Wie viele Ebenen braucht meine Dokumentenhierarchie?

Vier Ebenen haben sich bewährt: Informationssicherheitsrichtlinie ganz oben, darunter themenspezifische Richtlinien (Zugriffskontrolle, Kryptographie usw.), dann Management-Dokumente (Risikoregister, Audit-Programm, Massnahmenplan) und zuunterst operative Aufzeichnungen (Incident-Berichte, Schulungsnachweise, Ticket-Protokolle). Die Vorlage bildet genau diese Struktur ab.

Muss wirklich die Geschäftsleitung jede Richtlinie freigeben?

Die übergeordnete Informationssicherheitsrichtlinie: ja, das verlangt ISO 27001 Clause 5.2 explizit. Themenspezifische Richtlinien dürfen von der jeweils fachlich zuständigen Führungsebene freigegeben werden — etwa der IT-Leitung für die IT-Betriebsrichtlinie. Wichtig ist, dass die freigebende Person dokumentiert ist und die nötige Kompetenz hat.

Wie oft müssen Richtlinien überprüft werden?

Mindestens jährlich. Zusätzlich bei wesentlichen Änderungen der Geschäftsstrategie, des regulatorischen Umfelds, der technischen Infrastruktur oder nach Sicherheitsvorfällen, die Lücken in der Dokumentation aufgedeckt haben. Die Vorlage listet sechs konkrete Auslöser auf.

Was mache ich mit veralteten Dokumenten?

Veraltete Versionen werden als obsolet markiert, bleiben aber im Versionsarchiv sichtbar. Das ist wichtig für den Audit-Trail — Auditor:innen wollen nachvollziehen können, welche Fassung zu einem bestimmten Zeitpunkt galt. Löschen ist keine Option, solange gesetzliche Aufbewahrungsfristen laufen.

Brauche ich für jede Betriebsanweisung ein eigenes Dokument?

A 5.37 verlangt dokumentierte Betriebsverfahren für standardisierte, seltene und risikokritische Tätigkeiten. Das heisst: Wenn mehrere Personen eine Aufgabe ausführen und Konsistenz wichtig ist, brauchst du ein dokumentiertes Verfahren. Ein einzelnes Betriebshandbuch kann mehrere Verfahren bündeln — solange jedes klar abgegrenzt, versioniert und einer verantwortlichen Rolle zugeordnet ist.

ISMS-Governance-Richtlinie

Die ISMS-Governance-Richtlinie regelt, wie alle ISMS-Dokumente erstellt, freigegeben, verteilt, überprüft und archiviert werden. Ohne dieses Dokument fehlt dem gesamten Managementsystem die nachvollziehbare Grundlage — und im Audit steht Aussage gegen Aussage.

Drei Annex-A-Controls bilden das Fundament: A 5.1 (Informationssicherheitsrichtlinien), A 5.36 (Einhaltung von Richtlinien) und A 5.37 (dokumentierte Betriebsverfahren). BSI IT-Grundschutz verlangt in ISMS.1.A3 eine Leitlinie zur Informationssicherheit, in ORP.1.A1 klare Zuständigkeiten und Regelungen, in ISMS.1.A11 die Aufrechterhaltung der Informationssicherheit und in DER.3.1 ein strukturiertes Audit-Programm. Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.

Vier-Ebenen-Hierarchie. Informationssicherheitsrichtlinie an der Spitze, themenspezifische Richtlinien darunter, Management-Dokumente (Risikoregister, Audit-Programm) auf der dritten Ebene, operative Aufzeichnungen zuunterst.
Jedes Dokument hat einen Eigentümer, eine freigebende Stelle und einen definierten Review-Zyklus. Mindestens jährliche Überprüfung, zusätzlich bei wesentlichen Änderungen.
Freigabe-Workflow: Entwurf → fachliche Prüfung → Freigabe durch die zuständige Führungsebene → Veröffentlichung → Kenntnisnahmebestätigung durch alle betroffenen Personen.
Versionskontrolle stellt sicher, dass immer die aktuelle Fassung gilt. Veraltete Versionen bleiben im Archiv sichtbar.
Compliance-Monitoring erfolgt über interne Audits, Management Reviews und operative Kennzahlen aus Tickets, Vorfallberichten und Schwachstellenmanagement.

Worum geht es konkret?

Jedes ISMS produziert Dokumente: Richtlinien, Verfahrensbeschreibungen, Risikoregister, Audit-Berichte, Schulungsnachweise, Incident-Protokolle. Die ISMS-Governance-Richtlinie definiert die Spielregeln für diesen gesamten Dokumentenbestand — von der Erstellung über die Freigabe bis zur Archivierung und schliesslich der Aussonderung.

In der Praxis sieht das ohne klare Regeln so aus: Drei Versionen derselben Richtlinie kursieren gleichzeitig, niemand weiss, welche aktuell ist. Die Geschäftsleitung hat Version 1.0 unterschrieben, aber die IT arbeitet längst mit einem informellen Update. Im Audit fehlt der Nachweis, dass Mitarbeitende die aktuelle Fassung überhaupt kennen.

Die Dokumentenhierarchie schafft Ordnung. An der Spitze steht die übergeordnete Informationssicherheitsrichtlinie mit den strategischen Leitaussagen. Darunter folgen themenspezifische Richtlinien (Zugriffskontrolle, Kryptographie, physische Sicherheit usw.), die jeweils einen Sicherheitsbereich detailliert regeln. Auf der dritten Ebene liegen Management-Dokumente wie das Risikoregister, der Massnahmenplan, das Audit-Programm und die Informationssicherheitsziele. Zuunterst stehen die operativen Aufzeichnungen — alles, was im Tagesbetrieb entsteht: Incident-Berichte, Schulungsnachweise, Change-Tickets, Protokolle aus Management Reviews.

Warum ist sie so wichtig?

Grundlage für jede andere Richtlinie. Die Dokumentenlenkung legt fest, wie Richtlinien entstehen, freigegeben, kommuniziert und überprüft werden. Alle anderen Richtlinien im ISMS — von Zugriffskontrolle bis Kryptographie — setzen diesen Rahmen voraus. Wenn die Dokumentenlenkung fehlt oder schwach ist, fehlt jeder einzelnen Richtlinie die formale Legitimation.

Audit-Relevanz in jedem Zertifizierungsaudit. Auditor:innen beginnen häufig mit der Dokumentenlenkung, weil sie von dort aus die Konsistenz des gesamten ISMS beurteilen können. Sind Richtlinien aktuell? Gibt es Freigabenachweise? Können Mitarbeitende bestätigen, dass sie die Richtlinien kennen? Diese Fragen zielen direkt auf A 5.1 und A 5.36.

