Compliance-Bericht

ISO 27001 Compliance-Bericht

Kontrollen des Informationssicherheits-Managementsystems für das Dokumentenmanagement

v1.0 — Februar 2026

Was ist ISO 27001?

ISO/IEC 27001:2022 — ISMS

ISO/IEC 27001:2022 ist ein Anforderungsstandard für Informationssicherheits-Managementsysteme (ISMS), veröffentlicht von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC). Es ist der weltweit am weitesten anerkannte Zertifizierungsstandard für Informationssicherheit.

ISO 27001 bietet ein Management-Rahmenwerk, das Organisationen ermöglicht, ihre Informationswerte systematisch zu schützen. Der Standard umfasst Risikobewertung, Sicherheitskontrollen, kontinuierliche Verbesserung und regelmäßige Prüfprozesse.

ISO 27001-Zertifikate, die von akkreditierten Zertifizierungsstellen in einem beliebigen Land ausgestellt werden, sind durch die IAF (International Accreditation Forum) MLA (Multilateral Recognition Arrangement) international anerkannt und gewährleisten die gegenseitige Anerkennung in über 100 Ländern.

Dieser Bericht erläutert, wie YesPDF die ISO 27001 Annex A-Kontrollen Punkt für Punkt unterstützt.

Struktur von ISO 27001:2022

Der ISO 27001:2022-Standard besteht aus zwei Hauptteilen:

Abschnitte 4-10: ISMS-Anforderungen

Definiert Prozesse für organisatorischen Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung.

Anhang A: Informationssicherheitskontrollen

93 Kontrollen in 4 Kategorien: Organisatorisch (37), Personal (8), Physisch (14) und Technologisch (34). Organisationen wählen anwendbare Kontrollen basierend auf der Risikobewertung aus.

Relevante Anhang-A-Kontrollen und YesPDF-Lösungen

Nachfolgend finden Sie die ISO 27001:2022 Anhang A-Kontrollen, die direkt mit dem Dokumentenmanagement zusammenhängen, und wie YesPDF diese unterstützt.

A.5.15 — Zugriffskontrolle

Regeln zur Beschränkung des physischen und logischen Zugriffs auf Informationen und Informationsverarbeitungseinrichtungen sind zu erstellen und umzusetzen.

✅ YesPDF Solution

  • Role-Based Access Control (RBAC): Granulare Autorisierung mit Administrator-, Bearbeiter-, Betrachter- und abteilungsbasierten Rollen.
  • Least Privilege Principle: Benutzer können nur auf Dokumente zugreifen, die für ihre Aufgaben erforderlich sind.
  • LDAP/Active Directory Integration: Zentralisierte Zugriffsverwaltung über die bestehende Authentifizierungsinfrastruktur der Organisation.
  • IP Restriction: Der Dokumentenzugriff kann auf bestimmte Netzwerksegmente beschränkt werden.

A.5.33 — Schutz von Aufzeichnungen

Aufzeichnungen sind gemäß gesetzlichen, regulatorischen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Zerstörung, Fälschung und unbefugtem Zugriff zu schützen.

✅ YesPDF Solution

  • AES-256 Encryption: Alle Dokumente werden bei Speicherung und Übertragung verschlüsselt.
  • Retention Policies: Automatische Aufbewahrungsfristen können nach Dokumenttyp definiert werden.
  • Retention Lock: Dokumente können vor Ablauf ihrer Aufbewahrungsfrist vor Löschung geschützt werden.
  • Secure Destruction: Abgelaufene Dokumente werden sicher gelöscht und Vernichtungsprotokolle geführt.

A.5.34 — Datenschutz und Schutz personenbezogener Daten

Die Organisation muss den Datenschutz und den Schutz personenbezogener Daten gemäß den geltenden Gesetzen und Vorschriften gewährleisten.

✅ YesPDF Solution

  • On-Premise Architecture: Personenbezogene Daten verlassen niemals die institutionelle Infrastruktur — unterstützt die DSGVO-Compliance.
  • Permanent Redaction: Personenbezogene Daten können unwiderruflich aus Dokumenten entfernt werden.
  • Batch Redaction: Personenbezogene Daten können gleichzeitig aus mehreren Dokumenten geschwärzt werden.
  • Data Minimization: YesPDF erhebt nur Daten, die für das Dokumentenmanagement erforderlich sind.

