ISMS Copilot
ISO 27001 Glossar

Was ist ISO 27001:2022?

Übersicht

ISO 27001:2022 ist die aktuelle internationale Norm, die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS) festlegt. Sie wurde im Oktober 2022 veröffentlicht, ersetzte die ISO 27001:2013 und bietet Organisationen einen weltweit anerkannten Rahmen für das systematische Management von Informationssicherheitsrisiken.

Was das in der Praxis bedeutet

ISO 27001:2022 ist sowohl ein Satz von Anforderungen, die Ihre Organisation erfüllen muss, als auch eine Zertifizierung, die Sie von einem akkreditierten externen Auditor erhalten können. Betrachten Sie es als das „Regelwerk“ für das Informationssicherheitsmanagement – es schreibt vor, was zu tun ist, lässt Ihnen jedoch Flexibilität bei der Umsetzung basierend auf Ihrem Kontext.

Wert der Zertifizierung: Eine ISO 27001-Zertifizierung beweist Kunden, Regulierungsbehörden und Partnern, dass ein unabhängiger Auditor bestätigt hat, dass Ihre Organisation international anerkannte Sicherheitspraktiken befolgt. Sie wird oft für Regierungsaufträge und Beschaffungsprozesse im Unternehmen vorausgesetzt.

Wesentliche Änderungen gegenüber ISO 27001:2013

Umstrukturierung der Annex A Maßnahmen

Die bedeutendste Änderung war eine vollständige Neuorganisation der Sicherheitsmaßnahmen:

  • Version 2013: 114 Maßnahmen in 14 Bereichen

  • Version 2022: 93 Maßnahmen in 4 Themenbereichen (Organisatorisch, Personenbezogen, Physisch, Technologisch)

  • Ergebnis: 11 neue Maßnahmen hinzugefügt, 24 Maßnahmen zusammengelegt, optimierte Struktur

Neue Maßnahmen für moderne Bedrohungen

ISO 27001:2022 führte Maßnahmen für aktuelle Sicherheitsherausforderungen ein:

  • A.5.7 Threat Intelligence – Überwachung und Reaktion auf neu entstehende Bedrohungen

  • A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten – Verwaltung der Informationssicherheit in Cloud-Services

  • A.8.9 Konfigurationsmanagement – Kontrolle von Sicherheitskonfigurationen

  • A.8.10 Löschen von Informationen – Verfahren zur sicheren Datenentsorgung

  • A.8.11 Maskierung von Daten – Schutz sensibler Daten in Nicht-Produktionsumgebungen

  • A.8.12 Vermeidung von Datenabfluss – Erkennung und Verhinderung unbefugter Datenübertragungen

  • A.8.16 Überwachungsaktivitäten – Erkennung von anomalem Verhalten

  • A.8.23 Web-Filterung – Kontrolle des Webzugriffs

  • A.8.28 Sichere Programmierung – Integration von Sicherheit in die Softwareentwicklung

Abstimmung mit ISO 27002:2022

Die Attribut-Zuweisungen in ISO 27002:2022 (dem begleitenden Leitfaden zur Umsetzung) umfassen nun Eigenschaften wie Maßnahmentyp, Sicherheitsdomänen und operative Fähigkeiten, was die Zuordnung der Maßnahmen zu spezifischen Anwendungsfällen erleichtert.

Übergangsfrist: Die Übergangsfrist endete am 31. Oktober 2025. Organisationen sollten nun nach der Version 2022 zertifiziert sein. Zertifizierungen, die nach Mai 2024 ausgestellt wurden, müssen der Version 2022 entsprechen.

Struktur der ISO 27001:2022

Abschnitte 1-3: Einführung und Anwendungsbereich

Definiert den Zweck der Norm, die Anwendbarkeit und verweist auf verwandte Normen wie ISO 27000 für die Terminologie.