Operative Konsistenz durch A 5.37. Dokumentierte Betriebsverfahren sorgen dafür, dass kritische Tätigkeiten von verschiedenen Personen auf die gleiche Weise ausgeführt werden. Backup-Prozeduren, Incident-Response-Abläufe, System-Neustart nach Ausfällen — all das muss nachvollziehbar dokumentiert sein, damit es im Ernstfall auch unter Druck funktioniert.

Was gehört in die Richtlinie?

Die Vorlage deckt fünf Kernbereiche ab:

Informationssicherheitsrichtlinien (A 5.1) — Dokumentenhierarchie, Inhalt und Struktur der übergeordneten Richtlinie, Freigabe durch die Geschäftsleitung, Review-Zyklen und Auslöser, Kommunikation und Kenntnisnahmebestätigung, Ausnahmeregelungen
Compliance-Monitoring (A 5.36) — Überprüfung durch interne Audits und Management Reviews, Dokumentationsregister mit Statusverfolgung, Umgang mit Abweichungen (Ursachenanalyse, Korrekturmassnahmen, Wirksamkeitsprüfung)
Dokumentierte Betriebsverfahren (A 5.37) — Wann ein dokumentiertes Verfahren erforderlich ist (standardisierte, seltene, risikokritische Tätigkeiten und Personalübergaben), Mindestinhalte pro Verfahren, Änderungsmanagement für Verfahren
Aufzeichnungen und Nachweise — Audit-Berichte, Incident-Protokolle, Schulungsnachweise, Management-Review-Protokolle, Risikobewertungen, Workflow-Aufzeichnungen, Bewertungsbelege, Kenntnisnahmebestätigungen
Aufbewahrung und veraltete Dokumente — Mindestaufbewahrungsfristen, Abgleich mit dem Rechtskataster und der Aufbewahrungsplanung, Kennzeichnung und Archivierung veralteter Versionen

So führst du die Richtlinie ein

01

Dokumentenlandkarte erstellen

Bevor du die Richtlinie schreibst, brauchst du einen Überblick über den Ist-Zustand. Welche Richtlinien, Verfahrensbeschreibungen und Aufzeichnungen existieren bereits? Wo liegen sie — im Wiki, auf einem Netzlaufwerk, in E-Mail-Anhängen? Wer hat sie zuletzt aktualisiert, und gibt es überhaupt einen Freigabenachweis? Diese Bestandsaufnahme zeigt dir, welche Dokumente fehlen, welche veraltet sind und wo die grössten Lücken liegen.
02

Dokumentenhierarchie und Rollen festlegen

Ordne jedes bestehende und geplante Dokument einer Ebene der Vierstufenhierarchie zu. Bestimme für jedes Dokument den Eigentümer (verantwortlich für Aktualität), die freigebende Stelle (Geschäftsleitung, Fachbereichsleitung oder ISB) und den Review-Zyklus. Das Ergebnis ist ein Dokumentationsregister — eine Tabelle mit Dokumentname, Ebene, Eigentümer, Freigeber, Version, letztem Review-Datum und nächstem Review-Termin.
03

Vorlage anpassen

Unsere Vorlage enthält Platzhalter wie [IHR_ORGANISATIONSNAME] und [RICHTLINIEN_EIGENTÜMER_ROLLE]. Ersetze sie. Prüfe die sechs Review-Auslöser und streiche diejenigen, die in deinem Kontext irrelevant sind — oder ergänze branchenspezifische Auslöser. Die Aufbewahrungsfristen müssen mit dem Rechtskataster abgeglichen werden; die Vorlage setzt Mindestfristen, aber gesetzliche Vorgaben (z.B. HGB §257, AO §147) haben Vorrang.
04

Freigabe und Kommunikation

Die übergeordnete Informationssicherheitsrichtlinie wird von der Geschäftsleitung freigegeben. Für die ISMS-Governance-Richtlinie selbst ist typischerweise die ISB-Rolle zuständig. Nach der Freigabe kommunizierst du die Richtlinie an alle betroffenen Personen — mit der Aufforderung zur Kenntnisnahmebestätigung. Schulungstermine für Dokumenteneigentümer einplanen: Sie müssen wissen, wie der Freigabe- und Review-Prozess funktioniert.
05

Review-Zyklus und Compliance-Monitoring operationalisieren

Trage die Review-Termine aller Dokumente in einen zentralen Kalender ein. Definiere, wie Abweichungen erkannt und behandelt werden: Wer prüft die Einhaltung? Wie werden Korrekturmassnahmen dokumentiert und nachverfolgt? Die Richtlinie definiert das Rahmenwerk — jetzt brauchst du den operativen Unterbau, der sicherstellt, dass Reviews tatsächlich stattfinden und Ergebnisse in den nächsten Audit-Zyklus einfliessen.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Richtlinien ohne Freigabenachweis. Das Dokument existiert, aber niemand kann belegen, wann und von wem es freigegeben wurde. Im Audit fehlt damit der Nachweis, dass die Geschäftsleitung oder die zuständige Führungsebene den Inhalt autorisiert hat. Ein Freigabevermerk mit Datum, Name und Rolle gehört in jedes Dokument.

2. Veraltete Versionen im Umlauf. Die aktuelle Richtlinie liegt im Wiki, aber drei Abteilungen arbeiten mit einer PDF-Kopie von vor zwei Jahren. Ohne zentrale Verteilung und Versionskontrolle ist das unvermeidlich. Die Lösung: ein einziger, verbindlicher Ablageort mit automatischer Benachrichtigung bei neuen Versionen.

3. Reviews, die nur auf dem Papier stattfinden. Die Richtlinie sagt „jährlicher Review”, aber das Review-Protokoll besteht aus einem Häkchen neben dem Datum. Auditor:innen erwarten Nachweise, dass der Inhalt tatsächlich geprüft und bei Bedarf aktualisiert wurde — also Review-Kommentare, Änderungshistorie oder zumindest ein dokumentiertes Ergebnis „keine Änderung erforderlich, weil XY”.

4. Fehlende Kenntnisnahmebestätigungen. Die Richtlinie wurde veröffentlicht, aber es gibt keinen Nachweis, dass die betroffenen Personen sie gelesen und zur Kenntnis genommen haben. Besonders problematisch bei neuen Mitarbeitenden, deren Onboarding-Prozess keine Richtlinienbestätigung vorsieht.

5. Betriebsverfahren existieren nur in den Köpfen. Backup-Prozeduren, Incident-Response-Abläufe, System-Neustart-Sequenzen — all das wird mündlich weitergegeben. Solange die eine Person verfügbar ist, die den Ablauf kennt, funktioniert es. Sobald sie ausfällt, fehlt jede Grundlage. A 5.37 existiert genau für diesen Fall.

