Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 Anforderungen

ISO 27001 Anforderungen

ISO 27001 Anforderung Anhang A

ISO 27001 Anforderungen

Ein Informationssicherheitsmanagementsystem (ISMS) definiert die ISO 27001 Anforderungen für den Schutz sensibler Informationen in Unternehmen. Um eine ISO 27001 Zertifizierung erfolgreich zu bestehen, muss ein angemessenes ISMS implementiert sein.

Besonders in der Automobilindustrie hat sich mit TISAX® bereits seit einigen Jahren ein Standard für Informations- und Cybersicherheit etabliert. Der Einstieg in die ISO 27001 bereitet vielen Unternehmen jedoch gerade zu Beginn große Schwierigkeiten.

ISO/IEC 27001:2022 – Unterabschnitt 7.5.1

Das Unternehmen muss sicherstellen, dass folgende Anforderungen erfüllt werden:

  • a) die für die Organisation erforderliche Dokumentation einführen
  • b) die dokumentierte Information einführen, die für die Wirksamkeit des Managementsystems als notwendig bestimmt wurde

Key Facts – ISO 27001 Anforderungen

Risikobasierter Ansatz

ISO 27001 setzt auf eine systematische Risikobewertung, um Schwachstellen und Bedrohungen zu identifizieren und darauf aufbauend geeignete Sicherheitsmaßnahmen abzuleiten.

Managementverantwortung

Die Geschäftsleitung ist für die Einführung, Überwachung und ständige Verbesserung des Informationssicherheits-Managementsystems (ISMS) verantwortlich.

Dokumentierte Prozesse

Alle relevanten Verfahren und Kontrollen müssen nachvollziehbar dokumentiert werden. Diese Dokumentation bildet die Basis für interne Audits und externe Zertifizierungen.

Anhang A Controls

Im Anhang A von ISO 27001 (Version 2022: 93 Controls in 4 Kategorien) werden konkrete Maßnahmen beschrieben, die anhand des Risikoergebnisses ausgewählt und umgesetzt werden.

Aufbau eines ISMS

Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Verantwortlichkeiten, um das Schutzniveau kontinuierlich zu erhalten und zu steigern.

PDCA-Zyklus

ISO 27001 folgt dem Plan-Do-Check-Act-Prinzip: Maßnahmen werden geplant, umgesetzt, überprüft und kontinuierlich verbessert.

Regelmäßige Audits

Interne und externe Audits prüfen die Wirksamkeit der Sicherheitsmaßnahmen und helfen, Schwächen frühzeitig zu erkennen.

Mitarbeitersensibilisierung

Awareness-Programme und Schulungen sind zentral, damit Informationssicherheit im gesamten Unternehmen gelebt wird.

Integration mit anderen Normen

Dank der High Level Structure (HLS) ist ISO 27001 leicht mit anderen Managementsystemen (z. B. ISO 9001 oder ISO 22301) kombinierbar.

Zertifizierungsrelevanz

Eine erfolgreiche ISO 27001 Zertifizierung signalisiert Kunden, Partnern und Behörden ein professionelles Sicherheitsniveau und stärkt Vertrauen.

Die ISO 27001 Anforderungen an die dokumentierte Information werden durch 16 konkrete Vorgaben bestimmt. Zentrales Element ist die kontinuierliche Verbesserung des ISMS. Ein wesentlicher Baustein ist die Risikoeinschätzung und -behandlung von Informationssicherheitsrisiken in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit. Dabei werden Auswirkungen und Eintrittswahrscheinlichkeiten bewertet und mit Maßnahmen hinterlegt. Diese Planung umfasst auch Ressourcen, Budgets und gegebenenfalls Investitionen in Technik oder bauliche Maßnahmen.

