Deutsch
English 
日本語 
Português 
Falls Sie gehört haben, dass ISO 27001 viele Verfahren erfordert, so ist dies nicht ganz richtig. Die Norm fordert tatsächlich nur vier dokumentierte Verfahren: ein Verfahren für Dokumentenkontrolle, ein Verfahren für interne ISMS-Audits, ein Verfahren für Korrekturmaßnahmen sowie ein Verfahren für Vorbeugungsmaßnahmen. Der Begriff „dokumentiert“ bedeutet, dass es ein „festgelegtes, dokumentiertes, umgesetztes und instand gehaltenes Verfahren“ ist (ISO/IEC 27001, 4.3.1 Anmerkung 1).
Hinweis: In diesem Blog-Eintrag werde ich nicht über weitere verbindliche Unterlagen wie ISMS-Anwendungsbereich, ISMS-Leitlinie, Methodik der Risikoeinschätzung, Risikoeinschätzungsbericht, Erklärung zur Anwendbarkeit, Plan zur Risikobehandlung usw. schreiben – hier konzentriere ich mich nur auf Verfahren.
Mit dem Verfahren für die Dokumentenkontrolle (Verfahren für Dokumentenmanagement) sollte festgelegt werden, wer für die Genehmigung und Überprüfung der Dokumente verantwortlich ist, wie Änderungen und Versionsstatus markiert werden, wie die Dokumente verteilt werden usw. anders ausgedrückt: Dieses Verfahren sollte festlegen, wie der Kreislauf des Unternehmens (der Dokumentenfluss) funktioniert.
Das Verfahren für interne Audits muss Verantwortlichkeiten für die Planung und Durchführung von Audits definieren und festlegen, wie die Audit-Ergebnisse berichtet und wie die Aufzeichnungen aufbewahrt werden. Dies bedeutet, dass die wichtigsten Regeln für die Durchführung des Audits festgelegt werden müssen.
Das Verfahren für Korrekturmaßnahmen sollte festlegen, wie die Nichteinhaltung und ihre Ursache erkannt werden, wie die notwendigen Maßnahmen definiert und umgesetzt werden, welche Aufzeichnungen erfolgen und auf welche Weise die Überprüfung der Maßnahmen durchgeführt wird. Mit diesem Verfahren soll festgelegt werden, wie jede Korrekturmaßnahme die Ursache der Nichteinhaltung beseitigen sollte,, so dass diese nicht wieder auftritt.
Das Verfahren für die Vorbeugungsmaßnahme ist fast das gleiche wie bei der Korrekturmaßnahme, mit dem Unterschied, dass es auf die Beseitigung der Ursache einer Abweichung abzielt, so dass diese gar nicht erst auftritt. Aufgrund ihrer Ähnlichkeiten werden diese beiden Verfahren in der Regel in einem zusammengefasst.
Aber ist es nach ISO 27001 erforderlich, das Verfahren dokumentiert werden, die in keiner Beziehung zur Informationssicherheit stehen, während Sicherheitsverfahren nicht verbindlich sind?
Die Antwort liegt in der Risikoeinschätzung – nach ISO 27001 müssen Sie eine Risikoeinschätzung durchführen. Sollte diese Risikoeinschätzung gewisse unzulässige Risiken erkennen, so muss nach ISO 27001 eine Maßnahme aus ihrem Anhang A umgesetzt werden, um das Risiko bzw. die Risiken einzudämmen. Die Maßnahme kann technischer Art sein (z. B. Anti-Virus-Software, um das Risiko eines Angriffs durch schädliche Software abzuschwächen). Es kann aber auch organisatorischer Art sein – die Umsetzung einer Leitlinie oder eines Verfahrens (z. B. Einrichtung eines Back-up-Verfahrens). Daher sind die Verfahren nur dann zwingend, wenn die Risikoeinschätzung unzulässige Risiken erkennt.
Eine wichtige Anmerkung noch: Anders als die vier vorgeschriebenen Verfahren, die dokumentiert werden müssen, ist eine Dokumentierung der Verfahren gemäß den Maßnahmen in Anhang A nicht erforderlich. Es ist Sache des Unternehmens einzuschätzen, ob ein solches Verfahren dokumentiert werden soll oder nicht.
Man könnte die vier vorgeschriebenen Verfahren als Säulen Ihres Managementsystems (zusammen mit den Sicherheitsrichtlinien) erwägen – sobald sie fest im Boden verankert sind, können Sie mit dem Bau der Hauswände beginnen. Offensichtlich wird dies, wenn man sich andere Managementsysteme ansieht – auch dort sind die gleichen vier Verfahren obligatorisch – in ISO 9001 (Qualitätsmanagementsystemen), ISO 14001 (Umweltmanagementsystemen) und BS 25999 -2 (Systemen für betriebliches Kontinuitätsmanagement). Als Folge können Sie diese Verfahren als wichtigstes Bindeglied zwischen verschiedenen Managementsystemen nutzen, falls Sie das sogenannte „integrierte Managementsystem“ entwickeln wollen.
Sie können sich auch unser Video Tutorial How to Write ISO 27001/ISO 22301 Document Control Procedure ansehen (kommerzielles Video).
