Die meisten Organisationen scheitern bei ISO-Projekten nicht an Controls oder Dokumentation. Sie scheitern, weil sie die Beziehungen zwischen den Standards nicht verstehen.
ISO 27001, 27002, 27005, 31000 und jetzt 42001 scheinen alle miteinander verwandt zu sein; sie erfüllen jedoch jeweils eine andere Funktion. Verwechseln Sie sie, bricht Ihre Governance zusammen. Ordnen Sie sie richtig zu, wird alles einfach.
Hier ist die präzise, praxiserprobte Karte des ISO-Dschungels.
ISO-Standards sind keine konkurrierenden Werke. Sie bilden ein Governance-System, das jeweils eine andere Ebene abdeckt:
- 27001 → die Anforderungen
- 27002 → der Umsetzungsleitfaden
- 27005 → die Risikemethodik
- 31000 → die unternehmensweite Risikokultur
- 42001 → Anforderungen an die KI-Governance
Sobald Sie diese Hierarchie verstehen, hört ISO auf, ein Papiertiger zu sein, und wird zu einem Blueprint für Sicherheits-, Risiko- und KI-Governance.
1. ISO 27001 ; The Core Requirements (The “What”)
ISO 27001 ist Ihr Ankerpunkt. Er definiert, was Ihr Information Security Management System (ISMS) erreichen muss.
Er liefert:
- Klauseln (4–10) = Governance-Anforderungen
- Anhang A = Referenz-Kontrollsatz
- Zertifizierungskriterien
- Die verbindliche Managementsystemstruktur
Was er NICHT bietet:
- Anleitung zur Implementierung von Controls
- Angaben zur erforderlichen Tiefe jedes Controls
- Eine Risikemethodik
- Technische Leitlinien
Genau deshalb existieren die anderen Standards rund um ihn.
Betrachten Sie 27001 als das Skelett.
2. ISO 27002 ; The Implementation Manual (The “How”)
ISO 27002 ist kein Zertifizierungsstandard. Er bietet die detaillierte Control-Guidance als Ergänzung zu Anhang A von 27001.
Jedes Control in 27001 → erläutert in 27002.
Was 27002 bietet:
- Control-Ziele
- Implementierungshinweise
- Reifegrad-Erwartungen
- Beispiele
- Ausrichtung an anderen Frameworks (NIST, CIS, Cloud, SaaS)
Was 27002 NICHT bietet:
- Governance-Anforderungen
- Risikemethodik
- Compliance-Kriterien
27002 ist Ihr Werkzeugkasten.27001 ist Ihr Regelwerk.
3. ISO 27005 ; The Risk Engine (The “How to Think About Risk”)
ISO 27001 verlangt die Durchführung von Risikobewertungen; er gibt jedoch nicht vor, wie das zu geschehen hat.
ISO 27005 schließt diese Lücke.
27005 bietet:
- Eine vollständige Risikomanagement-Methodik
- Schritte zur Risikoidentifikation
- Auswirkungs- und Eintrittswahrscheinlichkeitsmodelle
- Behandlungsoptionen
- Kontinuierliches Risikomonitoring
- Ausrichtung an Klausel 6 und Klausel 8 von 27001
Warum das in der Praxis zählt:
Ist Ihre Risikobewertung schwach, bricht Ihr gesamtes ISMS beim Audit zusammen.
27005 = das Gehirn des ISMS.
4. ISO 31000 ; The Risk Governance Philosophy (The “Why”)
ISO 31000 ist nicht spezifisch für Cybersicherheit. Es ist der globale Standard für das unternehmensweite Risikomanagement.
Organisationen nutzen 31000, um:
- Cyberrisiken mit dem Unternehmensrisiko auszurichten
- eine einheitliche Risikotaxonomie aufzubauen
- Governance zu standardisieren
- Risikobereitschaft und -toleranz zu definieren
- Geschäftsrisiko → IKT-Risiko → operationelles Risiko zu verknüpfen
In einfachen Worten:
27005 = operative Risikemethode 31000 = unternehmensweite Risikokultur
27005 ist Ihre Methode. 31000 ist Ihre Denkweise.
