ISO 27001 - Informationssicherheitsmanagementsystem
ISO 27001 ist der internationale Standard für Informationssicherheitsmanagementsysteme (ISMS). Er definiert Anforderungen an Aufbau, Betrieb und kontinuierliche Verbesserung der Informationssicherheit.
Inhaltsverzeichnis (6 Abschnitte)
ISO/IEC 27001 ist der weltweit führende Standard für Informationssicherheitsmanagementsysteme (ISMS). Er definiert, wie Organisationen Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln sollen - unabhängig von Branche oder Unternehmensgröße. Eine Zertifizierung nach ISO 27001 ist ein international anerkannter Nachweis für eine reife Sicherheitsorganisation.
Geschichte und Entwicklung
ISO 27001 geht auf den britischen Standard BS 7799 zurück, der 1995 veröffentlicht wurde. Nach mehreren Überarbeitungen wurde er 2005 als ISO/IEC 27001:2005 internationalisiert. Die aktuelle Fassung ISO/IEC 27001:2022 wurde im Oktober 2022 veröffentlicht und brachte wesentliche Änderungen im Annex A - insbesondere durch die Einführung neuer Controls in den Bereichen Threat Intelligence, Cloud Security und ICT Readiness for Business Continuity.
Bis Oktober 2025 mussten bestehende Zertifikate auf die 2022er Version migriert werden.
Struktur der Norm
ISO 27001 folgt der sogenannten High Level Structure (HLS), die auch anderen Managementsystemnormen (ISO 9001, ISO 14001) zugrunde liegt. Dies ermöglicht eine einfache Integration mit anderen Managementsystemen.
Normative Anforderungen (Klauseln 4-10)
Klausel 4 - Kontext der Organisation Die Organisation muss interne und externe Faktoren bestimmen, die ihre Fähigkeit beeinflussen, das ISMS zu betreiben. Dazu gehören Stakeholder-Analyse und die Definition des ISMS-Anwendungsbereichs (Scope).
Klausel 5 - Führung Top-Management muss Verantwortung übernehmen, eine Informationssicherheitspolitik festlegen und Rollen und Verantwortlichkeiten zuweisen. Ohne echte Management-Commitment scheitert jedes ISMS.
Klausel 6 - Planung Risikobeurteilung und Risikobehandlung sind das Herzstück der Norm. Die Organisation muss einen reproduzierbaren Prozess definieren, um Risiken zu identifizieren, zu analysieren und zu bewerten - und darauf basierend eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) erstellen.
Klausel 7 - Unterstützung Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information.
Klausel 8 - Betrieb Umsetzung der Risikobehandlungspläne und Kontrolle operativer Prozesse.
Klausel 9 - Bewertung der Leistung Interne Audits, Management-Review und Überwachungsmaßnahmen.
Klausel 10 - Verbesserung Nichtkonformitäten, Korrekturmaßnahmen und kontinuierliche Verbesserung (KVP/PDCA-Zyklus).
Annex A - Controls
Annex A enthält 93 Controls in vier Kategorien (ISO 27001:2022):
| Kategorie | Anzahl Controls | Beispiele |
|---|---|---|
| Organisatorisch | 37 | Informationssicherheitspolitik, Asset Management, Supplier Security |
| Personell | 8 | Screening, Geheimhaltungsvereinbarungen, Sicherheitsschulungen |
| Physisch | 14 | Gesicherter Bereich, physischer Zugangsschutz, Clean-Desk-Policy |
| Technologisch | 34 | Zugriffskontrolle, Kryptografie, Schwachstellenmanagement, SIEM |
Neu in ISO 27001:2022 hinzugekommen sind u. a.:
- 5.7 Threat Intelligence
- 5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten
- 5.30 IKT-Bereitschaft für Geschäftskontinuität
- 8.9 Konfigurationsmanagement
- 8.16 Überwachungsaktivitäten
Zertifizierungsprozess
Phase 1: Aufbau des ISMS (6-18 Monate)
- Gap-Analyse: Ist-Aufnahme der bestehenden Sicherheitsmaßnahmen, Vergleich mit ISO-27001-Anforderungen
- Scope-Definition: Welche Assets, Prozesse und Standorte werden zertifiziert?
