Prüfliste der obligatorischen Dokumentation wie von ISO/IEC 27001 (Überarbeitung 2013) vorgeschrieben

Ähnliche Dokumente
Dok.-Nr.: Seite 1 von 6

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

WAS finde ich WO im Beipackzettel

D i e n s t e D r i t t e r a u f We b s i t e s

Die Post hat eine Umfrage gemacht

Geld Verdienen im Internet leicht gemacht

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Stand: Adressnummern ändern Modulbeschreibung

Überprüfung der digital signierten E-Rechnung

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Gutes Leben was ist das?

Was meinen die Leute eigentlich mit: Grexit?

Urlaubsregel in David

Managementbewertung Managementbewertung

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Leichte-Sprache-Bilder

Übung - Konfigurieren einer Windows Vista-Firewall

DER SELBST-CHECK FÜR IHR PROJEKT

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

9 Auto. Rund um das Auto. Welche Wörter zum Thema Auto kennst du? Welches Wort passt? Lies die Definitionen und ordne zu.

Studieren- Erklärungen und Tipps

Informationssicherheit als Outsourcing Kandidat

Ihr Weg in die Suchmaschinen

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Bauteilattribute als Sachdaten anzeigen

Primzahlen und RSA-Verschlüsselung

Schritte 4. Lesetexte 13. Kosten für ein Girokonto vergleichen. 1. Was passt? Ordnen Sie zu.

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Der vorliegende Konverter unterstützt Sie bei der Konvertierung der Datensätze zu IBAN und BIC.

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Kommunikations-Management

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Übung - Konfigurieren einer Windows 7-Firewall

Regeln für das Qualitäts-Siegel

Abschnitt 2 Vier Fragen, jeweils 5 Punkte pro Frage erreichbar (Maximal 20 Punkte)

Übungsbeispiele für die mündliche Prüfung

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

1. Einführung. 2. Weitere Konten anlegen

Was ist Sozial-Raum-Orientierung?

Abschluss Version 1.0

Übung - Konfigurieren einer Windows-XP-Firewall

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Backup Premium Kurzleitfaden

Arbeiten mit dem Outlook Add-In

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

teischl.com Software Design & Services e.u. office@teischl.com

ISMS Teil 3 Der Startschuss

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Adobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost

1. Weniger Steuern zahlen

M03a Lernstraße für den Unterricht in Sekundarstufe I

Projektmanagement. Einleitung. Beginn. Was ist Projektmanagement? In dieser Dokumentation erfahren Sie Folgendes:

Einkaufen im Internet. Lektion 5 in Themen neu 3, nach Übung 10. Benutzen Sie die Homepage von:

Affiliate Marketing Schnellstart Seite 1

Spamfilter einrichten

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

ARCHIV- & DOKUMENTEN- MANAGEMENT-SERVER PAPIER ARCHIVIEREN

Die Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.

Übersicht U7-U10 Turniere in Fußball Online

Änderung des IFRS 2 Anteilsbasierte Vergütung

Handbuch Fischertechnik-Einzelteiltabelle V3.7.3

Die Invaliden-Versicherung ändert sich

B&B Verlag für Sozialwirtschaft GmbH. Inhaltsübersicht

1 Dokumentenmanagement

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Inkrementelles Backup

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Datensicherung EBV für Mehrplatz Installationen

Online Newsletter III

Alle gehören dazu. Vorwort

Anne Frank, ihr Leben

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Jederzeit Ordnung halten

Anleitung zur Benutzung des jobup.ch Stellensuchendekontos

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

ABES/Objects: Dokumentation AGH mit

Wordpress: Blogbeiträge richtig löschen, archivieren und weiterleiten

Was ist das Budget für Arbeit?

