Zum Hauptinhalt springen
Informationssicherheit / NIS2

ISO 27001

Der internationale Standard für Informationssicherheits-Managementsysteme mit Anforderungen an Aufbau, Betrieb und Verbesserung eines ISMS.

ISO/IEC 27001 ist der weltweit führende Standard für Informationssicherheits-Managementsysteme (ISMS). Er legt die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS fest. Die aktuelle Version ISO/IEC 27001:2022 enthält 93 Kontrollen in vier Themengruppen (Organisatorische, Personalbezogene, Physische und Technologische Kontrollen), die im Anhang A spezifiziert sind.

Der Kern der Norm liegt in einem risikobasierten Ansatz: Organisationen müssen Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln. Die Norm fordert ein dokumentiertes Risikobehandlungsplan und ein Statement of Applicability (SoA), das alle anwendbaren Kontrollen und deren Umsetzungsstatus dokumentiert. Die Zertifizierung nach ISO 27001 erfolgt durch akkreditierte externe Auditoren in einem Stage-1- und Stage-2-Audit sowie regelmäßige Überwachungsaudits.

Eine ISO-27001-Zertifizierung wird von vielen Großunternehmen und öffentlichen Auftraggebern als Nachweis angemessener Informationssicherheit gefordert. Sie ist zudem kompatibel mit anderen Managementsystemnormen (ISO 9001, ISO 22301) und erleichtert die Erfüllung gesetzlicher Anforderungen aus NIS2, DORA oder TISAX erheblich, da viele regulatorische Anforderungen mit den Kontrollen des Anhangs A abgedeckt werden.

Rechtliche Grundlage

ISO/IEC 27001:2022

Praxisbeispiel

Ein Cloud-Anbieter mit 200 Mitarbeitenden möchte in den B2B-Markt expandieren und erhält von potenziellen Unternehmenskunden regelmäßig Sicherheitsfragebögen. Um den Aufwand zu reduzieren und das Vertrauen zu stärken, entscheidet sich das Management für eine ISO-27001-Zertifizierung. Nach einer neunmonatigen Implementierungsphase mit Gap-Analyse, Risikobehandlung und internem Audit wird das Stage-2-Audit erfolgreich abgeschlossen. Seitdem kann das Unternehmen Kundenanfragen mit dem Zertifikat beantworten und hat seinen Vertriebsprozess deutlich beschleunigt.

Häufige Fragen

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme. Er definiert Anforderungen an den Aufbau, Betrieb und die Verbesserung eines ISMS und ermöglicht eine anerkannte Zertifizierung durch akkreditierte Auditoren.
Eine Zertifizierung ist sinnvoll, wenn Kunden oder Partner einen Nachweis über Ihre Informationssicherheit fordern, wenn Sie als NIS2- oder DORA-Pflichtiger gesetzliche Anforderungen erfüllen müssen oder wenn Sie Ihre Wettbewerbsposition im B2B-Markt stärken möchten. In manchen Branchen ist sie faktisch Voraussetzung für bestimmte Geschäftsbeziehungen.
Die Implementierungsdauer hängt von der Unternehmensgröße und der bestehenden Sicherheitsreife ab. Kleine bis mittlere Unternehmen benötigen typischerweise zwischen sechs und zwölf Monate von der ersten Gap-Analyse bis zum erfolgreichen Zertifizierungsaudit. Mit Unterstützung erfahrener Berater lässt sich der Prozess erheblich beschleunigen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

ISMS (Informationssicherheits-Managementsystem) BSI IT-Grundschutz Statement of Applicability (SoA) Risikobewertung (Risk Assessment) Audit
Zurück zum Glossar