Perfekt! Jetzt habe ich ausreichend Informationen zur ISO/IEC 27001. Ich erstelle den Glossar-Eintrag im HTML-Format.
ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie legt fest, wie Organisationen die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen systematisch schützen und fortlaufend verbessern können.
Professioneller Schutz · Zertifizierte Systeme
Die Norm wurde gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt. Sie deckt sowohl organisatorische als auch technische Sicherheitsanforderungen ab und gilt als zertifizierbarer Goldstandard für Informationssicherheit.
Aktueller Stand der Norm (2026)
- ISO/IEC 27001:2022 – aktuell gültige Fassung (deutsche Fassung: DIN EN ISO/IEC 27001:2024-01)
- Übergangsfrist bis 31. Oktober 2025 für Organisationen, die noch nach ISO 27001:2013 zertifiziert sind
Die Revision 2022 bringt 11 neue Sicherheitskontrollen, die auf aktuelle Bedrohungen wie Cloud-Computing, Social Engineering, Datenlecks und Cyberangriffe eingehen.
Ziel und Bedeutung
ISO/IEC 27001 verfolgt einen ganzheitlichen, risikobasierten Ansatz für das Management der Informationssicherheit. Die Norm stellt sicher, dass Organisationen in der Lage sind, sich wirksam gegen bestehende und neue Bedrohungen der Cybersicherheit zu schützen.
Informationen bilden die betriebliche Basis für die Geschäftstätigkeit und sind als immaterielle Unternehmenswerte zu verstehen. Die Norm hilft Organisationen, diese Werte systematisch zu schützen und dabei die drei Schutzziele der Informationssicherheit zu gewährleisten:
- Vertraulichkeit – Informationen sind nur für berechtigte Personen zugänglich
- Integrität – Informationen sind vollständig, richtig und vor unberechtigter Manipulation geschützt
- Verfügbarkeit – Berechtigte Nutzer haben bei Bedarf Zugang zu Informationen und Systemen
Aufbau nach High Level Structure
Die ISO/IEC 27001 folgt der High Level Structure (HLS), die für moderne ISO-Managementsysteme gilt. Diese einheitliche Gliederung ermöglicht die einfache Integration mit anderen Managementsystemen wie ISO 9001 (Qualitätsmanagement) oder ISO 14001 (Umweltmanagement).
Die Norm gliedert sich in 10 Kapitel:
- Kapitel 4: Kontext der Organisation (Rahmenbedingungen, interessierte Parteien)
- Kapitel 5: Führung und Verpflichtung der obersten Leitung
- Kapitel 6: Planung (risikobasierter Ansatz, Zielsetzungen)
- Kapitel 7: Unterstützung (Ressourcen, Kompetenzen, Dokumentation)
- Kapitel 8: Betrieb (Umsetzung der Maßnahmen)
- Kapitel 9: Bewertung der Leistung (Überwachung, Audits, Management-Review)
- Kapitel 10: Verbesserung (Korrekturmaßnahmen, kontinuierliche Verbesserung)
Anhang A: Controls und Maßnahmen
Der Anhang A der ISO 27001:2022 enthält einen Katalog von Sicherheitsmaßnahmen (Controls), die Organisationen zur Risikominderung implementieren können. Die Norm folgt einem risikobasierten Ansatz – Unternehmen wählen die relevanten Controls basierend auf ihrer Risikoanalyse aus.
Neue Controls in der Version 2022:
- Bedrohungsinformationen (Threat Intelligence)
- Informationssicherheit bei der Nutzung von Cloud-Diensten
- ICT-Bereitschaft für die Geschäftskontinuität
- Physische Sicherheitsüberwachung
- Sichere Datenlöschung
- Sichere Softwareentwicklung
- Datenmaskierung und Datenverschleierung
- Datenleckvermeidung
- Aktivitätenüberwachung
- Web-Filterung
- Sichere Codierung
Nicht angewandte Controls müssen im Statement of Applicability (SoA) begründet werden.
Kernanforderungen
Risikomanagement:
- Bewertung aller informationssicherheitsrelevanten Werte und Risiken
- Festlegung eines Risikoakzeptanzniveaus
- Implementierung von Maßnahmen für Werte, die das Akzeptanzniveau überschreiten
- Regelmäßige Risikoanalyse und -bewertung
Organisatorische Anforderungen:
- Ernennung eines Informationssicherheitsbeauftragten (ISB) oder vergleichbarer Rolle
- Verabschiedung von Sicherheitsrichtlinien (Security Policy)
- Berücksichtigung der Informationssicherheit im Personalmanagement
- Dokumentation und Nachweisführung
- Interne Audits und Management-Reviews
Technische Anforderungen:
- Einsatz zeitgemäßer Kryptographie
- Zugriffskontrollen und Identifikationsverfahren
- Netzwerksicherheit und Firewalls
- Malware-Schutz und Schwachstellenmanagement
- Backup und Wiederherstellungsverfahren
- Sichere Softwareentwicklung
Geschäftskontinuität:
- Business Impact Analysis (BIA)
- Notfallpläne und Krisenmanagement
- Regelmäßige Tests und Übungen
Zertifizierungsverfahren
Die Zertifizierung erfolgt durch akkreditierte, unabhängige Zertifizierungsstellen (z. B. TÜV, DEKRA, DQS, DNV, BSI). In Deutschland ist die Deutsche Akkreditierungsstelle (DAkkS) für die Akkreditierung zuständig.