Abschnitt 4: Kontext der Organisation

Erfordert das Verständnis des Kontexts Ihrer Organisation, der interessierten Parteien (Stakeholder) und die Festlegung des ISMS-Anwendungsbereichs. Sie müssen interne und externe Themen identifizieren, welche die Informationssicherheit beeinflussen.

Abschnitt 5: Führung

Das Top-Management muss Führung und Engagement demonstrieren, indem es eine Sicherheitspolitik festlegt, Rollen und Verantwortlichkeiten zuweist und die ISMS-Integration in die Geschäftsprozesse sicherstellt.

Abschnitt 6: Planung

Erfordert Risikobeurteilungs- und Behandlungsprozesse sowie die Definition, wie Sie Risiken identifizieren, bewerten und Maßnahmen auswählen, um diese zu adressieren. Zudem müssen messbare Informationssicherheitsziele festgelegt werden.

Abschnitt 7: Unterstützung

Umfasst Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information. Sie müssen angemessene Ressourcen sicherstellen, Personal schulen, das Sicherheitsbewusstsein schärfen und die erforderliche Dokumentation erstellen.

Abschnitt 8: Betrieb

Implementierung und Durchführung der geplanten Prozesse, einschließlich Risikobeurteilung, Risikobehandlung und operativer Sicherheitsmaßnahmen.

Abschnitt 9: Bewertung der Leistung

Überwachung, Messung, Analyse und Bewertung der Sicherheitsleistung durch interne Audits und Managementbewertungen. Verfolgen Sie, ob Sie Ihre Ziele erreichen.

Abschnitt 10: Verbesserung

Behandlung von Nichtkonformitäten durch Korrekturmaßnahmen und fortlaufende Verbesserung der ISMS-Wirksamkeit.

Anhang A: Sicherheitsmaßnahmen

Listet 93 Sicherheitsmaßnahmen in vier Themenbereichen auf, die Organisationen basierend auf den Ergebnissen der Risikobeurteilung auswählen. Dies ist das „Menü“ für die Umsetzung zur Adressierung identifizierter Risiken.

Die vier Themenbereiche der Maßnahmen in Anhang A

Organisatorische Maßnahmen (37 Maßnahmen, A.5.1-A.5.37)

Governance, Richtlinien, Risikomanagement, Asset-Management, Zugriffskontrolle, Lieferantenmanagement, Vorfallmanagement, Betriebskontinuität und Compliance. Dies sind Kontrollen auf Managementebene, die definieren, wie die Organisation arbeitet.

Personenbezogene Maßnahmen (8 Maßnahmen, A.6.1-A.6.8)

Überprüfung von Mitarbeitern, Beschäftigungsbedingungen, Sicherheitsschulungen, Disziplinarverfahren, Beendigungsprozesse, Geheimhaltungsvereinbarungen, Fernarbeit und Meldung von Vorfällen. Diese Maßnahmen steuern menschenbezogene Risiken.

Physische Maßnahmen (14 Maßnahmen, A.7.1-A.7.14)

Gebäudesicherheit, physische Zutrittskontrolle, Geräteschutz, Umweltschutz (Strom, Klima), Verkabelungssicherheit, sichere Entsorgung, Desk-Policies, Entfernen von Assets, Speichermedien, Versorgungsleitungen, Wartung und Überwachung. Diese schützen die physische Umgebung.

Technologische Maßnahmen (34 Maßnahmen, A.8.1-A.8.34)

Endpunktsicherheit, privilegierter Zugriff, Einschränkung des Informationszugriffs, Quellcodezugriff, Authentifizierung, Kapazitätsmanagement, Schutz vor Malware, Protokollierung, Überwachung, Zeitsynchronisation, Netzwerksicherheit, Verschlüsselung, Entwicklungssicherheit, Änderungsmanagement, Tests, Schwachstellenmanagement und mehr. Dies sind technische und IT-Kontrollen.

Nicht alle Maßnahmen treffen zu: Ihre Risikobeurteilung bestimmt, welche der 93 Maßnahmen für Ihre Organisation relevant sind. Kleine Organisationen könnten 40-60 Maßnahmen implementieren, während komplexe Unternehmen möglicherweise alle 93 benötigen. Dokumentieren Sie Ihre Entscheidungen in der Erklärung zur Anwendbarkeit (Statement of Applicability).

Verpflichtende vs. optionale Anforderungen

Verpflichtende Anforderungen (Abschnitte 4-10)

Jede Organisation, die eine Zertifizierung anstrebt, muss alle Anforderungen in den Abschnitten 4 bis 10 umsetzen. Diese sind nicht verhandelbar und umfassen:

  • Festlegung des ISMS-Anwendungsbereichs

  • Durchführung von Risikobeurteilungen

  • Erstellung einer Erklärung zur Anwendbarkeit (SoA)

  • Dokumentation der Sicherheitspolitik

  • Durchführung interner Audits

  • Abhaltung von Managementbewertungen

  • Management von Nichtkonformitäten

Risikobasierte Auswahl der Maßnahmen (Anhang A)

Maßnahmen aus Anhang A werden basierend auf Ihrer Risikobeurteilung ausgewählt. Sie können Maßnahmen ausschließen, wenn diese für Ihre Risiken nicht relevant sind, müssen Ausschlüsse jedoch in Ihrer Erklärung zur Anwendbarkeit begründen.

Häufiger Fehler: Organisationen nehmen an, dass sie alle 93 Anhang-A-Maßnahmen umsetzen müssen. Die Norm erlaubt ausdrücklich Ausschlüsse, wenn Maßnahmen keine identifizierten Risiken adressieren oder nicht auf Ihren Kontext anwendbar sind. Die obligatorischen Anforderungen der Abschnitte 4-10 können jedoch nicht ausgeschlossen werden.

Wie die Zertifizierung funktioniert

Stufe 1: Dokumentenprüfung

Der Auditor prüft Ihre ISMS-Dokumentation, einschließlich Anwendungsbereich, Richtlinien, Risikobeurteilung, Erklärung zur Anwendbarkeit und Verfahren. Er verifiziert, ob Sie alle obligatorischen Anforderungen adressiert und angemessene Maßnahmen dokumentiert haben.

Stufe 2: Überprüfung der Implementierung

Vor-Ort- oder Remote-Audit, bei dem Auditoren Personal befragen, Nachweise prüfen, Maßnahmen testen und verifizieren, dass Ihr ISMS wie dokumentiert funktioniert. Es werden Stichproben über alle Maßnahmenthemen und Organisationsbereiche im Anwendungsbereich gezogen.

Zertifizierungsentscheidung

Wenn keine schwerwiegenden Nichtkonformitäten vorliegen, stellt die Zertifizierungsstelle ein Zertifikat mit einer Gültigkeit von drei Jahren aus. Geringfügige Nichtkonformitäten müssen innerhalb vereinbarter Zeitrahmen korrigiert werden.

Überwachungsaudits

Jährliche Folge-Audits verifizieren die fortlaufende Compliance und Verbesserung. Diese sind kürzer als das Erstzertifizierungs-Audit, prüfen jedoch stichprobenartig andere Bereiche.

Rezertifizierung

Alle drei Jahre erneuert ein vollständiges Rezertifizierungs-Audit, ähnlich der Stufe 2, Ihr Zertifikat für einen weiteren Dreijahreszyklus.

Wartung ist erforderlich: Eine Zertifizierung ist kein einmaliger Vorgang. Sie müssen Ihr ISMS pflegen, auf Änderungen in Ihrer Organisation oder Risiken reagieren, laufend Nachweise über den Betrieb der Maßnahmen sammeln und eine fortlaufende Verbesserung nachweisen. Eine Vernachlässigung führt zu Nichtkonformitäten in den Überwachungsaudits.

Wer sollte eine ISO 27001-Zertifizierung anstreben?

