ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme. Sie hilft Unternehmen, Informationsrisiken systematisch zu erkennen, zu steuern und nachweisbar zu kontrollieren.
ISO 27001 ist die weltweit führende Norm für Informationssicherheits-Managementsysteme (ISMS – ein strukturiertes System, mit dem ein Unternehmen seine Informationssicherheit plant, umsetzt, überwacht und verbessert). Sie wird von der Internationalen Organisation für Normung (ISO) gemeinsam mit der Internationalen Elektrotechnischen Kommission (IEC) herausgegeben.
Die aktuelle Version ISO/IEC 27001:2022 löste im Oktober 2022 die Vorgängerversion von 2013 ab. Im Kern beschreibt die Norm einen risikobasierten Ansatz: Unternehmen identifizieren ihre Informationsrisiken, bewerten sie und steuern sie mit angemessenen Maßnahmen.
ISO 27001 ist freiwillig, aber zertifizierbar. Eine akkreditierte Zertifizierung (Prüfung und Bestätigung durch eine unabhängige, staatlich anerkannte Stelle) belegt gegenüber Kunden, Partnern und Behörden, dass Informationssicherheit im Unternehmen kein Lippenbekenntnis ist.
ISO 27001 ist branchenunabhängig und für jede Unternehmensgröße geeignet. In der Praxis kommt der Druck zur Zertifizierung meist von außen.
Lieferanten und Dienstleister werden von großen Auftraggebern, insbesondere aus der Industrie, dem Finanzsektor und der öffentlichen Hand, zunehmend zur Zertifizierung verpflichtet. Wer ohne Zertifizierung in bestimmten Märkten bleiben will, bekommt das Problem früher oder später zu spüren.
Auch regulatorische Anforderungen wie NIS-2 oder DORA setzen ein funktionierendes ISMS voraus, ohne es namentlich zu nennen. ISO 27001 ist der anerkannte Weg, dieses ISMS nachzuweisen.
ISO 27001 strukturiert sich in zwei Teile: die Managementnorm (Kapitel 4 bis 10) und den Anhang A mit konkreten Sicherheitsmaßnahmen.
Das Unternehmen legt fest, für welche Bereiche, Standorte und Prozesse das ISMS gilt. Dieser Scope (Geltungsbereich der Zertifizierung) ist die Grundlage des gesamten Projekts (Kapitel 4).
Alle relevanten Informationsrisiken werden identifiziert, bewertet und mit geeigneten Maßnahmen adressiert. Das Ergebnis ist ein Risikobehandlungsplan (Kapitel 6).
Die Unternehmensleitung trägt die Verantwortung für das ISMS. Sie stellt Ressourcen bereit, benennt Verantwortliche und bewertet das ISMS regelmäßig im Management Review (strukturierte Bewertungsrunde der Geschäftsleitung) (Kapitel 5 und 9).
ISO 27001 fordert eine Reihe von Dokumenten: Informationssicherheitsrichtlinie, Risikobeurteilung, Statement of Applicability (SoA – eine Liste aller Maßnahmen aus Anhang A mit Begründung, welche angewendet werden und warum) und weitere.
Der Anhang A enthält 93 Sicherheitsmaßnahmen in vier Kategorien: organisatorisch, personenbezogen, physisch und technologisch. Im SoA legt das Unternehmen fest, welche Maßnahmen anwendbar sind und warum.
Das ISMS wird regelmäßig intern auditiert und durch den PDCA-Zyklus (Plan-Do-Check-Act: ein Regelkreis aus Planen, Umsetzen, Prüfen und Verbessern) kontinuierlich weiterentwickelt (Kapitel 9 und 10).
{{isms-check-allgemein="/system/components"}}
Eine ISO-27001-Zertifizierung läuft typischerweise in drei Phasen ab:
Das Unternehmen implementiert alle Anforderungen der Norm: Scope, Risikobeurteilung, Maßnahmen, Dokumentation. Dieser Aufbau dauert je nach Ausgangssituation zwischen drei und zwölf Monaten.
Eine akkreditierte Zertifizierungsstelle prüft das ISMS in einem zweistufigen Audit: zuerst die Dokumentation, dann die Umsetzung vor Ort. Bei Bestehen wird das Zertifikat ausgestellt.
Das Zertifikat gilt drei Jahre. In Jahr eins und zwei finden Überwachungsaudits statt, nach drei Jahren ein Rezertifizierungsaudit.
ISO 27001 ist freiwillig, aber der Marktdruck wächst. Unternehmen ohne Zertifizierung verlieren zunehmend Ausschreibungen, können bestimmte Kundenverträge nicht erfüllen und haben im Schadensfall schlechtere Karten gegenüber Versicherungen und Behörden.
Für Unternehmen, die unter NIS-2 oder DORA fallen, ist ein nachweisbares ISMS keine Option mehr, sondern Pflicht. ISO 27001 ist der direkteste Weg zum Nachweis.
Der Aufbau eines ISMS nach ISO 27001 ist kein Wochenendprojekt. Digimojo begleitet dich vom ersten Scope-Workshop bis zur Zertifizierung: Risikobeurteilung, Dokumentation, Richtlinien, interne Audits und Vorbereitung auf das externe Audit.
DigimojoCOMPLY bildet das ISMS strukturiert ab. Du pflegst deine Risiken, Maßnahmen und Dokumente an einem Ort, behältst den Überblick über offene Aufgaben und bist jederzeit auditbereit.
Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.