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Abamsoft Finos im Zusammenspiel mit shop to date von DATA BECKER

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

4. AUSSAGENLOGIK: SYNTAX. Der Unterschied zwischen Objektsprache und Metasprache lässt sich folgendermaßen charakterisieren:

GeoPilot (Android) die App

Grundlagen der Theoretischen Informatik, SoSe 2008

Sicherheitseinstellungen... 2 Pop-up-Fenster erlauben... 3

SICHERN DER FAVORITEN

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Transkript:

Prüfliste der obligatorischen Dokumentation wie von ISO/IEC 27001 (Überarbeitung 2013) vorgeschrieben 1) Welche Dokumente und Aufzeichnungen sind zwingend erforderlich? Die nachfolgende Liste zeigt den Minimumsatz an Dokumenten und Aufzeichnungen auf, der von ISO/IEC 27001 in seiner Überarbeitung des Jahres 2013 vorgeschrieben ist: Dokumente* ISO 27001:2013 Abschnitt Nr. Anwendungsbereich des ISMS 4.3 Informationssicherheitsleitlinie und Zielvorgaben 5.2, 6.2 Methodik zur Risikoeinschätzung und behandlung 6.1.2 Erklärung zur Anwendbarkeit 6.1.3 d) Plan zur Risikobehandlung 6.1.3 e), 6.2 Bericht zur Risikoeinschätzung 8.2 Definition der Sicherheitsrollen und verantwortlichkeiten A.7.1.2, A.13.2.4 Inventar der Werte A.8.1.1 Zulässige Nutzung der Werte A.8.1.3 Zugangskontrollrichtlinie A.9.1.1 Betriebliche Verfahren zur IT-Verwaltung A.12.1.1 Prinzipien der systemtechnischen Sicherheit A.14.2.5 Richtlinie zur Lieferantensicherheit A.15.1.1 Verfahren zur Störfallverwaltung A.16.1.5 Verfahren zum betrieblichen Kontinuitätsmanagement A.17.1.2 Rechtliche, amtliche und vertragliche Anforderungen A.18.1.1 Aufzeichnungen* ISO 27001:2013 Abschnitt Nr. Aufzeichnungen zu Training, Fertigkeiten, Erfahrung und 7.2 Qualifikationen Überwachung und Messungsresultate 9.1 Internes Audit-Programm 9.2 2013 27001Academy www.iso27001standard.com Seite 1 von 10

Resultate interner Audits 9.2 Resultate der Managementprüfung 9.3 Resultate der Korrekturmaßnahmen 10.1 Protokolle über Anwenderaktivitäten, Ausnahmefälle und A.12.4.1, A.12.4.3 Sicherheitsereignisse *Maßnahmen aus Anhang A können ausgelassen werden, wenn die Organisation folgert, dass keine Risiken oder andere Anforderungen bestehen, welche die Umsetzung der jeweiligen Maßnahme erfordern würden. Dies ist jedoch keinesfalls eine definitive Liste an Dokumenten und Aufzeichnungen, die während der Umsetzung von ISO 27001 angewendet werden können. Der Standard erlaubt die Hinzufügung jeglicher anderer Dokumente zur Verbesserung der Informationssicherheit. 2) Allgemein übliche nicht-obligatorische Dokumente Weitere Dokumente, die oft verwendet werden, sind die nachfolgenden: Dokumente ISO 27001:2013 Abschnitt Nr. Verfahren zur Lenkung von Dokumenten 7.5 Maßnahmen zur Verwaltung von Aufzeichnungen 7.5 Verfahren für das interne Audit 9.2 Verfahren für Korrekturmaßnahmen 10.1 Bring dein eigenes Gerät -Richtlinie (BYOD) A.6.2.1 Mobilgerät- und Telearbeit-Richtlinie A.6.2.1 Richtlinie zur Informationsklassifizierung A.8.2.1, A.8.2.2, A.8.2.3 Kennwort-Richtlinie A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3 Richtlinie zur Entsorgung und Vernichtung A.8.3.2, A.11.2.7 Verfahren zum Arbeiten in Sicherheitsbereichen A.11.1.5 Richtlinie zum aufgeräumten Arbeitsplatz A.11.2.9 Richtlinie zur Änderungsverwaltung A.12.1.2, A.14.2.4 2013 27001Academy www.iso27001standard.com Seite 2 von 10