A.8.3 — Einschränkung des Informationszugriffs

Der Zugriff auf Informationen und Anwendungssystemfunktionen ist gemäß der Zugriffskontrollrichtlinie einzuschränken.

✅ YesPDF Solution

  • Document-Level Permissions: Lese-, Bearbeitungs-, Download- und Druckberechtigungen können für jedes Dokument separat definiert werden.
  • Department-Based Access: Der abteilungsübergreifende Dokumentenzugriff wird über Richtlinien gesteuert.
  • Automatic Session Timeout: Inaktive Sitzungen werden nach einem konfigurierten Zeitraum beendet.
  • Unique User Identification: Gemeinsame Kontonutzung wird verhindert.

A.8.4 — Zugriff auf Quellcode

Lese- und Schreibzugriff auf Quellcode, Entwicklungstools und Softwarebibliotheken sind angemessen zu verwalten.

✅ YesPDF Solution

  • On-Premise Deployment: YesPDF läuft auf dem eigenen Server der Organisation — kein Drittanbieterzugriff auf den Quellcode.
  • Admin Panel Restriction: Systemkonfiguration und Admin-Panel sind nur für autorisierte Administratoren zugänglich.

A.8.9 — Konfigurationsmanagement

Sicherheitskonfigurationen von Hardware, Software, Diensten und Netzwerken sind zu erstellen, zu dokumentieren, umzusetzen, zu überwachen und zu überprüfen.

✅ YesPDF Solution

  • Centralized Configuration: Alle Sicherheitseinstellungen werden zentral über das Admin-Panel verwaltet.
  • Configuration Change Logging: Systemänderungen werden im Prüfprotokoll aufgezeichnet.
  • Environment-Based Configuration: Sensible Konfigurationswerte (Verschlüsselungsschlüssel, Datenbankverbindung) werden in sicheren Konfigurationsdateien gespeichert.

A.8.10 — Informationslöschung

In Informationssystemen, Geräten und anderen Speichermedien gespeicherte Informationen sind zu löschen, wenn sie nicht mehr benötigt werden.

✅ YesPDF Solution

  • Automatic Retention Periods: Aufbewahrungsrichtlinien können nach Dokumenttyp definiert werden.
  • Secure Deletion: Abgelaufene Dokumente werden sicher vernichtet.
  • Destruction Records: Löschprotokolle werden geführt — sie liefern Nachweise für Prüfungen.
  • Batch Deletion: Dokumente nach Ablauf der Aufbewahrungsfrist können in Stapelverarbeitung bearbeitet werden.

A.8.11 — Datenmaskierung

Datenmaskierung ist gemäß der Zugriffskontrollrichtlinie und den Geschäftsanforderungen anzuwenden.

✅ YesPDF Solution

  • Permanent Redaction: SSNs, Adressen, Gesundheitsinformationen und andere sensible Daten können unwiderruflich aus Dokumenten entfernt werden.
  • Redaction Verification: Bestätigt, dass geschwärzte Daten tatsächlich entfernt wurden — keine Metadaten-Lecks.
  • Selective Redaction: Verschiedene Schwärzungsstufen können für verschiedene Empfänger angewendet werden.
  • Redaction Templates: Vorlagen können für wiederkehrende Schwärzungsvorgänge erstellt werden.

A.8.12 — Verhinderung von Datenlecks

Maßnahmen zur Verhinderung von Datenlecks sind auf Systeme, Netzwerke und andere Geräte anzuwenden, die sensible Informationen verarbeiten, speichern oder übertragen.

✅ YesPDF Solution

  • Download/Print Restriction: Download- und Druckvorgänge können pro Dokument gesperrt werden.
  • Watermark: Sichtbare oder unsichtbare Wasserzeichen mit Benutzerinformationen können zu Dokumenten hinzugefügt werden.
  • PDF Permission Restrictions: Kopier-, Bearbeitungs- und Druckberechtigungen werden auf PDF-Ebene gesteuert.
  • Audit Tracking: Alle Dokumenten-Download- und Freigabevorgänge werden protokolliert.

A.8.15 — Protokollierung

Protokolle, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen, sind zu erstellen, zu speichern, zu schützen und zu analysieren.

