Was ist ISO 27001:2022?
Überblick
ISO 27001:2022 ist die aktuelle internationale Norm, die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS) festlegt. Sie wurde im Oktober 2022 veröffentlicht, ersetzte die ISO 27001:2013 und bietet Organisationen einen weltweit anerkannten Rahmen für das systematische Management von Informationssicherheitsrisiken.
Bedeutung in der Praxis
Die ISO 27001:2022 ist beides: eine Reihe von Anforderungen, die Ihre Organisation erfüllen muss, und eine Zertifizierung, die Sie von einem akkreditierten externen Auditor erhalten können. Betrachten Sie sie als „Spielregeln“ für das Informationssicherheitsmanagement – sie sagt Ihnen, was Sie tun müssen, lässt Ihnen aber Flexibilität bei der Umsetzung basierend auf Ihrem Kontext.
Wert der Zertifizierung: Eine ISO 27001-Zertifizierung beweist Kunden, Regulierungsbehörden und Partnern, dass ein unabhängiger Auditor die Einhaltung international anerkannter Sicherheitspraktiken in Ihrem Unternehmen bestätigt hat. Sie wird häufig für Regierungsaufträge und im Beschaffungswesen großer Unternehmen vorausgesetzt.
Wesentliche Änderungen gegenüber ISO 27001:2013
Umstrukturierung der Annex A Maßnahmen
Die bedeutendste Änderung war eine vollständige Reorganisation der Sicherheitsmaßnahmen (Controls):
Version 2013: 114 Maßnahmen in 14 Bereichen
Version 2022: 93 Maßnahmen in 4 Themenbereichen (Organisatorisch, Personenbezogen, Physisch, Technologisch)
Ergebnis: 11 neue Maßnahmen hinzugefügt, 24 Maßnahmen zusammengelegt, optimierte Struktur
Neue Maßnahmen für moderne Bedrohungen
ISO 27001:2022 führte Maßnahmen für aktuelle Sicherheitsherausforderungen ein:
A.5.7 Bedrohungsdaten (Threat Intelligence) – Überwachung und Reaktion auf neu auftretende Bedrohungen
A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten – Verwaltung der Sicherheit in Cloud-Services
A.8.9 Konfigurationsmanagement – Kontrolle von Sicherheitskonfigurationen
A.8.10 Löschen von Informationen – Sichere Verfahren zur Datenentsorgung
A.8.11 Maskierung von Daten – Schutz sensibler Daten in Nicht-Produktionsumgebungen
A.8.12 Vermeidung von Datenabfluss (DLP) – Erkennung und Verhinderung unbefugter Datenübertragungen
A.8.16 Überwachungsaktivitäten – Erkennung von anomalem Verhalten
A.8.23 Web-Filterung – Kontrolle des Webzugriffs
A.8.28 Sicherer Codierung – Einbettung von Sicherheit in die Softwareentwicklung
Angleichung an ISO 27002:2022
Die Attributzuordnungen in der ISO 27002:2022 (dem begleitenden Implementierungsleitfaden) enthalten nun Eigenschaften wie Maßnahmentyp, Sicherheitsbereiche und operative Fähigkeiten, was die Zuordnung zu spezifischen Anwendungsfällen erleichtert.
Übergangsfrist: Organisationen, die nach ISO 27001:2013 zertifiziert sind, müssen bis zum 31. Oktober 2025 auf die Version 2022 umstellen. Zertifizierungen, die nach Mai 2024 ausgestellt werden, müssen der Version 2022 entsprechen. Beginnen Sie jetzt mit der Planung Ihres Übergangs, falls noch nicht geschehen.
Struktur der ISO 27001:2022
Kapitel 1-3: Einleitung und Anwendungsbereich
Definiert Zweck und Anwendbarkeit der Norm sowie Verweise auf verwandte Standards wie ISO 27000 für Begrifflichkeiten.