Mindestanforderungen ISMS ISO 27001

ISO 27001 – Familie der ISMS Standards
ISO 27001 und die Familie der ISMS-Standards (Auszug)
  • Anwendungsbereich (Scope)
  • Kontext der Organisation
  • Managementverantwortung und Führungsstärke
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung

Informationssicherheitspolitik nach ISO 27001

Die ISO 27001 Anforderungen setzen – wie alle neuen ISO-Regelwerke – auf die High Level Structure (HLS). Im Kapitel 5 „Führung“ ist festgelegt, dass die oberste Leitung eine Informationssicherheitspolitik (Sicherheitsleitlinie) erstellen muss.

Diese Politik definiert den Anwendungsbereich des ISMS, formuliert konkrete Ziele und verankert die Verantwortung des Top-Managements. Sie dient als Leitplanke für Mitarbeitende, Kunden und Partner und ist ein zentrales Element jeder erfolgreichen Zertifizierung.

Wichtige Inhalte der Informationssicherheitspolitik

  • Unternehmensziele – Ausrichtung an der Strategie und am Geschäftszweck
  • Bewusstseinsförderung für die Informationssicherheit im gesamten Unternehmen
  • Einhaltung relevanter Gesetze, insbesondere DSGVO (Schutz personenbezogener Daten)
  • Funktionale Aufgaben des Top-Managements (siehe auch RACI-Matrix)
  • Kontinuierliche Verbesserung des ISMS und seiner Prozesse
  • Organisation des Informationssicherheitsmanagementsystems (ISMS)

Prozess der Risikoeinschätzung und -behandlung nach ISO 27001

Die ISO 27001 fordert, dass Unternehmen Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Trias) der Informationen zu gewährleisten. Ohne eine definierte Methodik lässt sich weder ein auditfähiges ISMS aufbauen, noch können Risiken nachvollziehbar gesteuert werden.

Wichtig: Die Methodik muss dokumentiert, unternehmensweit angewandt und regelmäßig überprüft werden.

Risikoeinschätzung

  • Alle relevanten Assets (Werte) identifizieren – z. B. IT-Systeme, Anwendungen, Datenbanken, Verträge, Gebäude.
  • Zu jedem Asset die Bedrohungen (z. B. Cyberangriffe, Naturkatastrophen) und Schwachstellen (z. B. fehlende Patches, unklare Zuständigkeiten) bestimmen.
  • Jedem Risiko wird ein Risiko-Eigentümer zugeordnet – i. d. R. die Person, die das Asset verantwortet.
  • Die Auswirkungen (z. B. finanzieller Schaden, Reputationsverlust, Bußgelder) und die Eintrittswahrscheinlichkeit werden nach definierten Kriterien bewertet.
  • Die Kriterien (z. B. Skala von 1–5 oder Ampelsystem) müssen von der Organisation festgelegt und konsistent angewandt werden.

Ergebnis dieser Phase ist ein Risikoregister, das alle Assets, Risiken, Bewertungen und Verantwortlichkeiten dokumentiert. Dieses Register ist ein zentrales Dokument für interne und externe Audits.

Risikobehandlung

Nach der Einschätzung folgt die Risikobehandlung. Ziel ist es, für jedes identifizierte Risiko eine angemessene Maßnahme festzulegen. Typische Optionen sind:

  • Risikovermeidung – z. B. durch Stilllegung eines unsicheren Systems.
  • Risikoreduktion – Umsetzung technischer oder organisatorischer Sicherheitsmaßnahmen.
  • Risikotransfer – z. B. durch Versicherungen oder Outsourcing.
  • Risikoduldung – bewusste Akzeptanz, wenn das Restrisiko tragbar ist.

Grundlage für die Auswahl der Maßnahmen sind u. a. die Controls aus Anhang A der ISO/IEC 27001. Auch ausgelagerte Prozesse und Lieferanten müssen berücksichtigt werden. Die Wirksamkeit der Maßnahmen ist regelmäßig zu überprüfen – insbesondere nach Änderungen an Systemen, Standorten oder Prozessen.

Erklärung der Anwendbarkeit (SoA)

Die Erklärung der Anwendbarkeit (Statement of Applicability, SoA) ist ein zentrales ISO 27001-Dokument. Sie bezieht sich auf die 93 Controls des Anhangs A der ISO/IEC 27001:2022 und muss folgendes enthalten:

  • Eine Liste aller Controls aus Anhang A.
  • Für jedes Control die Entscheidung, ob es implementiert oder nicht anwendbar ist.
  • Eine Begründung für beide Fälle (Warum wurde ein Control umgesetzt? Warum nicht?).
  • Den Umsetzungsstatus und ggf. geplante Maßnahmen.

Das SoA dient Auditoren als Nachweis, dass Risiken transparent, nachvollziehbar und konsistent behandelt werden. Ein gut gepflegtes SoA ist damit einer der wichtigsten Erfolgsfaktoren für eine erfolgreiche ISO 27001 Zertifizierung.

Anhang A ISO 27001 – Maßnahmenziele & Controls

ISO 27001 Anforderungen – Anhang A Übersicht
Übersicht: ISO 27001 Anforderungen – Anhang A Controls

Im Anhang A der ISO 27001 beschreibt die Norm eine umfangreiche Reihe von Maßnahmenzielen (Control Objectives) und Maßnahmen (Controls). Die dort aufgeführten Ziele und Controls sind nicht vollständig – jede Organisation muss gegebenenfalls zusätzliche Ziele und Maßnahmen definieren, die für ihre spezifischen Risiken und Rahmenbedingungen notwendig sind.

Der Anhang A umfasst 14 Kategorien mit 35 Sicherheitskriterien bzw. Maßnahmenzielen und insgesamt 114 Controls. Wichtig: Jede Maßnahme (Control) muss mindestens ein zugehöriges Maßnahmenziel haben, jedoch kann ein Maßnahmenziel mehrere Controls haben. Aber: ein Control darf nur zu genau einem Ziel gehören.

Kategorien im Anhang A (Auszug)

  • A.5 Organisatorische Maßnahmen (5.1 bis 5.37)
  • A.6 Personenbezogene Maßnahmen (6.1 bis 6.8)
  • A.7 Physische Maßnahmen (7.1 bis 7.14)
  • A.8 Technologische Maßnahmen (8.1 bis 8.34)

Zusammenfassung

Die ISO 27001 Anforderungen definieren klare Vorgaben, um ein wirksames Informationssicherheits-Managementsystem (ISMS) zu implementieren. Eine erfolgreiche ISO 27001 Zertifizierung bildet die Basis für nachhaltige Informationssicherheit und schafft Vertrauen bei Kunden, Partnern und Behörden.

Branchenanforderungen – wie beispielsweise TISAX® in der Automobilindustrie – bauen direkt auf diesem Standard auf und ergänzen ihn um branchenspezifische Aspekte.

Unterstützung bei der Implementierung

Benötigen Sie Unterstützung bei der Einführung der ISO 27001 Anforderungen? Wir begleiten Sie von der ersten Risikoanalyse über die Erstellung der Dokumentation bis hin zur Auditvorbereitung. Dabei berücksichtigen wir auch ergänzende Standards wie TISAX®, ISO 27701 oder BSI IT-Grundschutz.

👉 Kontaktieren Sie uns für ein unverbindliches Erstgespräch

FAQ – ISO 27001 Anforderungen

1 Was sind die ISO 27001 Anforderungen?
Die ISO 27001 Anforderungen definieren Vorgaben für den Aufbau eines wirksamen Informationssicherheits-Managementsystems (ISMS). Dazu gehören Risikomanagement, dokumentierte Prozesse, regelmäßige Audits und die Umsetzung geeigneter Sicherheitsmaßnahmen.
2 Welche Rolle spielt das ISMS?
Das ISMS ist das zentrale System, das Richtlinien, Prozesse und Verantwortlichkeiten zur Sicherstellung der Informationssicherheit umfasst. Es stellt sicher, dass Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewahrt bleiben.
3 Was fordert ISO 27001 in Bezug auf die Risikoeinschätzung?
Unternehmen müssen alle relevanten Assets identifizieren, Bedrohungen und Schwachstellen erfassen, Risiken bewerten (Eintrittswahrscheinlichkeit & Auswirkung) und Verantwortlichkeiten festlegen. Ergebnis ist ein dokumentiertes Risikoregister.
4 Was gehört zur Risikobehandlung?
Nach der Bewertung werden Risiken behandelt: vermeiden, reduzieren, übertragen (z. B. Versicherung) oder akzeptieren. Die Maßnahmen müssen dokumentiert und regelmäßig überprüft werden.
5 Was ist die Erklärung der Anwendbarkeit (SoA)?
Die SoA ist ein Pflichtdokument. Sie listet alle 93 Controls aus Anhang A der ISO/IEC 27001:2022 auf und dokumentiert, ob sie umgesetzt oder nicht anwendbar sind – jeweils mit Begründung.
6 Welche Kategorien umfasst Anhang A?
Anhang A ist in 4 Kategorien gegliedert:
A.5 Organisatorische Maßnahmen (5.1–5.37)
A.6 Personenbezogene Maßnahmen (6.1–6.8)
A.7 Physische Maßnahmen (7.1–7.14)
A.8 Technologische Maßnahmen (8.1–8.34)
7 Welche Rolle spielt das Top-Management?
Die Unternehmensleitung muss eine Informationssicherheitspolitik festlegen, Ressourcen bereitstellen und die kontinuierliche Verbesserung sicherstellen. Ohne Management-Buy-in ist eine Zertifizierung kaum möglich.
8 Welche Dokumentationspflichten gibt es?
ISO 27001 fordert dokumentierte Informationen, u. a. Richtlinien, Prozesse, Risikoanalyse, SoA und Nachweise über Schulungen und Audits. Diese Dokumente sind Grundlage für die Zertifizierung.
9 Wie oft müssen Audits durchgeführt werden?
Interne Audits müssen regelmäßig (mindestens einmal jährlich) stattfinden. Externe Audits erfolgen im 3-Jahres-Zyklus: Zertifizierungsaudit, 2 Überwachungsaudits, danach Rezertifizierung.
10 Welche Vorteile hat eine ISO 27001 Zertifizierung?
Sie steigert Vertrauen bei Kunden und Partnern, reduziert Risiken, senkt mögliche Bußgelder (z. B. DSGVO), erleichtert Ausschreibungen und ist oft Voraussetzung in Lieferketten wie TISAX®.
11 Wie lange dauert die Einführung von ISO 27001?
Die Dauer hängt von Unternehmensgröße, Komplexität und Ausgangssituation ab. Kleine Unternehmen benötigen ca. 3–6 Monate, größere Organisationen oft 9–12 Monate bis zur Zertifizierungsreife.
12 Was kostet eine ISO 27001 Implementierung?
Die Kosten variieren stark. Einflussfaktoren sind Mitarbeiterzahl, Anzahl der Standorte und vorhandene Strukturen. Typisch: interne Aufwände plus externe Beratung (Tagessätze) und Zertifizierungsgebühren (ca. 5.000–20.000 €).
13 Welche Schritte umfasst die Implementierung?
Typische Schritte: Scope & Kontext festlegen, Risiken analysieren, Maßnahmen (Controls) planen, Dokumentation erstellen, Mitarbeitende schulen, internes Audit durchführen, Korrekturen umsetzen – danach Zertifizierungsaudit.

Verwandte Themen – ISO 27001

Sie möchten mehr zur ISO 27001 Zertifizierung erfahren? Hier finden Sie unser zentrales Angebot und weiterführende Beiträge:

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel