ISO 27001 Dokumentenvorlagen

Die ISO 27001 Zertifizierung benötigt eine Sammlung von Dokumenten. Es gibt im Internet eine Reihe von Vorlagen zum Kauf. Wir haben unsere eigenen ISO 27001 Vorlagen im Einsatz, damit wir schneller und günstiger ein individuelles IS-Managementkonzept erstellen können. Der ISO/IEC 27001 Standard hat ein umfangreiches Katalog mit den Pflichtdokumenten und den optionalen Dokumenten, die beim Audit vorgelegt werden müssen. Alle paar Jahre wird der ISO 27001 Standard modernisiert. Dabei fallen Dokumente weg, andere werden erweitert oder durch zusätzliche Dokumente ergänzt.

 

Sehen Sie sich hier unser kurzes Video zum Thema der ISO 27001 Vorlage an:

 

Was muss eine ISO27001 Vorlage in 2024 enthalten?

Wie Sie bereits dem Video entnehmen konnten, benötigt eine ISO27001 Vorlage eine reiche von Dokumenten. Mit der Umstellung vom ISO27001:2013 Standard auf den ISO27001:2022 haben sich ein paar signifikante Änderungen ergeben:

Was muss dokumentiert werdenISO 27001 AbschnitteEnthalten in folgenden Dokumenten
Anwendungsbereich des ISMSAbschnitt 4.3ISMS Projekt Dokument
IT SicherheitsleitlinienAbschnitt 5.2Informationssicherheitsleitlinie und Zielvorgaben
Methodik zur Risikoeinschätzung und –behandlungAbschnitt 6.1.2Methodik zur Risikoeinschätzung und –behandlung
Erklärung zur AnwendbarkeitAbschnitt 6.1.3 d)Erklärung zur Anwendbarkeit
Plan zur RisikobehandlungAbschnitt 6.1.3 e, 6.2, und 8.3Risiko Management Plan
Ziele der IT SicherheitAbschnitt 6.2Liste der Sicherheitsziele
Risiko Bewertung und UmgangAbschnitt 8.2 und 8.3Bericht zur Risikoeinschätzung und Risikobehandlung
Inventar der WerteKontrolle A.5.9*Inventar der Werte
Zulässige Nutzung der WerteKontrolle A.5.10*IT Sicherheitsrichtlinie
Umgang mit SicherheitsvorfällenKontrolle A.5.26*Incident Management Vorgehensweise
Gesetzliche, regulatorische und vertragliche VorschriftenKontrolle A.5.31*Liste der gesetzlichen, regulatorischen und vertraglichen Vorschriften
Sicherheitsverfahren für das IT ManagementKontrolle A.5.37*Sicherheitsvorgaben der IT Abteilung
Definition der Sicherheitsrollen und –verantwortlichkeitenKontrolle A.6.2 und A.6.6*Vereinbarungen, Vertraulichkeitserklärungen und andere Verantwortlichkeiten in jeder Richtlinie und Verfahrensbeschreibung
Definition der SicherheitsvorgabenKontrolle A.8.9*Sicherheitsrichtlinien in der IT Abteilung
Sicherheitsrichtlinien in der EntwicklungKontrolle A.8.27*Sicherheitsrichtlinien in der Entwicklung
Wo ist das in der DSGVO oder dem ISO 27001 Standard geregelt? Rechtstexte können verwirren

Die Liste muss laufend ergänzt und an die jeweilige Branche angepasst werden. Daher aktualisieren wir in regelmäßigen Abständen unsere branchenspezifischen Vorlagen des ISMS Managementsystems zum ISO27001 Standard.

Folglich ist es nicht sinnvoll wegen veralteter oder unvollständiger Vorlagen eine Zertifizierungsrunde erneut teuer durchlaufen zu müssen, weil der Auditor alle Dokumente abgelehnt hat.

