Desuden konstaterer ISO 27001, at dokumentationsbehovet afhænger af den konkrete organisations størrelse, typer af aktiviteter, kompleksitet og modenhed.
Dokumentationen af ISMS’et er et centralt element i dets etablering og drift, om end ikke alt behøver at skulle dokumenteres.
Obligatorisk dokumentation i et ledelsessystem for informationssikkerhed
For at man kan sige, at man fuldt ud har implementeret et ledelsessystem for informationssikkerhed, er der en række obligatoriske dokumenter, som skal være udarbejdet, godkendte og tilgængelige for relevante interessenter.
Disse er (ISO reference):
- Omfang af ISMS’et (4.3)
- Informationssikkerhedspolitik, der indeholder målsætninger for informationssikkerhed (5.2, 6.2)
- Beskrivelse af roller, ansvar og beføjelser (5.3)
- Beskrivelse af risikovurderingsproces og risikohåndteringsproces (6.1.2, 6.1.3)
- Statement of Applicability – SoA (6.1.3d)
- Dokumentation af uddannelse, evner, erfaring og kvalifikationer (7.2)
- Risikovurderingsrapport (8.2)
- Risikohåndteringsplan (8.3)
- Beskrivelse af proces for måling af sikringsforanstaltningers effektivitet (9.1)
- Resultater af måling af sikringsforanstaltningers effektivitet (9.1)
- Beskrivelse af proces for interne audits (9.2)
- Programmer for interne audits (9.2)
- Dokumentation af ledelsen gennemgang af evaluering af informationssikkerheden og effekten af ISMS, afvigelser og opfølgende handlinger (9.3)
- Dokumentation af afvigelser, korrigerende handlinger og resultaterne af disse (10.2)
Herudover er der en række dokumenter, som er beskrevet i ISO 27001, Anneks A, og som vil være relevante i mange organisationer:
- Fortegnelse over aktiver, inkl. ejerskab (Foranstaltning 5.9 i ISO 27001:2022)
- Beskrivelse af accepteret brug af aktiver (Foranstaltning 5.10 i ISO 27001:2022)
- Politik for adgangsstyring (Foranstaltning 5.15 i ISO 27001:2022)
- Driftsprocedurer (Foranstaltning 5.37 i ISO 27001:2022)
- Hændelseslogs (Foranstaltning 8.15 i ISO 27001:2022)
- Administrator- og operatørlog (Foranstaltning 8.15 i ISO 27001:2022)
- Informationssikkerhedspolitik for leverandørforhold (Foranstaltning 5.19 i ISO 27001:2022)
- Proces for håndtering af informationssikkerhedsbrud (Foranstaltning 5.26 i ISO 27001:2022)
- Implementering af informationssikkerhedskontinuitet (Foranstaltning 5.29 i ISO 27001:2022)
- Identifikation af gældende lovgivning og kontraktkrav (Foranstaltning 5.31 i ISO 27001:2022)
Form- og proceskrav for dokumentation
Følgende form- og proceskrav gælder for dokumentationen:
- Oprettelse og opdatering af dokumenter skal være styret.
Det indebærer, at der skal være:
- Fastsat en navngivningsstandard
- besluttet konkrete dokument-metadata
- besluttet accepterede filformater.
- Der skal være en proces for review og godkendelse af dokumentationen.
- Der skal være et revisionsspor for ændringer.
Kontrolleret dokumentation
Dokumentationen skal endvidere være kontrolleret, hvilket betyder:
- Det skal være nemt tilgængeligt for autoriserede brugere
- Det skal beskyttes mod uautoriserede brugere
- Lagringssted, -medier og -metode skal besluttes for såvel digital som papirbåren dokumentation
- Opbevaringsperiode og sletteprocedurer skal være fastlagt.