Kapitel 4: Kontext der Organisation
Erfordert das Verständnis des Kontexts Ihrer Organisation, der interessierten Parteien (Stakeholder) und die Festlegung des ISMS-Anwendungsbereichs. Sie müssen interne und externe Themen identifizieren, welche die Informationssicherheit beeinflussen.
Kapitel 5: Führung
Das Top-Management muss Führung und Engagement beweisen, indem es eine Sicherheitspolitik festlegt, Rollen und Verantwortlichkeiten zuweist und die Integration des ISMS in die Geschäftsprozesse sicherstellt.
Kapitel 6: Planung
Erfordert Prozesse zur Risikobeurteilung und Risikobehandlung; definiert, wie Sie Risiken identifizieren, bewerten und Maßnahmen zu deren Bewältigung auswählen. Zudem müssen messbare Informationssicherheitsziele festgelegt werden.
Kapitel 7: Unterstützung
Deckt Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Informationen ab. Sie müssen angemessene Ressourcen bereitstellen, Personal schulen, das Sicherheitsbewusstsein schärfen und die erforderliche Dokumentation erstellen.
Kapitel 8: Betrieb
Umsetzung und Betrieb der geplanten Prozesse, einschließlich Risikobeurteilung, Risikobehandlung und operativer Sicherheitsmaßnahmen.
Kapitel 9: Bewertung der Leistung
Überwachen, Messen, Analysieren und Bewerten der Sicherheitsleistung durch interne Audits und Managementbewertungen. Verfolgen Sie, ob Sie Ihre Ziele erreichen.
Kapitel 10: Verbesserung
Behandlung von Nichtkonformitäten durch Korrekturmaßnahmen und fortlaufende Verbesserung der Wirksamkeit des ISMS.
Anhang A: Sicherheitsmaßnahmen
Listet 93 Sicherheitsmaßnahmen in vier Themenbereichen auf, die Organisationen basierend auf den Ergebnissen der Risikobeurteilung auswählen. Dies ist das „Menü“ für die Umsetzung zur Bewältigung identifizierter Risiken.
Die vier Maßnahmenbereiche im Anhang A
Organisatorische Maßnahmen (37 Maßnahmen, A.5.1-A.5.37)
Governance, Richtlinien, Risikomanagement, Asset-Management, Zugriffskontrolle, Lieferantenmanagement, Incident-Management, Business Continuity und Compliance. Dies sind Kontrollen auf Managementebene, die den Betrieb der Organisation definieren.
Personenbezogene Maßnahmen (8 Maßnahmen, A.6.1-A.6.8)
Überprüfung von Mitarbeitern, Beschäftigungsbedingungen, Sicherheitsschulungen, Disziplinarverfahren, Beendigung von Arbeitsverhältnissen, Geheimhaltungsvereinbarungen (NDAs), Telearbeit und Meldung von Vorfällen. Diese Maßnahmen steuern menschenbezogene Risiken.
Physische Maßnahmen (14 Maßnahmen, A.7.1-A.7.14)
Standortsicherheit, physische Zutrittskontrolle, Schutz von Geräten, Umgebungsschutz (Strom, Klima), Verkabelungssicherheit, sichere Entsorgung, Clean-Desk-Richtlinien, Entfernen von Werten, Speichermedien, Versorgungsleitungen, Wartung und Überwachung. Diese schützen die physische Umgebung.
Technologische Maßnahmen (34 Maßnahmen, A.8.1-A.8.34)
Endpunktsicherheit, privilegierte Zugriffe, Zugriffsbeschränkung auf Informationen, Quellcode-Zugriff, Authentifizierung, Kapazitätsmanagement, Schutz vor Malware, Protokollierung, Überwachung, Uhrensynchronisation, Netzwerksicherheit, Verschlüsselung, Entwicklungssicherheit, Änderungsmanagement, Tests, Schwachstellenmanagement und mehr. Dies sind technische und IT-Kontrollen.
