Einleitung
Die Dokumentation spielt eine entscheidende Rolle in Informationssicherheits-Managementsystemen (ISMS) nach ISO 27001 und Datenschutz-Managementsystemen (DSMS) nach DSGVO. Sie dient als Nachweis für die Wirksamkeit des Systems und stellt sicher, dass alle sicherheits- und datenschutzrelevanten Prozesse nachvollziehbar sind.
Während ISO 27001 (für ISMS) und die DSGVO zusammen mit ISO 27701 (für DSMS) allgemeine Dokumentationsanforderungen enthalten, bieten sie keine expliziten Richtlinien, wie die Dokumentation strukturiert und kontrolliert werden sollte. Im Gegensatz dazu bietet ISO 9001:2015 umfassende Anforderungen an das Dokumentenmanagement in Qualitätsmanagementsystemen (QMS). Organisationen, die ein ISMS oder DSMS betreiben, können daher von den in ISO 9001:2015 beschriebenen bewährten Verfahren profitieren, um ein klares und strukturiertes Dokumentenmanagement zu gewährleisten.
ISO 9001:2015 enthält in verschiedenen Abschnitten Dokumentationsanforderungen, die auf ISMS und DSMS angewendet werden können:
- ISO 9001:2015, Abschnitt 7.5: Anforderungen an die Lenkung dokumentierter Informationen
- ISO 9001:2015, Abschnitt 4.4: Dokumentation von Prozessen und ihren Wechselwirkungen
- ISO 9001:2015, Abschnitt 8.1: Operative Kontrolle dokumentierter Informationen
- ISO 9001:2015, Abschnitt 9.1.1: Anforderungen an Dokumente zur Leistungsüberwachung
Diese Grundsätze können auch auf ISMS und DSMS angewendet werden, mit besonderen Anforderungen an Sicherheits- und Datenschutzdokumente.
1. Genaue Kennzeichnung von Dokumenten
Jedes dokumentierte Verfahren muss eindeutig identifizierbar sein. Dadurch wird eine korrekte Versionierung und Nachverfolgung gewährleistet. Die folgenden Informationen sollten enthalten sein:
- Titel und Dokumentennummer: Erleichtert die Identifizierung und Verwaltung
- Ersteller und verantwortliche Partei: Klare Zuweisung von Verantwortlichkeiten
- Erstellungs- und letztes Änderungsdatum: Gewährleistung der Rückverfolgbarkeit
- Versionsnummer/Revisionsstand: Nachvollziehbarkeit der Änderungshistorie
- Genehmigung durch autorisierte Person: Sicherstellung, dass nur verifizierte Dokumente verwendet werden
- Gültigkeits- und Verteilbereich: Festlegung, wer Zugriff hat und wo das Dokument bereitgestellt wird
2. Dokumentenkontrolle
Dokumente im ISMS und DSMS müssen kontrolliert werden, um unbefugte Änderungen und unkontrollierte Verteilung zu verhindern. Die Kontrolle umfasst:
Zugriffskontrolle: Dokumente müssen vor unbefugtem Zugriff geschützt werden (ISO 9001:2015, 7.5.3.2).
Änderungsmanagement: Jede Änderung an einem Sicherheits- oder Datenschutzdokument muss nachvollziehbar sein (ISO 9001:2015, 7.5.2 und 7.5.3.2).
Archivierung und Aufbewahrung: Sicherheits- und Datenschutzdokumente unterliegen gesetzlichen Aufbewahrungsfristen und müssen sicher aufbewahrt werden (ISO 9001:2015, 7.5.3.1).
Die Kontrolle dokumentierter Informationen ist ein zentraler Bestandteil eines funktionierenden ISMS und DSMS, da eine unkontrollierte Dokumentation Risiken für die Informationssicherheit und den Datenschutz birgt.
3. Vorgabedokumente und Nachweisdokumente
ISMS und DSMS unterscheiden zwischen Vorgabedokumenten (dokumentierte Verfahren) und Nachweisdokumenten (Auditprotokolle, Risikobewertungen).
Vorgabedokumente (ISO 9001:2015, 4.4.2, 8.1)
- Richtlinien (z. B. Informationssicherheitsrichtlinie, Datenschutzrichtlinien)
- Prozessbeschreibungen (z. B. Vorfallmanagement, Zugriffsverwaltung)
- Arbeitsanweisungen (z. B. Erstellung und Verwaltung von Verschlüsselungsschlüsseln)
- Checklisten und Formulare (z. B. Datenschutz-Folgenabschätzung)
Nachweisdokumente (ISO 9001:2015, 9.1.1, 9.3.2)
- Risikobewertungen und -analysen
- Auditberichte (z. B. interne Audits nach ISO 27001, DSGVO-Audits)
- Schulungsnachweise für Mitarbeiter im Bereich Datenschutz und IT-Sicherheit
- Protokolle über sicherheitsrelevante Vorfälle und deren Behebung
Diese Dokumente müssen entsprechend den Kontrollanforderungen verwaltet werden.
4. Praxisbeispiele für die Dokumentation
Beispiel Prozessbeschreibung: Reaktion auf Datenschutzvorfall
Prozess: Umgang mit Datenschutzvorfällen
Zweck: Sicherstellen, dass alle Datenschutzvorfälle gemäß den Anforderungen der DSGVO schnell erkannt, dokumentiert und bearbeitet werden.
Geltungsbereich: Alle personenbezogenen Daten und Datenverarbeitungssysteme im Unternehmen.
Prozessverantwortlicher: Datenschutzbeauftragter
Prozessablauf:
- Aufzeichnung: Der Vorfall wird im Datenschutzvorfallregister dokumentiert.
- Erste Analyse: Das Datenschutzteam bewertet den Vorfall und prüft, ob eine Meldepflicht gemäß Art. 33 DSGVO besteht.
- Maßnahmen: Sofortmaßnahmen zur Eindämmung des Vorfalls werden umgesetzt und dokumentiert.
- Meldung: Bei meldepflichtigen Vorfällen wird die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigt.
- Information der Betroffenen: Bei hohem Risiko werden die betroffenen Personen gemäß Art. 34 DSGVO informiert.
- Nachbereitung: Die gewonnenen Erkenntnisse werden festgehalten und vorbeugende Maßnahmen definiert.
Änderungsprotokoll
5. Fazit und bewährte Verfahren
Die Dokumentation ist ein wesentlicher Bestandteil eines funktionierenden ISMS und DSMS. Zu den wichtigsten bewährten Verfahren gehören:
- Automatisierung durch Software und Dokumentenmanagementsysteme (DMS) zur Erleichterung der Versionierung und Zugriffskontrolle.
- Schulungen für Mitarbeiter, um den korrekten Umgang mit sicherheits- und datenschutzbezogenen Dokumenten sicherzustellen.
- Regelmäßige Überprüfung und Aktualisierung, um sicherzustellen, dass die Dokumentation aktuell und konform bleibt.
Durch die Anwendung der Dokumentationsanforderungen von ISO 9001 auf ISMS und DSMS können Organisationen sicherstellen, dass ihre Dokumente zur Informationssicherheit und zum Datenschutz effizient verwaltet werden.