Dokumentation

ISO 27001 angiver hvilke konkrete dokumenter, der skal være udarbejdet om styringen af informationssikkerhed. Desuden konstaterer ISO 27001, at dokumentationsbehovet afhænger af den konkrete organisations størrelse, typer af aktiviteter, kompleksitet og modenhed.

Dokumentationen af ISMS’et er et centralt element i dets etablering og drift, om end ikke alt behøver at skulle dokumenteres.

Obligatorisk dokumentation i et ledelsessystem for informationssikkerhed

For at man kan sige, at man fuldt ud har implementeret et ledelsessysetm for informationssikkerhed, er der en række obligatoriske dokumenter, som skal være udarbejdet, godkendte og tilgængelige for relevante interessenter.

Disse er (ISO reference):

  • Omfang af ISMS’et (4.3)
  • Informationssikkerhedspolitik, der indeholder målsætninger for informationssikkerhed (5.2, 6.2)
  • Beskrivelse af roller, ansvar og beføjelser (5.3)
  • Beskrivelse af risikovurderingsproces og risikohåndteringsproces (6.1.2, 6.1.3)
  • Statement of Applicability – SoA (6.1.3d)
  • Dokumentation af uddannelse, evner, erfaring og kvalifikationer (7.2)
  • Risikovurderingsrapport (8.2)
  • Risikohåndteringsplan (8.3)
  • Beskrivelse af proces for måling af sikringsforanstaltningers effektivitet (9.1)
  • Resultater af måling af sikringsforanstaltningers effektivitet (9.1)
  • Beskrivelse af proces for interne audits (9.2)
  • Programmer for interne audits (9.2)
  • Dokumentation af ledelsen gennemgang af evaluering af informationssikkerheden og effekten af ISMS, afvigelser og opfølgende handlinger (9.3)
  • Dokumentation af afvigelser, korrigerende handlinger og resultaterne af disse (10.1)

Herudover er der en række dokumenter, som er beskrevet i ISO 27001, Anneks A, og som vil være relevante i mange organisationer:

  • Fortegnelse over aktiver, inkl. ejerskab (A.8.1.1)
  • Beskrivelse af accepteret brug af aktiver (A.8.1.3)
  • Politik for adgangsstyring (A.9.1.1)
  • Driftsprocedurer (A.12.1.1 )
  • Hændelseslogs (A.12.4.1)
  • Administrator- og operatørlog (A.12.4.3)
  • Informationssikkerhedspolitik for leverandørforhold (A.15.1.1)
  • Proces for håndtering af informationssikkerhedsbrud ( A.16.1.5)
  • Implementering af informationssikkerhedskontinuitet (A.17.1.2)
  • Identifikation af gældende lovgivning og kontraktkrav (A.18.1.1)

Form- og proceskrav for dokumentation

Følgende form- og proceskrav gælder for dokumentationen:

  • Oprettelse og opdatering af dokumenter skal være styret.
    Det indebærer, at der skal være:
    • Fastsat en navngivningsstandard
    • besluttet konkrete dokument-metadata
    • besluttet accepterede filformater.
  • Der skal være en proces for review og godkendelse af dokumentationen.
  • Der skal være et revisionsspor for ændringer.

Kontrolleret dokumentation

Dokumentationen skal endvidere være kontrolleret, hvilket betyder:

  • Det skal være nemt tilgængeligt for autoriserede brugere
  • Det skal beskyttes mod uautoriserede brugere
  • Lagringssted, -medier og -metode skal besluttes for såvel digital som papirbåren dokumentation
  • Opbevaringsperiode og sletteprocedurer skal være fastlagt.