Select Page

ISO 27001 kötelező dokumentumok – Teljes ellenőrzőlista

by | Jun 14, 2026 | Uncategorized

Az ISO/IEC 27001:2022 szabvány meghatározza az információbiztonsági irányítási rendszer (ISMS) működtetéséhez szükséges kötelező dokumentumokat és nyilvántartásokat. Az alábbi ellenőrzőlista összefoglalja az audit során leggyakrabban vizsgált dokumentációs elemeket.

ISO/IEC 27001:2022 Kötelező Dokumentációs Ellenőrzőlista

Az alábbi lista az ISO/IEC 27001:2022 szabvány által előírt minimális dokumentációs követelményeket tartalmazza.

Kötelező dokumentumok

Dokumentum ISO 27001 hivatkozás Tipikus megvalósítás
Az ISMS hatóköre 4.3 fejezet ISMS Hatókör Dokumentum
Információbiztonsági politika 5.2 fejezet Információbiztonsági Politika
Kockázatértékelési és kockázatkezelési folyamat 6.1.2 fejezet Kockázatértékelési és Kockázatkezelési Módszertan
Alkalmazhatósági Nyilatkozat (SoA) 6.1.3 d) Statement of Applicability (SoA)
Kockázatkezelési terv 6.1.3 e), 6.2 és 8.3 Kockázatkezelési Terv
Információbiztonsági célok 6.2 fejezet Biztonsági Célok Jegyzéke
Kockázatértékelési és kezelési jelentés 8.2 és 8.3 fejezet Kockázatértékelési és Kezelési Jelentés
Eszközleltár A.5.9 kontroll Eszköznyilvántartás vagy Kockázati Nyilvántartás
Az eszközök elfogadható használata A.5.10 kontroll IT Biztonsági Politika
Incidenskezelési eljárás A.5.26 kontroll Incidenskezelési Eljárás
Jogi, szabályozási és szerződéses követelmények A.5.31 kontroll Követelményjegyzék
IT üzemeltetési biztonsági eljárások A.5.37 kontroll IT Biztonsági Eljárások
Biztonsági szerepkörök és felelősségek meghatározása A.6.2 és A.6.6 kontrollok Szerződések, NDA-k, szabályzatok
Biztonsági konfigurációk meghatározása A.8.9 kontroll IT Biztonsági Eljárások
Biztonságos rendszertervezési alapelvek A.8.27 kontroll Biztonságos Fejlesztési Politika

Kötelező nyilvántartások és feljegyzések

Nyilvántartás ISO 27001 hivatkozás Tipikus forma
Képzések, készségek, tapasztalatok és képesítések 7.2 fejezet Tanúsítványok, önéletrajzok
Monitoring és mérési eredmények 9.1 fejezet Mérési Jelentés
Belső auditprogram 9.2 fejezet Belső Audit Program
Belső auditok eredményei 9.2 fejezet Belső Audit Jelentés
Vezetőségi átvizsgálás eredményei 9.3 fejezet Vezetőségi Jegyzőkönyv
Helyesbítő intézkedések eredményei 10.2 fejezet Helyesbítő Intézkedési Lap
Felhasználói tevékenységek, kivételek és biztonsági események naplói A.8.15 kontroll Automatikus rendszerlogok

Gyakran használt, de nem kötelező dokumentumok

  • Dokumentum- és nyilvántartáskezelési eljárás
  • Belső audit eljárás
  • Helyesbítő intézkedési eljárás
  • Információosztályozási politika
  • Információátadási politika
  • Hozzáférés-kezelési politika
  • Jelszópolitika
  • Beszállítói biztonsági politika
  • Katasztrófa-helyreállítási terv (DRP)
  • Mobil eszköz és távmunka szabályzat
  • Biztonságos területeken végzett munkára vonatkozó eljárás
  • Clean Desk / Clean Screen szabályzat
  • BYOD (saját eszköz használata) szabályzat
  • Adathordozók megsemmisítési szabályzata
  • Mentési politika
  • Titkosítási politika
  • Változáskezelési politika

Az ISO 27001 legfontosabb dokumentumainak felépítése

ISMS hatókör (Scope of the ISMS)

Ez a dokumentum általában rövid terjedelmű, és az ISO 27001 bevezetésének kezdetén készül el.
Legtöbbször önálló dokumentumként szerepel, de az Információbiztonsági Politikába is beépíthető.

Információbiztonsági politika és célok

Az Információbiztonsági Politika rendszerint egy rövid, felső szintű dokumentum,
amely meghatározza az ISMS fő célját és alapelveit.

Az információbiztonsági célok általában külön dokumentumban szerepelnek,
de összevonhatók a politikával is.

Kockázatértékelési és kockázatkezelési módszertan

A kockázatértékelési és kockázatkezelési módszertan általában 4–5 oldalas dokumentum,
amelyet még a tényleges kockázatelemzés előtt kell elkészíteni.

A Kockázatértékelési és Kezelési Jelentés a folyamat lezárása után készül,
és összefoglalja az eredményeket.

Alkalmazhatósági Nyilatkozat (Statement of Applicability – SoA)

A SoA az ISO 27001 egyik legfontosabb dokumentuma.
A kockázatkezelés eredményei alapján készül, és meghatározza:

  • mely Annex A kontrollok alkalmazandók;
  • hogyan kerülnek bevezetésre;
  • mi a jelenlegi státuszuk.

A SoA gyakorlatilag a szervezet információbiztonsági profilját írja le.