Regulierte Industrien

Finanzdienstleistungen, Gesundheitswesen, Telekommunikation und kritische Infrastrukturen stehen oft vor regulatorischen Anforderungen, deren Erfüllung durch ISO 27001 unterstützt wird (DSGVO, NIS2, DORA, PCI DSS).

B2B-Dienstleister

SaaS-Unternehmen, Cloud-Anbieter, Managed Service Provider und Outsourcing-Dienstleister nutzen die Zertifizierung, um Unternehmenskunden ihre Sicherheitsreife zu demonstrieren.

Regierungsauftragnehmer

Die Beschaffung im öffentlichen Sektor erfordert oder bevorzugt zunehmend eine ISO 27001-Zertifizierung als Nachweis der Sicherheitskompetenz.

Organisationen, die sensible Daten verarbeiten

Jedes Unternehmen, das personenbezogene Daten, geistiges Eigentum oder vertrauliche Informationen verarbeitet, profitiert von einem systematischen Risikomanagement.

Unternehmen, die einen Wettbewerbsvorteil suchen

In kompetitiven Ausschreibungen differenziert die ISO 27001-Zertifizierung Anbieter und kann ein entscheidender Faktor sein.

ISO 27001 im Vergleich zu anderen Sicherheits-Frameworks

SOC 2

SOC 2 ist eine nordamerikanische Attestierung mit Fokus auf Dienstleistungsorganisationen. ISO 27001 ist umfassender im Anwendungsbereich und weltweit anerkannt. Viele Organisationen streben beides an.

NIST Cybersecurity Framework

NIST CSF ist ein Leitfaden, kein zertifizierbarer Standard. ISO 27001 bietet eine Zertifizierung. Die Frameworks sind kompatibel und Organisationen führen häufig Mappings zwischen ihnen durch.

PCI DSS

PCI DSS ist spezifisch für Zahlungskartendaten. ISO 27001 adressiert die gesamte Informationssicherheit. Viele PCI DSS-Anforderungen überschneiden sich mit ISO 27001-Maßnahmen.

DSGVO (GDPR)

Die DSGVO ist eine gesetzliche Anforderung zum Datenschutz. ISO 27001 hilft dabei, die DSGVO-Compliance durch Sicherheitsmaßnahmen (Artikel 32) und Rechenschaftspflichten nachzuweisen.

Framework-Synergie: Der risikobasierte Ansatz von ISO 27001 ermöglicht es Ihnen, mehrere Compliance-Anforderungen gleichzeitig zu adressieren. Für ISO 27001 ausgewählte Maßnahmen erfüllen oft auch Anforderungen der DSGVO, SOC 2, PCI DSS und anderer Frameworks. Nutzen Sie ISMS Copilot, um Maßnahmen frameworkübergreifend zuzuordnen.

Vorteile der Einführung von ISO 27001:2022

Reduzierung von Sicherheitsvorfällen

Die systematische Risikoidentifikation und Maßnahmenumsetzung reduziert messbar die Wahrscheinlichkeit und die Auswirkungen von Sicherheitsverletzungen.

Einhaltung gesetzlicher Vorschriften

Viele ISO 27001-Maßnahmen adressieren direkt die DSGVO, NIS2, DORA und sektorspezifische Regulierungen, was den Compliance-Aufwand verringert.

Kundenvertrauen

Eine unabhängige Zertifizierung gibt Kunden Sicherheit, insbesondere bei Beschaffungs- und Vertragsverhandlungen.

Operative Effizienz

Dokumentierte Prozesse, klare Verantwortlichkeiten und systematische Verbesserung reduzieren Fehler und Nacharbeiten.

Versicherung und Haftung

Einige Cyber-Versicherungsanbieter bieten zertifizierten Organisationen bessere Konditionen an, da sie das reduzierte Risiko anerkennen.

Business Resilienz

Maßnahmen zur Reaktion auf Vorfälle und zur Betriebskontinuität gewährleisten eine schnellere Wiederherstellung nach Sicherheitsereignissen und Störungen.

