Compliance-Lexikon · ISO 27001

Dokumentierte Information

auch: Documented Information, ISMS-Dokumentation

Dokumentierte Information bezeichnet alle Informationen, die eine Organisation nach ISO 27001 Kapitel 7.5 erstellen, lenken und aufbewahren muss – von Richtlinien und Verfahrensanweisungen bis zu Nachweisen über durchgeführte Maßnahmen, jeweils mit definierter Versionierung, Freigabe und Aufbewahrungsfrist.

Warum dokumentierte Information mehr als Papierkram ist

Ohne kontrollierte Dokumentation lässt sich weder nachweisen, dass eine Maßnahme tatsächlich umgesetzt wurde, noch dass sie in der aktuell gültigen Version vorliegt. Auditoren prüfen nicht nur Inhalte, sondern auch, ob Version, Freigabe und Aufbewahrung nachvollziehbar gelenkt werden.

Wo Dokumentierte Information gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022Kap. 7.5.1Pflicht zur Erstellung dokumentierter Information, soweit vom Standard oder von der Organisation als notwendig erachtet.
ISO 27001:2022Kap. 7.5.2Anforderungen an Kennzeichnung, Format, Überprüfung und Freigabe dokumentierter Information.
ISO 27001:2022Kap. 7.5.3Lenkung dokumentierter Information: Verfügbarkeit, Schutz, Verteilung, Aufbewahrung und Vernichtung.
NIS-2 / BSIG§ 30 Abs. 2Nachweispflicht umgesetzter Maßnahmen setzt kontrollierte Dokumentation faktisch voraus.

BAM-Objektreferenz

BAM-Objekt ISO-DI-01
BeschreibungDokumentenlenkungsprozess mit Versionierung, Freigabeworkflow und Aufbewahrungsfristen je Dokumentenklasse

Häufige Audit-Fehler

  • Mehrere Versionen derselben Richtlinie sind parallel im Umlauf, ohne dass klar ist, welche gültig ist
  • Freigabe durch die zuständige Stelle wird nicht dokumentiert oder ist nicht datiert
  • Aufbewahrungsfristen für Nachweise sind nicht definiert, Dokumente werden vorzeitig gelöscht oder unbegrenzt aufbewahrt

Notwendige versus freiwillige Dokumentation

ISO 27001 schreibt eine Reihe von Dokumenten zwingend vor, etwa den ISMS-Scope, die Risikobewertungsmethodik und die Statement of Applicability. Darüber hinaus kann die Organisation selbst festlegen, welche weitere Dokumentation für die Wirksamkeit des ISMS notwendig ist. Beide Kategorien unterliegen denselben Lenkungsanforderungen.

Nächste Ebene

Dokumentierte Information implementieren: ISO 27001 und NIS-2

Wie Dokumentierte Information strukturiert wird, was Auditoren prüfen und welche Evidence nötig ist.

Verwandte Begriffe

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.