ISO 27001 Dokumentenvorlagen
Die ISO 27001 Zertifizierung benötigt eine Sammlung von Dokumenten. Es gibt im Internet eine Reihe von Vorlagen zum Kauf. Wir haben unsere eigenen ISO 27001 Vorlagen im Einsatz, damit wir schneller und günstiger ein individuelles IS-Managementkonzept erstellen können. Der ISO/IEC 27001 Standard hat ein umfangreiches Katalog mit den Pflichtdokumenten und den optionalen Dokumenten, die beim Audit vorgelegt werden müssen. Alle paar Jahre wird der ISO 27001 Standard modernisiert. Dabei fallen Dokumente weg, andere werden erweitert oder durch zusätzliche Dokumente ergänzt.
Sehen Sie sich hier unser kurzes Video zum Thema der ISO 27001 Vorlage an:
Was muss eine ISO27001 Vorlage in 2024 enthalten?
Wie Sie bereits dem Video entnehmen konnten, benötigt eine ISO27001 Vorlage eine reiche von Dokumenten. Mit der Umstellung vom ISO27001:2013 Standard auf den ISO27001:2022 haben sich ein paar signifikante Änderungen ergeben:
Was muss dokumentiert werden | ISO 27001 Abschnitte | Enthalten in folgenden Dokumenten |
Anwendungsbereich des ISMS | Abschnitt 4.3 | ISMS Projekt Dokument |
IT Sicherheitsleitlinien | Abschnitt 5.2 | Informationssicherheitsleitlinie und Zielvorgaben |
Methodik zur Risikoeinschätzung und –behandlung | Abschnitt 6.1.2 | Methodik zur Risikoeinschätzung und –behandlung |
Erklärung zur Anwendbarkeit | Abschnitt 6.1.3 d) | Erklärung zur Anwendbarkeit |
Plan zur Risikobehandlung | Abschnitt 6.1.3 e, 6.2, und 8.3 | Risiko Management Plan |
Ziele der IT Sicherheit | Abschnitt 6.2 | Liste der Sicherheitsziele |
Risiko Bewertung und Umgang | Abschnitt 8.2 und 8.3 | Bericht zur Risikoeinschätzung und Risikobehandlung |
Inventar der Werte | Kontrolle A.5.9* | Inventar der Werte |
Zulässige Nutzung der Werte | Kontrolle A.5.10* | IT Sicherheitsrichtlinie |
Umgang mit Sicherheitsvorfällen | Kontrolle A.5.26* | Incident Management Vorgehensweise |
Gesetzliche, regulatorische und vertragliche Vorschriften | Kontrolle A.5.31* | Liste der gesetzlichen, regulatorischen und vertraglichen Vorschriften |
Sicherheitsverfahren für das IT Management | Kontrolle A.5.37* | Sicherheitsvorgaben der IT Abteilung |
Definition der Sicherheitsrollen und –verantwortlichkeiten | Kontrolle A.6.2 und A.6.6* | Vereinbarungen, Vertraulichkeitserklärungen und andere Verantwortlichkeiten in jeder Richtlinie und Verfahrensbeschreibung |
Definition der Sicherheitsvorgaben | Kontrolle A.8.9* | Sicherheitsrichtlinien in der IT Abteilung |
Sicherheitsrichtlinien in der Entwicklung | Kontrolle A.8.27* | Sicherheitsrichtlinien in der Entwicklung |
Die Liste muss laufend ergänzt und an die jeweilige Branche angepasst werden. Daher aktualisieren wir in regelmäßigen Abständen unsere branchenspezifischen Vorlagen des ISMS Managementsystems zum ISO27001 Standard.
Folglich ist es nicht sinnvoll wegen veralteter oder unvollständiger Vorlagen eine Zertifizierungsrunde erneut teuer durchlaufen zu müssen, weil der Auditor alle Dokumente abgelehnt hat.
Wir möchten unseren Kunden durch die kontinuierliche Verbesserung der Vorlagen und Checklisten ein qualitatives Regelwerk zeitsparend zu bezahlbaren Kosten bereitstellen.
Wie individualisiert man das ISO27001 ISMS?
Über die allgemeinen Dokumente hinaus, fordert das ISO27001:2022 Standard, dass bestimmte Dokumente unternehmensspezifisch auch die aktive Umsetzung der ISMS Vorgaben im betrieblichen Alltag nachweisen. Ein dicker A4 Ordner voller Dokumente reicht nicht aus, um die tatsächlich betriebene Informationssicherheit nachzuweisen.
Folgende Dokumente werden häufig ebenfalls als aktiven Nachweis angefragt bzw. erwartet:
Pflichtdokumentation | ISO 27001 Abschnitte | Hier zu dokumentieren |
Fachkundenachweise | Abschnitt 7.2 | Weiterbildungszertifikate, Nachweise und Lebensläufe |
Überwachung und Messergebnisse | Abschnitt 9.1 | Messbericht |
Internes Audit Programm | Abschnitt 9.2 | Internes Audit Programm |
Ergebnisse interner Prüfungen | Abschnitt 9.2 | Interner Prüfungsbericht |
Ergebnisse aus Beurteilung seitens der Geschäftsleitung | Abschnitt 9.3 | Protokoll der Sitzung ihrer Geschäftsleitung |
Ergebnisse der Korrekturmaßnahmen | Abschnitt 10.2 | Dokument zur Durchführung von Korrekturmaßnahmen |
Protokolle der Nutzertätigkeit, Warnungen und außergewöhnlichen Vorfälle | Kontrolle A.8.15* | Automatische Systemprotokolle |
Helfen kostenlose ISO 27001 Mustervorlagen?
