ISO 27001:2022 · Vollständiger Leitfaden ISMS

Q: Wie hängen ISO 27001 und DSGVO zusammen?

Die DSGVO verlangt &bdquo;angemessene technische und organisatorische Maßnahmen“, ohne sie zu spezifizieren. ISO 27001 liefert den dokumentierten Rahmen, um diese Anforderung zu erfüllen, mit anerkanntem Standard, Risikoanalyse und Kontrollen, die personenbezogene Daten ausreichend schützen.

Compliance · ISO 27001:2022

ISO 27001:2022 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Sie definiert Anforderungen für systematischen Schutz von Vertraulichkeit, Integrität und Verfügbarkeit.

Ein Unternehmen ohne ISMS managt Cybersicherheit reaktiv: Es kauft Tools, ohne den Kontext, löst Vorfälle wie sie kommen und kann keinem Prüfer oder Kunden den Reifegrad seines Risikomanagements demonstrieren. ISO 27001 verwandelt diese Improvisation in einen dokumentierten, messbaren und zertifizierbaren Prozess. Dieser vollständige Leitfaden begleitet Sie von der Gap-Analyse bis zum Zertifikat.

Was ist ein ISMS?

Ein Informationssicherheits-Managementsystem (ISMS) ist die Menge aus Politiken, Prozessen, Rollen, Technologie und Schulung, die eine Organisation einsetzt, um Informationsrisiken systematisch zu managen. Es funktioniert über PDCA-Zyklen (Plan-Do-Check-Act), ermöglicht kontinuierliche Verbesserung und ist auf Reifegrade ausgelegt.

Anforderungen ISO 27001:2022 (Klauseln 4-10)

Klausel 4 · Kontext der Organisation

Identifizieren Sie interne und externe Themen, interessierte Parteien und definieren Sie den Anwendungsbereich des ISMS. Der Bereich ist die strategisch wichtigste Entscheidung: Er definiert, was zertifiziert wird.

Klausel 5 · Leadership

Die Geschäftsleitung verpflichtet sich explizit, eine Informationssicherheitspolitik genehmigt und Rollen mit Befugnissen zugewiesen. Ohne echtes Leadership scheitert das ISMS.

Klausel 6 · Planung

Risikoanalyse (konsistent mit ISO 31000), Risikobehandlungsplan, messbare Sicherheitsziele und Anwendbarkeitserklärung (Statement of Applicability, SoA).

Klausel 7 · Support

Ressourcen, Kompetenzen, Bewusstsein, dokumentierte Kommunikation und Informationen. Schulungs- und Awareness-Pläne für alle Mitarbeitenden.

Klausel 8 · Betrieb

Implementierung der ausgewählten Kontrollen, Risikobehandlung in Aktion, Lieferantenmanagement und Change Management.

Klausel 9 · Bewertung der Leistung

Überwachung, Messung, internes Audit und Managementbewertung.

Klausel 10 · Verbesserung

Nichtkonformitäten und Korrekturmaßnahmen, kontinuierliche Verbesserung des ISMS.

Die 93 Kontrollen aus Anhang A

Die 2022er-Version organisiert die Kontrollen in 4 Themen:

Organisatorische Kontrollen (37): Politiken, Rollen, Lieferanten, Vorfälle, Business Continuity, Compliance.
Personenkontrollen (8): Anstellung, Schulung, Disziplin, Heimarbeit, Vertraulichkeit.
Physische Kontrollen (14): Sicherheitsbereiche, physischer Zugang, Verkabelung, Wartung.
Technologische Kontrollen (34): Zugangskontrolle, Kryptografie, Backups, Logging, Netzwerksicherheit, sichere Entwicklung.

Die 11 neuen Kontrollen umfassen Threat Intelligence (A.5.7), Cloud-Sicherheit (A.5.23), Informationssicherheit beim Provider-Wechsel, ICT-Resilienz für Business Continuity, sichere Codierung (A.8.28), Konfigurationsmanagement (A.8.9), Datenmaskierung (A.8.11) und Löschung sensibler Informationen.

Implementierungsroadmap in 6-9 Monaten

Monate 1-2 · Gap-Analyse und Anwendungsbereich: Diagnose des Reifegrads, Anwendungsbereich, Kontext, interessierte Parteien.
Monate 2-3 · Risikoanalyse: Methodik definieren (MAGERIT oder Äquivalent), Risiken identifizieren, bewerten und Behandlung wählen.
Monate 3-4 · SoA und Politiken: Anwendbarkeitserklärung, allgemeine Sicherheitspolitik, Themenspezifische Politiken.
Monate 4-7 · Kontrollimplementierung: technische und organisatorische Maßnahmen, Schulung, Lieferantenmanagement.
Monat 7 · Internes Audit: vollständiges internes Audit, Nichtkonformitäten, Korrekturmaßnahmen.
Monat 8 · Managementbewertung: Geschäftsleitung prüft das ISMS, beschließt Verbesserungen.
Monat 9 · Zertifizierungsaudit: Audit Stufe 1 (Dokumentation) und Stufe 2 (Implementierung), Zertifikat gültig 3 Jahre.

Verbindung mit anderen Regulierungen

ISO 27001 und das Spanische Nationale Sicherheitsgrundgesetz (ENS)

Eine ISO-27001-Implementierung deckt etwa 75 % der ENS-Kontrollen mittlerer Kategorie ab. Beide Normen integriert anzugehen ermöglicht zwei Zertifizierungen mit einer einzigen Anstrengung.

ISO 27001 und DSGVO

Die DSGVO verlangt „angemessene technische und organisatorische Maßnahmen“. ISO 27001 liefert den anerkannten Rahmen, mit Kontrollen wie A.5.34 (Datenschutz und PII), A.8.10 (Datenlöschung), A.8.11 (Datenmaskierung).

