Dokumentierte Information
Anforderungen (Klauseln 4–10)
Was ist „dokumentierte Information"?
Die Fassung 2022 spricht nicht mehr von „Dokumenten" und „Aufzeichnungen", sondern einheitlich von dokumentierter Information. Gemeint sind zwei Arten:
| Art | Frage | Beispiele |
|---|---|---|
| Dokumente | Wie machen wir es? | Politik, Richtlinien, Verfahren, SoA |
| Aufzeichnungen (Nachweise) | Was haben wir getan? | Audit-Berichte, Logs, Schulungsnachweise |
Pflichtdokumente (Beispiele)
An mehreren Stellen verlangt die Norm ausdrücklich dokumentierte Information. Die wichtigsten:
- der Anwendungsbereich (4.3);
- die Informationssicherheitspolitik (5.2) und die Sicherheitsziele (6.2);
- der Prozess und die Ergebnisse der Risikobeurteilung und -behandlung (6.1);
- die Erklärung zur Anwendbarkeit (SoA) (6.1.3);
- Nachweise zu Kompetenz, Überwachung, Audits, Management-Reviews und Korrekturmaßnahmen.
7.5.2 Erstellen und Aktualisieren
Beim Erstellen/Ändern muss auf Kennzeichnung (Titel, Datum, Autor, Version), Format und angemessene Prüfung/Freigabe geachtet werden. Eine klare Versionierung verhindert, dass jemand nach einer veralteten Richtlinie arbeitet.
7.5.3 Lenkung dokumentierter Information
Dokumentierte Information muss gelenkt werden, damit sie dort verfügbar und geschützt ist, wo man sie braucht. Die Norm nennt u. a.:
- Verteilung, Zugriff, Abruf, Nutzung – wer darf was sehen?
- Speicherung & Erhaltung – Lesbarkeit über die Zeit;
- Änderungssteuerung – Versionskontrolle;
- Aufbewahrung & Entsorgung – wie lange, dann sicher löschen.
Achtung: Auch externe dokumentierte Information (z. B. Verträge, Hersteller-Doku), die für das ISMS nötig ist, muss gelenkt werden.
So viel wie nötig, so wenig wie möglich
Die Norm schreibt keinen Mindestumfang vor. Der Umfang darf je nach Größe und Komplexität der Organisation variieren. Ziel ist nicht ein Papierberg, sondern dass Wissen nachvollziehbar, aktuell und auffindbar ist.
Was ist der Unterschied zwischen einem „Dokument" und einer „Aufzeichnung"?