Sie fragen sicherlich ob, man ein ISMS mit Hilfe von „ISO 27001 kostenlose Muster Vorlagen“ erstellen kann. Diese Mustervorlagen stellen nur einen kleinen Bruchteil aller relevanten Dokumente dar. Sie helfen sicherlich dabei eine bessere Vorstellung davon zu bekommen, was die Norm ISO IEC 27001 von zertifizierten Unternehmen erwartet.
Ohne ein wirklich funktionierendes Informationssicherheits-Managementsystem (ISMS) wird eine Zertifizierung nicht den Compliance Richtlinien der Akkreditierungsstellen entsprechen. Was die meisten Geschäftsinhaber und Geschäftsführer übersehen, ist dass 80% standardisiertes Regelwerk darstellen. Die übrigen 20% erfordern jedoch explizites IT Fachwissen. Anhand des im Regelwerk fehlenden IT Fachwissens kann ein Auditor erkennen, dass die zu zertifizierende Organisation nicht die erforderlichen Anforderungen erfüllt hat.
Die DIN ISO IEC 27001 erwartet nicht von kleinen Unternehmen (KMU) dass sie Informatikexperten beschäftigen. Viele Unternehmen lassen spezifische IT Themen von einem vertrauten IT-Systemhaus betreuen. Einfache Handgriffe erledigen sie meist selbst durch einen EDV talentierten Mitarbeiter. Damit die Dokumentation für das Unternehmensaudit möglichst wenig Kosten produziert, arbeiten wir auch zusammen mit dem vertrauten IT Systemhaus zusammen.
Aufgrund unserer Expertise in KMU, Holding und Konzernlandschaften, können wir auch bei komplexeren Themen den Dienstleister helfen, die regulatorischen Anforderungen zu erfüllen. Das schafft auch beim EDV Dienstleister neue Potentiale für Neugeschäft. Die betriebliche EDV Landschaft verändert sich zunehmend durch die digitale Transformation im Handel und Behörden. Bereits jetzt helfen wir IT Systemhäusern im Rahmen unseres Partnerprogramms bei der Umsetzung der ISO27001 Norm in den Betrieben derer Kunden.
Dadurch nehmen wir den zu zertifizierenden Unternehmen viel Arbeitsbelastung ab, die sonst mit der Umformulierung von kostenlosen Mustervorlagen, die meist unvollständig den aktuellen Standard entsprechen. Wir erwarten von unseren Geschäftskunden nicht, das sie nun 6 Monate lang eine ISO27001 Grundlagenschulung durchnehmen, um die ISMS-Dokumentation anzupassen.
Unsere Experten übernehmen die Anpassung für Sie zu deutlich geringeren Kosten. Dadurch können Sie sogar schon binnen 4 Wochen ein ISO 27001 Zertifikat erwerben. Eine kostenlose Mustervorlage wird nur ihre Zeit und Budget verschwenden.
Kann ich eine Risikoanalyse mit Hilfe einer Vorlage erstellen?
Die Risikoanalyse ist ein schwieriger Arbeitspaket bei der Erstellung einer ISMS Dokumentation. Wer blind nach einer Vorlage arbeitet riskiert den Bereich Risiko Management komplett falsch umzusetzen. Dabei sollten eigentlich Vorlagen einem viel Vorarbeit ersparen. Leider zeigt die Praxis, dass solche ISMS Dokumentationen nicht das Zertifizierungsaudit überstehen. Fortfolgernd, sollten Sie sich vielleicht eine andere Vorgehensweise überlegen, um die Risikoeinschätzung besser umzusetzen.
Wie bereitet man sich mit einer ISO 27001 Vorlage auf das Audit?
Jedes Unternehmen hat sein ganz eigenes Geschäftsmodell. Das ISO 27001 basierende ISMS muss zu den Anforderungen des Betriebsabläufe und der gesetzlichen Vorschriften passen. Daher ist eine gute Vorbereitung trotz Vorlage existenziell wichtig. Was man aber nicht tun darf, ist es eine ISO 9001 Vorlage auf Informationssicherheit umzuformulieren.
Häufige Fragen zu Dokumentenvorlagen der ISO27001 Zertifizierung
Die ISO/IEC 27001 Zertifizierung fordert, dass wir den normativen Hauptteil der ISO 27001 erfüllen. Die Anforderungen lassen sich wie folgt zusammenfassen:
- Kontext der Organisation
- Führung und Verpflichtung
- Planung
- Unterstützung
- Betrieb
- Bewertung der Leistung
- Verbesserung
- Kontrollen (Angang 1)
Das Zertifikat gilt maximal 3 Jahre und muss dann durch ein Rezertifizierungsaudit verlängert werden.
Das Rezertifizierungsaudit überprüft, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin bestehen.
Die Kosten für eine Zertifizierung nach ISO 27001 kann man bei kleinen Unternehmen (KMU) in kaum komplexen Industriezweigen recht gut definieren. Hier kostet das Audit und die Ausstellung des Zertifikats zusammen ca. 1.500-3.000 EUR.
Schwieriger verhält es sich bei Unternehmen mit komplexen Abläufen und zunehmender Unternehmensgröße.
Hier kostet das sehr aufwendige Audit deutlich mehr, da die Risiken deutlich höher sind. Hier erfolgen oft auch zusätzliche technische IT Audits (z.B., Pen-Test, Software Quellcode Audit). Diese sind meist erforderlich, da diese Unternehmen das ISO27001 benötigen, Aufgrund der Vorschriften des Gesetzgebers oder des Hauptversicherers des betroffenen Unternehmens.
Daher kann die Zertifizierung großer Kapitalgesellschaften schnell über ca. 15.000 EUR kosten.