Backup-Richtlinie Richtlinie zur Informationsübertragung Geschäftsauswirkungsanalyse (GAA) Übungs- und Test-Plan Wartungs- und Überprüfungsplan Betriebliche Kontinuitätsstrategie A.12.3.1 A.13.2.1, A.13.2.2, A.13.2.3 A.17.1.1 A.17.1.3 A.17.1.3 A.17.2.1 3) Wie man die gebräuchlichsten Dokumente und Aufzeichnungen strukturiert Anwendungsbereich des ISMS Dieses Dokument ist üblicherweise ziemlich kurz gehalten und wird zu Beginn der Umsetzung von ISO 27001 verfasst. Normalerweise ist es ein eigenständiges (stand-alone) Dokument, obwohl es auch in eine Richtlinie zur Informationssicherheit mit eingearbeitet werden kann. Hier weiterlesen: Probleme mit der Festlegung des Anwendbarkeitsbereichs bei ISO 27001 Die Richtlinie zur Informationssicherheit und Zielvorgaben Die Richtlinie zur Informationssicherheit ist normalerweise ein kurzes, doch äußerst wichtiges Dokument, welches den Hauptzweck des ISMS beschreibt. Die Zielvorgaben für ISMS sind normalerweise in ein eigenständiges (stand-alone) Dokument, doch sie können auch in die Richtlinie zur Informationssicherheit mit eingearbeitet werden. Im Gegensatz zu ISO 27001 in dessen Überarbeitung aus dem Jahr 2005 besteht sind separate Richtlinien für ISMS und Informationssicherheit nicht mehr länger erforderlich; lediglich eine Richtlinie zur Informationssicherheit ist notwendig. Hier weiterlesen: Die Richtlinie zur Informationssicherheit Wie detailliert sollte sie ausfallen? 2013 27001Academy www.iso27001standard.com Seite 3 von 10

Die Methodik und der Bericht zur Risikoeinschätzung und -behandlung Die Methodik zur Risikoeinschätzung und behandlung ist normalerweise ein 4 bis 5 Seiten umfassendes Dokument und es sollte bereits vor der Durchführung der Risikoeinschätzung und -behandlung verfasst werden. Der Bericht zur Risikoeinschätzung und behandlung muss hingegen nach der Durchführung der Risikoeinschätzung und behandlung aufgesetzt werden, denn er fasst alle Resultate zusammen. Hier weiterlesen: ISO 27001 Risikoeinschätzung und -behandlung 6 Grundschritte Die Erklärung zur Anwendbarkeit Die Erklärung zur Anwendbarkeit (EzA) wird auf der Basis der Resultate der Risikobehandlung verfasst und sie ist ein zentrales Dokument innerhalb des ISMS, weil sie nicht nur beschreibt, welche Maßnahmen aus Anhang A anzuwenden sind, sondern auch, wie diese durchgeführt werden und wie deren gegenwärtiger Status aussieht. Man könnte die EzA auch als ein Dokument bezeichnen, welches das Sicherheitsprofil Ihrer Firma beschreibt. Hier weiterlesen: Die Wichtigkeit der Erklärung zur Anwendbarkeit für ISO 27001 Der Plan zur Risikobehandlung Dieses Dokument ist im Grunde genommen ein Maßnahmenplan, der festlegt, wie die in der EzA definierten, unterschiedlichen Maßnahmen umzusetzen sind. Der Plan wird dementsprechend auf der Basis der EzA entwickelt und wird im Verlauf der gesamten Umsetzung des ISMS aktiv angewendet und auch ständig aktualisiert. Manchmal wird der Plan auch in den Projektplan mit eingearbeitet. Hier weiterlesen: Der Plan zur Risikobehandlung und das Verfahren zur Risikobehandlung Was ist der Unterschied? 2013 27001Academy www.iso27001standard.com Seite 4 von 10