Vorlage: ISMS-Governance-Richtlinie

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A:

A 5.1 — Informationssicherheitsrichtlinien
A 5.36 — Einhaltung von Richtlinien, Regeln und Standards für Informationssicherheit
A 5.37 — Dokumentierte Betriebsverfahren

BSI IT-Grundschutz:

ISMS.1.A3 (Informationssicherheitsrichtlinie)
ORP.1.A1 (Zuständigkeiten und Regelungen)
ISMS.1.A11 (Aufrechterhaltung der Informationssicherheit)
DER.3.1 (Audits und Revisionen)
OPS.1.1.1.A3 (Betriebshandbücher)
OPS.1.1.1.A7 (Ordnungsgemäßer IT-Betrieb)

Weitere jurisdiktionsspezifische Gesetze und Vorschriften — insbesondere Aufbewahrungsvorschriften (z. B. HGB §257, AO §147) und Datenschutzrecht — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt den Rahmen für die Erstellung, Genehmigung, Verteilung, Überprüfung und Pflege aller dokumentierten Informationen innerhalb des Informationssicherheitsmanagementsystems (ISMS) von [IHR_ORGANISATIONSNAME] fest. Sie stellt sicher, dass Richtlinien, Verfahren, Aufzeichnungen und andere dokumentierte Informationen kontrolliert, aktuell, zugänglich und nachverfolgbar sind.

Die Richtlinie gilt für alle ISMS-Dokumentation. Die Dokumentenhierarchie besteht aus der Informationssicherheitsrichtlinie und der Risikomanagement-Richtlinie an der Spitze, gefolgt von themenspezifischen Richtlinien, die einzelne Sicherheitsbereiche abdecken, unterstützenden Management-Dokumenten (Asset-Management, Register für Korrekturmaßnahmen und Verbesserungen, Informationssicherheitsziele, Interessengruppen-Register, Kommunikationsplan, Internes Auditprogramm, Auditplan) und operativen Aufzeichnungen aus dem Tagesbetrieb. Alle Personen, die ISMS-Dokumentation erstellen, überprüfen, genehmigen oder pflegen, unterliegen dieser Richtlinie.

3. Informationssicherheitsrichtlinien (A 5.1)

Die Informationssicherheitsrichtlinie und alle themenspezifischen Richtlinien werden definiert, von der Geschäftsleitung genehmigt, veröffentlicht, an relevante Personen und interessierte Parteien kommuniziert, von den Empfängern bestätigt und in geplanten Abständen sowie bei wesentlichen Änderungen überprüft. Das Richtlinien-Rahmenwerk ist als Dokumentenhierarchie mit klarer Eigentümerschaft, Genehmigungsbefugnis und Überprüfungsverantwortung auf jeder Ebene strukturiert.

3.1 Grundsätze der Richtlinie

Die Informationssicherheitsrichtlinie berücksichtigt folgende Eingaben:

Geschäftsstrategie & Anforderungen: Die Informationssicherheitsrichtlinie spiegelt die aktuelle Geschäftsstrategie, operative Ziele und kommerzielle Anforderungen wider. Sicherheitsmaßnahmen sind an Geschäftsprioritäten und Ressourcenbeschränkungen ausgerichtet.
Vorschriften, Gesetze & Verträge: Die Richtlinie berücksichtigt alle geltenden regulatorischen, gesetzlichen und vertraglichen Anforderungen. Ein Rechtsregister wird gepflegt und referenziert, um die laufende Compliance sicherzustellen.
Aktuelle & projizierte Risiken: Die Richtlinie berücksichtigt sowohl aktuelle, durch Risikobewertung identifizierte Informationssicherheitsrisiken als auch projizierte Bedrohungen aus Threat Intelligence und Branchentrendanalysen.

3.2 Inhaltliche Anforderungen

Die Informationssicherheitsrichtlinie enthält folgende Elemente:

Definition der Informationssicherheit: Die Richtlinie liefert eine klare, organisationsspezifische Definition der Informationssicherheit, die den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten umfasst.
Zielrahmen: Die Richtlinie etabliert einen Rahmen für die Festlegung messbarer Informationssicherheitsziele, die jährlich überprüft und an Risikobeurteilungsergebnissen ausgerichtet werden.
Leitprinzipien: Kernprinzipien, die alle Informationssicherheitsaktivitäten leiten, werden benannt: risikobasierte Entscheidungsfindung, Defence in Depth, minimale Rechte, Funktionstrennung und fortlaufende Verbesserung.
Verpflichtung zur Einhaltung von Anforderungen: Die Richtlinie enthält eine ausdrückliche Verpflichtung zur Erfüllung aller geltenden rechtlichen, regulatorischen, vertraglichen und selbst auferlegten Anforderungen im Zusammenhang mit der Informationssicherheit.
Verpflichtung zur fortlaufenden Verbesserung: Die Richtlinie enthält eine Verpflichtung zur fortlaufenden Verbesserung des ISMS durch den Plan-Do-Check-Act-Zyklus.
Rollenzuweisungen: Verantwortlichkeiten für das Informationssicherheitsmanagement werden definierten Rollen zugewiesen. Die RACI-Matrix dokumentiert Zuständigkeit, Verantwortlichkeit, Beratung und Informationsflüsse für jede ISMS-Aktivität.
Ausnahmen: Ein formaler Ausnahmeprozess ist vorgesehen. Jeder Ausnahmeantrag erfasst die betroffene Richtlinie oder Maßnahme, die Begründung, eine Risikoanalyse, kompensierende Maßnahmen und ein Ablaufdatum. Der zuständige Risikoeigentümer wird zur Stellungnahme konsultiert, die/der Informationssicherheitsbeauftragte ist jedoch die alleinige formale Genehmigungsinstanz, um einen einzigen zurechenbaren Entscheidungspunkt sicherzustellen. Ausnahmen werden während ihrer Gültigkeit überwacht und bei Ablauf oder früher geschlossen.