Der Ablauf umfasst:
- Gap-Analyse – Bewertung des aktuellen Standes und Identifikation von Lücken
- Implementierung des ISMS – Umsetzung der Anforderungen und Controls
- Interne Audits – Überprüfung der Wirksamkeit vor dem externen Audit
- Stage 1 Audit – Dokumentenprüfung durch die Zertifizierungsstelle
- Stage 2 Audit – Hauptaudit mit Prüfung der praktischen Umsetzung
- Zertifikatsausstellung bei erfüllten Anforderungen
Das Zertifikat hat eine Gültigkeit von 3 Jahren mit jährlichen Überwachungsaudits. Nach drei Jahren ist eine Rezertifizierung erforderlich.
Kosten und Zeitaufwand
Die Kosten einer ISO 27001-Zertifizierung variieren erheblich nach Unternehmensgröße, Komplexität und Branche:
Implementierungskosten:
- Kleinere Unternehmen (10-100 Mitarbeiter): 15.000 bis 35.000 Euro
- Mittlere Unternehmen (100-500 Mitarbeiter): 30.000 bis 80.000 Euro
- Größere Unternehmen: 80.000 Euro und mehr
Zertifizierungsaudit:
- Kleinere Unternehmen: 6.000 bis 14.000 Euro
- Mittlere Unternehmen: 15.000 bis 35.000 Euro
- Überwachungsaudits: 4.000 bis 8.000 Euro jährlich
Zeitaufwand:
- Implementierung: 6 bis 18 Monate (je nach Größe und Komplexität)
- Zertifizierungsprozess: 3 bis 6 Monate
Automatisierungstools können Kosten und Zeitaufwand erheblich reduzieren.
Abgrenzung zu verwandten Standards
- ISO 27002 – Leitfaden für die Implementierung der Controls aus Anhang A der ISO 27001, keine zertifizierbare Norm
- ISO 27005 – Leitfaden für das Informationssicherheits-Risikomanagement
- ISO 27701 – Erweiterung der ISO 27001 um Datenschutzaspekte
- BSI IT-Grundschutz – Deutsches Rahmenwerk, kompatibel mit ISO 27001, kombinierbare Zertifizierung möglich
- TISAX – Branchenstandard der Automobilindustrie, basiert auf ISO 27001
- NIS2-Richtlinie – EU-Richtlinie für kritische Infrastrukturen, erfordert ISMS nach ISO 27001
Anwendungsbereiche
ISO/IEC 27001 ist branchenübergreifend anwendbar für:
- Unternehmen jeder Größe (KMU bis Konzerne)
- Finanzdienstleister (Banken, Versicherungen)
- Gesundheitswesen (Krankenhäuser, Kliniken)
- Technologieunternehmen (Cloud-Service-Anbieter, IT-Dienstleister)
- Öffentlicher Sektor (Behörden, Regierungsorganisationen)
- Kritische Infrastrukturen (KRITIS)
- Bildungseinrichtungen
- Alle Organisationen, die mit sensiblen Daten arbeiten
Vorteile der Zertifizierung
Für Organisationen: Systematischer Schutz von Informationswerten, Minimierung von Sicherheitsrisiken, Erfüllung regulatorischer Anforderungen (Compliance), Wettbewerbsvorteil, verbesserte Geschäftskontinuität, Kosteneinsparungen durch Prävention, erhöhtes Vertrauen bei Kunden und Partnern.
Für Kunden und Partner: Nachweisbare Informationssicherheit, Vertrauenswürdigkeit, Schutz vertraulicher Daten, Rechtssicherheit.
Strategische Vorteile: Zugang zu Ausschreibungen, Voraussetzung für Geschäftsbeziehungen in regulierten Branchen, internationale Anerkennung, Verbesserung des Unternehmensimages.
Kontinuierliche Verbesserung
Das ISMS ist kein starres Konstrukt, sondern unterliegt einer kontinuierlichen Verbesserung (KVP). Dies wird durch verpflichtende Überprüfungen, interne Audits und Management-Reviews getrieben. Der PDCA-Zyklus (Plan-Do-Check-Act) bildet die Grundlage für die fortlaufende Optimierung.
Die ISO/IEC 27001 hat sich als weltweit anerkannter Standard für systematische Informationssicherheit etabliert und ist heute unverzichtbar für Organisationen, die ihre Daten und Systeme professionell schützen wollen.