ISO/IEC 27001.

ISO 27001 ist das zertifizierbare Framework, anhand dessen Auditoren Ihre Informationssicherheit bewerten. Die Revision 2022 hat Annex A auf 93 Controls in vier Themengruppen (organisatorisch, personell, physisch, technologisch) reduziert. Ihr ISMS steht und fällt mit der Anwendbarkeitserklärung und den operativen Nachweisen. Jeder referenziert es; wenige setzen es konsequent um.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

Die Einschätzung der Cyber Academy

ISO 27001 ist das zertifizierbare Framework, anhand dessen Auditoren Ihre Informationssicherheit bewerten. Die Revision 2022 hat Annex A auf 93 Controls in vier Themengruppen (organisatorisch, personell, physisch, technologisch) reduziert. Ihr ISMS steht und fällt mit der Anwendbarkeitserklärung und den operativen Nachweisen. Jeder referenziert es; wenige setzen es konsequent um.

Was die ISO/IEC 27001 tatsächlich zertifiziert

Die ISO/IEC 27001 ist die internationale Norm, die die Anforderungen an ein Informationssicherheits-Managementsystem, kurz ISMS, festlegt. Das Zertifikat sagt nicht aus, dass Ihre Systeme unangreifbar sind. Es sagt aus, dass eine akkreditierte Stelle geprüft hat, wie Sie Informationsrisiken identifizieren, über den Umgang damit entscheiden und diese Entscheidung unter der Aufsicht der Leitung am Laufen halten. Die Norm beruht auf dem Plan-Do-Check-Act-Zyklus, daher ist die Zertifizierung niemals ein einmaliges Ereignis: Sie verpflichten sich zu einem wiederkehrenden Rhythmus aus Risikobeurteilung, Behandlung, internem Audit, Managementbewertung und Korrekturmaßnahme.

Eine häufige Verwechslung besteht darin, die Maßnahmen des Anhangs A als die Norm zu betrachten. Das sind sie nicht. Die zertifizierbaren Anforderungen liegen in den nummerierten Klauseln des Managementsystems (Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung, Verbesserung). Anhang A ist ein Referenzsatz von Maßnahmen, aus dem Sie auswählen. Sie können ein Audit bestehen, ohne jede Maßnahme umzusetzen, sofern Ihre Erklärung zur Anwendbarkeit begründet, was Sie ausgeschlossen haben, und Ihre Nachweise belegen, was Sie beibehalten haben.

Die Revision von 2022 und die Maßnahmenthemen

Die Revision von 2022 hat den Anhang A in vier Themen statt der früheren vierzehn Bereiche neu gegliedert. Die Themen gruppieren die Maßnahmen nach der Art dessen, was geschützt oder geregelt wird:

  • Organisatorische Maßnahmen betreffen Richtlinien, Lieferantenbeziehungen, Bedrohungsaufklärung und Informationssicherheit im Projektmanagement.
  • Personenbezogene Maßnahmen betreffen die Überprüfung, die Beschäftigungsbedingungen, das Bewusstsein und das Disziplinarverfahren.
  • Physische Maßnahmen betreffen Sicherheitsbereiche, Geräte, den aufgeräumten Arbeitsplatz und die Entsorgung von Datenträgern.
  • Technologische Maßnahmen betreffen die Zugriffsverwaltung, die Kryptografie, die Protokollierung, die sichere Entwicklung und das Konfigurationsmanagement.

Wenn Sie nach der früheren Fassung zertifiziert waren, ist die Umstellungsarbeit größtenteils eine Neuzuordnung: Schneiden Sie Ihre Erklärung zur Anwendbarkeit gegen den neuen Maßnahmensatz neu zu, bestätigen Sie, dass nichts durch die durch zusammengeführte oder neu eingeführte Maßnahmen entstandenen Lücken gefallen ist, und aktualisieren Sie die Nachweisverweise. Die Klauseln des Managementsystems haben sich weit weniger verändert als der Anhang.

