ISMS Copilot
Unterstützte Frameworks

ISO 27001 Informationssicherheits-Managementsysteme

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie bietet einen systematischen Ansatz zur Verwaltung sensibler Informationen unter Berücksichtigung von Personen, Prozessen und technologischen Kontrollen. Organisationen können eine ISO 27001-Zertifizierung durch unabhängige Audits erlangen und damit Kunden und Partnern nachweisen, dass sie weltweit anerkannte Sicherheitsstandards erfüllen.

ISMS Copilot verfügt über umfassendes Wissen zu den Kontrollen und Anforderungen der ISO 27001:2022. Sie können Fragen zu spezifischen Annex A-Maßnahmen stellen, Richtlinien generieren und eine vollständige ISMS-Dokumentation erstellen.

Wer benötigt ISO 27001?

Die Zertifizierung nach ISO 27001 ist freiwillig, wird jedoch häufig von folgenden Gruppen genutzt:

  • Technologieanbieter: SaaS-Unternehmen, Cloud-Anbieter und Softwareentwickler, die Enterprise-Kunden ihre Sicherheit nachweisen müssen

  • Dienstleister: IT-Service-Provider, Managed Security Provider und Beratungsunternehmen, die mit Kundendaten arbeiten

  • Finanzdienstleistungen: Banken, Zahlungsabwickler und Fintech-Unternehmen, die ein starkes Sicherheitsniveau benötigen

  • Gesundheitsorganisationen: Anbieter, die Patientendaten verwalten

  • Regierungsauftragnehmer: Organisationen, die für öffentliche Stellen arbeiten, welche eine ISO 27001-Zertifizierung verlangen

  • Partner in der Lieferkette: Anbieter, die Sicherheitsanforderungen in Ausschreibungen (RFPs) oder Verträgen erfüllen müssen

Obwohl ISO 27001 in den meisten Rechtsordnungen nicht gesetzlich vorgeschrieben ist, ist sie oft eine vertragliche Anforderung, ein Wettbewerbsvorteil oder eine Voraussetzung für Geschäfte in regulierten Branchen.

Struktur der ISO 27001

Die Norm besteht aus zwei Hauptkomponenten:

Hauptabschnitte (4-10): Anforderungen für die Einführung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS

  • Abschnitt 4: Kontext der Organisation

  • Abschnitt 5: Führung und Engagement

  • Abschnitt 6: Planung (Risikobeurteilung und Risikobehandlung)

  • Abschnitt 7: Unterstützung (Ressourcen, Kompetenz, Kommunikation)

  • Abschnitt 8: Betrieb (Umsetzung der Risikobehandlung)

  • Abschnitt 9: Bewertung der Leistung (Überwachung, Audit, Überprüfung)

  • Abschnitt 10: Verbesserung (Nichtkonformität und Korrekturmaßnahmen)

Annex A: 93 Sicherheitsmaßnahmen (Controls) in 4 Themenbereichen (organisatorisch, personell, physisch, technologisch)

Die vier Themenbereiche des Annex A

ISO 27001:2022 unterteilt die 93 Maßnahmen in thematische Kategorien:

Organisatorische Maßnahmen (37 Maßnahmen):

  • Informationssicherheitsrichtlinien

  • Asset-Management und zulässige Nutzung

  • Zugriffssteuerung und Funktionstrennung

  • Lieferantenbeziehungen und Sicherheit durch Dritte

  • Incident Management und Business Continuity

  • Compliance und rechtliche Anforderungen

Personelle Maßnahmen (8 Maßnahmen):

  • Überprüfung und Arbeitsverträge

  • Sicherheitsbewusstsein und Schulung

  • Disziplinarverfahren

  • Beendigung und Änderung des Arbeitsverhältnisses

Physische Maßnahmen (14 Maßnahmen):

  • Perimetersicherheit und Zutrittskontrollen

  • Sicherheitsbereiche und Schutz von Geräten

  • Clean-Desk- und Clear-Screen-Richtlinien

  • Entsorgung von Geräten und Handhabung von Medien

Technologische Maßnahmen (34 Maßnahmen):

