten. Regelmäßig überprüfen und bei Bedarf aktualisieren.
Was enthält ein Risikobehandlungsplan
Der Risikobehandlungsplan dokumentiert für jedes identifizierte Risiko: gewählte Behandlungsoption (Mindern/Vermeiden/Übertragen/Akzeptieren), konkrete Maßnahmen, Verantwortlicher, Fälligkeitsdatum, Umsetzungsstatus, erwarteter Restwert. Muss vom Management genehmigt werden. Basis für die operative Umsetzung des ISMS.
Welche zusätzlichen Dokumente sind empfehlenswert
Best-Practice-Dokumente (nicht ISO-Pflicht aber praxisrelevant): Asset-Inventar, Klassifizierungsschema für Informationen, Zugriffsrechtekonzept, Passwortrichtlinie, BYOD-Richtlinie, Homeoffice-Richtlinie, Incident-Response-Plan, Business Continuity Plan, Awareness-Schulungsplan, Lieferantenbewertungsmatrix, Patch-Management-Richtlinie.
Wie organisiert man die ISMS-Dokumentation
Dokumentenstruktur: 3-Ebenen-Modell bewährt. Ebene 1: Leitlinien (strategisch, GF-Ebene). Ebene 2: Richtlinien und Prozesse (taktisch, Abteilungsleiter). Ebene 3: Arbeitsanweisungen und Formulare (operativ, Mitarbeiter). Versionskontrolle, Freigabeprozess und Verteilerliste für alle Dokumente definieren.
✓ Checkliste: Welche Dokumente gehören zu einem ISMS?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Welche Dokumente gehören zu einem ISMS? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
ISO 27001 fordert explizit: Geltungsbereich (Scope), Informationssicherheitsleitlinie, Risikobeurteilungsmethodik, Risikobehandlungsplan, Statement of Applicability (SoA), IS-Ziele und Pläne zur Erreichung, Nachweise über Kompetenz, Ergebnisse aus Überwachung und Messung, Internes Auditprogramm und Auditberichte, Ergebnisse des Management-Reviews, Nachweise über Korrekturmaßnahmen.
Die SoA ist das zentrale Kontrolldokument des ISMS. Sie listet alle 93 Controls aus ISO 27001 Annex A und dokumentiert für jedes: anwendbar ja/nein, Begründung bei Nicht-Anwendbarkeit, Umsetzungsstatus. Die SoA ist Pflichtdokument für jede ISO-27001-Zertifizierung und wird im Stage-1-Audit detailliert geprüft.
Die IS-Leitlinie (auch IS-Policy) ist das übergeordnete Strategiedokument. Inhalt: Commitment der Geschäftsleitung, IS-Ziele, Rahmenbedingungen, Verantwortlichkeiten, Verbindlichkeit. Muss von der Geschäftsleitung unterzeichnet sein. Länge: 1–3 Seiten. Regelmäßig überprüfen und bei Bedarf aktualisieren.
Der Risikobehandlungsplan dokumentiert für jedes identifizierte Risiko: gewählte Behandlungsoption (Mindern/Vermeiden/Übertragen/Akzeptieren), konkrete Maßnahmen, Verantwortlicher, Fälligkeitsdatum, Umsetzungsstatus, erwarteter Restwert. Muss vom Management genehmigt werden. Basis für die operative Umsetzung des ISMS.
Best-Practice-Dokumente (nicht ISO-Pflicht aber praxisrelevant): Asset-Inventar, Klassifizierungsschema für Informationen, Zugriffsrechtekonzept, Passwortrichtlinie, BYOD-Richtlinie, Homeoffice-Richtlinie, Incident-Response-Plan, Business Continuity Plan, Awareness-Schulungsplan, Lieferantenbewertungsmatrix, Patch-Management-Richtlinie.
Dokumentenstruktur: 3-Ebenen-Modell bewährt. Ebene 1: Leitlinien (strategisch, GF-Ebene). Ebene 2: Richtlinien und Prozesse (taktisch, Abteilungsleiter). Ebene 3: Arbeitsanweisungen und Formulare (operativ, Mitarbeiter). Versionskontrolle, Freigabeprozess und Verteilerliste für alle Dokumente definieren.