Die ISO 27001 Norm definiert, wie ein wirksames Informationssicherheitsmanagementsystem (ISMS) aufgebaut, betrieben und fortlaufend verbessert wird. Mit der Version 2022 und der Änderung 1: 2024 (Klimawandel) wurde der Standard nochmals geschärft, um moderne Risiken, Nachhaltigkeitsaspekte und vernetzte Geschäftsmodelle abzudecken.
1. Was regelt die ISO 27001 Norm?
- Geltungsbereich (Kapitel 4) – Kontext der Organisation und interessierte Parteien
- Führung (Kapitel 5) – Rollen, Verantwortlichkeiten, Top-Management
- Planung (Kapitel 6) – ISMS-Ziele, erweiterte Risiko- und jetzt auch Klimabetrachtung
- Unterstützung (Kapitel 7) – Ressourcen, Kompetenzen, Bewusstsein, dokumentierte Information
- Betrieb (Kapitel 8) – Steuernde Maßnahmen umsetzen und betreiben
- Bewertung (Kapitel 9) – Monitoring, interne Audits, Management-Review
- Verbesserung (Kapitel 10) – Korrektur- und Verbesserungsprozesse
Im Annex A sind die steuernden Maßnahmen (Controls) detailliert beschrieben und müssen mit einer Gapanalyse überprüft werden, um festzustellen, ob und wie sie auf das Unternehmen anwendbar sind und wo noch Lücken bestehen.
2. Entwicklung der ISO 27001 Norm – Versionsvergleich
| Version | Schwerpunkt & Struktur | Anzahl steuernder Maßnahmen (Controls) im Annex A | Wesentliche Neuerungen |
| 2013 | Einführung der High-Level-Structure (HLS); 14 Control-Domains | 114 | Stärkerer Management-Fokus, PDCA-Zyklus |
| 2022 | Vier Themenbereiche (organisatorisch, personell, physisch, technologisch) | 93 (Reduktion & Konsolidierung) | 11 neue Controls (u.a. Threat Intelligence, Cloud-Dienste), neue Gliederung |
| Änderung 1: 2024 | Ergänzung Abschnitt 6.3 zum Klimawandel | unverändert 93 | Pflicht, Auswirkungen des Klimawandels auf Informationssicherheit zu berücksichtigen |
Die aktuelle Version der Norm können Sie z.B. hier kaufen.
3. Kernanforderungen im Detail
3.1 Kontext & Stakeholder
Unternehmen müssen interne wie externe Themen – regulatorischen Auflagen bis zu Lieferkettenrisiken – systematisch erfassen und in das ISMS überführen.
3.2 Risiko- und Chancenmanagement
Die Norm verlangt eine nachvollziehbare Risikoanalyse, die Vertraulichkeit, Integrität und Verfügbarkeit aller Informationswerte bewertet. Die Änderung 1: 2024 weitet dies ausdrücklich auf durch den Klimawandel verursachte Bedrohungen (z.B. Extremwetter am Rechenzentrumsstandort) aus.
3.3 Maßnahmen (Controls)
Die 93 Controls des Annex A decken organisatorische, technische und physische Schutzmaßnahmen ab – von Kryptografie über Lieferantenmanagement bis zu Sicherheitszonen.
3.4 Performance-Bewertung und kontinuierliche Verbesserung
Kennzahlen, interne Audits und Management-Reviews prüfen, ob das ISMS messbar wirksam ist. Abweichungen fließen in den kontinuierlichen Verbesserungsprozess ein.
4. Vorteile einer Zertifizierung nach ISO 27001 Norm
- Schutz geschäftskritischer Werte durch systematisches Risikomanagement
- Nachweisbare Compliance gegenüber DSGVO, NIS2, DORA, u.a.
- Vertrauensvorsprung bei Kunden, Partnern und Kapitalgebern
- Reduziertes Haftungsrisiko dank dokumentierter Maßnahmen nach dem Stand der Technik
- Marktvorteil bei Ausschreibungen, in denen Informationssicherheit gefordert ist
5. Ihr Weg zur Umsetzung
- Gap-Analyse: Abgleich Ist-Situation vs. ISO 27001 Norm
- Projektplanung: Definition Geltungsbereich, Meilensteine, Verantwortlichkeiten
- Risikobewertung und Auswahl von Maßnahmen
- Implementierung: Prozesse, Richtlinien, technische Kontrollen
- Schulung und Awareness aller Beteiligten
- Interner Audit und Management Review
- Zertifizierungsaudit durch akkredierte Stelle
6. Wie wir Sie unterstützen
Als spezialisierte Berater:innen begleiten wir Sie vom ersten Workshop bis zur erfolgreichen Zertifizierung. Nutzen Sie unsere kostenlosen Webinare und individuellen Coachings oder sprechen Sie direkt mit uns.
FAQ zur ISO 27001 Norm
Ja. Der Standard ist skalierbar – Aufwand und Maßnahmen werden an die Größe und die individuellen Risiken des Unternehmens angepasst.
Bei klarer Projektorganisation und vorhandenen Basisprozessen ca. 6-12 Monate, abhängig von Unternehmensgröße und Komplexität.
Bestehende Zertifikate nach 2013 müssen bis spätestens Oktober 2025 auf die ISO 27001 Norm 2022 (inkl. Änderung 1: 2024) umgestellt werden.
Führungskräfte müssen Leitlinien freigeben, Ressourcen bereitstellen und wirksame Governance nachweisen – ein zentrales Auditkriterium.
Der Grundschutz kann als nationales Rahmenwerk dienen; die internationale ISO 27001 Norm wird jedoch global als Gold-Standard anerkannt und erleichtert länderübergreifende Geschäftsbeziehungen. Mehr zu diesem Thema finden Sie hier.
Nächste Schritte
Lernen Sie unserem kostenlosen Webinar, wie Sie Ihr Informationssicherheitsmanagementsystem (ISMS) normkonform aufbauen – sichern Sie sich jetzt Ihren Platz!