  • Endpunkt- und Netzwerksicherheit

  • Kryptographie und Schlüsselmanagement

  • Backup und Protokollierung

  • Schwachstellenmanagement und Schutz vor Malware

  • Sicherer Softwareentwicklungs-Lebenszyklus

  • Konfigurationsmanagement und Patch-Management

Risikobasierter Ansatz

ISO 27001 erfordert einen systematischen Risikomanagementprozess:

  1. Festlegung des Kontexts: Umfang, Grenzen und Stakeholder definieren

  2. Risikobeurteilung: Identifizierung von Assets, Bedrohungen, Schwachstellen und Berechnung der Risikostufen

  3. Risikobehandlung: Auswahl von Maßnahmen aus Annex A oder anderen Quellen zur Risikominderung

  4. Erklärung zur Anwendbarkeit (SoA - Statement of Applicability): Dokumentation, welche Maßnahmen implementiert wurden und warum

  5. Risikobehandlungsplan: Festlegung, wer Maßnahmen wann und wie implementiert

Organisationen müssen nicht alle 93 Annex A-Maßnahmen umsetzen – nur diejenigen, die für ihr Risikoprofil relevant sind. Ausschlüsse müssen jedoch in der Erklärung zur Anwendbarkeit begründet werden.

Die Erklärung zur Anwendbarkeit (SoA) ist ein kritisches Dokument für die Zertifizierung. Sie verknüpft Ihre Risikobeurteilung mit den gewählten Maßnahmen und erläutert etwaige Ausschlüsse.

Der Plan-Do-Check-Act-Zyklus (PDCA)

ISO 27001 folgt einem Modell des kontinuierlichen Verbesserungsprozesses:

  • Plan (Planen): ISMS-Umfang, Richtlinien, Ziele und Risikobeurteilung festlegen

  • Do (Umsetzen): Maßnahmen implementieren, Personal schulen, Risikobehandlungsplan ausführen

  • Check (Prüfen): Maßnahmen überwachen, interne Audits durchführen, Leistung überprüfen

  • Act (Handeln): Nichtkonformitäten beheben, Maßnahmen aktualisieren, Prozesse verbessern

Dieser iterative Ansatz stellt sicher, dass sich das ISMS an veränderte Bedrohungen, Geschäftsanforderungen und technologische Entwicklungen anpasst.

Zertifizierungsprozess

Der Erhalt der ISO 27001-Zertifizierung umfasst in der Regel:

  1. Gap-Analyse: Bewertung des Ist-Zustands im Vergleich zu den Anforderungen der ISO 27001

  2. ISMS-Design: Definition des Geltungsbereichs, Erstellung von Richtlinien, Durchführung der Risikobeurteilung

  3. Implementierung: Einführung von Maßnahmen, Schulung des Personals, Dokumentation der Prozesse (3-12 Monate)

  4. Internes Audit: Testen der Wirksamkeit der Maßnahmen und Identifizierung von Lücken

  5. Management-Review: Die Führungsebene bewertet die Leistung des ISMS

  6. Audit Stufe 1 (Dokumentenprüfung): Ein externer Auditor prüft die ISMS-Dokumentation

  7. Audit Stufe 2 (Systemprüfung): Ein externer Auditor prüft die Umsetzung der Maßnahmen vor Ort

  8. Zertifizierung: Das Zertifikat wird für 3 Jahre ausgestellt, mit jährlichen Überwachungsaudits

Rezertifizierungsaudits finden alle 3 Jahre statt.

Gängige Dokumentationsanforderungen

ISO 27001 erfordert spezifische dokumentierte Informationen:

  • Verpflichtende Richtlinien: Informationssicherheitsrichtlinie, Risikobeurteilungsmethodik, Risikobehandlungsplan

  • Erklärung zur Anwendbarkeit (SoA): Auswahl und Begründung der Maßnahmen

  • Aufzeichnungen zur Risikobeurteilung und -behandlung

  • Verfahren: Incident Response, Zugriffssteuerung, Change Management, Backup, Überwachung

  • Nachweise: Audit-Protokolle, Schulungsnachweise, Risikoprüfungen, Vorfallsberichte, Korrekturmaßnahmen

Organisationen erstellen je nach Umfang und Komplexität in der Regel 20 bis 50 Richtlinien und Verfahren.