Nicht alle Maßnahmen sind zwingend: Ihre Risikobeurteilung bestimmt, welche der 93 Maßnahmen für Ihre Organisation relevant sind. Kleine Organisationen implementieren oft 40-60 Maßnahmen, während komplexe Unternehmen alle 93 benötigen können. Dokumentieren Sie Ihre Entscheidungen in der Erklärung zur Anwendbarkeit (Statement of Applicability).
Zwingende vs. optionale Anforderungen
Zwingende Anforderungen (Kapitel 4-10)
Jede Organisation, die eine Zertifizierung anstrebt, muss alle Anforderungen der Kapitel 4 bis 10 umsetzen. Diese sind nicht verhandelbar und umfassen:
Festlegung des ISMS-Anwendungsbereichs
Durchführung von Risikobeurteilungen
Erstellung einer Erklärung zur Anwendbarkeit (SoA)
Dokumentation der Sicherheitspolitik
Durchführung interner Audits
Abhalten von Managementbewertungen
Management von Nichtkonformitäten
Risikobasierte Maßnahmenauswahl (Anhang A)
Anhang-A-Maßnahmen werden basierend auf Ihrer Risikobeurteilung ausgewählt. Sie können Maßnahmen ausschließen, wenn diese für Ihre Risiken nicht relevant sind, müssen dies jedoch in Ihrer Erklärung zur Anwendbarkeit begründen.
Häufiger Fehler: Organisationen nehmen fälschlicherweise an, sie müssten alle 93 Maßnahmen aus Anhang A umsetzen. Die Norm erlaubt ausdrücklich Ausschlüsse, wenn Maßnahmen keine identifizierten Risiken adressieren oder für Ihren Kontext nicht anwendbar sind. Die zwingenden Anforderungen der Kapitel 4-10 können jedoch nicht ausgeschlossen werden.
Wie die Zertifizierung abläuft
Stufe 1: Dokumentenprüfung
Der Auditor prüft Ihre ISMS-Dokumentation, einschließlich Anwendungsbereich, Richtlinien, Risikobeurteilung, Erklärung zur Anwendbarkeit und Verfahren. Es wird verifiziert, ob Sie alle zwingenden Anforderungen adressiert und angemessene Maßnahmen dokumentiert haben.
Stufe 2: Überprüfung der Umsetzung
Audit vor Ort oder aus der Ferne, bei dem Auditoren Mitarbeiter befragen, Nachweise prüfen, Maßnahmen testen und verifizieren, ob Ihr ISMS wie dokumentiert funktioniert. Es werden Stichproben über alle Maßnahmenbereiche und Organisationseinheiten im Anwendungsbereich hinweg gezogen.
Zertifizierungsentscheidung
Wenn keine schwerwiegenden Nichtkonformitäten vorliegen, stellt die Zertifizierungsstelle ein drei Jahre gültiges Zertifikat aus. Geringfügige Nichtkonformitäten müssen innerhalb vereinbarter Fristen behoben werden.
Überwachungsaudits
Jährliche Follow-up-Audits verifizieren die fortlaufende Compliance und Verbesserung. Diese sind kürzer als das Erstzertifizierungsaudit, prüfen jedoch unterschiedliche Bereiche stichprobenartig.
Rezertifizierung
Alle drei Jahre erneuert ein vollständiges Rezertifizierungsaudit (ähnlich wie Stufe 2) Ihr Zertifikat für einen weiteren Dreijahreszyklus.
Wartung ist erforderlich: Eine Zertifizierung ist kein Selbstläufer. Sie müssen Ihr ISMS pflegen, auf Änderungen in der Organisation oder der Risikolage reagieren, laufend Nachweise über den Betrieb der Maßnahmen sammeln und eine kontinuierliche Verbesserung nachweisen. Vernachlässigung führt zu Nichtkonformitäten in Überwachungsaudits.