Kockázatkezelési terv

A kockázatkezelési terv egy végrehajtási akcióterv,
amely részletezi a SoA-ban meghatározott kontrollok bevezetésének módját.

Az ISMS projekt teljes időtartama alatt folyamatosan frissíteni kell.
Sok szervezet a projektterv részeként kezeli.

Információbiztonsági szerepkörök és felelősségek

A legjobb megoldás, ha a felelősségeket minden szabályzatban és eljárásban pontosan definiálják.

Kerülni kell az olyan megfogalmazásokat, mint:

„el kell végezni”

Helyette célszerű konkrét felelőst kijelölni:

„A CISO minden hétfőn 09:00-kor végrehajtja az ellenőrzést.”

A külső felek biztonsági felelősségeit szerződésekben kell rögzíteni.

Eszközleltár (Asset Inventory)

Ha korábban nem létezett eszköznyilvántartás,
akkor a kockázatértékelés eredményeiből célszerű létrehozni.

A kockázatelemzés során ugyanis az összes információs eszközt és tulajdonosát
azonosítani kell.

IT Biztonsági Politika

Ezt gyakran „Acceptable Use of Assets Policy” néven is említik.

A szabvány nem írja elő pontosan a tartalmát,
ezért célszerű minden olyan témát ebbe a dokumentumba helyezni,
amely:

  • minden munkavállalót érint;
  • más szabályzatban még nem szerepel.

A dokumentumot érdemes az ISMS projekt vége felé elkészíteni.

Hozzáférés-kezelési politika (Access Control Policy)

Ez a dokumentum tartalmazhatja:

  • a hozzáférések jóváhagyási folyamatát;
  • a technikai hozzáférés-kezelési szabályokat;
  • a logikai hozzáféréseket;
  • a fizikai hozzáféréseket.

A dokumentum elkészítése a kockázatkezelési folyamat lezárása után javasolt.

IT Biztonsági Eljárások

Ezek egyetlen dokumentumban vagy több szabályzatban és eljárásban is kezelhetők.

Tipikusan az alábbi területeket fedik le:

  • változáskezelés;
  • harmadik felek kezelése;
  • mentések;
  • hálózatbiztonság;
  • rosszindulatú kódok elleni védelem;
  • adathordozók megsemmisítése;
  • információátadás;
  • rendszerfelügyelet.

Biztonságos fejlesztési politika (Secure Development Policy)

A dokumentum meghatározza,
hogyan kell a biztonsági követelményeket beépíteni:

  • az üzleti architektúrába;
  • az adatarchitektúrába;
  • az alkalmazásokba;
  • az infrastruktúrába.

Ide tartozhat például:

  • bemeneti adatok validálása;
  • hibakeresési eljárások;
  • hitelesítési mechanizmusok;
  • biztonságos munkamenet-kezelés.

Beszállítói biztonsági politika

A beszállítók kezelésére vonatkozó szabályzat többek között meghatározhatja:

  • a beszállítók átvilágítását;
  • a beszállítói kockázatértékelést;
  • a szerződések kötelező biztonsági záradékait;
  • a megfelelőség ellenőrzésének módját;
  • a szerződésmódosítás folyamatát;
  • a hozzáférések megszüntetését a szerződés lejártakor.

Incidenskezelési eljárás

Ez az egyik legfontosabb ISO 27001 dokumentum.

Meghatározza:

  • a sérülékenységek jelentését;
  • a biztonsági események osztályozását;
  • az incidensek kezelésének folyamatát;
  • a tanulságok levonásának módját.

Súlyos incidens esetén a folyamat aktiválhatja az üzletmenet-folytonossági tervet is.

Katasztrófa-helyreállítási terv (Disaster Recovery Plan)

A DRP az IT infrastruktúra helyreállítására szolgáló terv.

Részletes követelményeit az ISO 22301 szabvány ismerteti.

Jogi, szabályozási és szerződéses követelmények jegyzéke

Ezt a dokumentumot a projekt korai szakaszában célszerű elkészíteni.

Tartalmaznia kell:

  • az alkalmazandó jogszabályokat;
  • a szerződéses kötelezettségeket;
  • a felelős személyeket;
  • a teljesítési határidőket.

Képzési és kompetencia nyilvántartások

Ezeket rendszerint a HR kezeli.

A nyilvántartás tartalmazhat:

  • képzési igazolásokat;
  • tanúsítványokat;
  • önéletrajzokat;
  • szakmai képesítéseket.

Monitoring és mérési jelentések

Minden kontrollhoz célszerű KPI-okat (kulcs teljesítménymutatókat) rendelni.

Az eredményeket rendszeresen mérni és jelenteni kell az értékelésért felelős személyeknek.

Belső audit program

Ez egy éves auditterv,
amely meghatározza:

  • az auditok ütemezését;
  • az auditorokat;
  • az audit módszertanát;
  • az audit kritériumait.

Belső audit jelentések

Az auditor minden audit után jelentést készít,
amely tartalmazza:

  • a megállapításokat;
  • az eltéréseket;
  • a helyesbítő intézkedéseket.

Vezetőségi átvizsgálás jegyzőkönyve

A vezetőségi értekezletekről készített jegyzőkönyvnek tartalmaznia kell:

  • a bemutatott anyagokat;
  • a meghozott döntéseket;
  • a kijelölt feladatokat.

Helyesbítő intézkedések nyilvántartása

A helyesbítő intézkedések jellemzően:

  • felelőst;
  • feladatot;
  • határidőt;
  • státuszt

tartalmazó nyomon követési rendszerben kerülnek kezelésre.