✅ YesPDF Solution

  • Comprehensive Audit Log: Jeder Dokumentenzugriff, jede Bearbeitung, jeder Download, Druckvorgang und jede Freigabe wird automatisch protokolliert.
  • Immutable Records: Prüfprotokolle können nicht geändert oder gelöscht werden.
  • Detailed Tracking: Benutzer-ID, Zeitstempel, Dokumentname, Vorgangstyp, IP-Adresse und Geräteinformationen werden aufgezeichnet.
  • Reporting and Analysis: Zugriffsberichte können nach Benutzer, Dokument oder Zeitraum erstellt werden.

A.8.24 — Einsatz von Kryptographie

Regeln für den Einsatz von Kryptographie, einschließlich der Verwaltung kryptographischer Schlüssel, sind zu definieren und umzusetzen.

✅ YesPDF Solution

  • AES-256 Encryption: Alle Dokumente werden im Ruhezustand mit AES-256 verschlüsselt.
  • Centralized Key Management: Verschlüsselungsschlüssel werden in sicheren Konfigurationsdateien gespeichert und sind über alle Server konsistent.
  • PDF Encryption: Einzelne PDF-Dateien können zusätzlich mit Passwort geschützt werden.
  • Digital Signatures: Dokumentintegrität und Quellenverifizierung durch Unterstützung digitaler Signaturen.

A.8.25 — Sicherer Entwicklungslebenszyklus

Regeln für die sichere Entwicklung von Software und Systemen sind zu erstellen und anzuwenden.

✅ YesPDF Solution

  • Secure Design: YesPDF wird gemäß den OWASP-Sicherheitsprinzipien entwickelt.
  • Regular Security Updates: Sicherheitspatches und Updates werden regelmäßig veröffentlicht.
  • Security Testing: Sicherheitstests (einschließlich Penetrationstests) werden vor jeder Veröffentlichung durchgeführt.

Internationale Anerkennung von ISO 27001

Die ISO 27001-Zertifizierung ist branchenübergreifend weltweit von entscheidender Bedeutung:

Öffentlicher Sektor

Regierungsbehörden und öffentliche Einrichtungen verlangen zunehmend ISO 27001-Compliance für IT-Systeme, die Bürgerdaten verarbeiten.

Finanzdienstleistungen

Bankenaufsichtsbehörden weltweit schreiben Informationssicherheits-Managementsysteme für Finanzinstitute vor.

Gesundheitswesen

Gesundheitsvorschriften erfordern Informationssicherheitsstandards zum Schutz von Patientendaten.

Telekommunikation

Telekommunikationsregulierer verlangen von Betreibern die Implementierung von Informationssicherheitskontrollen.

Verteidigung und kritische Infrastruktur

Die ISO 27001-Zertifizierung ist häufig ein obligatorisches Beschaffungskriterium für Verteidigungs- und kritische Infrastrukturbetreiber.

ISO 27001-Zertifikate, die von akkreditierten Zertifizierungsstellen ausgestellt werden, sind durch die IAF MLA (Multilateral Recognition Arrangement) international anerkannt. Ob in der Türkei (TSE/TÜRKAK), den USA (ANAB), Großbritannien (UKAS) oder einem anderen IAF-Mitglied ausgestellt — das Zertifikat hat die gleiche internationale Gültigkeit.

Vergleich: On-Premise vs. Cloud

Vergleich von On-Premise- und Cloud-Lösungen für die ISO 27001-Compliance:

Kriterien YesPDF (On-Premise) Cloud-PDF-Tools
Datenspeicherort (A.5.23)Eigener Server der Organisation — full controlRechenzentrum eines Drittanbieters — limited control
Lieferantenrisiko (A.5.21)Minimal — Daten verlassen niemals die EinrichtungSicherheitsprüfung des Lieferanten erforderlich
Zugriffskontrolle (A.5.15)Vollständig in die ISMS-Richtlinien der Organisation integriertAbhängig von Anbieterrichtlinien
Protokollierung (A.8.15)Alle Protokolle lokal — direkter PrüfungszugriffProtokolle müssen beim Anbieter angefordert werden
Kryptographie (A.8.24)Schlüsselverwaltung unter Kontrolle der OrganisationSchlüsselverwaltung des Anbieters
Konfiguration (A.8.9)Vollständige AnpassungBegrenzte Konfigurationsoptionen
DLP (A.8.12)In die DLP-Richtlinien der Organisation integriertBegrenzte DLP-Optionen