ISO 27001 und NIS2

NIS2 verlangt Risikomanagement-Maßnahmen für wesentliche und wichtige Einrichtungen. ISO 27001 deckt etwa 80 % der NIS2-Pflichten ab und ist geprüfte Evidenz für Audits.

Realistische Kosten

Konzept	KMU (10-50)	Mittel (50-250)	Groß (250+)
Externe Beratung	12.000-22.000 €	22.000-45.000 €	45.000-90.000 €
Zertifizierungsaudit (3 Jahre)	6.000-9.000 €	9.000-15.000 €	15.000-30.000 €
Jährliches Überwachungsaudit	3.000-4.500 €	4.500-7.000 €	7.000-12.000 €
Technische Investitionen	5.000-25.000 €	25.000-80.000 €	80.000+ €
Interne dedizierte Zeit	0,5 FTE × 6 Mo.	1 FTE × 7 Mo.	2+ FTE × 9 Mo.

Praxisbeispiel: Software-as-a-Service mit 35 Mitarbeitenden

Ein SaaS-Unternehmen mit 35 Mitarbeitenden (B2B-Plattform für Logistik) implementierte ISO 27001:2022, weil Großkunden es vertraglich verlangten. Gap-Analyse: Reifegrad 38 %. Identifizierte Lücken: keine formale Risikoanalyse, fehlende Lieferantenmanagement-Kontrollen, fehlendes formales Logging, kein systematisiertes Incident-Management.

Investition: 18.500 € externe Beratung, 6.800 € Zertifizierungsaudit, 22.000 € in SIEM, EDR und Awareness-Plattform. Zeit: 7 Monate. Ergebnis: Zertifikat erhalten, 4 neue Verträge bei Großkunden im ersten Jahr nach Zertifizierung; schätzungsweise +480.000 € Umsatz direkt zuordenbar.

Mini-Glossar

ISMS: Information Security Management System.
SoA: Statement of Applicability, Anwendbarkeitserklärung der Kontrollen.
RTO / RPO: Recovery Time / Point Objective.
MAGERIT: Methodik für Analyse und Management von Informationssystem-Risiken.
SIEM: Security Information and Event Management.
EDR: Endpoint Detection and Response.

Häufig gestellte Fragen

Was ist ISO 27001 und was zertifiziert sie?

ISO 27001:2022 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Die Zertifizierung bestätigt, dass die Organisation einen systematischen Prozess zur Identifikation, Bewertung und Behandlung von Risiken implementiert hat, einschließlich der 93 Kontrollen aus Anhang A je nach Anwendbarkeit.

Was ist neu in der Version 2022?

Die 2022er-Version reduziert die Kontrollen von 114 auf 93, umorganisiert sie in 4 Themenfeldern (Organisation, Personen, physisch, technologisch) und führt 11 neue Kontrollen ein (Threat Intelligence, Cloud-Sicherheit, sichere Codierung, Datenmaskierung u. a.). Bestehende ISO-27001:2013-Zertifikate müssen bis Oktober 2025 migriert sein.

Wie unterscheidet sich ISO 27001 vom Spanischen Nationalen Sicherheitsgrundgesetz (ENS)?

ISO 27001 ist international und freiwillig (oft vertraglich gefordert). Das Spanische Nationale Sicherheitsgrundgesetz (ENS) ist nationale Pflicht für die spanische öffentliche Verwaltung und ihre Lieferanten. ISO 27001 deckt etwa 75 % der ENS-Kontrollen mittlerer Kategorie ab, was eine gemeinsame Implementierung ermöglicht.

Wie hängen ISO 27001 und DSGVO zusammen?

Die DSGVO verlangt „angemessene technische und organisatorische Maßnahmen“, ohne sie zu spezifizieren. ISO 27001 liefert den dokumentierten Rahmen, um diese Anforderung zu erfüllen, mit anerkanntem Standard, Risikoanalyse und Kontrollen, die personenbezogene Daten ausreichend schützen.

Was kostet die Zertifizierung?

Externe Beratung: 12.000-35.000 € je nach Größe. Zertifizierungsaudit: 6.000-15.000 € alle drei Jahre, plus jährliche Überwachungsaudits 3.000-7.000 €. Interne Implementierung erfordert eine 50 %-Stelle über 6-9 Monate.

Welche Dauer hat die Implementierung?

Für mittlere Organisationen typisch 6-9 Monate. Phasen: Gap-Analyse (4 Wochen), Risikoanalyse und Anwendbarkeitserklärung SoA (6-8 Wochen), Kontrollimplementierung (12-20 Wochen), internes Audit (4 Wochen), Managementbewertung und Zertifizierungsaudit (6-8 Wochen).

Checkliste: 10 Schritte zur ISO-27001-Zertifizierung

Gap-Analyse durchführen und Anwendungsbereich definieren.
Sponsorship der Geschäftsleitung sichern.
Risikomethodik wählen (MAGERIT oder Äquivalent).
Risikoanalyse durchführen und SoA erstellen.
Allgemeine Politik und themenspezifische Politiken erstellen.
Kontrollen Anhang A nach Anwendbarkeit implementieren.
Mitarbeitende schulen und sensibilisieren.
Internes Audit und Managementbewertung durchführen.
Akkreditierten Zertifizierer wählen (ENAC).
Externes Audit Stufe 1 und 2; nach Erhalt aufrechterhalten.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Brauchen Sie Unterstützung?

Arbeiten Sie mit mir an ISO 27001:2022

Beratung zur Implementierung und Zertifizierung ISO 27001. Erstgespräch kostenfrei.

Termin vereinbaren →

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro