ISO 27001 Checkliste

Checkliste für die Mindestanforderungen an Dokumentation und Nachweisen (Records) basierend auf ISO / IEC 27001:2017-5.

ISO 27001 Checkliste

Benötigte Dokumente und Nachweise (Records) basierend auf ISO/IEC 27001:2017-5

Mindest Dokumentationsanforderungen
Anwendungsbereich des Informationssicherheits-managementsystems
ISO 27001:2017-5 Kapitel
4.3
Bemerkung
Der Anwendungsbereich des ISMS muss als dokumentierte Information verfügbar sein.
Mindest Dokumentationsanforderungen
IS Politik und IS Ziele
ISO 27001:2017-5 Kapitel
5.2, 6.2
Bemerkung
Die Informationssicherheitspolitik sowie die Informationssicherheitsziele müssen als dokumentierte Information verfügbar sein.
Mindest Dokumentationsanforderungen
Informationssicherheits-
risikobeurteilung
ISO 27001:2017-5 Kapitel
6.1.2
Bemerkung
Die Organisation muss dokumentierte Information über den Informationssicherheitsrisiko Beurteilungsprozess aufbewahren.
Mindest Dokumentationsanforderungen
Erklärung zur Anwendbarkeit
ISO 27001:2017-5 Kapitel
6.1.3 d)
Bemerkung
Eine Erklärung zur Anwendbarkeit muss erstellt werden.
Mindest Dokumentationsanforderungen
Informationssicherheits-
risikobehandlung
ISO 27001:2017-5 Kapitel
6.1.3 e), 6.2
Bemerkung
Die Organisation muss dokumentierte Information über den Informationssicherheitsrisiko Behandlungsprozess aufbewahren.
Mindest Dokumentationsanforderungen
Kompetenz
ISO 27001:2017-5 Kapitel
7.2
Bemerkung
Nachweis der geforderten Sicherheitskompetenz der Mitarbeiter muss dokumentiert werden.
Mindest Dokumentationsanforderungen
Dokumentierte Information
ISO 27001:2017-5 Kapitel
7.5
Bemerkung
Das Informationssicherheits-Managementsystem der Organisation muss sowohl die von dieser Internationalen Norm geforderte dokumentierte Information beinhalten wie auch Information, welche die Organisation als notwendig für die Wirksamkeit des Managementsystems bestimmt hat.
Mindest Dokumentationsanforderungen
Lenkung dokumentierter Information
ISO 27001:2017-5 Kapitel
7.5.3
Bemerkung
Dokumentierte Information, welche notwendig für Planung und Betrieb des Informationssicherheits- Managementsystems ist, muss angemessen gekennzeichnet und gelenkt werden.
Mindest Dokumentationsanforderungen
Betriebliche Planung und Steuerung
ISO 27001:2017-5 Kapitel
8.1
Bemerkung
Die Organisation muss dokumentierte Information im notwendigen Umfang aufbewahren, so dass die Prozesse wie geplant umgesetzt werden können.
Mindest Dokumentationsanforderungen
Informationssicherheits-
risikobeurteilung
ISO 27001:2017-5 Kapitel
8.2
Bemerkung
Die Organisation muss dokumentierte Information über die Ergebnisse der Informationssicherheits Risikobeurteilungen aufbewahren.
Mindest Dokumentationsanforderungen
Informationssicherheits-
risikobehandlung
ISO 27001:2017-5 Kapitel
8.3
Bemerkung
Die Organisation muss dokumentierte Information über die Ergebnisse der Informationssicherheits Risikobehandlung aufbewahren.
Mindest Dokumentationsanforderungen
Bewertung der Leistung
ISO 27001:2017-5 Kapitel
9.1
Bemerkung
Die Organisation muss geeignete dokumentierte Information als Nachweis der Ergebnisse der Managementbewertung aufbewahren.
Mindest Dokumentationsanforderungen
Internes Audit
ISO 27001:2017-5 Kapitel
9.2
Bemerkung
Die Organisation muss Information als Nachweis des Auditprogramms und der Ergebnisse der Audits aufbewahren.
Mindest Dokumentationsanforderungen
Managementbewertung
ISO 27001:2017-5 Kapitel
9.3
Bemerkung
Die Organisation muss dokumentierte Information als Nachweis der Ergebnisse der Managementbewertung aufbewahren.
Mindest Dokumentationsanforderungen
Verbesserung
ISO 27001:2017-5 Kapitel
10.1
Bemerkung
Die Organisation muss dokumentierte Information als Nachweis der Nichtkonformität und der entsprechenden Korrekturmassnahmen sowie der Ergebnisse jeder Korrekturmassnahme aufbewahren.
Mindest Dokumentationsanforderungen
Beschäftigungs- und Vertragsbedingungen
ISO 27001:2017-5 Kapitel
A.7.1.2, A.13.2.4
Bemerkung
In den vertraglichen Vereinbarungen mit Beschäftigten und Auftragnehmern sind deren Verantwortlichkeiten und diejenigen der Organisation festgelegt.
Mindest Dokumentationsanforderungen
Verwaltung der Werte
ISO 27001:2017-5 Kapitel
A.8.1.1
Bemerkung
Information und andere Werte, die mit Information und informationsverarbeitenden Einrichtungen in Zusammenhang stehen, sind erfasst und ein Inventar dieser Werte ist erstellt und wird gepflegt.
Mindest Dokumentationsanforderungen
Verwaltung der Werte
ISO 27001:2017-5 Kapitel
A.8.1.3
Bemerkung
Regeln für den zulässigen Gebrauch von Information und Werten, die mit Information und informationsverarbeitenden Einrichtungen in Zusammenhang stehen, sind aufgestellt, dokumentiert und angewendet.
Mindest Dokumentationsanforderungen
Geschäftsanforderungen an die Zugangssteuerung
ISO 27001:2017-5 Kapitel
A.9.1.1
Bemerkung
Eine Zugangssteuerungsrichtlinie ist auf Grundlage der geschäftlichen und sicherheitsrelevanten Anforderungen erstellt, dokumentiert und überprüft.
Mindest Dokumentationsanforderungen
Betriebsabläufe und -verantwortlichkeiten
ISO 27001:2017-5 Kapitel
A.12.1.1
Bemerkung
Die Bedienabläufe sind dokumentiert und allen Benutzern, die sie benötigen, zugänglich.
Mindest Dokumentationsanforderungen
Protokollierung und Überwachung
ISO 27001:2017-5 Kapitel
A.12.4.1, A.12.4.3
Bemerkung
Ereignisprotokolle, die Benutzertätigkeiten, Ausnahmen, Störungen und Informationssicherheitsvorfälle aufzeichnen, werden erzeugt, aufbewahrt und regelmässig überprüft.
Mindest Dokumentationsanforderungen
Informationsübertragung
ISO 27001:2017-5 Kapitel
A.13.2.4
Bemerkung
Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen, werden identifiziert, regelmässig überprüft und sind dokumentiert.
Mindest Dokumentationsanforderungen
Sicherheit in Entwicklungs- und Unterstützungsprozessen
ISO 27001:2017-5 Kapitel
A.14.2.5
Bemerkung
Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme sind festgelegt, dokumentiert, werden aktuell gehalten.
Mindest Dokumentationsanforderungen
Informationssicherheit in Lieferantenbeziehungen
ISO 27001:2017-5 Kapitel
A.15.1.1
Bemerkung
Die Informationssicherheitsanforderungen im Zusammenhang mit dem Zugriff von Lieferanten auf Werte der Organisation werden mit dem Zulieferer vereinbart und sind dokumentiert.
Mindest Dokumentationsanforderungen
Handhabung von Informationssicherheits-vorfällen und Verbesserungen
ISO 27001:2017-5 Kapitel
A.16.1.5
Bemerkung
Auf Informationssicherheitsvorfälle wird entsprechend den dokumentierten Verfahren reagiert.
Mindest Dokumentationsanforderungen
Aufrechterhalten der Informationssicherheit
ISO 27001:2017-5 Kapitel
A.17.1.2
Bemerkung
Die Organisation dokumentiert Prozesse, Verfahren und Massnahmen um das erforderliche Niveau an Informationssicherheit in einer widrigen Situation aufrechterhalten zu können.
Mindest Dokumentationsanforderungen
Einhaltung gesetzlicher und vertraglicher Anforderungen
ISO 27001:2017-5 Kapitel
A.18.1.1
Bemerkung
Alle relevanten gesetzlichen, regulatorischen, selbstauferlegten oder vertraglichen Anforderungen sowie das Vorgehen der Organisation zur Einhaltung dieser Anforderungen sind dokumentiert.