Wir möchten unseren Kunden durch die kontinuierliche Verbesserung der Vorlagen und Checklisten ein qualitatives Regelwerk zeitsparend zu bezahlbaren Kosten bereitstellen.

Wie individualisiert man das ISO27001 ISMS?

Über die allgemeinen Dokumente hinaus, fordert das ISO27001:2022 Standard, dass bestimmte Dokumente unternehmensspezifisch auch die aktive Umsetzung der ISMS Vorgaben im betrieblichen Alltag nachweisen. Ein dicker A4 Ordner voller Dokumente reicht nicht aus, um die tatsächlich betriebene Informationssicherheit nachzuweisen. 

Folgende Dokumente werden häufig ebenfalls als aktiven Nachweis angefragt bzw. erwartet:

PflichtdokumentationISO 27001 AbschnitteHier zu dokumentieren
FachkundenachweiseAbschnitt 7.2Weiterbildungszertifikate, Nachweise und Lebensläufe
Überwachung und MessergebnisseAbschnitt 9.1Messbericht
Internes Audit ProgrammAbschnitt 9.2Internes Audit Programm
Ergebnisse interner PrüfungenAbschnitt 9.2Interner Prüfungsbericht
Ergebnisse aus Beurteilung seitens der  GeschäftsleitungAbschnitt 9.3Protokoll der Sitzung ihrer Geschäftsleitung
Ergebnisse der KorrekturmaßnahmenAbschnitt 10.2Dokument zur Durchführung von Korrekturmaßnahmen
Protokolle der Nutzertätigkeit, Warnungen und außergewöhnlichen VorfälleKontrolle A.8.15*Automatische Systemprotokolle
Die hier als Beispiele angegebenen Dokumente treffen nicht immer für jedes Unternehmen zu. Ein Autohändler hat andere Anforderungen zu erwarten als etwa ein Bildungsträger oder IT Systemhaus. In manchen Unternehmen nutzen Mitarbeiter mobile Geräte ihres Arbeitgebers, um bei Außenterminen ihre Kunden optimal zu beraten. die dort erfassten personenbezogenen Daten sind durch entsprechende Sicherheitsrichtlinien (BYOD) zu schützen.

Helfen kostenlose ISO 27001 Mustervorlagen?

Sie fragen sicherlich ob, man ein ISMS mit Hilfe von „ISO 27001 kostenlose Muster Vorlagen“ erstellen kann. Diese Mustervorlagen stellen nur einen kleinen Bruchteil aller relevanten Dokumente dar. Sie helfen sicherlich dabei eine bessere Vorstellung davon zu bekommen, was die Norm ISO IEC 27001 von zertifizierten Unternehmen erwartet.

Ohne ein wirklich funktionierendes Informationssicherheits-Managementsystem (ISMS) wird eine Zertifizierung nicht den Compliance Richtlinien der Akkreditierungsstellen entsprechen. Was die meisten Geschäftsinhaber und Geschäftsführer übersehen, ist dass 80% standardisiertes Regelwerk darstellen. Die übrigen 20% erfordern jedoch explizites IT Fachwissen. Anhand des im Regelwerk fehlenden IT Fachwissens kann ein Auditor erkennen, dass die zu zertifizierende Organisation nicht die erforderlichen Anforderungen erfüllt hat.

Die DIN ISO IEC 27001 erwartet nicht von kleinen Unternehmen (KMU) dass sie Informatikexperten beschäftigen. Viele Unternehmen lassen spezifische IT Themen von einem vertrauten IT-Systemhaus betreuen. Einfache Handgriffe erledigen sie meist selbst durch einen EDV talentierten Mitarbeiter. Damit die Dokumentation für das Unternehmensaudit möglichst wenig Kosten produziert, arbeiten wir auch zusammen mit dem vertrauten IT Systemhaus zusammen.