Zertifizierungsauditoren prüfen, ob dokumentierte Maßnahmen tatsächlich umgesetzt sind. Dokumentation allein reicht nicht aus – Sie müssen betriebliche Nachweise erbringen.

ISO 27001:2022 vs. 2013

Die Revision von 2022 brachte signifikante Änderungen mit sich:

  • Reduzierung der Maßnahmen von 114 auf 93 (konsolidiert und modernisiert)

  • Neuorganisation von 14 Domänen in 4 Themenbereiche

  • Einführung von 11 neuen Maßnahmen (Threat Intelligence, Cloud-Sicherheit, Datenmaskierung, Webfilterung, sichere Programmierung)

  • Angleichung an die Leitlinien der ISO 27002:2022

  • Verstärkter Fokus auf Datenschutz, Lieferketten und aufkommende Technologien

Unternehmen, die nach ISO 27001:2013 zertifiziert sind, hatten bis Oktober 2025 Zeit, auf den Standard von 2022 umzustellen.

Wie ISMS Copilot hilft

ISMS Copilot bietet umfassende Unterstützung für die Implementierung und Zertifizierung nach ISO 27001:

  • Maßnahmenspezifische Abfragen: Fragen Sie nach jeder Annex A-Maßnahme (z. B. „Erkläre ISO 27001 A.8.1 Endgeräte von Benutzern“)

  • Generierung von Richtlinien: Erstellen Sie audit-bereite Richtlinien für jede Maßnahme oder Anforderung

  • Risikobeurteilungen: Erstellen Sie Risikobeurteilungs-Frameworks, Asset-Inventare und Risikobehandlungspläne

  • Gap-Analyse: Laden Sie bestehende Richtlinien hoch, um Abdeckungslücken gegenüber Annex A zu identifizieren

  • Erklärung zur Anwendbarkeit (SoA): Erstellen Sie SoA-Dokumente, die Maßnahmen den Risiken zuordnen

  • Nachweisgenerierung: Erstellen Sie Verfahrensvorlagen, Checklisten und Compliance-Aufzeichnungen

  • Vorbereitung auf interne Audits: Entwickeln Sie Audit-Checklisten und Testskripte

  • Workspace-Organisation: Verwalten Sie Zertifizierungsprojekte getrennt von der operativen Sicherheitsarbeit

Die KI verfügt über direktes Wissen zu allen 93 Annex A-Maßnahmen und kann in Antworten auf spezifische Maßnahmen-Nummern Bezug nehmen.

Versuchen Sie: „Erstelle eine Richtlinie zur Zugriffssteuerung für ISO 27001 A.5.15“ oder „Erstelle eine Vorlage für die Risikobeurteilung gemäß Abschnitt 6“

Erste Schritte

So beginnen Sie die ISO 27001-Implementierung mit ISMS Copilot:

  1. Erstellen Sie einen dedizierten Workspace für Ihr ISO 27001-Projekt

  2. Definieren Sie den Geltungsbereich (Scope) und die Grenzen Ihres ISMS

  3. Bitten Sie die KI, Ihnen bei der Erstellung einer übergeordneten Informationssicherheitsrichtlinie zu helfen

  4. Generieren Sie ein Dokument zur Risikobeurteilungsmethodik

  5. Führen Sie eine Gap-Analyse durch, indem Sie bestehende Sicherheitsrichtlinien hochladen

  6. Erstellen Sie Richtlinien für anwendbare Annex A-Maßnahmen basierend auf Ihrer Risikobeurteilung

  7. Dokumentieren Sie Ihre Erklärung zur Anwendbarkeit (SoA)

  8. Erstellen Sie Verfahren für operative Maßnahmen (Incident Response, Backup, Zugriffsmanagement)

Weiterführende Ressourcen

  • Offizieller Standard ISO 27001:2022 (zu erwerben bei der ISO oder nationalen Normungsorganisationen wie dem Beuth Verlag)

  • ISO 27002:2022 Leitfaden zur Implementierung

  • ISO 27005 Leitfaden zum Risikomanagement

  • Verzeichnisse von Zertifizierungsstellen (DAkkS, UKAS, ANAB, Akkreditierungsstellen)

War das hilfreich?