Üblicherweise verwendete nicht obligatorische Dokumentation

Dokumente
Verfahren für die Dokumentenlenkung
Referenz Norm
7.5
Dokumente
Vorgaben für die Verwaltung von Datensätzen
Referenz Norm
7.5
Dokumente
Vorgabe für die Durchführung von internen Audits
Referenz Norm
9.2
Dokumente
Verfahren für die Umsetzung von Korrekturmassnahmen
Referenz Norm
10.1
Dokumente
Weisungen für Mobilgeräte und Telearbeit
Referenz Norm
A.6.2.1
Dokumente
Weisung für die Klassifizierung und den Umgang mit klassifizierten Werten (Transport, Speicherung, Vernichtung etc.)
Referenz Norm
A.8.2.1, A.8.2.2, A.8.2.3
Dokumente
Passwort policy
Referenz Norm
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
Dokumente
Weisung für das Arbeiten in Sicherheitsbereichen
Referenz Norm
A.11.1.5
Dokumente
Clear desk and clear screen policy
Referenz Norm
A.11.2.9
Dokumente
Change management policy
Referenz Norm
A.12.1.2, A.14.2.4
Dokumente
Backup policy
Referenz Norm
A.12.3.1
Dokumente
Sicherheitsvorgaben bei Business Continuity Plänen
Referenz Norm
A.17.1.3