Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Standard · ISO

ISO/IEC 27001 — Informationssicherheits-Managementsystem

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
ISO 27001ISO 27002

Ein Mittelständler erhält eine Ausschreibung von einem Konzern: „Voraussetzung für die Teilnahme ist ein gültiges ISO-27001-Zertifikat oder ein gleichwertiger Nachweis.” Die Frist beträgt 18 Monate — von der ersten Diskussion im Management bis zum bestandenen Zertifizierungsaudit. Wer den Aufbau erst nach Erhalt der Ausschreibung beginnt, kommt zu spät. ISO 27001 ist heute in vielen B2B-Märkten und in regulierten Branchen Voraussetzung für die Geschäftstätigkeit, nicht nur ein Marketing-Argument.

ISO/IEC 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert, wie eine Organisation Informationssicherheit systematisch plant, umsetzt, überwacht und verbessert — unabhängig von Größe, Branche oder Technologiestack. Die aktuelle Version ist ISO/IEC 27001:2022 (deutsche Übersetzung als DIN EN ISO/IEC 27001:2024).

Was umfasst der Standard?

Die Norm hat zwei Ebenen: den Hauptteil mit zehn Klauseln (das eigentliche Managementsystem) und den Annex A (Referenzkatalog mit 93 Sicherheitskontrollen).

Die zehn Klauseln im Hauptteil

  • Klauseln 1–3 — Anwendungsbereich, normative Verweisungen, Begriffe.
  • Klausel 4 — Kontext der Organisation: interne und externe Themen, interessierte Parteien, Geltungsbereich des ISMS.
  • Klausel 5 — Führung: Verpflichtung der obersten Leitung, Informationssicherheitspolitik, Rollen und Verantwortlichkeiten.
  • Klausel 6 — Planung: Risikobeurteilung und -behandlung, Sicherheitsziele, Statement of Applicability (SoA).
  • Klausel 7 — Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Kommunikation, dokumentierte Information.
  • Klausel 8 — Betrieb: operative Umsetzung der Risikobehandlung.
  • Klausel 9 — Bewertung der Leistung: Überwachung, Internes Audit, Management-Review.
  • Klausel 10 — Verbesserung: Korrekturmaßnahmen und kontinuierliche Verbesserung.

Annex A — der Kontrollkatalog

93 Kontrollen in vier Themenbereichen:

  • A.5 — Organisatorische Kontrollen (37 Stück): Richtlinien, Rollen, Lieferanten, Vorfälle.
  • A.6 — Personenbezogene Kontrollen (8): Schulung, Disziplinarverfahren, Telearbeit.
  • A.7 — Physische Kontrollen (14): Zutritt, Geräte, sichere Entsorgung.
  • A.8 — Technologische Kontrollen (34): Endpunkte, Netzwerk, Kryptografie, Entwicklung.

Die Detailbeschreibungen mit Umsetzungshinweisen stehen in ISO/IEC 27002:2022. Diese Aufteilung ist neu seit der 2022er-Revision — die Vorgängerversion 2013 hatte 114 Kontrollen in 14 Gruppen.

Zertifizierungsprozess

Stage 1 — Dokumentenprüfung. Die Zertifizierungsstelle prüft, ob das ISMS dokumentarisch vollständig ist: Anwendungsbereich, Politik, Risikobewertungs-Methode, SoA, Verfahren für Internes Audit und Management-Review. Dauer: 1–3 Tage, abhängig von der Organisationsgröße.

Stage 2 — Vor-Ort-Audit. Wirksamkeitsprüfung: Wird das dokumentierte ISMS tatsächlich gelebt? Auditoren befragen Stichproben aus allen Abteilungen, prüfen Nachweise und Wirksamkeit der Kontrollen. Dauer: 2–10 Tage, je nach Anzahl Standorte und Beschäftigten.

Überwachungsaudits. In den Jahren 1 und 2 nach der Erstzertifizierung führt die Zertifizierungsstelle reduzierte Überwachungsaudits durch (typisch 1–3 Tage). Im Jahr 3 erfolgt das Rezertifizierungs-Audit (vergleichbarer Umfang wie Stage 2). Das Zertifikat ist drei Jahre gültig.

Voraussetzungen vor Stage 1:

  • ISMS läuft mindestens drei Monate produktiv
  • Dokumentiertes Internes Audit über den vollen Geltungsbereich liegt vor
  • Mindestens ein Management-Review wurde durchgeführt
  • Risikobehandlungsplan ist umgesetzt oder begründet zurückgestellt

Mapping zu anderen Standards

StandardVerhältnis zu ISO 27001
ISO/IEC 27002:2022Implementierungs-Leitfaden zu Annex A; nicht zertifizierbar
ISO/IEC 27005:2022Methodischer Leitfaden für Risikomanagement
ISO/IEC 27017 / 27018Cloud-Sicherheit / Schutz personenbezogener Daten in der Cloud
ISO 22301BCM-Standard, ergänzt ISO 27001 um Geschäftskontinuität
BSI IT-GrundschutzIn Deutschland anerkannt als gleichwertig zu ISO 27001 (mit zusätzlichen Anforderungen)
NIST Cybersecurity FrameworkUS-amerikanischer Rahmen, frei zugänglich, mappt auf ISO 27001
CIS ControlsKonkret-technische Maßnahmen, ergänzen ISO-Kontrollen mit Umsetzungs-Detail
TISAXISO-27001-basiert, branchenspezifisch für Automotive
C5 (BSI)Cloud-Sicherheits-Anforderungen, integriert ISO-27001-Kontrollen

Implementierungs-Aufwand

KMU (10–50 Personen): 6–12 Monate Aufbau, danach 0,2–0,5 FTE für laufenden Betrieb. Externe Unterstützung in der Aufbau-Phase typisch 15–30 Beratertage.

Mittelstand (50–500 Personen): 12–18 Monate Aufbau, 0,5–1,5 FTE für Betrieb. Häufig wird ein interner ISO oder CISO-Posten geschaffen oder mit anderen Aufgaben kombiniert.

Konzern (>500 Personen): 18–36 Monate Aufbau bei mehreren Standorten oder komplexen Geschäftsprozessen. Mehrere FTEs für ISMS-Team, oft mit dezentraler Verantwortung pro Geschäftseinheit.

Wiederkehrende Kosten: Externe Audit-Tage (Erstaudit ~5–15 Tage, Überwachung jährlich ~2–5 Tage), Schulungen, Werkzeuge, Risikobehandlungsmaßnahmen.

Verwandte Standards

  • ISO/IEC 27002: Umsetzungs-Leitfaden zum Annex A.
  • ISO/IEC 27005: Risikomanagement-Methodik für ISO-27001-ISMS.
  • BSI IT-Grundschutz: Deutscher Standard mit höherer Detailtiefe; in Bundesbehörden Pflicht.
  • ISO 22301: Business Continuity Management — komplementär zu ISO 27001.

Quellen

Häufig gestellte Fragen

Lohnt sich eine ISO-27001-Zertifizierung für KMU?

Das hängt vom Geschäftsmodell ab. Ohne Zertifikat verlieren KMU zunehmend Aufträge — vor allem in regulierten Branchen, im B2B-Vertrieb an Großkunden und bei öffentlichen Ausschreibungen. Selbst ohne Zertifizierung lohnt sich die strukturierte Umsetzung, weil sie Sicherheitsrisiken sichtbar macht. Für Organisationen unter 50 Personen ist der Erstaufwand realistisch bei 6–12 Monaten.

Wie unterscheidet sich ISO 27001 von BSI-Grundschutz?

ISO 27001 ist risikoorientiert: Die Organisation identifiziert ihre eigenen Risiken und wählt passende Kontrollen. BSI-Grundschutz ist baustein-orientiert: Für jeden Baustein (z. B. Webserver) sind konkrete Maßnahmen vorgegeben. BSI-Grundschutz ist detaillierter und in deutschen Behörden Standard, ISO 27001 ist international anschlussfähig.

Wie lange dauert eine Zertifizierung?

Der erste Audit-Zyklus umfasst Stage 1 (Dokumentenprüfung) und Stage 2 (Vor-Ort-Audit), in der Regel über 2–4 Monate verteilt. Voraussetzung: das ISMS läuft seit mindestens drei Monaten produktiv, mit dokumentiertem Internen Audit und Management-Review. Insgesamt von Projektstart bis Zertifikat: 9–18 Monate, je nach Reifegrad und Organisationsgröße.