ISO 27001 definiert eine klare Liste von Pflichtdokumenten. Ohne diese Unterlagen ist eine Zertifizierung nicht möglich. Dieser Artikel erklärt alle Pflichtdokumente und gibt praktische Hinweise zur Erstellung.
Welche Dokumente sind für ISO 27001 zwingend erforderlich
Pflichtdokumente (aus ISO 27001 Kap. 4–10): Scope-Dokument, IS-Leitlinie, Risikobeurteilungsmethodik und -ergebnisse, Risikobehandlungsplan, Statement of Applicability, IS-Ziele, Nachweise Kompetenz und Schulung, Kommunikationsnachweise, Ergebnisse Überwachung/Messung, Internes Auditprogramm + Berichte, Management-Review-Protokoll, Korrekturmaßnahmen-Nachweise.
Wie umfangreich muss die ISO-27001-Dokumentation sein
ISO 27001 schreibt keine Seitenzahl vor. Ein KMU mit 30 Mitarbeitern und engem Scope kann mit 15–25 Dokumenten auskommen. Ein Konzern mit 10.000 MA benötigt deutlich mehr. Prinzip: so viel wie nötig, so wenig wie möglich. Lebende Dokumente die tatsächlich genutzt werden sind besser als umfangreiche Dokumentenfriedhöfe.
Was ist der Unterschied zwischen dokumentierten Informationen und Aufzeichnungen
ISO 27001 unterscheidet: Dokumentierte Informationen (maintained): aktive Dokumente die gepflegt werden (Richtlinien, Prozesse). Aufzeichnungen (retained): Nachweise vergangener Aktivitäten (Audit-Berichte, Schulungsnachweise, Vorfallsprotokolle). Beide benötigen Kontrolle: Version, Freigabe, Verteilung, Archivierung.
Wie organisiert man die Dokumentenlenkung
Dokumentenlenkung nach ISO 27001 Kap. 7.5: Erstellung und Aktualisierung (Versionsnummern, Datum, Autor), Freigabeprozess (wer genehmigt?), Verfügbarkeit (wer bekommt Zugang?), Schutz (Verhinderung unbeabsichtigter Änderungen), Aufbewahrungsfristen, Vernichtung. Ein einfaches Dokumentenmanagement-System oder SharePoint reicht für KMU.
Welche Annex-A-Controls erfordern zusätzliche Dokumentation
Controls mit Dokumentationspflicht (Auswahl): A.5.1 Informationssicherheitsleitlinien, A.5.9 Inventar der Informationswerte, A.5.14 Informationsübermittlung, A.5.23 Informationssicherheit bei Lieferanten, A.8.8 Management technischer Schwachstellen. Vollständige Liste in der SoA erfassen und für jedes Control prüfen ob Dokumentation gefordert.
✓ Checkliste: Welche Dokumente werden für ISO 27001 benötigt?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Welche Dokumente werden für ISO 27001 benötigt? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Pflichtdokumente (aus ISO 27001 Kap. 4–10): Scope-Dokument, IS-Leitlinie, Risikobeurteilungsmethodik und -ergebnisse, Risikobehandlungsplan, Statement of Applicability, IS-Ziele, Nachweise Kompetenz und Schulung, Kommunikationsnachweise, Ergebnisse Überwachung/Messung, Internes Auditprogramm + Berichte, Management-Review-Protokoll, Korrekturmaßnahmen-Nachweise.
ISO 27001 schreibt keine Seitenzahl vor. Ein KMU mit 30 Mitarbeitern und engem Scope kann mit 15–25 Dokumenten auskommen. Ein Konzern mit 10.000 MA benötigt deutlich mehr. Prinzip: so viel wie nötig, so wenig wie möglich. Lebende Dokumente die tatsächlich genutzt werden sind besser als umfangreiche Dokumentenfriedhöfe.
ISO 27001 unterscheidet: Dokumentierte Informationen (maintained): aktive Dokumente die gepflegt werden (Richtlinien, Prozesse). Aufzeichnungen (retained): Nachweise vergangener Aktivitäten (Audit-Berichte, Schulungsnachweise, Vorfallsprotokolle). Beide benötigen Kontrolle: Version, Freigabe, Verteilung, Archivierung.
Dokumentenlenkung nach ISO 27001 Kap. 7.5: Erstellung und Aktualisierung (Versionsnummern, Datum, Autor), Freigabeprozess (wer genehmigt?), Verfügbarkeit (wer bekommt Zugang?), Schutz (Verhinderung unbeabsichtigter Änderungen), Aufbewahrungsfristen, Vernichtung. Ein einfaches Dokumentenmanagement-System oder SharePoint reicht für KMU.
Controls mit Dokumentationspflicht (Auswahl): A.5.1 Informationssicherheitsleitlinien, A.5.9 Inventar der Informationswerte, A.5.14 Informationsübermittlung, A.5.23 Informationssicherheit bei Lieferanten, A.8.8 Management technischer Schwachstellen. Vollständige Liste in der SoA erfassen und für jedes Control prüfen ob Dokumentation gefordert.