ISO/IEC 27001:2022
ISO 27001 einführen, zertifizieren und betreiben
Eine ISO-27001-Zertifizierung ist im Mittelstand häufig Voraussetzung für Aufträge, Versicherungsschutz und regulatorische Nachweispflichten. Wer sie sauber umsetzt, schafft gleichzeitig die Basis für NIS2, TISAX und weite Teile der DSGVO-Dokumentation.
Struktur
Klauseln 4 bis 10 plus 93 Controls
ISO 27001 beschreibt in den Klauseln 4 bis 10, wie das Managementsystem aufgebaut und betrieben wird. Anhang A listet 93 Maßnahmen, deren konkrete Ausgestaltung die flankierende Norm ISO 27002 beschreibt.
A.5
37 Controls
Organisatorische Maßnahmen
A.6
8 Controls
Personelle Maßnahmen
A.7
14 Controls
Physische Maßnahmen
A.8
34 Controls
Technologische Maßnahmen
Die 2022er Fassung hat elf neue Controls ergänzt: Threat Intelligence, Informationssicherheit bei Cloud-Diensten, IKT-Bereitschaft für Business Continuity, Datenleckschutz, Überwachung der Aktivitäten, Webfilterung, sicheres Programmieren, Konfigurationsmanagement und weitere. MGMSYS bringt für jeden neuen Control eine hinterlegte Maßnahmenvorlage mit.
Abbildung
Wie MGMSYS ISO 27001 führt
| Normklausel | Modul / Funktion |
|---|---|
| Klausel 4 – Kontext | ISMS: Kontextanalyse, interessierte Parteien, Scope |
| Klausel 5 – Führung | Leitlinien, Rollen, Management-Commitment |
| Klausel 6 – Planung | Risikoregister, Risikobewertung, SoA-Generator |
| Klausel 7 – Unterstützung | Ressourcen, Schulungen, Dokumentenlenkung |
| Klausel 8 – Betrieb | Maßnahmenumsetzung, Änderungen, Vendor Risk |
| Klausel 9 – Bewertung | KPIs, Audit Management, Managementbewertung |
| Klausel 10 – Verbesserung | Korrekturmaßnahmen, KVP-Prozess |
| Anhang A.5–A.8 | Strukturiertes Control-Register mit Reifegrad |
Jede Maßnahme wird einmal eingeführt und steht über das Cross-Reporting auch für NIS2, TISAX, DSGVO-TOM und weitere Frameworks zur Verfügung.
Zertifizierungsweg
In acht Schritten zum Zertifikat
- 1
Scope definieren
Anwendungsbereich, Standorte, Prozesse, Assets.
- 2
Gap-Analyse
Status quo gegen Klauseln und Anhang A abgleichen.
- 3
Risikoanalyse und -behandlung
Assets erfassen, Bedrohungen bewerten, Behandlungsstrategie festlegen.
- 4
Statement of Applicability
Pro Control begründen, warum angewendet oder ausgeschlossen.
- 5
Maßnahmen einführen
Prozesse dokumentieren, Policies erlassen, technische Controls implementieren.
- 6
Interne Audits und Managementbewertung
Mindestens einmal vor dem Zertifizierungsaudit.
- 7
Stufe-1- und Stufe-2-Audit
Externer Prüfer bewertet Dokumentation und Wirksamkeit.
- 8
Überwachung und Rezertifizierung
Jährliche Überprüfung, vollständige Rezertifizierung nach drei Jahren.
Typische Projektdauer bis zur Erstzertifizierung im Mittelstand: 6 bis 12 Monate.
Häufige Fragen
- Müssen wir alle 93 Controls umsetzen?
Nicht zwingend. Controls dürfen ausgeschlossen werden, wenn sie im Anwendungsbereich nicht greifen. Jeder Ausschluss muss im Statement of Applicability begründet sein.
- Was ist das Statement of Applicability?
Ein Dokument, das alle Controls aus Anhang A auflistet und für jeden Control begründet, ob er angewendet wird – oder warum nicht. Zertifizierungskritisch. MGMSYS erzeugt das SoA automatisiert aus der Risikobehandlung.
- Reicht ISO 27001 für NIS2?
Als Ausgangspunkt ja, als alleinige Erfüllung nein. NIS2 ergänzt unter anderem Meldefristen gegenüber dem BSI, Registrierungspflicht und Leitungsschulung. Mehr auf der NIS2-Seite.
- Wie oft muss rezertifiziert werden?
Das Zertifikat gilt drei Jahre. Jährlich finden Überwachungsaudits statt, nach drei Jahren eine vollständige Rezertifizierung.
Zertifikat ist Ergebnis, nicht Ziel
Ein gelebtes ISMS macht das Unternehmen widerstandsfähiger – gegen Angriffe, Betriebsunterbrechungen und regulatorische Risiken.