- Risikoanalyse: Identifikation aller Informationswerte, Bedrohungen und Schwachstellen
- Risikobehandlung: Auswahl geeigneter Controls aus Annex A, Erstellung des SoA
- Implementierung: Einführung technischer und organisatorischer Maßnahmen
- Interne Audits: Vorbereitung auf externe Prüfung
Phase 2: Zertifizierungsaudit (durch akkreditierte Stelle)
Stage 1 Audit (Dokumentenprüfung) Der Auditor prüft, ob die ISMS-Dokumentation vollständig und normkonform ist. Typische Prüfpunkte: Risikobeurteilung, SoA, interne Audit-Ergebnisse, Management-Review-Protokoll.
Stage 2 Audit (Vor-Ort-Prüfung) Prüfung der tatsächlichen Umsetzung im Unternehmen. Mitarbeiterinterviews, Systemdemonstrationen und Stichproben-Checks. Bei festgestellten Nichtkonformitäten (Minor/Major) muss die Organisation Korrekturen nachweisen.
Jährliche Überwachungsaudits und Re-Zertifizierung
Das Zertifikat gilt drei Jahre. In Jahr 1 und 2 finden kürzere Überwachungsaudits statt; nach drei Jahren ist eine vollständige Re-Zertifizierung erforderlich.
ISO 27001 und BSI IT-Grundschutz
In Deutschland bietet das BSI eine nach ISO 27001 akkreditierte Zertifizierung auf Basis von IT-Grundschutz an. Die IT-Grundschutz-Kataloge enthalten wesentlich detailliertere Umsetzungshinweise (Bausteine) als die generischen Controls des ISO-Annex A - ideal für deutsche Behörden und Unternehmen, die eine sehr konkrete Handlungsanweisung benötigen.
Warum ISO 27001?
Marktposition: In vielen Branchen (Finanz, Gesundheit, kritische Infrastruktur) ist ISO 27001 eine Mindestanforderung für Lieferanten und Partner.
NIS2-Compliance: Die EU-Richtlinie NIS2 verlangt von betroffenen Unternehmen ein funktionierendes Risikomanagement. Eine ISO-27001-Zertifizierung gilt als starker Nachweis der Normerfüllung - auch wenn sie die NIS2-Pflichten nicht vollständig abdeckt.
Versicherung: Cyber-Versicherer honorieren ISO-27001-Zertifizierungen mit niedrigeren Prämien.
Kundensignale: Enterprise-Kunden, insbesondere aus dem öffentlichen Sektor und der Rüstungsindustrie, verlangen ISO 27001 als Voraussetzung für Vertragsabschlüsse.
Kosten einer ISO-27001-Zertifizierung
| Posten | Kleines Unternehmen | Mittleres Unternehmen |
|---|---|---|
| Beratung/Implementierung | €20.000-€40.000 | €60.000-€120.000 |
| Zertifizierungsaudit | €5.000-€10.000 | €10.000-€20.000 |
| Jährliches Überwachungsaudit | €3.000-€6.000 | €6.000-€12.000 |
| Tools (ISMS-Software, SIEM) | €5.000-€20.000/Jahr | €20.000-€60.000/Jahr |
Weiterführende Informationen: AWARE7 ISO-27001-Beratung
Quellen & Referenzen
- [1] ISO/IEC 27001:2022 - Information security management systems - International Organization for Standardization
- [2] BSI-Grundschutz und ISO 27001 - Bundesamt für Sicherheit in der Informationstechnik
- [3] ISO 27001:2022 - What's new? - ISO
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
6 Publikationen
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Evaluating the Usability and Security of Personal Password Stores (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Understanding User Perceptions of Security Indicators in Web Browsers (2024)
- A Systematic Analysis of NIS2 Compliance Challenges for SMEs (2024)
