Compliance-Lexikon · ISO 27001

Dokumentierte Information – Praxis

Dokumentierte Information wird von Auditoren nicht danach bewertet, ob das Thema bekannt ist, sondern ob eine belastbare, datierte Umsetzung nachweisbar ist. Dieser Artikel zeigt, was konkret vorzubereiten ist.

Was Auditoren konkret prüfen

Der Auditor erwartet keinen theoretischen Idealzustand, sondern einen nachvollziehbaren Prozess mit Verantwortlichkeiten, Fristen und Nachweisen. Existiert ein dokumentierter Lenkungsprozess, der für jede Dokumentenklasse Versionierung, Freigabe und Aufbewahrung regelt?

BAM-Objekt · Praxis ISO-DI-01
Gap-CheckExistiert ein dokumentierter Lenkungsprozess, der für jede Dokumentenklasse Versionierung, Freigabe und Aufbewahrung regelt?
RemediationDokumentenlenkungsprozess einführen mit klaren Rollen für Erstellung, Prüfung und Freigabe sowie einer zentralen Ablage mit Versionshistorie.
EvidenceDokumentierter Lenkungsprozess, Versionshistorie zentraler ISMS-Dokumente, Freigabevermerke mit Datum und Verantwortlichem.

Häufige Fehler in der Praxis

  • Word- oder PDF-Dokumente werden per E-Mail verteilt statt zentral versioniert abgelegt
  • Freigabeworkflow existiert nur informell, ohne nachvollziehbaren Zeitstempel
  • Alte Dokumentversionen werden überschrieben statt archiviert, wodurch die Historie verloren geht

Praxis-Tipp

Ein zentrales Dokumentenmanagementsystem mit automatischer Versionierung erspart im Audit die häufigste Nachfrage: welche Version war zu welchem Zeitpunkt gültig?

Pflichtdokumente nach ISO 27001

Zu den zwingend vorgeschriebenen Dokumenten zählen unter anderem der ISMS-Scope, die Informationssicherheitspolitik, die Risikobewertungs- und -behandlungsmethodik, die Statement of Applicability, der Risikobehandlungsplan sowie Nachweise über Kompetenz, interne Audits und Management-Bewertungen. Jedes dieser Dokumente muss den Lenkungsanforderungen aus Kapitel 7.5 genügen.

Evidence-Anforderungen im Audit

Vorzulegen sind in der Regel: Dokumentierter Lenkungsprozess, Versionshistorie zentraler ISMS-Dokumente, Freigabevermerke mit Datum und Verantwortlichem. Eine strukturierte Ablage dieser Nachweise erspart im Audit-Fall zeitraubende Nachrecherchen.

Nächster Schritt

Compliance-Stresstest starten

Kostenloser Stresstest auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.

Die strategische Einordnung – warum Dokumentierte Information über die technische Umsetzung hinaus Bedeutung hat – findet sich auf Ebene 3.

Verwandte Begriffe

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.