Unterstützung der Erklärung zur Anwendbarkeit (SoA)

Während der ISO 27001-Zertifizierung müssen Organisationen eine Erklärung zur Anwendbarkeit (SoA) erstellen. YesPDF stellt die technische Infrastruktur bereit, um nachzuweisen, dass dokumentenmanagementbezogene Kontrollen implementiert sind:

  • Nachweis der Implementierung der Zugriffskontrollrichtlinie (RBAC-Konfigurationsaufzeichnungen)
  • Nachweis der Prüfprotokollführung (unveränderliche Prüfprotokolle)
  • Nachweis der Verschlüsselungskontrollen (AES-256-Konfiguration)
  • Nachweis der Datenmaskierungs-/Schwärzungsfunktionen
  • Nachweis der Aufbewahrungs- und Vernichtungsrichtlinien
  • Konfigurationsmanagement-Aufzeichnungen

ISO 27001 Compliance-Checkliste

Zur Unterstützung der ISO 27001 Anhang A-Kontrollen mit YesPDF:

  1. 1
    Zum Anlagenverzeichnis hinzufügen

    Fügen Sie YesPDF zu Ihrem Informationsanlagenverzeichnis hinzu und weisen Sie einen Anlagenverantwortlichen zu (A.5.9).

  2. 2
    Risikobewertung durchführen

    Bewerten Sie die auf YesPDF verarbeiteten Dokumenttypen und die damit verbundenen Risiken (A.5.12).

  3. 3
    Zugriffsrichtlinien konfigurieren

    Definieren Sie RBAC-Rollen und -Berechtigungen zur Durchsetzung des Prinzips der geringsten Berechtigung (A.5.15, A.8.3).

  4. 4
    Prüfprotokollierung aktivieren

    Stellen Sie sicher, dass alle Dokumentenzugriffe protokolliert werden, und erstellen Sie einen regelmäßigen Überprüfungsplan (A.8.15).

  5. 5
    Verschlüsselung überprüfen

    Bestätigen Sie, dass die AES-256-Verschlüsselung aktiv ist, und definieren Sie Schlüsselverwaltungsverfahren (A.8.24).

  6. 6
    Aufbewahrungsrichtlinien definieren

    Legen Sie Aufbewahrungsfristen nach Dokumenttyp fest und aktivieren Sie automatische Warnungen (A.5.33, A.8.10).

  7. 7
    Schwärzungsverfahren einrichten

    Definieren Sie Standard-Schwärzungsverfahren für Dokumente mit personenbezogenen Daten (A.8.11).

  8. 8
    Sicherungsplan überprüfen

    Bestätigen Sie, dass regelmäßige Sicherungen erstellt und Wiederherstellungsverfahren getestet werden (A.8.13).

  9. 9
    Sensibilisierungsschulung durchführen

    Bieten Sie Schulungen zum Informationssicherheitsbewusstsein und zur sicheren YesPDF-Nutzung an (A.6.3).

  10. 10
    Interne Prüfung durchführen

    Prüfen Sie regelmäßig die Wirksamkeit der Dokumentenmanagementkontrollen und aktualisieren Sie die SoA.

Zusammenfassung

YesPDF unterstützt Organisationen bei der Erfüllung der ISO 27001:2022 Anhang A-Kontrollen durch seine On-Premise-Architektur, umfassende Zugriffskontrollen, unveränderliche Prüfprotokolle, AES-256-Verschlüsselung, permanente Schwärzung, Kontrollen zur Verhinderung von Datenlecks und flexible Aufbewahrungsrichtlinien. Die On-Premise-Architektur hält die Daten unter organisatorischer Kontrolle, minimiert das Lieferantenrisiko und lässt sich natürlich in das ISMS der Organisation integrieren. ISO 27001-Zertifikate von akkreditierten Stellen genießen volle internationale Anerkennung.

Technischer Support

Bei Fragen zur ISO 27001-Compliance und YesPDF-Konfiguration:

Dieses Dokument wurde vom technischen Team von YesPDF erstellt. Dieser Bericht stellt keine Rechts- oder Prüfungsberatung dar. Wir empfehlen, für die Vorbereitung der ISO 27001-Zertifizierung den Informationssicherheitsberater Ihrer Organisation und eine akkreditierte Zertifizierungsstelle zu konsultieren.