Wer sollte eine ISO 27001-Zertifizierung anstreben?
Regulierte Branchen
Finanzdienstleistungen, Gesundheitswesen, Telekommunikation und kritische Infrastrukturen unterliegen oft regulatorischen Anforderungen, die durch ISO 27001 erfüllt werden können (DSGVO, NIS2, DORA, PCI DSS).
B2B-Dienstleister
SaaS-Unternehmen, Cloud-Anbieter, Managed Service Provider und Outsourcing-Dienstleister nutzen die Zertifizierung, um Unternehmenskunden ihre Sicherheitsreife zu demonstrieren.
Regierungslieferanten
Beschaffungsverfahren im öffentlichen Sektor verlangen oder bevorzugen zunehmend eine ISO 27001-Zertifizierung als Nachweis der Sicherheitsfähigkeit.
Organisationen, die sensible Daten verarbeiten
Jedes Unternehmen, das personenbezogene Daten, geistiges Eigentum oder vertrauliche Informationen verarbeitet, profitiert von einem systematischen Risikomanagement.
Unternehmen, die einen Wettbewerbsvorteil suchen
In wettbewerbsintensiven Ausschreibungen differenziert die ISO 27001-Zertifizierung Anbieter und kann der entscheidende Faktor sein.
ISO 27001 im Vergleich zu anderen Frameworks
SOC 2
SOC 2 ist eine nordamerikanische Testierung für Dienstleistungsorganisationen. ISO 27001 ist umfassender und weltweit anerkannt. Viele Organisationen streben beides an.
NIST Cybersecurity Framework
Das NIST CSF ist ein Leitfaden, kein zertifizierbarer Standard. ISO 27001 bietet eine Zertifizierung. Die Frameworks sind kompatibel und Organisationen führen oft Mappings zwischen ihnen durch.
PCI DSS
PCI DSS ist spezifisch für Zahlungskartendaten. ISO 27001 deckt die gesamte Informationssicherheit ab. Viele Anforderungen des PCI DSS überschneiden sich mit ISO 27001-Maßnahmen.
DSGVO
Die DSGVO ist eine gesetzliche Anforderung zum Datenschutz. ISO 27001 hilft durch Sicherheitsmaßnahmen (Artikel 32) und Rechenschaftspflichten, die Einhaltung der DSGVO nachzuweisen.
Synergie der Frameworks: Der risikobasierte Ansatz der ISO 27001 ermöglicht es Ihnen, mehrere Compliance-Anforderungen gleichzeitig zu erfüllen. Maßnahmen, die für ISO 27001 ausgewählt wurden, erfüllen oft auch Anforderungen von DSGVO, SOC 2, PCI DSS und anderen Frameworks. Nutzen Sie den ISMS Copilot, um Maßnahmen frameworkübergreifend zuzuordnen.
Vorteile der Einführung von ISO 27001:2022
Weniger Sicherheitsvorfälle
Systematische Risikoidentifikation und Maßnahmenumsetzung reduzieren messbar die Wahrscheinlichkeit und Auswirkungen von Sicherheitsverletzungen.
Einhaltung gesetzlicher Vorschriften
Viele ISO 27001-Maßnahmen decken direkt die Anforderungen von DSGVO, NIS2, DORA und branchenspezifischen Regelungen ab, was den Compliance-Aufwand verringert.
Kundenvertrauen
Eine unabhängige Zertifizierung bietet Kunden Sicherheit, insbesondere bei Beschaffungsprozessen und Vertragsverhandlungen.
Operative Effizienz
Dokumentierte Prozesse, klare Verantwortlichkeiten und systematische Verbesserungen reduzieren Fehler und Nacharbeiten.
Versicherung und Haftung
Einige Cyber-Versicherer bieten zertifizierten Unternehmen bessere Konditionen an, da sie das reduzierte Risiko anerkennen.