3.3 Dokumentenhierarchie & themenspezifische Richtlinien

Die Informationssicherheitsrichtlinie wird durch themenspezifische Richtlinien unterstützt, die detaillierte Anforderungen für jeden Sicherheitsbereich bereitstellen. Mehrere verwandte Bereiche werden in konsolidierten Richtlinien behandelt: Vorfallmanagement, technische Schwachstellen, Änderungsmanagement und Lieferantenprüfungen werden von der Security-Operations-Richtlinie abgedeckt; Backup, Netzwerk, Protokollierung, Überwachung und operativer IT-Betrieb sind in der IT-Betriebsrichtlinie zusammengefasst. Asset-Management wird in einem Asset-Management-Register dokumentiert statt als eigene themenspezifische Richtlinie. Folgende Themen liegen im Geltungsbereich des Richtlinien-Rahmenwerks:

Zugriffskontrolle
Physische und umgebungsbezogene Sicherheit
Asset-Management
Informationsübertragung
Sichere Konfiguration und Handhabung von Benutzerendgeräten
Netzwerksicherheit
Informationssicherheits-Vorfallmanagement
Datensicherung
Kryptographie und Schlüsselmanagement
Informationsklassifizierung und -handhabung
Verwaltung technischer Schwachstellen
Sichere Entwicklung

Zusätzliche themenspezifische Richtlinien decken Personalsicherheit, Telearbeit, Lieferantensicherheit, Geschäftskontinuität, sicheres Projektmanagement, Datenschutz, geistiges Eigentum, Konfigurationsmanagement und Risikomanagement ab. Jede themenspezifische Richtlinie verweist auf die anwendbaren ISO-27001-Anhang-A-Maßnahmen und BSI-IT-Grundschutz-Bausteine.

3.4 Genehmigung & Autorisierung

Informationssicherheitsrichtlinie: Die übergeordnete Informationssicherheitsrichtlinie und alle Änderungen daran werden vor Veröffentlichung von der Geschäftsleitung genehmigt.
Themenspezifische Richtlinien: Jede themenspezifische Richtlinie wird auf der angemessenen Managementebene mit der für den jeweiligen Bereich zuständigen Befugnis und technischen Kompetenz genehmigt. Die genehmigende Person wird in den Richtlinien-Metadaten dokumentiert.

3.5 Überprüfung & Aktualisierung

Richtlinien werden mindestens jährlich sowie bei bestimmten Ereignissen überprüft. Die Überprüfungsverantwortung wird Personen mit angemessener Befugnis und technischer Kompetenz für den Richtlinienbereich übertragen.

Auslöser für Überprüfungen:

Änderungen der Geschäftsstrategie: Wenn sich die Geschäftsstrategie, Ziele oder das Betriebsmodell der Organisation wesentlich ändern.
Änderungen der technischen Umgebung: Wenn neue Technologien, Plattformen oder Architekturen eingeführt werden oder bestehende Systeme größere Änderungen erfahren.
Regulatorische Änderungen: Wenn sich geltende Gesetze, Vorschriften oder vertragliche Verpflichtungen ändern.
Änderungen der Risikolandschaft: Wenn neue Informationssicherheitsrisiken identifiziert werden oder sich die Schwere bestehender Risiken wesentlich ändert.
Änderungen der Bedrohungslandschaft: Wenn sich die Bedrohungslandschaft weiterentwickelt, einschließlich aufkommender Angriffstechniken, neuer Bedrohungsakteure oder branchenspezifischer Advisories.
Lessons Learned: Wenn Informationssicherheitsereignisse oder -vorfälle Lücken in der Richtlinienabdeckung oder -wirksamkeit aufdecken.

Eingaben für die Überprüfung:

Ergebnisse der Managementbewertung: Entscheidungen und Maßnahmen aus Managementbewertungen, die den Richtlinieninhalt oder -umfang betreffen.
Audit-Feststellungen: Ergebnisse interner und externer Audits, die Richtlinienlücken, Mehrdeutigkeiten oder Verstöße identifizieren.
Aktualisierungen verwandter Richtlinien: Änderungen an anderen ISMS-Richtlinien, die Abhängigkeiten oder Konflikte mit der zu überprüfenden Richtlinie erzeugen.

3.6 Kommunikation & Bestätigung

Richtlinien werden an alle relevanten Personen und interessierten Parteien in einer für das Zielpublikum zugänglichen und verständlichen Form kommuniziert. Empfänger sind verpflichtet, zu bestätigen, dass sie die geltenden Richtlinien gelesen, verstanden und zur Einhaltung zugestimmt haben. Folgende Kommunikationsmethoden werden verwendet:

Digitale Verteilung & Bestätigung: Richtlinien werden elektronisch verteilt und über einen Richtlinien-Bestätigungsmechanismus mit auditfähigen Nachweisen signiert (z. B. eIDAS-konforme Signaturen mit OTP-Verifizierung, Dokumenten-Hash und Audit-Trail). Signierte Bestätigungen werden als Richtlinien-Bestätigungsaufzeichnungen aufbewahrt und mit dem Onboarding-Prozess verknüpft, sodass jede neue beschäftigte Person die anwendbaren Richtlinien während des Onboardings bestätigt.
Briefings & Meetings: Wesentliche Richtlinienänderungen werden in Team-Meetings, Onboarding-Sitzungen und jährlichen Sensibilisierungs-Briefings kommuniziert. Anwesenheitslisten dienen als Bestätigungsnachweis für meetingbasierte Kommunikation.

4. Einhaltung von Richtlinien, Regeln & Standards (A 5.36)

Die Einhaltung der Informationssicherheitsrichtlinie, themenspezifischer Richtlinien, Regeln und Standards wird primär durch interne Audits und Managementbewertungen verifiziert. Richtlinienvollständigkeit, Genehmigungsstatus und fristgerechte Überprüfung werden über ein Dokumentationsregister nachverfolgt, das fehlende Genehmigungen, veraltete Versionen und Sprachlücken kennzeichnet. Ob die Regeln im Tagesbetrieb tatsächlich gelebt werden, wird durch manuelle Überprüfung während interner Audits und Managementbewertungen bewertet, unterstützt durch Kennzahlen aus operativen Tickets, Vorfallaufzeichnungen und Schwachstellenmanagement. Die Compliance-Verifizierung stützt sich auf die oben beschriebenen manuellen Überprüfungszyklen; eine automatisierte Messung der operativen Wirksamkeit über die Dokumentationsvollständigkeit hinaus wird nicht vorausgesetzt.

4.1 Reaktion bei Nichteinhaltung

Wenn infolge einer Compliance-Überprüfung eine Nichteinhaltung festgestellt wird, werden folgende Schritte durchgeführt:

Grundursachenanalyse: Bei Feststellung einer Nichteinhaltung werden die Ursachen untersucht, um festzustellen, ob das Problem auf eine Richtlinienlücke, einen Prozessfehler, ein Schulungsdefizit, eine Ressourcenbeschränkung oder vorsätzliche Missachtung zurückzuführen ist.
Planung von Korrekturmaßnahmen: Der Bedarf an Korrekturmaßnahmen wird auf Grundlage der Schwere, des Umfangs und der Risikoauswirkung der Nichteinhaltung bewertet. Korrekturmaßnahmen werden mit verantwortlichen Eigentümern, Zeitplänen und erwarteten Ergebnissen dokumentiert.
Umsetzung von Korrekturmaßnahmen: Angemessene Korrekturmaßnahmen werden umgesetzt, um die Grundursache zu adressieren und ein Wiederauftreten zu verhindern. Maßnahmen reichen von Prozessanpassungen und zusätzlichen Schulungen bis zu technischer Behebung und Richtlinienklarstellung.
Wirksamkeitsüberprüfung: Korrekturmaßnahmen werden überprüft, um ihre Wirksamkeit zu verifizieren und verbleibende Defizite oder Schwächen zu identifizieren. Die Verifizierung erfolgt nach einer definierten Zeit und wird mit Nachweisen dokumentiert.

