Cyber risks aren’t just technical issues anymore—they’re business risks. Whether you’re handling sensitive customer data, delivering critical services, or scaling a digital product, your approach to information security will be under scrutiny. That’s where ISO/IEC 27001 comes in.

ISO 27001 is the world’s most widely adopted standard for building and maintaining a security management system. It helps organizations manage risks, define clear responsibilities, and put consistent controls in place—all in a structured, auditable way. Clients and partners increasingly expect alignment with it, especially in regulated or enterprise environments.

In this post, we’ll walk through what ISO 27001 is, why it matters, and how it can help you build security into the core of your operations—whether you’re just getting started or refining an existing ISMS.

Was ist ein Informationssicherheitsstandard?

Let's start from the very basics. ISO 27001 is a security standard. That means it provides a structured set of best practices you can follow. These best practices are created by experts on the field to represent the best possible ways to mitigate cyber risks.

Einige Sicherheitsnormen (wie ISO 27001) beinhalten auch einen Zertifizierungsmechanismus. Das heißt, Sie können von einem externen akkreditierten Prüfer (nach einer vorgegebenen Liste von Regeln) überprüfen lassen, ob Sie alle bewährten Verfahren der Norm einhalten. Als Endergebnis dieses Prozesses erhalten Sie dann ein Zertifikat für Ihr Unternehmen.

Aus der Sicht einer Person, die in einer Organisation für die Informationssicherheit verantwortlich ist, bieten Sicherheitsstandards z.B. die folgenden Vorteile:

• Erhalten Sie eine kampferprobte Liste bewährter Verfahren: Sie müssen Ihr Informationssicherheitsprogramm nicht von Grund auf neu aufbauen und können Zeit sparen, indem Sie die von Experten erstellten und von Hunderttausenden von Unternehmen getesteten Best Practices nutzen.
• Verstehen Sie Ihr eigenes Sicherheitsniveau: Sind Sie 30/100, 60/100 oder 90/100 konform mit ISO 27001? Das gibt Ihrer Organisation einen Anhaltspunkt und ermöglicht es, Ziele zu setzen. Allzu oft stützen Unternehmen ihr Verständnis von Informationssicherheit auf eine Ahnung von getätigten (oft nur technologischen) Investitionen, ohne wirklich etwas zum Vergleich zu haben.
• Schaffung einer kundenfreundlichen Sicherheitskommunikation: Auch Ihre Kunden kennen die ISO 27001, so dass eine entsprechende Berichterstattung für sie von Bedeutung ist. Die Einhaltung einer Weltklasse-Norm wie ISO 27001 weist auf eine sichere Organisation hin, die die Informationssicherheit ernst nimmt und der man die Kundendaten anvertrauen kann.

Welche Art von Inhalten umfasst ISO 27001?

In der ISO 27001-Norm sind diese bewährten Verfahren in zwei Formen enthalten:

• Anforderungen der obersten Führungsebene: Sie stellen sicher, dass Sie Ihr Informationssicherheitsprogramm klar definieren und es ordnungsgemäß verwalten.
• Information security controls: These ensure you're taking good care of the confidentiality, integrity and availability of data.

ISO 27001 Anforderungen an das Top-Management

Die aktuelle Version von ISO 27001 (2022) enthält 22 Anforderungen an das Topmanagement.

Jede Anforderung enthält eine eindeutige Bezeichnung, eine Kennung (die Nummer) und eine Beschreibung der Anforderung, die erfüllt werden muss, um der Norm zu entsprechen.

Die Anforderungen an das Sicherheitsmanagement umfassen Themen wie:

• 4. Kontext der Organisation (d.h. Verständnis der Organisation): Identifizierung des Umfelds der Organisation, der Schlüsselfaktoren und der Interessengruppen, die die Informationssicherheit beeinflussen könnten.
• 5. Führung: Die oberste Führungsebene muss das ISMS aktiv unterstützen, indem sie klare Ziele setzt, Verantwortlichkeiten zuweist und eine Kultur fördert, die der Informationssicherheit Vorrang einräumt.
• 6. Planning (i.e. risk management): Develop a structured approach to identify, evaluate and treat information security risks and implement the planned actions to mitigate chosen risks.
• 7. Unterstützung (d. h. Ressourcen und Dokumentation): Sicherstellen, dass die Organisation über die Ressourcen, Fähigkeiten und Kenntnisse verfügt, um das ISMS erfolgreich umzusetzen. Führen Sie eine gut organisierte Dokumentation und kommunizieren Sie klar über Sicherheitspraktiken.
• 8. Betrieb (d. h. Ausführung des ISMS): Umsetzung des ISMS durch Implementierung von Kontrollen und Durchführung von Schlüsselprozessen (z. B. Risikomanagement und kontinuierliche Verbesserung). Sicherstellen, dass das ISMS bei den täglichen Aktivitäten zuverlässig und konsequent umgesetzt wird.
• 9. Leistungsbewertung (d. h. Überwachung und Überprüfung): Regelmäßige Bewertung der Leistung des ISMS durch Audits, Überprüfungen und Messgrößen. Nutzen Sie diese Informationen, um die Wirksamkeit des ISMS zu bewerten.
• 10. Kontinuierliche Verbesserung: Kontinuierliche Verbesserung des ISMS durch Behandlung von Nichtkonformitäten, Ergreifen von Korrekturmaßnahmen und Verbesserung der Prozesse, um sicherzustellen, dass das ISMS wirksam und aktuell bleibt.

ISO 27001 Informationssicherheitskontrollen

Die aktuelle Version von ISO 27001 (2022) umfasst 93 Kontrollen der Informationssicherheit.

Jede Kontrolle hat einen eindeutigen Namen, eine Kennung (die Nummer), den obligatorischen Teil, der zu implementieren ist, und Richtlinien für eine noch härtere Implementierung. Die Leitlinien für Informationssicherheitskontrollen sind im ISO 27002-Dokument zu finden.

In der aktuellen Version von ISO 27001 sind die Kontrollen in 4 Kapitel unterteilt: organisatorische Kontrollen, personelle Kontrollen, physische Kontrollen und technologische Kontrollen. Diese Gruppierung unterstreicht sehr schön die Tatsache, dass nur ein Teil der Informationssicherheit hauptsächlich technologisch ist. In vielen Kontrollen werden Ihre Prozesse, die Sensibilisierung des Personals oder physische Schutzmaßnahmen stärker hervorgehoben als technologische Sicherheitsvorkehrungen.

Die ISO 27001-Kontrollen für die Informationssicherheit decken alle Aspekte der Informationssicherheit ab, zum Beispiel:

• Vermögensverwaltung: Identifizierung, Kategorisierung, Festlegung der Eigentumsverhältnisse und somit systematische Verwaltung und Schutz wichtiger Informationswerte (z. B. Datensysteme, Daten, Menschen, physische Standorte, Ausrüstung).
• Identitäts- und Zugriffsmanagement: Definieren Sie Prozesse, die sicherstellen, dass nur befugte Personen auf Informationsbestände zugreifen können, z. B. durch rollenbasierte Zugriffsverwaltung, Zugriffsüberprüfungen, Schutz von Authentifizierungsdaten und robuste Anmeldeverfahren.
• Beziehungen zu Lieferanten: Identifizierung wichtiger Lieferanten (z. B. Anbieter von Datensystemen und Datenverarbeiter) und Management der von ihnen ausgehenden Risiken für Ihre Daten, z. B. durch Einstufung der Lieferanten und Gewährleistung eines ausreichenden Niveaus an Informationssicherheit.
• Kontinuitätsmanagement: Stellt sicher, dass kritische Abläufe und Informationen auch bei Störungen verfügbar bleiben, indem strenge Backup-Prozesse, die Erstellung und Umsetzung von Kontinuitätsplänen und die Festlegung von Kontinuitätsanforderungen für verschiedene Anlagen oder Prozesse durchgeführt werden.
• Sicherheit der Humanressourcen: Stellt sicher, dass die Mitarbeiter ihre Sicherheitsverantwortung verstehen, ihre persönlichen Richtlinien befolgen, vor dem Zugriff überprüft werden und während ihrer gesamten Dienstzeit andere Sicherheitsrichtlinien befolgen.
• Physische Sicherheit: Schutz von Einrichtungen, Geräten und Informationen vor unbefugtem Zugriff, Beschädigung oder Störung und Gewährleistung einer sicheren physischen Umgebung.
• System- und Netzwerksicherheit: Schutz der IT-Infrastruktur durch Verwaltung von Schwachstellen, Kontrolle des Zugangs und Gewährleistung sicherer Konfigurationen, um unbefugten Zugang oder Störungen zu verhindern.
• Management von Bedrohungen und Schwachstellen: Prozesse zur Verfolgung der sich entwickelnden Bedrohungslandschaft und zur Identifizierung technischer Schwachstellen, um die Risiken für Informationsbestände zu mindern.
• Verwaltung von Zwischenfällen: Stellen Sie sicher, dass Sie in der Lage sind, potenzielle Sicherheitsvorfälle zu erkennen und zu untersuchen, und sorgen Sie, wenn sie erkannt wurden, für eine systematische Reaktion, Behandlung und Analyse von Vorfällen, um die Auswirkungen zu minimieren und eine Wiederholung zu verhindern.
• Anwendungssicherheit: Sicherstellen, dass die entwickelte Software mit robusten Kontrollen entworfen, entwickelt, getestet und gewartet wird, um Daten zu schützen und Schwachstellen während ihres gesamten Lebenszyklus zu verhindern.

Das Gute an den ISO 27001-Kontrollen ist, dass alle Aspekte der Informationssicherheit stark berücksichtigt werden.

Frequently asked questions about ISO 27001

Was ist der Unterschied zwischen ISO 27001 und ISO 27002 Dokumenten?

Das Dokument ISO 27001 umreißt die Prozesse und Richtlinien, die eine Organisation befolgen muss, um eine effektive Informationssicherheit zu erreichen und aufrechtzuerhalten. Alle Anforderungen dieses Dokuments müssen erfüllt werden, wenn Sie sich zertifizieren lassen wollen.

Die ISO 27001 verweist in ihrem Anhang A auf die in der ISO 27002 näher erläuterten Kontrollen.

Das Dokument ISO 27002 enthält Leitlinien und bewährte Verfahren für die Umsetzung der in Anhang A von ISO 27001 aufgeführten Kontrollen. Normalerweise wird von Ihnen erwartet, dass Sie die meisten Kontrollen umsetzen, aber einige können als "nicht anwendbar" eingestuft werden, wenn Sie eine stichhaltige Begründung vorlegen.

In den Abschnitten der Implementierungsanleitung gibt ISO 27002 Empfehlungen, wie die Kontrollen an die spezifischen Bedürfnisse der einzelnen Organisationen angepasst werden können. Diese Teile sind nicht verpflichtend zu implementieren, liefern aber wirklich wertvolle Details.

Zusammenfassend lässt sich also sagen, dass Sie beide Dokumente zusammen verwenden müssen. Ausführlichere Anleitungen zur Kontrolle der Informationssicherheit finden sich in 27002, die Anforderungen an das Informationssicherheitsmanagement werden in 27001 erläutert.

Was beinhaltet ein ISMS (Informationssicherheitsmanagementsystem)?

Ein ISMS (Information Security Management System) ist das zentrale System, in dem Sie die erforderlichen Informationen dokumentiert haben, die erklären, wie Sie die Anforderungen der Normen erfüllen und die Kontrollen umsetzen.

Die Norm gibt keine Formatvorgaben für das ISMS vor - es kann ein einziges Tool wie Cyberday sein oder ein Haufen von Wörtern, Excel, Powerpoints und Schriftzügen an der Wand. Sie müssen jedoch ein ISMS-Beschreibungsdokument für einen Auditor bereitstellen, das ihm die Struktur des ISMS und den Inhalt erklärt.

Die Aufgabe des ISMS besteht darin, sicherzustellen, dass alle Maßnahmen im Zusammenhang mit der Informationssicherheit klar dokumentiert, zugewiesen und überwacht werden. Es bietet einen strukturierten Ansatz für die Verwaltung der Informationssicherheit und verbindet alle Teile miteinander.

Worauf bezieht sich die ISO?

ISO bezieht sich auf die Internationale Organisation für Normung. Wenn Sie Zugang zu den tatsächlichen Inhalten der ISO 27001- und ISO 27002-Dokumente haben möchten, müssen Sie diese z. B. über deren Website ISO.org erwerben.

Möglicherweise wird die ISO 27001-Norm auch als ISO/IEC 27001:2022 bezeichnet. Der IEC-Teil bezieht sich auf die gemeinsamen Bemühungen mit der Internationalen Elektrotechnischen Kommission. Der Endteil (:2022 in diesem Fall) bezieht sich auf die neueste Version der Norm, die im Jahr 2022 veröffentlicht wurde.

Wie können Sie ISO 27001 nutzen?

Es gibt viele verschiedene Ansätze für die Anwendung von ISO 27001. Ich werde hier ein paar vorstellen, die wir bei unseren Kunden gesehen haben:

• Nutzen Sie sie als Maßstab: Suchen Sie sich bewährte Praktiken heraus, die Sie in Ihre eigenen Sicherheitsmaßnahmen einbauen können, und finden Sie gute Anleitungen, um sich Schritt für Schritt zu verbessern.
• Ermitteln Sie Ihr Informationssicherheitsniveau: Vergleichen Sie Ihre aktuellen Maßnahmen mit denen der ISO 27001, um herauszufinden, inwieweit Sie die Best Practices der Norm erfüllen, damit Sie sich Ziele für die Zukunft setzen können.
• Ziel ist es, konform zu werden: Setzen Sie sich als internes Ziel die Einhaltung der gesamten Norm, damit Sie bereit sind, über Ihre ISO 27001-Konformität zu berichten, z. B. gegenüber Kunden oder Behörden.
• Streben Sie eine Zertifizierung an: Wenn Sie den bestmöglichen Nachweis für Ihre laufende Einhaltung der Vorschriften erbringen und sicherstellen wollen, dass Sie Ihr ISMS kontinuierlich verbessern, arbeiten Sie mit einem akkreditierten Prüfer zusammen und unterziehen sich einem Zertifizierungsaudit.

Jede der Methoden bildet eine stärkere Basis für die nächste, so dass sie sich gegenseitig unterstützen.

Wer kann die ISO 27001-Norm anwenden?

Die ISO 27001-Norm kann von jeder Organisation angewandt werden, unabhängig von Größe, Branche oder Art. Solange Sie Ihre Informationssicherheit verbessern und bewährte Verfahren anwenden wollen, fallen Sie in den Geltungsbereich der Norm.

Unsere Organisation ist seit etwa 6 Jahren nach ISO 27001 zertifiziert. Damals waren wir noch klein, und seitdem sind wir ziemlich stark gewachsen. Darüber hinaus haben wir Hunderten von Organisationen aller Branchen geholfen, ihre ISO 27001-Konformität mithilfe der Cyberday zu verbessern. Wir haben also gesehen, dass es in der Praxis für jeden funktioniert, der seine Informationssicherheit verbessern möchte.

Different organizations may benefit from the standard in a little different ways. For SMEs an ISO 27001 certification can be in large part a way to create trust and credibility. In large organizations it can provide structure for managing information security risks across multiple departments, country branches and complex supply chains. In regulated industries it can assist in meeting customer and legal compliance requirements.

‍