Aufgrund unserer Expertise in KMU, Holding und Konzernlandschaften, können wir auch bei komplexeren Themen den Dienstleister helfen, die regulatorischen Anforderungen zu erfüllen. Das schafft auch beim EDV Dienstleister neue Potentiale für Neugeschäft. Die betriebliche EDV Landschaft verändert sich zunehmend durch die digitale Transformation im Handel und Behörden. Bereits jetzt helfen wir IT Systemhäusern im Rahmen unseres Partnerprogramms bei der Umsetzung der ISO27001 Norm in den Betrieben derer Kunden.

Dadurch nehmen wir den zu zertifizierenden Unternehmen viel Arbeitsbelastung ab, die sonst mit der Umformulierung von kostenlosen Mustervorlagen, die meist unvollständig den aktuellen Standard entsprechen. Wir erwarten von unseren Geschäftskunden nicht, das sie nun 6 Monate lang eine ISO27001 Grundlagenschulung durchnehmen, um die ISMS-Dokumentation anzupassen. 

Unsere Experten übernehmen die Anpassung für Sie zu deutlich geringeren Kosten. Dadurch können Sie sogar schon binnen 4 Wochen ein ISO 27001 Zertifikat erwerben. Eine kostenlose Mustervorlage wird nur ihre Zeit und Budget verschwenden.

Kann ich eine Risikoanalyse mit Hilfe einer Vorlage erstellen?

Die Risikoanalyse ist ein schwieriger Arbeitspaket bei der Erstellung einer ISMS Dokumentation. Wer blind nach einer Vorlage arbeitet riskiert den Bereich Risiko Management komplett falsch umzusetzen. Dabei sollten eigentlich Vorlagen einem viel Vorarbeit ersparen. Leider zeigt die Praxis, dass solche ISMS Dokumentationen nicht das Zertifizierungsaudit überstehen. Fortfolgernd, sollten Sie sich vielleicht eine andere Vorgehensweise überlegen, um die Risikoeinschätzung besser umzusetzen.

Wie bereitet man sich mit einer ISO 27001 Vorlage auf das Audit?

Jedes Unternehmen hat sein ganz eigenes Geschäftsmodell. Das ISO 27001 basierende ISMS muss zu den Anforderungen des Betriebsabläufe und der gesetzlichen Vorschriften passen. Daher ist eine gute Vorbereitung trotz Vorlage existenziell wichtig. Was man aber nicht tun darf, ist es eine ISO 9001 Vorlage auf Informationssicherheit umzuformulieren.

Häufige Fragen zu Dokumentenvorlagen der ISO27001 Zertifizierung

Die ISO/IEC 27001 Zertifizierung fordert, dass wir den normativen Hauptteil der ISO 27001 erfüllen. Die Anforderungen lassen sich wie folgt zusammenfassen:

  • Kontext der Organisation
  • Führung und Verpflichtung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung
  • Kontrollen (Angang 1)

 

Das Zertifikat gilt maximal 3 Jahre und muss dann durch ein Rezertifizierungsaudit verlängert werden.

Das Rezertifizierungsaudit überprüft, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin bestehen.

Die Kosten für eine Zertifizierung nach ISO 27001 kann man bei kleinen Unternehmen (KMU) in kaum komplexen Industriezweigen recht gut definieren. Hier kostet das Audit und die Ausstellung des Zertifikats zusammen ca. 1.500-3.000 EUR.

Schwieriger verhält es sich bei Unternehmen mit komplexen Abläufen und zunehmender Unternehmensgröße.

Hier kostet das sehr aufwendige Audit deutlich mehr, da die Risiken deutlich höher sind. Hier erfolgen oft auch zusätzliche technische IT Audits (z.B., Pen-Test, Software Quellcode Audit). Diese sind meist erforderlich, da diese Unternehmen das ISO27001 benötigen, Aufgrund der Vorschriften des Gesetzgebers oder des Hauptversicherers des betroffenen  Unternehmens.

Daher kann die Zertifizierung großer Kapitalgesellschaften  schnell über ca. 15.000 EUR kosten.