Sicherheitsrollen und -verantwortlichkeiten Die beste Methode ist es, wenn die Sicherheitsrollen und verantwortlichkeiten in allen Richtlinien und Verfahren so präzise wie möglich beschrieben werden. Man vermeidet dabei vage Phrasen wie sollte getan werden und verwendet stattdessen präzisere Phrasen wie "CISO führt xyz jeden Montag um zxy Uhr durch". Manche Unternehmen bevorzugen es, die Sicherheitsrollen und verantwortlichkeiten in ihre Arbeitsstellenbeschreibungen mit aufzunehmen; allerdings kann das zu viel Papierkram führen. Die Sicherheitsrollen und verantwortlichkeiten dritter Parteien sind in den entsprechenden Verträgen verankert. Inventar der Werte Falls man vor dem ISO 27001 Projekt nicht sowieso bereits ein solches Inventar geführt hat, erstellt man ein solches Dokument am besten, indem man sich direkt an den Resultaten der Risikoeinschätzung orientiert. Während der Risikoeinschätzung müssen alle Werte (Assets) und deren jeweiligen Eigentümer ohnehin identifiziert werden. Kopieren Sie deshalb ganz einfach die Resultate von dort in das Werteinventar-Dokument um. Zulässige Nutzung der Werte Dieses Dokument wird normalerweise in der Form einer Richtlinie verfasst und es kann eine sehr breite Palette an Themen umfassen, denn der Standard definiert Maßnahme nicht besonders präzise. Die beste Herangehensweise ist wohl die folgende: (1) Warten Sie zunächst bis zum Ende Ihrer ISMS-Umsetzung ab und (2) nehmen Sie in die Richtlinie sodann alle Bereiche und Maßnahmen auf, die in anderen Dokumenten bislang noch nicht abgedeckt sind und alle Mitarbeiter betreffen. Zugangskontollrichtlinie In diesem Dokument handeln Sie lediglich den betrieblichen Aspekt der Zugangsgenehmigung zu bestimmten Informationen und Systemen ab; oder auch die technische Seite der Zugangskontrolle. Desweiteren können Sie wahlweise die Regeln für 2013 27001Academy www.iso27001standard.com Seite 5 von 10

ausschließlich logischen Zugang oder auch für physischen Zugang definieren. Das Dokument sollte erst nach Abschluss Ihres Verfahrens zur Risikoeinschätzung und behandlung verfasst werden. Betriebliche Verfahren zur IT-Verwaltung Sie können dies als ein einzelnes Dokument verfassen oder auch als eine Serie von Richtlinien und Verfahren. Sind Sie nur ein kleineres Unternehmen, so ist die Tendenz, dass Sie nur eine kleinere Anzahl an Dokumenten haben. Normalerweise können alle Bereiche der Abschnitte A.12 und A.13 also Änderungsverwaltung, Drittparteien-Services, Backup, Netzwerksicherheit, Schadsoftware, Entsorgung und Vernichtung, Informationsübertragung, Systemüberwachung, usw. abgedeckt werden. Das Dokument sollte aber erst verfasst werden, nachdem Ihr Verfahren zur Risikoeinschätzung und behandlung abgeschlossen ist. Hier über IT-Verwaltung weiterlesen: ITIL & ISO 20000 Blog Prinzipien der systemtechnischen Sicherheit Dies ist eine neue Maßnahme bei ISO 27001:2013 und sie verlangt, dass sichere technische Prinzipien in der Form eines Verfahrens oder Standards dokumentiert werden und definieren sollten, auf welche Weise Sicherheitstechnik in alle Strukturschichten Geschäft, Daten, Anwendungen und Technik zu integrieren ist. Das kann Eingabedaten-Validierung, Fehlerbehebung (Debugging), Authentisierungstechniken, Maßnahmen für sichere Sessions (secure session controls), usw. mit einschließen. Richtlinie zur Lieferantensicherheit Dies ist ebenfalls eine neue Maßnahme bei ISO 27001:2013 und eine solche Richtlinie kann eine breite Palette an Maßnahmen abdecken: Wie potentielle Vertragsfirmen überprüft werden; wie die Risikoeinschätzung bei einem Lieferanten durchgeführt wird; welche Sicherheitsklauseln in den Vertrag aufzunehmen sind; wie die Erfüllung vertraglicher Sicherheitsklauseln beaufsichtigt wird; wie der Vertrag abgeändert wird; wie der Zugang nach Vertragsbeendigung entzogen wird, usw. 2013 27001Academy www.iso27001standard.com Seite 6 von 10