Wie sie sich zu ihren Nachbarn verhält

Die ISO 27001 ist der zertifizierbare Anker einer Familie. Die ISO 27002 gibt Umsetzungsleitlinien für dieselben Maßnahmen des Anhangs A, ist aber für sich allein nicht zertifizierbar; Auditoren greifen darauf zurück, wenn sie hinterfragen wollen, wie gut Sie eine Maßnahme betreiben, und nicht nur, ob sie existiert. Die ISO 27005 liefert eine Methode für die Beurteilung des Informationssicherheitsrisikos, die Klausel 6 verlangt, aber bewusst offen lässt. Das ISMS ist die laufende Maschine, die die Norm zertifiziert, und die SoA ist deren zentrales gelenktes Artefakt.

Auf der personellen Seite teilt sich die Arbeit in zwei einander ergänzende Disziplinen. Implementierer bauen das Managementsystem auf und betreiben es. Auditoren planen und leiten die Audits, die es auf die Probe stellen, und arbeiten dabei nach den Auditleitlinien der ISO 19011. Die meisten ausgereiften Sicherheitsfunktionen brauchen beide Denkweisen, selbst wenn anfangs eine Person beide Rollen ausfüllt.

Was Praktiker tatsächlich tun

Die ISO 27001 gut zu betreiben, statt nur das Zertifikat zu bestehen, sieht in der Praxis so aus:

  1. Den Geltungsbereich ehrlich festlegen. Ein zu breiter Geltungsbereich begräbt Sie unter Nachweisen; ein zu enger täuscht niemanden und untergräbt das Zertifikat.
  2. Eine echte Risikobeurteilung und einen Behandlungsplan durchführen und beide aktuell halten, während sich Geschäft und Bedrohungslage verändern.
  3. Die Erklärung zur Anwendbarkeit als lebendes Dokument pflegen, das an tatsächliche Nachweise gebunden ist, und nicht als einmal für den Auditor ausgefüllte Tabelle.
  4. Interne Audits und Managementbewertungen planmäßig durchführen und Korrekturmaßnahmen mit Nachweisen statt mit Versprechen abschließen.
  5. Überwachungsaudits und den Rezertifizierungszyklus als Kontinuität behandeln, nicht als gesonderte Feuerwehrübungen.

Frequently asked questions

01Ist die ISO 27001 eine gesetzliche Vorschrift?

Nein. Die ISO 27001 ist eine freiwillige Norm, kein Gesetz. Organisationen führen sie ein, weil Kunden, Aufsichtsbehörden oder Verträge eine nachweisbare Sicherheitszusicherung verlangen, und ein Zertifikat einer dritten Stelle ist der sauberste Weg, sie zu erbringen.

02Was ist der Unterschied zwischen der ISO 27001 und der ISO 27002?

Die ISO 27001 ist die zertifizierbare Norm mit den Anforderungen an das Managementsystem und den Referenzmaßnahmen des Anhangs A. Die ISO 27002 ist eine Umsetzungsleitlinie für diese Maßnahmen und kann für sich allein nicht zertifiziert werden. Sie zertifizieren sich gegen die 27001 und stützen sich für das operative Detail auf die 27002.

03Muss ich alle Maßnahmen des Anhangs A umsetzen?

Nein. Sie wählen die Maßnahmen auf Grundlage Ihrer Risikobeurteilung aus und dokumentieren die Begründung in der Erklärung zur Anwendbarkeit, einschließlich der von Ihnen ausgeschlossenen. Der Auditor prüft, dass Ihre Auswahl begründet ist und dass die beibehaltenen Maßnahmen tatsächlich wirksam sind.

04Wie lange bleibt die Zertifizierung gültig?

Ein Zertifikat läuft in einem mehrjährigen Zyklus mit regelmäßigen Überwachungsaudits dazwischen, gefolgt von einem vollständigen Rezertifizierungsaudit. Den genauen Zeitplan legt Ihre Zertifizierungsstelle fest, aber das Prinzip ist fortlaufend: Sie erhalten das ISMS durchgehend aufrecht, nicht nur zum Zeitpunkt des Audits.

05Bedeutet die Zertifizierung, dass wir nicht kompromittiert werden können?

Nein. Die Zertifizierung bestätigt, dass Sie ein risikobasiertes Managementsystem betreiben und die von Ihnen ausgewählten Maßnahmen umsetzen. Sie verringert und steuert das Risiko; sie beseitigt es nicht. Die Reaktion auf Vorfälle und die fortlaufende Verbesserung sind gerade deshalb Teil der Norm, weil Sicherheitsverletzungen weiterhin möglich bleiben.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.