Ergebnisse von Compliance-Überprüfungen und alle Korrekturmaßnahmen werden als dokumentierte Informationen erfasst und aufbewahrt. Führungskräfte berichten diese Ergebnisse an die Personen, die unabhängige Überprüfungen (interne Audits) durchführen, wenn solche Überprüfungen in ihrem Verantwortungsbereich stattfinden. Korrekturmaßnahmen werden rechtzeitig in einer dem Risiko angemessenen Weise abgeschlossen. Wird eine Korrekturmaßnahme bis zur nächsten geplanten Überprüfung nicht abgeschlossen, wird der Fortschritt dokumentiert und bei dieser Überprüfung behandelt.

5. Dokumentierte Betriebsverfahren (A 5.37)

Betriebsverfahren für informationsverarbeitende Einrichtungen werden in Betriebshandbüchern dokumentiert und allen Personen zur Verfügung gestellt, die sie benötigen. Verfahren stellen den korrekten, konsistenten und sicheren Betrieb von Informationsverarbeitungssystemen sicher.

5.1 Wann Verfahren erforderlich sind

Dokumentierte Betriebsverfahren werden für folgende Situationen erstellt:

Standardisierte Aktivitäten: Aktivitäten, die von mehreren Personen durchgeführt werden und konsistent ausgeführt werden müssen, folgen dokumentierten Verfahren, um eine einheitliche Ausführung sicherzustellen und Abweichungen zu verhindern.
Selten durchgeführte Aktivitäten: Selten durchgeführte Aktivitäten werden dokumentiert, damit das korrekte Verfahren verfügbar ist, wenn die Aktivität das nächste Mal erforderlich ist, auch wenn die ursprünglich ausführende Person nicht mehr verfügbar ist.
Risikokritische Aktivitäten: Neue Aktivitäten oder Änderungen an bestehenden Aktivitäten, die bei fehlerhafter Ausführung ein Risiko darstellen, werden vor der ersten Ausführung dokumentiert. Die Dokumentation umfasst Voraussetzungen, schrittweise Anweisungen und Verifizierungsprüfungen.
Personalübergaben: Wenn Aktivitäten an neues Personal übertragen werden, stellen dokumentierte Verfahren die Wissenskontinuität und konsistente Ausführung während der Übergangsphase sicher.

5.2 Inhaltliche Anforderungen an Verfahren

Jedes Betriebsverfahren spezifiziert die folgenden Elemente, soweit zutreffend:

Verantwortliche Personen: Jedes Verfahren identifiziert die verantwortliche Person oder Rolle, einschließlich erforderlicher Kompetenzen und Berechtigungsebene.
Installation & Konfiguration: Verfahren zur sicheren Installation und Konfiguration von Systemen dokumentieren Baseline-Einstellungen, Härtungsanforderungen und Verifizierungsschritte.
Informationsverarbeitung: Sowohl automatisierte als auch manuelle Verarbeitung und Handhabung von Informationen folgt dokumentierten Verfahren, die Eingabevalidierung, Verarbeitungsschritte und Ausgabeverifizierung spezifizieren.
Backup & Resilienz: Backup-Verfahren definieren Umfang, Zeitplan, Methode, Speicherorte und Wiederherstellungs-Testanforderungen. Resilienzverfahren adressieren Failover- und Wiederherstellungsschritte.
Zeitplanung & Abhängigkeiten: Verfahren spezifizieren Zeitplan-Anforderungen und dokumentieren Interdependenzen mit anderen Systemen, einschließlich der Reihenfolge von Operationen und zeitlicher Einschränkungen.
Fehlerbehandlung: Anweisungen zur Behandlung von Fehlern, Ausnahmen und unerwarteten Bedingungen umfassen Diagnoseschritte, Eskalationswege und Wiederherstellungsverfahren.
Support- & Eskalationskontakte: Jedes Verfahren listet interne Support-Kontakte und externe Support-Kontakte (Hersteller, Dienstleister) mit Eskalationspfaden für unerwartete Betriebsprobleme auf.
Handhabung von Speichermedien: Verfahren zur Handhabung von Speichermedien decken klassifizierungsangemessene Speicherung, Transport, Löschung und Entsorgung ab.
Systemneustart & -wiederherstellung: Wiederherstellungsverfahren für Systemausfälle dokumentieren die Neustartsequenz, Integritätsprüfungen, Datenverifizierungsschritte und Bestätigung der Dienstwiederherstellung.
Audit Trail & Log-Management: Verfahren zur Verwaltung von Audit Trails, Systemlogs und Überwachungsaufzeichnungen definieren Aufbewahrungsfristen, Zugriffskontrollen, Integritätsschutz und Archivierungsmethoden.
Überwachungsverfahren: Kapazitäts-, Leistungs- und Sicherheitsüberwachungsverfahren spezifizieren, was überwacht wird, die verwendeten Überwachungstools, Schwellenwertdefinitionen, Warnregeln und Reaktionsmaßnahmen.
Wartungsanweisungen: Geplante und ad-hoc Wartungsverfahren umfassen Prüfungen vor der Wartung, Wartungsfenster, Änderungsgenehmigungsanforderungen, Rollback-Pläne und Verifizierung nach der Wartung.

Dokumentierte Betriebsverfahren werden bei Bedarf überprüft und aktualisiert. Änderungen an Verfahren werden von der verantwortlichen Person oder Rolle autorisiert. Wo technisch machbar, werden Informationssysteme konsistent mit denselben Verfahren, Werkzeugen und Dienstprogrammen verwaltet, um Konfigurationsdrift und Bedienfehler zu reduzieren.

5.3 Aufzeichnungen & Nachweise

Aufzeichnungen, die durch ISMS-Prozesse erzeugt werden, werden als dokumentierte Informationen aufbewahrt, um den Nachweis der Konformität und des wirksamen Betriebs zu erbringen. Folgende Kategorien von Aufzeichnungen werden verwaltet:

Audit-Aufzeichnungen: Interne Auditberichte werden auf Grundlage des Internen Auditprogramms als Aufzeichnungen zu jedem Audit-Ereignis erstellt. Externe Auditberichte (Zertifizierungsaudits, Audits Dritter, Kundenaudits) werden mit Auditor, Rahmenwerk, Auditzeitraum, Feststellungen nach Schweregrad, Zertifikatsdetails und Executive Summary dokumentiert. Aus Audits resultierende Korrekturmaßnahmen werden im Register für Korrekturmaßnahmen und Verbesserungen nachverfolgt.
Vorfallaufzeichnungen: Sicherheitsvorfallberichte, Untersuchungsergebnisse, Beweismittel mit Chain of Custody und Post-Mortem-Analysen werden durch den Vorfallmanagementprozess gepflegt.
Schulungsaufzeichnungen: Der Schulungsabschluss wird pro Benutzer erfasst, einschließlich Modul, Abschlussdatum, Punktzahl und Dauer. Diese Aufzeichnungen dienen als Schulungsnachweis; die Kompetenz wird durch Bewertungen am Ende jedes Schulungsmoduls überprüft.
Aufzeichnungen zur Managementbewertung: Managementbewertungs-Meetings erfassen Protokolle, Entscheidungen, Maßnahmen, KPI-Snapshots und Folgestatus.
Risikoaufzeichnungen: Risikobeurteilungen, Behandlungspläne und Restrisiko-Akzeptanzen werden im Risikoregister geführt. Zeitpunktbezogene Snapshots des Risikoregisters werden bei jeder Managementbewertung und jedem internen Audit-Zyklus erstellt.
Workflow-Aufzeichnungen: Abgeschlossene operative Tickets dienen als Genehmigungs- und Änderungsaufzeichnungen. Insbesondere erfassen Change-Management-Tickets die Änderungsanforderung, Auswirkungsanalyse, Genehmigung, Umsetzungsnachweise und Post-Implementation-Notizen als strukturierte Aufzeichnungen. Tickets werden als dokumentierte Informationen aufbewahrt und auf Anfrage für Audits zur Verfügung gestellt.
Bewertungsaufzeichnungen: Ausgefüllte Checklisten, Selbstbewertungen und Antworten (einschließlich Bewertungen von Heimarbeitsplätzen, Projekt-Sicherheitsbewertungen und Stilllegungs-Checklisten).
Richtlinien-Bestätigungsaufzeichnungen: Signierte Richtlinien-Bestätigungen, die über den Bestätigungsmechanismus erzeugt wurden (siehe Abschnitt 3.6).

5.4 Aufbewahrung & veraltete Dokumente

Dokumente und Aufzeichnungen werden für einen Mindestzeitraum aufbewahrt, der den geltenden gesetzlichen, regulatorischen und vertraglichen Anforderungen entspricht. Die Standard-Aufbewahrungsfristen werden gegen das Rechtsregister und den Datenaufbewahrungsplan geprüft; längere gesetzliche Fristen haben Vorrang, sofern sie gelten. Aufbewahrte Dokumente und Aufzeichnungen bleiben auch nach Kennzeichnung als obsolet für Audits und historische Referenzzwecke abrufbar.

Veraltete Versionen werden zudem explizit von Dokumenteigentümern gekennzeichnet, wenn eine neuere genehmigte Version die vorherige ersetzt. Neuere genehmigte Versionen haben in der Dokumentationsansicht Vorrang. Veraltete Versionen bleiben in der Versionshistorie sichtbar, damit der Audit Trail erhalten bleibt.

6. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt die Informationssicherheitsrichtlinie und stellt sicher, dass angemessene Ressourcen für Dokumentationsaktivitäten bereitgestellt werden. Trägt die Gesamtverantwortung für das ISMS-Dokumentations-Rahmenwerk.
Informationssicherheitsbeauftragte/r (ISB): Pflegt das Dokumentations-Rahmenwerk, koordiniert Richtlinienüberprüfungen, überwacht die Dokumentationsvollständigkeit und berichtet den Dokumentationsstatus an die Geschäftsleitung. Ist die alleinige formale Genehmigungsinstanz für Ausnahmeanträge.
Datenschutzbeauftragte/r (DSB): Überprüft die Dokumentation auf Datenschutzkonformität und berät zu Aufbewahrungsanforderungen für Aufzeichnungen mit personenbezogenen Daten.
Dokumenteigentümer: Jede Richtlinie und jedes Verfahren hat einen benannten Eigentümer, der für die Aktualität des Dokuments, die Einleitung von Überprüfungen und die Bearbeitung von Änderungsanträgen verantwortlich ist. Eigentümer stellen sicher, dass ihre Dokumente aktuelle Praktiken und Anforderungen widerspiegeln.
Prüfer & Genehmiger: Überprüfen Dokumente vor der Genehmigung auf Richtigkeit, Vollständigkeit und Konformität. Genehmiger autorisieren die Veröffentlichung neuer oder aktualisierter Dokumente.
Alle Beschäftigten & Auftragnehmer: Lesen, verstehen und bestätigen anwendbare Richtlinien und Verfahren. Melden Dokumentationslücken oder Ungenauigkeiten an den Dokumenteigentümer oder die/den Informationssicherheitsbeauftragte/n.

7. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Wenn sich das Dokumentations-Rahmenwerk oder die eingesetzten Werkzeuge wesentlich ändern.
Wenn Audit-Feststellungen Schwächen in der Dokumentenlenkung identifizieren.
Wenn neue regulatorische Anforderungen die Dokumentenaufbewahrung oder Lenkungsverfahren betreffen.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A:

A 5.1 — Policies for Information Security
A 5.36 — Compliance with Policies, Rules and Standards for Information Security
A 5.37 — Documented Operating Procedures

BSI IT-Grundschutz:

ISMS.1.A3 (Information Security Policy)
ORP.1.A1 (Responsibilities and Regulations)
ISMS.1.A11 (Maintaining Information Security)
DER.3.1 (Audits and Revisions)
OPS.1.1.1.A3 (Operational Handbooks)
OPS.1.1.1.A7 (Orderly IT Operations)

Additional jurisdiction-specific laws and regulations — in particular records retention law (e.g. German HGB §257, tax code §147) and data protection law — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes the framework for creating, approving, distributing, reviewing and maintaining all documented information within the Information Security Management System (ISMS) of [YOUR_ORGANISATION_NAME]. It ensures that policies, procedures, records and other documented information are controlled, current, accessible and traceable.

The policy applies to all ISMS documentation. The document hierarchy consists of the Information Security Policy and the Risk Management Policy at the top, followed by topic-specific policies covering individual security domains, supporting management documents (Asset Management, Corrective Actions & Improvement Register, Information Security Objectives, Stakeholder Register, Communication Plan, Internal Audit Programme, Audit Schedule) and operational records generated by day-to-day processes. All personnel responsible for creating, reviewing, approving or maintaining ISMS documentation are bound by this policy.

3. Information Security Policies (A 5.1)

The information security policy and all topic-specific policies are defined, approved by management, published, communicated to relevant personnel and interested parties, acknowledged by recipients, and reviewed at planned intervals and when significant changes occur. The policy framework is structured as a document hierarchy with clear ownership, approval authority and review responsibilities at each level.

3.1 Policy Considerations

The information security policy takes into consideration the following inputs:

Business Strategy & Requirements: The information security policy reflects the current business strategy, operational objectives and commercial requirements. Security controls are aligned with business priorities and resource constraints.
Regulations, Legislation & Contracts: The policy incorporates all applicable regulatory, statutory, legislative and contractual requirements. A legal register is maintained and referenced to ensure ongoing compliance.
Current & Projected Risks: The policy accounts for both current information security risks identified through risk assessment and projected threats derived from threat intelligence and industry trend analysis.

3.2 Policy Content Requirements

The information security policy contains the following elements:

Definition of Information Security: The policy provides a clear, organisation-specific definition of information security encompassing the protection of confidentiality, integrity and availability of information assets.
Objectives Framework: The policy establishes a framework for setting measurable information security objectives that are reviewed annually and aligned with the risk assessment results.
Guiding Principles: Core principles are stated that guide all information security activities: risk-based decision making, defence in depth, least privilege, separation of duties and continual improvement.
Commitment to Requirements: The policy includes an explicit commitment to satisfy all applicable legal, regulatory, contractual and self-imposed requirements related to information security.
Commitment to Continual Improvement: The policy includes a commitment to the continual improvement of the ISMS through the Plan-Do-Check-Act cycle.
Role Assignments: Responsibilities for information security management are assigned to defined roles. The RACI matrix documents accountability, responsibility, consultation and information flows for each ISMS activity.
Exemptions & Exceptions: A formal exemption request process is provided. Each exemption request captures the affected policy or control, justification, risk analysis, compensating controls and expiry date. The relevant risk owner is consulted for input, but the Information Security Officer is the sole formal approver to ensure a single accountable decision point. Exemptions are monitored during their validity and closed at expiry or earlier.

3.3 Document Hierarchy & Topic-Specific Policies

The Information Security Policy is supported by topic-specific policies that provide detailed requirements for each security domain. Several related domains are addressed in consolidated policies: incident management, technical vulnerabilities, change management and supplier reviews are covered by the Security Operations Policy; backup, networking, logging, monitoring and operational IT are combined in the IT Operations Policy. Asset management is documented in an Asset Management register rather than as a dedicated topic-specific policy. The following topics are in scope of the policy framework:

Access control
Physical and environmental security
Asset management
Information transfer
Secure configuration and handling of user endpoint devices
Networking security
Information security incident management
Backup
Cryptography and key management
Information classification and handling
Management of technical vulnerabilities
Secure development

Additional topic-specific policies cover human resource security, remote working, supplier security, business continuity, secure project management, data protection, intellectual property, configuration management and risk management. Each topic-specific policy references the applicable ISO 27001 Annex A controls and BSI IT-Grundschutz Bausteine.

3.4 Approval & Authorisation

Information Security Policy: The overarching information security policy and any amendments to it are approved by top management before publication.
Topic-Specific Policies: Each topic-specific policy is approved by the appropriate level of management with the authority and technical competency for the respective domain. The approver is documented in the policy metadata.

3.5 Review & Update

Policies are reviewed at least annually and additionally when triggered by specific events. Review responsibility is allocated to personnel with the appropriate authority and technical competency for the policy domain.

Review triggers:

Business Strategy Changes: When the organisation's business strategy, objectives or operating model change significantly.
Technical Environment Changes: When new technologies, platforms or architectures are introduced or existing systems undergo major changes.
Regulatory Changes: When applicable laws, regulations, statutes or contractual obligations change.
Risk Landscape Changes: When new information security risks are identified or the severity of existing risks changes materially.
Threat Environment Changes: When the threat landscape evolves, including emerging attack techniques, new threat actors or sector-specific advisories.
Lessons Learned: When information security events or incidents reveal gaps in policy coverage or effectiveness.

Review inputs:

Management Review Outputs: Decisions and action items from management reviews that affect policy content or scope.
Audit Findings: Internal and external audit results that identify policy gaps, ambiguities or non-compliance.
Related Policy Updates: Changes to other policies within the ISMS that create dependencies or conflicts with the policy under review.

3.6 Communication & Acknowledgement

Policies are communicated to all relevant personnel and interested parties in a form that is accessible and understandable to the intended audience. Recipients are required to acknowledge that they have read, understood and agree to comply with the applicable policies. The following communication methods are used:

Digital Distribution & Acknowledgement: Policies are distributed electronically and signed using a policy acknowledgement mechanism with auditable evidence (e.g. eIDAS-compliant signatures with one-time-password verification, document hash and audit trail). Signed acknowledgements are persisted as policy acknowledgement records and linked to the onboarding process so that every new employee acknowledges the applicable policies during onboarding.
Briefings & Meetings: Key policy changes are communicated in team meetings, onboarding sessions and annual awareness briefings. Attendance records serve as acknowledgement evidence for meeting-based communication.

4. Compliance with Policies, Rules & Standards (A 5.36)

Compliance with the information security policy, topic-specific policies, rules and standards is verified primarily through internal audits and management reviews. Policy completeness, approval status and review timeliness are tracked via a documentation register that flags missing approvals, outdated versions and language gaps. Whether the rules are actually lived in day-to-day operations is assessed through manual review during internal audits and management reviews, supported by metrics from operational tickets, incident records and vulnerability management. Compliance verification relies on the manual review cycles described above; automated measurement of operational control effectiveness beyond documentation completeness is not assumed.

4.1 Non-Compliance Response

When non-compliance is found as a result of a compliance review, the following steps are taken:

Root Cause Analysis: When non-compliance is identified, the causes are investigated to determine whether the issue stems from a policy gap, a process failure, a training deficiency, a resource constraint or wilful disregard.
Corrective Action Planning: The need for corrective action is evaluated based on the severity, scope and risk impact of the non-compliance. Corrective actions are documented with responsible owners, timelines and expected outcomes.
Corrective Action Implementation: Appropriate corrective actions are implemented to address the root cause and prevent recurrence. Actions range from process adjustments and additional training to technical remediation and policy clarification.
Effectiveness Verification: Corrective actions are reviewed to verify their effectiveness and to identify any remaining deficiencies or weaknesses. Verification is conducted after a defined period and documented with evidence.

