Was ist ISO/IEC 27001?
ISO/IEC 27001 ist der führende internationale Standard für Informationssicherheitsmanagementsysteme (ISMS), herausgegeben von der Internationalen Organisation für Normung (ISO). Die Revision 2022 (ISO 27001:2022) führte einen überarbeiteten Anhang-A-Kontrollkatalog ein, der an ISO 27002:2022 ausgerichtet ist und die Kontrollen von 114 auf 93 in 4 Themenbereichen reduziert.
Die Zertifizierung belegt, dass eine Organisation ihre Informationssicherheitsrisiken bewertet und angemessene Kontrollen innerhalb eines systematischen Managementrahmens implementiert hat — überprüft durch ein unabhängiges Drittpartei-Audit.
Wer benötigt ISO 27001?
- Technologie- und SaaS-Unternehmen mit B2B-Geschäftskunden
- Finanzdienstleistungs-, Bank- und Zahlungsverarbeitungsorganisationen
- Gesundheits- und MedTech-Unternehmen, die Patientendaten verarbeiten
- Auftragnehmer des öffentlichen Sektors und der Regierung
- Rechenzentren, Cloud-Anbieter und Managed Service Provider
- Jede Organisation, die auf Sicherheitsfragebögen von Kunden oder Beschaffungsstellen antwortet
ISO 27001:2022 — Wesentliche Änderungen gegenüber 2013
Organisationen, die nach ISO 27001:2013 zertifiziert sind, müssen auf die Version 2022 umstellen. Die wesentlichen Änderungen umfassen:
- Anhang A neu strukturiert in 4 Themenbereiche: Organisatorisch, Personell, Physisch, Technologisch
- 11 neue Kontrollen hinzugefügt, darunter Bedrohungsintelligenz, Cloud-Sicherheit und Datenmaskierung
- Gesamtzahl der Kontrollen von 114 auf 93 reduziert (einige zusammengeführt)
- Stärkere Ausrichtung an anderen ISO-Managementsystemstandards (High Level Structure)
Geltungsbereich einer ISO 27001 Zertifizierung
Die Definition des Geltungsbereichs ist ein entscheidender Schritt im Zertifizierungsprozess. Der Geltungsbereich bestimmt, welche Informationswerte, Prozesse, Standorte und Organisationseinheiten innerhalb der ISMS-Grenzen liegen. Die Gap-Analyse-Phase von BALTUM umfasst eine detaillierte Unterstützung bei der Geltungsbereichsdefinition, um sicherzustellen, dass dieser für die Stakeholder aussagekräftig und innerhalb des Zielzeitraums erreichbar ist.
Das BALTUM-Vorgehen: Schritt für Schritt
- Phase 1 — Gap-Analyse & Geltungsbereich: Ist-Zustandsbewertung gegen die Anforderungen der ISO 27001:2022. Gap-Register. Geltungsbereichsdokument. Projekt-Roadmap.
- Phase 2 — ISMS-Dokumentation: Informationssicherheitsrichtlinie, Risikobewertungs- und Behandlungsmethodik, Anwendbarkeitserklärung, Verfahren und Kontrolldokumentation.
- Phase 3 — Implementierungsunterstützung: Anleitung zur Kontrollimplementierung, internes Audit und Unterstützung bei der Managementbewertung.
- Phase 4 — Zertifizierungsaudit: Stufe-1-Dokumentenprüfung und Stufe-2-Vor-Ort-/Remote-Audit durch eine akkreditierte Zertifizierungsstelle.
- Phase 5 — Überwachung: Jährliche Überwachungsaudits und Planung der dreijährigen Rezertifizierung.
Typischer Zeitrahmen
Für eine mittelgroße Organisation (50–500 Mitarbeitende) bei einer Erstzertifizierung: 3–6 Monate vom Projektstart bis zur Zertifikatserteilung. Die Zeitrahmen hängen von der Organisationsgröße, dem aktuellen Reifegrad und der Verfügbarkeit interner Ressourcen ab. BALTUM stellt zu Beginn jedes Projekts einen meilensteinbasierten Projektplan bereit.
Integration mit anderen Standards
ISO 27001 wird häufig zusammen mit ergänzenden Standards implementiert. BALTUM bietet integrierte Programme an, die Dokumentation, Kontrollen und Auditaktivitäten gemeinsam nutzen:
- ISO 27001 + ISO 27701 (Datenschutz-Informationsmanagement)
- ISO 27001 + ISO 22301 (Business Continuity)
- ISO 27001 + ISO 42001 (KI-Managementsystem)
- ISO 27001 + SOC 2 (einheitliches Nachweisframework)
- ISO 27001 + PCI DSS (Finanzsektor)