Compliance-Lexikon · ISO 27001
Dokumentierte Information
auch: Documented Information, ISMS-Dokumentation
Dokumentierte Information bezeichnet alle Informationen, die eine Organisation nach ISO 27001 Kapitel 7.5 erstellen, lenken und aufbewahren muss – von Richtlinien und Verfahrensanweisungen bis zu Nachweisen über durchgeführte Maßnahmen, jeweils mit definierter Versionierung, Freigabe und Aufbewahrungsfrist.
Warum dokumentierte Information mehr als Papierkram ist
Ohne kontrollierte Dokumentation lässt sich weder nachweisen, dass eine Maßnahme tatsächlich umgesetzt wurde, noch dass sie in der aktuell gültigen Version vorliegt. Auditoren prüfen nicht nur Inhalte, sondern auch, ob Version, Freigabe und Aufbewahrung nachvollziehbar gelenkt werden.
Wo Dokumentierte Information gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 7.5.1 | Pflicht zur Erstellung dokumentierter Information, soweit vom Standard oder von der Organisation als notwendig erachtet. |
| ISO 27001:2022 | Kap. 7.5.2 | Anforderungen an Kennzeichnung, Format, Überprüfung und Freigabe dokumentierter Information. |
| ISO 27001:2022 | Kap. 7.5.3 | Lenkung dokumentierter Information: Verfügbarkeit, Schutz, Verteilung, Aufbewahrung und Vernichtung. |
| NIS-2 / BSIG | § 30 Abs. 2 | Nachweispflicht umgesetzter Maßnahmen setzt kontrollierte Dokumentation faktisch voraus. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Mehrere Versionen derselben Richtlinie sind parallel im Umlauf, ohne dass klar ist, welche gültig ist
- Freigabe durch die zuständige Stelle wird nicht dokumentiert oder ist nicht datiert
- Aufbewahrungsfristen für Nachweise sind nicht definiert, Dokumente werden vorzeitig gelöscht oder unbegrenzt aufbewahrt
Notwendige versus freiwillige Dokumentation
ISO 27001 schreibt eine Reihe von Dokumenten zwingend vor, etwa den ISMS-Scope, die Risikobewertungsmethodik und die Statement of Applicability. Darüber hinaus kann die Organisation selbst festlegen, welche weitere Dokumentation für die Wirksamkeit des ISMS notwendig ist. Beide Kategorien unterliegen denselben Lenkungsanforderungen.
Nächste Ebene
Dokumentierte Information implementieren: ISO 27001 und NIS-2
Wie Dokumentierte Information strukturiert wird, was Auditoren prüfen und welche Evidence nötig ist.