Compliance review results and all corrective actions are recorded and retained as documented information. Managers report these results to the persons conducting independent reviews (internal audits) when such reviews take place in their area of responsibility. Corrective actions are completed in a timely manner appropriate to the risk. If a corrective action is not completed by the next scheduled review, progress is documented and addressed at that review.

5. Documented Operating Procedures (A 5.37)

Operating procedures for information processing facilities are documented in operational handbooks and made available to all personnel who need them. Procedures ensure the correct, consistent and secure operation of information processing systems.

5.1 When Procedures Are Required

Documented operating procedures are prepared for the following situations:

Standardised Activities: Activities that are performed by multiple people and need to be executed consistently follow documented procedures to ensure uniform execution and prevent deviations.
Infrequent Activities: Activities performed rarely are documented so that the correct procedure is available when the activity is next required, even if the original operator is no longer available.
Risk-Critical Activities: New activities or changes to existing activities that present a risk if performed incorrectly are documented before first execution. The documentation includes preconditions, step-by-step instructions and verification checks.
Personnel Handover: When activities are transferred to new personnel, documented procedures ensure continuity of knowledge and consistent execution during the transition period.

5.2 Procedure Content Requirements

Each operating procedure specifies the following elements as applicable:

Responsible Persons: Each procedure identifies the responsible person or role, including required competencies and authorisation level.
Installation & Configuration: Procedures for the secure installation and configuration of systems document baseline settings, hardening requirements and verification steps.
Information Processing: Both automated and manual processing and handling of information follow documented procedures that specify input validation, processing steps and output verification.
Backup & Resilience: Backup procedures define scope, schedule, method, storage locations and restoration testing requirements. Resilience procedures address failover and recovery steps.
Scheduling & Dependencies: Procedures specify scheduling requirements and document interdependencies with other systems, including the sequence of operations and timing constraints.
Error Handling: Instructions for handling errors, exceptions and unexpected conditions include diagnosis steps, escalation paths and recovery procedures.
Support & Escalation Contacts: Each procedure lists internal support contacts and external support contacts (vendors, service providers) with escalation paths for unexpected operational issues.
Storage Media Handling: Procedures for handling storage media cover classification-appropriate storage, transport, sanitisation and disposal requirements.
System Restart & Recovery: Recovery procedures for system failures document the restart sequence, integrity checks, data verification steps and service restoration confirmation.
Audit Trail & Log Management: Procedures for managing audit trails, system logs and monitoring records define retention periods, access controls, integrity protection and archival methods.
Monitoring Procedures: Capacity, performance and security monitoring procedures specify what is monitored, the monitoring tools used, threshold definitions, alerting rules and response actions.
Maintenance Instructions: Scheduled and ad-hoc maintenance procedures include pre-maintenance checks, maintenance windows, change approval requirements, rollback plans and post-maintenance verification.

Documented operating procedures are reviewed and updated when needed. Changes to procedures are authorised by the responsible person or role. Where technically feasible, information systems are managed consistently using the same procedures, tools and utilities to reduce configuration drift and operator error.

5.3 Records & Evidence

Records generated by ISMS processes are retained as documented information to provide evidence of conformity and effective operation. The following categories of records are managed:

Audit Records: Internal audit reports are created as records linked to each audit event, based on the Internal Audit Programme. External audit reports (certification audits, third-party audits, customer audits) are documented with auditor, framework, audit period, findings by severity, certificate details and executive summary. Corrective actions resulting from audits are tracked in the Corrective Actions & Improvement Register.
Incident Records: Security incident reports, investigation findings, evidence with chain of custody and post-mortem analyses are maintained by the incident management process.
Training Records: Training completion is captured per user, including module, completion date, score and duration. These records serve as training evidence; competence is verified through assessments at the end of each training module.
Management Review Records: Management review meetings capture minutes, decisions, action items, KPI snapshots and follow-up status.
Risk Records: Risk assessments, treatment plans and residual risk acceptances are maintained in the risk register. Point-in-time snapshots of the risk register are produced at each management review and internal audit cycle.
Workflow Records: Completed operational tickets serve as approval and change records. In particular, Change Management tickets capture the change request, impact assessment, approval, implementation evidence and post-implementation notes as structured records. Tickets are retained as documented information and made available for audits on request.
Assessment Records: Completed checklists, self-assessments and responses (including remote workplace assessments, project security assessments and decommissioning checklists).
Policy Acknowledgement Records: Signed policy acknowledgements produced via the acknowledgement mechanism (see Section 3.6).

5.4 Retention & Obsolete Documents

Documents and records are retained for a minimum period consistent with applicable statutory, regulatory and contractual requirements. The retention defaults are reviewed against the Legal Register and the data retention plan; longer statutory periods take precedence where they apply. Retained documents and records remain queryable for audit and historical reference even after being marked obsolete.

Obsolete versions are also marked explicitly by document owners when a newer approved version supersedes the previous one. Newer approved versions take precedence in the documentation view. Obsolete versions remain visible in the version history so that the audit trail is preserved.

6. Roles & Responsibilities

Top Management: Approves the Information Security Policy and ensures adequate resources are allocated for documentation activities. Bears overall accountability for the ISMS documentation framework.
Information Security Officer (ISO): Maintains the documentation framework, coordinates policy reviews, monitors document completeness and reports documentation status to management. Acts as the sole formal approver for exemption requests.
Data Protection Officer (DPO): Reviews documentation for data protection compliance and advises on retention requirements for records containing personal data.
Document Owners: Each policy and procedure has a designated owner responsible for keeping the document current, initiating reviews and processing change requests. Owners ensure their documents reflect current practices and requirements.
Reviewers & Approvers: Review documents for accuracy, completeness and compliance before approval. Approvers authorise publication of new or updated documents.
All Employees & Contractors: Read, understand and acknowledge applicable policies and procedures. Report documentation gaps or inaccuracies to the document owner or the Information Security Officer.

7. Review & Maintenance

This policy is reviewed:

At least annually, as part of the ISMS management review cycle.
When the documentation framework or tooling changes significantly.
When audit findings identify documentation control weaknesses.
When new regulatory requirements affect document retention or control procedures.

Quellen

ISO/IEC 27001:2022 Clause 7.5 — Anforderungen an dokumentierte Information
ISO/IEC 27002:2022 Abschnitte 5.1, 5.36 und 5.37 — die Controls hinter der Dokumentenlenkung
BSI IT-Grundschutz ISMS.1 — Sicherheitsmanagement, insbesondere A3 (Leitlinie) und A11 (Aufrechterhaltung)
BSI IT-Grundschutz DER.3.1 — Audits und Revisionen
BSI IT-Grundschutz ORP.1 — Organisation und Personal, insbesondere A1 (Zuständigkeiten und Regelungen)