Eine sehr berechtigte Frage, die viele Informationssicherheitsbeauftragte (ISB) beschäftigt – besonders dann, wenn man auf externe IT-Dienstleister angewiesen ist. Die Antwort ist weniger juristisch als pragmatisch: Eine gute IT-Dokumentation erkennt man daran, dass sie im Notfall tatsächlich hilft, und nicht daran, dass sie schön aussieht.
Zunächst sollte klar sein, was dokumentiert sein muss: Nach ISO 27001 und TISAX gehören dazu mindestens:
- Systemübersicht mit Netzwerkstruktur und Schnittstellen,
- Berechtigungskonzept und Rollenmodell,
- Backup- und Wiederherstellungsverfahren,
- Patch- und Change-Prozesse,
- Notfall- und Wiederanlaufpläne,
- Verzeichnis technischer und organisatorischer Maßnahmen (TOMs).