Verfahren zur Störfallverwaltung Dies ist eine wichtige Maßnahme, welche definiert, wie Sicherheitsschwachstellen, Ereignisse und Vorfälle berichtet, klassifiziert und behandelt werden. Die Maßnahme definiert außerdem, wie aus Informationssicherheitsvorfällen zu lernen ist, so dass sie beim nächsten Mal verhindert werden können. Die Maßnahme kann auch den Plan für betriebliches Kontinuitätsmanagement aufrufen, falls ein Vorfall eine langwierige Unterbrechung verursacht. Verfahren zum betrieblichen Kontinuitätsmanagement Dies sind üblicherweise Pläne für betriebliches Kontinuitätsmanagement, Störfallreaktionspläne, Wiederanlauf-Pläne (recovery plans) für die geschäftliche Seite der Organisation und Notfallpläne (Wiederanlauf-Pläne für IT-Infrastruktur). Sie gehören zu den am besten beschriebenen des ganzen ISO 22301 Standards, dem führenden internationalen Standard für betriebliche Kontinuität. Hier weiterlesen: Der Plan für betriebliches Kontinuitätsmanagement: Wie man ihn gemäß ISO 22301 strukturiert Rechtliche, amtliche und vertragliche Anforderungen Diese Liste sollte so frühzeitig wie möglich nach Projektbeginn erstellt werden, denn viele Dokumente werden auf der Basis dieser Eingaben entwickelt. Die Liste sollte nicht nur Verantwortlichkeiten für die Erfüllung gewisser Anforderungen enthalten, sondern auch deren Fristvorgaben. Aufzeichnungen zu Training, Fertigkeiten, Erfahrung und Qualifikationen Diese Aufzeichnungen werden normalerweise von der Personalabteilung unterhalten. Falls Ihr Unternehmen über keine verfügt, so sollte die Person, die üblicherweise die Personalakten verwaltet, diesen Job übernehmen. Im Grunde genommen tut es ein Ordner, in den alle relevanten Dokumente aufgenommen werden. 2013 27001Academy www.iso27001standard.com Seite 7 von 10

Überwachung und Messungsresultate Der einfachste Weg zu beschreiben, wie Maßnahmen zu messen sind, ist mittels Richtlinien und Verfahren, welche jede Maßnahme definieren. Normalerweise werden diese Beschreibungen am Ende jedes Dokuments eingefügt, wobei diese Beschreibungen die Art der wichtigen Leistungsindikatoren (Key-Performance-Indikatoren; KPIs) definieren, die für jede Maßnahme oder Gruppe von Maßnahmen zu messen sind. Sobald die Messmethode etabliert ist, müssen die Messungen entsprechend durchgeführt werden. Es ist dabei wichtig, die Resultate regelmäßig an jene Personen zu berichten, die mit deren Validierung beauftragt sind. Hier weiterlesen: Zielvorgaben von ISO 27001 Maßnahmen Weshalb sind sie so wichtig? Internes Audit-Programm Das interne Audit-Programm ist nichts anderes als ein Jahresplan für die Durchführung der Audits. Bei einem kleineren Unternehmen mag ein solches Audit nur einmal durchgeführt werden, während es bei größeren Organisationen gleich eine ganze Reihe z.b. 20 interne Audits pro Jahr sein kann. Das Programm sollte definieren, wer die Audits durchführt, welche Methodik angewendet wird, was die Audit-Kriterien sind, usw. Resultate interner Audits Ein interner Auditor stellt den Audit-Bericht zusammen, welcher die Ergebnisse des Audits festhält (Beobachtungen und Korrekturmaßnahmen). Der Bericht ist innerhalb von wenigen Tagen nach Abschluss eines internen Audits fertigzustellen. In manchen Fällen muss der interne Auditor überprüfen, ob alle Korrekturmaßnahmen wie erwartet durchgeführt worden sind. Resultate der Managementprüfung Diese Aufzeichnungen sind normalerweise in Form eines Besprechungsprotokolls. Sie müssen alle Materialien beinhalten, die während der Managementbesprechung vorgelegt, 2013 27001Academy www.iso27001standard.com Seite 8 von 10