5. ISO 42001 ; The New AI Governance System (The “AI ISMS”)
ISO 42001 ist der erste globale Standard für KI-Managementsysteme. Er funktioniert wie ISO 27001, jedoch für die KI-Governance.
Was 42001 einführt:
- KI-Risikobewertungsmethoden
- Data Governance und Datensatzqualität
- Controls für den Modell-Lebenszyklus
- Anforderungen an menschliche Aufsicht
- Bias- und Drift-Monitoring
- Governance für KI-Lieferanten
- Incident Handling bei KI-Ausfällen
- Dokumentation zur Erklärbarkeit
- Ausrichtung am EU AI Act
42001 ist die Brücke zwischen GRC und KI-Entwicklung.
Wie 42001 in den ISO-Dschungel passt:
- 27001 → Sicherheit von Informationen
- 42001 → Governance von Intelligenz
Zusammen: wird die Organisation sicher, resilient UND verantwortungsvoll im Umgang mit KI.
6. Die echte Karte: Wie die Standards miteinander interagieren
Hier ist das klare Denkmodell, das führende GRC-Verantwortliche verwenden:
Ebene 1: Governance-Framework
ISO 27001 → Informationssicherheit ISO 42001 → KI-Governance
Diese definieren die Anforderungen und bilden das zertifizierbare Rückgrat.
Ebene 2: Implementierungsleitlinien
ISO 27002 → Umsetzung der Anhang-A-Controls (Sicherheit) ISO 42001 Anhänge → Betrieb der KI-Governance
Das sind die Handbücher.
Ebene 3: Risikemethodik
ISO 27005 → Operative Risikemethode für Sicherheit ISO 31000 → Unternehmensweite Risikogrundsätze
Das sind die Risikomaschinen.
Ebene 4: Controls, Nachweise und Assurance
Alle Standards fließen ein in:
- Richtlinien
- Verfahren
- Nachweise
- Risikoregister
- Audit-Trails
- Kontinuierliches Monitoring
Das ist das funktionierende System.
7. Die praktische Schlussfolgerung: Was Sie tatsächlich anwenden müssen
So sollten GRC-Teams die Standards in der Praxis einsetzen:
- Nutzen Sie 27001 als Ihren Governance-Blueprint
- Nutzen Sie 27002 zur Definition Ihrer Controls
- Nutzen Sie 27005 zur Durchführung Ihrer Risikobewertungen
- Nutzen Sie 31000 zur Ausrichtung von Cyberrisiken an das Unternehmensrisiko
- Nutzen Sie 42001 zur Vorbereitung auf die Anforderungen des AI Act
Das ergibt ein einheitliches Governance-Modell, das für ISO-Audits, NIS2, DORA, GDPR und den AI Act geeignet ist.
Abschließende Überlegung
Der ISO-Dschungel wirkt kompliziert, bis man eine Wahrheit verinnerlicht hat:
27001 und 42001 sagen Ihnen, was Sie aufbauen sollen.27002 und 27005 sagen Ihnen, wie Sie es aufbauen.31000 sagt Ihnen, warum es wichtig ist.
Beherrschen Sie diese Karte, hört ISO auf, ein Labyrinth zu sein; es wird zu einer Governance-Maschine, die mit Ihrem Unternehmen, Ihren Risiken und Ihren KI-Ambitionen skaliert.
Wenn Sie ISO 27001, 27002, 27005, 31000 und 42001 beherrschen und ein einheitliches Governance-System aufbauen möchten, das für NIS2, DORA, GDPR und den AI Act bereit ist, genau das vermitteln wir in den Cyber Academy PECB Certification programs.