Glossar
ISMS-Dokumentation
ISMS-Dokumentation umfasst die Gesamtheit der dokumentierten Informationen, die für den Aufbau, Betrieb, die Überwachung und die Verbesserung eines Informationssicherheits-Managementsystems (ISMS) erforderlich sind. Sie dient dem Nachweis der Konformität (z. B. ISO 27001, BSI, NIS2 u. a.) und der Steuerung von Risiken. Sie besteht aus Vorgabedokumenten (regelnd und umsetzend) sowie Aufzeichnungen (Nachweise).
Die ISMS-Dokumentation im Überblick
Ein wirksames ISMS basiert auf dokumentierten Regeln und Beweisen. Die Dokumentation verbindet strategische Vorgaben mit operativer Sicherheit und gliedert sich in drei Kategorien:
Regelnde Vorgabedokumente (Normativ)
- Informationssicherheits-Leitlinie (Policy): Oberste Zielsetzung durch die Geschäftsführung.
- Themenspezifische Richtlinien: Verbindliche Regeln für Bereiche wie Zugangssteuerung, Kryptografie oder Lieferantenbeziehungen.
- Prozessbeschreibungen: Wie funktionieren Risikomanagement, Schwachstellenmanagement, wie werden Sicherheitsvorfälle behandelt?
Umsetzende Vorgabedokumente (Operativ)
- Sicherheitskonzepte: Konkrete Maßnahmen für spezifische Anwendungen oder Systeme.
- Härtungsanleitungen (Hardening Guides): Technische Anweisungen zur sicheren Konfiguration (Sicherer Betrieb).
- Notfallhandbücher: Anleitungen zur Bewältigung von Sicherheitsvorfällen (Notfallmanagement).
Aufzeichnungen (Nachweise)
- Risikoanalysen: Dokumentation der bewerteten Gefährdungen.
- Audit-Berichte & Management-Reviews: Nachweis der Überwachung.
- Logfiles & Protokolle: Belege für Zutritt, Zugriff und Änderungen.
Die ISMS-Dokumentation beantwortet im Kern:
- Welche Sicherheitsziele gelten?
- Welche Informationen, Systeme und Prozesse liegen im Geltungsbereich des ISMS?
- Welche Risiken bestehen und wie werden sie behandelt?
- Welche Maßnahmen (technisch, organisatorisch, personell, physisch) sind festgelegt und umgesetzt?
- Wie wird überwacht und verbessert, ob die Sicherheitsziele erreicht werden?
Abgrenzung und Synonyme
Abgrenzung zur allgemeinen IT-Dokumentation
- IT-Dokumentation umfasst alle IT-bezogenen Dokumente und Aufzeichnungen.
- ISMS-Dokumentation ist die Teilmenge mit Fokus auf Informationssicherheit sowie zusätzliche ISMS-spezifische Unterlagen (z. B. Risikoanalysen, Maßnahmenpläne, Audit- und Managementbewertungsnachweise). In der Praxis sind sie oft integriert (z. B. Sicherheitskapitel im Betriebshandbuch).
Abgrenzung zur Notfalldokumentation
- Notfalldokumentation fokussiert auf Störungen/Notfälle und Wiederanlauf.
- ISMS-Dokumentation deckt den gesamten Sicherheits-Lebenszyklus ab (Planung, Umsetzung, Betrieb, Überwachung, Verbesserung).
- Beide sind eng verknüpft: Sicherheitsziele und Risiken beeinflussen Notfallszenarien und -maßnahmen.
Abgrenzung zu Datenschutzdokumentation
- Datenschutzdokumentation fokussiert auf personenbezogene Daten (z. B. Verzeichnis der Verarbeitungstätigkeiten, TOM, DSFA).
- ISMS-Dokumentation adressiert Informationssicherheit insgesamt (auch nicht-personenbezogene Informationen), nimmt aber vielfach Bezug auf Datenschutzanforderungen.
Synonyme
- Informationssicherheitsdokumentation
- ISMS-Dokumente
- Dokumentierte Informationen des ISMS
Verwandte Begriffe
- IT-Dokumentation
- Sicherheitskonzept
- Dokumentierte Informationen
- Dokumentationsmanagement
FAQ Installationsanleitung
Muss ISMS-Dokumentation getrennt von IT-Dokumentation geführt werden?
Nicht zwingend. Häufig ist es effizient, ein integriertes Dokumentationssystem zu haben, in dem sicherheitsrelevante Dokumente klar gekennzeichnet sind, statt parallele Strukturen zu pflegen.
Was interessiert Auditoren besonders an der ISMS-Dokumentation?
Nicht nur das Vorhandensein von Richtlinien und Konzepten, sondern vor allem die Konsistenz zwischen Vorgaben, Umsetzung und Nachweisen.