Resilienz des Unternehmens
Maßnahmen zur Reaktion auf Vorfälle und zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity) gewährleisten eine schnellere Erholung nach Sicherheitsereignissen und Störungen.
Zeitplan und Kosten der Implementierung
Typischer Zeitrahmen für die Umsetzung
Kleine Organisation (10-50 Mitarbeiter): 6-9 Monate
Mittlere Organisation (50-250 Mitarbeiter): 9-12 Monate
Große Organisation (250+ Mitarbeiter): 12-18 Monate
Kostenfaktoren
Interne Ressourcen: Projektleiter, ISMS-Team, Fachexperten
Externe Unterstützung: Berater (10.000 € bis über 100.000 €, abhängig von Umfang und Größe)
Tools: GRC-Plattformen, Sicherheitstools, Dokumentationssysteme
Zertifizierungsaudit: 5.000 € bis über 50.000 € für Stufe 1 und Stufe 2 Audits
Jährliche Überwachung: 2.000 € bis 15.000 €+ pro Jahr
Umsetzung der Maßnahmen: Variabel, basierend auf der bestehenden Sicherheitsreife und den erforderlichen Maßnahmen
Strategien zur Kostensenkung: Nutzen Sie KI-Tools wie den ISMS Copilot, um Dokumentation, Risikobeurteilung und Gap-Analysen zu beschleunigen. Nutzen Sie vorhandene Sicherheitsinvestitionen und stimmen Sie sich mit anderen Compliance-Bemühungen ab. Erwägen Sie eine schrittweise Implementierung, beginnend mit den risikoreichsten Bereichen.
Häufige Herausforderungen bei der Implementierung
Festlegung des Anwendungsbereichs
Organisationen tun sich schwer, den ISMS-Scope richtig zu definieren – zu eng gefasst fehlen Risiken, zu weit gefasst wird es unüberschaubar. Der Scope sollte kritische Informationswerte und Schnittstellen zu Dritten abdecken.
Methodik der Risikobeurteilung
Einen Ansatz zur Risikobeurteilung zu entwickeln, der sowohl konform als auch praktisch ist, erfordert ein Gleichgewicht zwischen Strenge und Pragmatismus. Zu komplexe Methoden blockieren die Umsetzung.
Sammlung von Nachweisen
Auditoren benötigen Beweise dafür, dass Maßnahmen effektiv funktionieren. Organisationen führen oft Maßnahmen ein, versäumen es aber, systematisch Nachweise über deren Betrieb zu sammeln.
Dynamik aufrechterhalten
Die ISMS-Implementierung erfordert monatelange kontinuierliche Anstrengung. Die anfängliche Euphorie schwindet oft ohne sichtbare Unterstützung durch das Management und schnelle Erfolge.
Erfolgsfaktor: Behandeln Sie ISO 27001 als Initiative zur Geschäftsverbesserung, nicht als reines Compliance-Projekt. Verknüpfen Sie sie mit Geschäftszielen wie Kundengewinnung, operativer Effizienz und Risikominderung. Feiern Sie Meilensteine und kommunizieren Sie Fortschritte breitflächig.
Verwandte Konzepte
Informationssicherheits-Managementsystem (ISMS) – Das von der ISO 27001 definierte System
Annex A Maßnahmen – Die 93 Sicherheitsmaßnahmen der ISO 27001:2022
Erklärung zur Anwendbarkeit (SoA) – Dokument, das auflistet, welche Maßnahmen Sie umsetzen
Risikobeurteilung – Prozess zur Identifizierung von Sicherheitsrisiken
Erste Schritte mit der ISO 27001-Implementierung unter Nutzung von KI
Hilfe erhalten
Bereit für die Umsetzung der ISO 27001:2022? Nutzen Sie den ISMS Copilot, um Ihre Implementierung mit KI-gestützten Risikobeurteilungen, Richtliniengenerierung und Gap-Analysen zu beschleunigen, die speziell auf die Version 2022 zugeschnitten sind.