sowie alle Entscheidungen erwähnen, die gefällt wurden. Das Protokoll kann in Papier- oder Digitalformat sein. Resultate der Korrekturmaßnahmen Diese sind traditionell in den Korrekturmaßnahmen-Formularen enthalten. Allerdings ist es weitaus besser, wenn man diese Aufzeichnungen in irgendeiner Anwendung mit einschließt, die in der Organisation bereits als Help Desk Anwendung findet, denn Korrekturmaßnahmen sind nichts anderes als Aufgabenlisten (To-do-Listen) mit klar definierten Verantwortlichkeiten, Aufgaben und Aufgabenfristen. Protokolle über Anwenderaktivitäten, Ausnahmefälle und Sicherheitsereignisse Diese werden normalerweise in zwei Formen aufbewahrt: (1) in digitaler Form als automatisch oder halbautomatisch produzierte Protokolle unterschiedlicher IT- und anderer Systeme, sowie (2) in Papierform, wobei jede Aufzeichnung manuell verfasst wird. Verfahren zur Lenkung von Dokumenten Hierbei handelt es sich normalerweise um ein eigenständiges, 2 oder 3 Seiten langes Verfahren. Wenn Sie bereits einige andere Standards wie beispielsweise ISO 9001, ISO 14001, ISO 22301 oder ähnliche umgesetzt haben, können Sie das gleiche Verfahren für alle diese Verwaltungssysteme anwenden. Bisweilen ist es am besten, wenn man dieses Verfahren als das allererste Dokument innerhalb eines Projekts verfasst. Hier weiterlesen: Dokumentenverwaltung bei ISO 27001 & BS 25999-2 Maßnahmen zur Verwaltung von Aufzeichnungen Der einfachste Weg ist, die Maßnahmen für Aufzeichnungen für jede Richtlinie oder jedes Verfahren (oder andere Dokumente), die einer Aufzeichnung bedürfen, einzeln zu verfassen. Diese Maßnahmen werden normalerweise erst gegen Ende jedes Dokuments eingefügt und sind üblicherweise in Form einer Tabelle, in welcher beschrieben wird, wo die 2013 27001Academy www.iso27001standard.com Seite 9 von 10

Aufzeichnungen archiviert sind, wer Zugang hat, wie sie gesichert sind, für wie lange sie archiviert bleiben, usw. Verfahren für das interne Audit Dies ist normalerweise ein eigenständiges, 2 bis 3 Seiten langes Verfahren, welches vor Beginn des internen Audits verfasst werden muss. Genauso wie beim Verfahren zur Lenkung von Dokumenten, so kann auch ein einzelnes Verfahren für jede Art von Verwaltungssystem verwendet werden. Hier weiterlesen: Dilemmas mit internen Auditors für ISO 27001 & BS Verfahren für Korrekturmaßnahmen Dieses Verfahren sollte nicht mehr als 2 oder 3 Seiten umfassen und es kann gegen Ende des Umsetzungsprojekts verfasst werden, obwohl es besser ist, es bereits früher zu schreiben, damit die Mitarbeiter sich mit ihm vertraut machen können. Hier weiterlesen: Obligatorisch dokumentierte Verfahren, die von ISO 27001 vorgeschrieben sind 4) Proben für Dokumentations-Vorlagen Hier können Sie eine kostenlose Vorschau für das ISO 27001 & ISO 22301 Dokumentations- Paket herunterladen. In dieser kostenlosen Vorschau sehen Sie sowohl die Inhaltsangaben für jede der genannten Richtlinien und Verfahren als auch einige ausgewählte Abschnitte aus jedem Dokument. 2013 27001Academy www.iso27001standard.com Seite 10 von 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback