ISO 27001 – Informationssicherheits-Managementsystem (ISMS) im Überblick
Aufbau, Anforderungen und Zertifizierung des internationalen Standards für Informationssicherheit nach der aktuellen Fassung 2022.
Cyberangriffe, Datenpannen und gesetzliche Anforderungen wie NIS-2 rücken den Schutz von Informationen in den Mittelpunkt unternehmerischer Verantwortung. Die ISO/IEC 27001 ist der weltweit führende Standard für ein Informationssicherheits-Managementsystem (ISMS) – und zunehmend auch eine Voraussetzung, um im Geschäftsverkehr als vertrauenswürdiger Partner zu gelten. Dieser Beitrag gibt Ihnen einen kompakten Überblick über Aufbau, Anforderungen und Zertifizierung nach der aktuellen Fassung.
Was ist ein ISMS – und was regelt die ISO 27001?
Ein Informationssicherheits-Managementsystem ist ein systematischer, risikobasierter Rahmen, mit dem eine Organisation die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen steuert. Es geht dabei nicht nur um IT-Technik, sondern gleichermaßen um Organisation, Prozesse, Personal und physische Sicherheit. Die ISO/IEC 27001 definiert die verbindlichen Anforderungen an ein solches ISMS und ist die einzige zertifizierbare Norm der ISO-27000-Familie.
Die aktuell gültige Fassung ist die ISO/IEC 27001:2022, veröffentlicht am 25. Oktober 2022. Die dreijährige Übergangsfrist von der Vorgängerversion 2013 endete am 31. Oktober 2025; seither werden ausschließlich Zertifikate nach der Fassung 2022 ausgestellt und aufrechterhalten. Wer die Umstellung versäumt hat, benötigt in der Regel eine vollständige Neuzertifizierung.
Der Aufbau der Norm
Die ISO 27001 folgt der einheitlichen High-Level-Struktur, die alle modernen Managementsystem-Normen (etwa ISO 9001 oder ISO 14001) teilen. Das erleichtert die Integration in ein bestehendes Managementsystem. Die zentralen Anforderungen stehen in den Kapiteln 4 bis 10:
- Kontext der Organisation – Bestimmung von internen und externen Themen, interessierten Parteien und Anwendungsbereich (Scope) des ISMS.
- Führung – Verpflichtung der obersten Leitung, Informationssicherheitspolitik, Rollen und Verantwortlichkeiten.
- Planung – Risikobeurteilung und Risikobehandlung sowie Sicherheitsziele.
- Unterstützung – Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information.
- Betrieb – Umsetzung der geplanten Maßnahmen im Tagesgeschäft.
- Bewertung der Leistung – Überwachung, internes Audit und Managementbewertung.
- Verbesserung – Umgang mit Abweichungen und kontinuierliche Verbesserung.
Dahinter steht der PDCA-Zyklus (Plan – Do – Check – Act): Das ISMS ist kein einmaliges Projekt, sondern ein fortlaufender Kreislauf aus Planen, Umsetzen, Überprüfen und Verbessern.
Annex A: die 93 Sicherheitsmaßnahmen
Ergänzend zu den Kapiteln enthält der Anhang A einen Katalog konkreter Sicherheitsmaßnahmen (Controls). Mit der Fassung 2022 wurde dieser grundlegend modernisiert: Aus zuvor 114 Controls in 14 Bereichen wurden 93 Controls in nur noch vier Kategorien:
- Organisatorische Maßnahmen (37)
- Personenbezogene Maßnahmen (8)
- Physische Maßnahmen (14)
- Technologische Maßnahmen (34)
Neu hinzugekommen sind elf Controls, die aktuelle Risiken adressieren – darunter Threat Intelligence, Informationssicherheit bei der Nutzung von Cloud-Diensten, IKT-Bereitschaft für die Betriebskontinuität, physische Sicherheitsüberwachung und Datenmaskierung.
Wichtig: Es müssen nicht alle 93 Controls umgesetzt werden. Welche Maßnahmen relevant sind, ergibt sich aus der individuellen Risikobeurteilung. Dokumentiert wird dies in der Anwendbarkeitserklärung (Statement of Applicability, SoA) – einem Pflichtdokument, das begründet, welche Controls angewendet, ausgeschlossen oder abgewandelt werden.
Der Weg zur Zertifizierung
Die Zertifizierung erfolgt durch eine akkreditierte, unabhängige Zertifizierungsstelle und läuft üblicherweise in zwei Stufen ab: einer Dokumentenprüfung (Stufe 1) und einem vertieften Vor-Ort- bzw. Praxisaudit (Stufe 2). Das Zertifikat ist anschließend drei Jahre gültig, wird aber jährlich durch Überwachungsaudits bestätigt; nach Ablauf der drei Jahre folgt ein Rezertifizierungsaudit.
Typische Schritte auf dem Weg dorthin:
- Anwendungsbereich und Kontext festlegen
- Informationswerte erfassen und Risiken beurteilen
- Maßnahmen (Controls) auswählen und die SoA erstellen
- Richtlinien und Prozesse dokumentieren und einführen
- Mitarbeitende schulen und sensibilisieren
- Internes Audit und Managementbewertung durchführen
- Externes Zertifizierungsaudit absolvieren
Für wen sich die Norm lohnt
Eine ISO-27001-Zertifizierung schafft Vertrauen bei Kunden und Partnern, erfüllt vertragliche und regulatorische Anforderungen und reduziert nachweisbar das Risiko von Sicherheitsvorfällen. Gerade für kleine und mittlere Unternehmen ist sie oft der entscheidende Nachweis in Ausschreibungen und Lieferketten – und ein strukturierter Weg, Informationssicherheit dauerhaft zu verankern statt nur punktuell zu reagieren.
Wie der VQB unterstützt
Der VQB begleitet KMU praxisnah auf dem Weg zum ISMS – von der ersten Standortbestimmung über die Risikobeurteilung und die Erstellung der Anwendbarkeitserklärung bis zur Auditvorbereitung. Wir helfen Ihnen, die Anforderungen der ISO 27001:2022 auf Ihre tatsächlichen Risiken und Ressourcen zuzuschneiden, statt einen überdimensionierten Papierapparat aufzubauen. Als gemeinnütziger Partner setzen wir auf einen reifegradorientierten, integrierbaren Ansatz, der zu Ihren bestehenden Managementsystemen passt.