Zeitplan und Kosten der Implementierung

Typischer Zeitrahmen für die Umsetzung

  • Kleine Organisation (10-50 Mitarbeiter): 6-9 Monate

  • Mittlere Organisation (50-250 Mitarbeiter): 9-12 Monate

  • Große Organisation (250+ Mitarbeiter): 12-18 Monate

Kostenfaktoren

  • Interne Ressourcen: Projektmanager, ISMS-Team, Fachexperten

  • Externe Unterstützung: Berater ($10.000 - $100.000+ je nach Umfang und Größe der Organisation)

  • Tools: GRC-Plattformen, Sicherheitstools, Dokumentationssysteme

  • Zertifizierungsaudit: $5.000 - $50.000+ für Stufe-1- und Stufe-2-Audits

  • Jährliche Überwachung: $2.000 - $15.000+ pro Jahr

  • Maßnahmenumsetzung: Variabel, basierend auf der bestehenden Sicherheitsreife und den erforderlichen Kontrollen

Strategien zur Kostensenkung: Nutzen Sie KI-Tools wie ISMS Copilot, um Dokumentation, Risikobeurteilung und Gap-Analyse zu beschleunigen. Nutzen Sie bestehende Sicherheitsinvestitionen und stimmen Sie diese mit anderen Compliance-Bemühungen ab. Erwägen Sie eine phasenweise Implementierung, beginnend mit den risikoreichsten Bereichen.

Häufige Herausforderungen bei der Implementierung

Definition des Anwendungsbereichs

Organisationen tun sich schwer, den angemessenen ISMS-Anwendungsbereich zu definieren – zu eng gefasst fehlen Risiken, zu breit gefasst wird es unüberschaubar. Der Bereich sollte kritische Informationswerte und Schnittstellen zu Dritten abdecken.

Methodik der Risikobeurteilung

Die Entwicklung eines Risikobeurteilungsansatzes, der sowohl konform als auch praktikabel ist, erfordert ein Gleichgewicht zwischen Strenge und Pragmatismus. Übermäßig komplexe Methoden blockieren die Umsetzung.

Sammlung von Nachweisen

Auditoren benötigen Beweise dafür, dass Maßnahmen effektiv funktionieren. Organisationen implementieren oft Kontrollen, versäumen es jedoch, systematisch Nachweise für deren Betrieb zu sammeln.

Aufrechterhaltung des Momentums

Die ISMS-Implementierung erfordert über Monate hinweg anhaltende Anstrengungen. Die anfängliche Begeisterung lässt ohne sichtbare Unterstützung des Managements und schnelle Erfolge nach.

Erfolgsfaktor: Betrachten Sie ISO 27001 als Initiative zur Geschäftsverbesserung, nicht als reines Compliance-Projekt. Verknüpfen Sie sie mit Geschäftszielen wie Kundengewinnung, operativer Effizienz und Risikominimierung. Feiern Sie Meilensteine und kommunizieren Sie Fortschritte breitflächig.

Verwandte Konzepte

  • Information Security Management System (ISMS) – Das durch ISO 27001 definierte System

  • Anhang A Maßnahmen – Die 93 Sicherheitsmaßnahmen in ISO 27001:2022

  • Erklärung zur Anwendbarkeit (Statement of Applicability) – Dokument, das auflistet, welche Maßnahmen Sie umsetzen

  • Risikobeurteilung – Prozess zur Identifizierung von Sicherheitsrisiken

  • Wie Sie mit der ISO 27001-Implementierung unter Nutzung von KI beginnen

Hilfe erhalten

Bereit für die Umsetzung von ISO 27001:2022? Nutzen Sie ISMS Copilot, um Ihre Implementierung mit KI-gestützten Risikobeurteilungen, Richtlinienerstellung und Gap-Analysen zu beschleunigen, die speziell auf die Version 2022 zugeschnitten sind.

War das hilfreich?