Erforderliche Pflichtdokumente der ISO 27001
Die OPTIMAbit GmbH hat sich auf das Thema Informationssicherheit mit dem Schwerpunkt ISO 27001:2013 spezialisiert. Alle unsere Dienstleistungen finden Sie im Bereich ISMS.
Mit unserer Checkliste möchten wir Ihnen einen Überblick geben welche Elemente der Norm ISO 27001 Pflichtdokumente sind, um ein z.B. ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren.
Inhalt der Checkliste für die ISO 27001:2013
Folgende Pflichtdokumente der ISO 27001:2013 sind zur Implementierung eines ISMS erforderlich.
Dazugehörig nennen wir die jeweiligen Abschnitte der Norm in Klammern „( )“.
Beachten Sie, dass sich hinter den einzelnen Dokumenten die dazugehörigen Anforderungen der ISO 27001:2013 verbergen. Zum Beispiel ist in den Abschnitten 4.1, 4.2 und 4.3 genau geregelt welche Anforderungen der Anwendungsbereich des ISMS erfüllen muss. Diese Anforderungen können Sie direkt in der ISO 27001:2013 nachlesen.
- Ist der Anwendungsbereich des ISMS definiert und dokumentiert? (4.3)
- Ist die Leitlinie zur Informationssicherheit abgestimmt und dokumentiert? (5.2)
- Ist die Risikobewertungs- und Risikobehandlungsmethodik definiert? (6.1.2)
- Ist eine Anwendbarkeitserklärung (mit den notwendigen Maßnahmen) vorhanden? (6.1.3 d)
- Ist ein Risikobehandlungsplan formuliert und dokumentiert? Sind die Ergebnisse der Risikobehandlung dokumentiert? (6.1.3 d und 8.3)
- Sind die Informationssicherheitsziele festgelegt und dokumentiert? (6.2)
- Sind die Aufzeichnungen über Schulungen, Fähigkeiten, Erfahrung und Qualifikationen der Mitarbeiter vorhanden? (7.2)
- Ist ein Risikobewertungsbericht vorhanden? (8.2)
- Wurden die Überwachungs- und Messergebnisse ausgewertet? (9.1)
- Ist ein internes Audit-Programm vorhanden? (9.2)
- Sind die Ergebnisse interner Audits vorhanden? (9.2)
- Sind die Ergebnisse aus Managementbewertungen vorhanden? (9.3)
- Sind die Ergebnisse von Korrekturmaßnahmen vorhanden? (10.1)
- Sind die Sicherheitsrollen und Verantwortlichkeiten definiert? (A 7.2.1)
- Ist ein Verzeichnis der Informationen vorhanden? (A 8.1.1)
- Sind Regeln zum Umgang mit Informationen definiert? (A 8.1.3)
- Ist eine Richtlinie für die Zugriffskontrolle dokumentiert und kommuniziert? (A 9.1.1)
- Ist die Richtlinie für die Verwendung von kryptographischen Algorithmen vorhanden? (A 10.1.1)
- Sind Betriebsprozesse dokumentiert und werden diese allen Nutzern zur Verfügung gestellt? (A 12.1.1)
- Werden Logdateien erstellt, aufbewahrt und regelmäßig ausgewertet? (A .12.4.1 und A 12.4.3)
- Sind Anforderungen zur Einhaltung der Vertraulichkeit und Geheimhaltung mit Kunden und Lieferanten vereinbart? (A 13.2.4)
- Sind Prinzipien zum sicheren Betrieb der Systeme festgelegt? (A 14.2.5)
- Gibt es eine Richtlinie für Lieferantenbeziehungen und wurden diese kommuniziert? (A 15.1.1)
- Ist ein Verfahren zum Umgang mit Sicherheitsvorfällen definiert und kommuniziert? (A16.1.5)
- Ist die Informationssicherheit ein wesentlicher Bestandteil des BCM? (A 17.1.2)
- Sind alle gesetzlichen, behördlichen und vertraglichen Anforderungen erfasst und erfüllt? (A 18.1.1)
Bitte beachten Sie, dass es sich bei der Checkliste nicht um ein verpflichtendes Dokument handelt, sondern eine Erleichterung für den Arbeitsalltag darstellt!
Downloadmöglichkeit
Gerne stellen wir Ihnen unsere Checkliste im pdf-Format zum kostenfreien Download zur Verfügung:
Deutsch: Checkliste-ISO-27001-DE
Englisch: Checklist-ISO-27001-EN
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr OPTIMAbit-Experten-Team