• 08:00 - 17:30 Uhr
Bremen | Diepholz | Hamburg | Hannover | Osnabrück
Linkedin Instagram Facebook
12systems_Logo
Fernwartung
Terminbuchung

12SYSTEMS

Home / Glossar-Begriff / ISO 27001

ISO 27001

ISO 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme, die Anforderungen zur systematischen Einführung, Umsetzung und Verbesserung von Informationssicherheit definiert.

Zurück zum IT-Lexikon
Zur BSI Website

Was besagt die ISO 27001?

ISO 27001 ist eine international anerkannte Norm für den Aufbau, Betrieb und die kontinuierliche Verbesserung eines Managementsystems für Informationssicherheit. Sie legt fest, wie Organisationen Informationssicherheit strukturiert planen, umsetzen, überwachen und weiterentwickeln sollen. Ziel ist es, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch zu schützen.

Die Norm ist branchenübergreifend anwendbar und richtet sich an Unternehmen jeder Größe. Sie definiert Anforderungen, keine konkreten technischen Lösungen. Dadurch bleibt sie flexibel und anpassbar an unterschiedliche Organisationsstrukturen und Risikoprofile.

Zielsetzung und Grundprinzip

ISO 27001 verfolgt einen risikobasierten Ansatz. Organisationen identifizieren zunächst ihre schützenswerten Informationen, analysieren potenzielle Bedrohungen und bewerten Risiken. Auf dieser Grundlage werden geeignete Sicherheitsmaßnahmen definiert und umgesetzt.

Die Norm basiert auf dem kontinuierlichen Verbesserungsprozess, häufig beschrieben als Plan-Do-Check-Act-Zyklus. Sicherheitsmaßnahmen werden nicht einmalig eingeführt, sondern regelmäßig überprüft und angepasst. Dadurch bleibt das Sicherheitsniveau langfristig stabil.

Die 4 zentralen Bestandteile der Norm

1. RISIKOMANAGEMENT

Das Risikomanagement bildet das Fundament eines ISMS. Organisationen müssen systematisch identifizieren, welche Informationen besonders schützenswert sind und welchen Bedrohungen sie ausgesetzt sind. Anschließend erfolgt eine Bewertung der Eintrittswahrscheinlichkeit und potenziellen Schadensauswirkungen. Auf dieser Basis werden geeignete Maßnahmen zur Risikobehandlung definiert. Dieser strukturierte Prozess sorgt dafür, dass Sicherheitsmaßnahmen zielgerichtet und wirtschaftlich sinnvoll eingesetzt werden.

2. SICHERHEITSRICHTLINIEN

ISO 27001 fordert eine klare und nachvollziehbare Dokumentation sicherheitsrelevanter Prozesse. Dazu gehören Informationssicherheitsleitlinien, detaillierte Richtlinien und Arbeitsanweisungen. Diese Dokumente schaffen Transparenz und stellen sicher, dass Mitarbeitende verbindliche Vorgaben für den Umgang mit Informationen erhalten. Die Dokumentation dient zudem als Nachweis gegenüber Auditoren und Geschäftspartnern.

3. ORGANISATORISCHE STRUKTUREN UND VERANTWORTLICHKEITEN

Ein wirksames ISMS erfordert klare Rollen und Zuständigkeiten. Die Geschäftsleitung trägt die Gesamtverantwortung für Informationssicherheit. Darüber hinaus werden spezifische Rollen definiert, beispielsweise Informationssicherheitsbeauftragte oder Risikoverantwortliche. Diese Struktur stellt sicher, dass Sicherheitsfragen nicht isoliert betrachtet, sondern in die Unternehmenssteuerung integriert werden.

4. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Basierend auf der Risikoanalyse implementieren Organisationen geeignete Schutzmaßnahmen. Diese können technischer Natur sein, etwa Zugriffskontrollen, Verschlüsselung oder Netzwerksicherheit, oder organisatorische Maßnahmen wie Schulungen und Berechtigungsprozesse umfassen. Die Auswahl der Maßnahmen orientiert sich an den identifizierten Risiken und wird im sogenannten Statement of Applicability dokumentiert.

5. KONTINUIERLICHE ÜBERWACHUNG UND VERBESSERUNG

ISO 27001 verlangt eine regelmäßige Überprüfung der Wirksamkeit des ISMS. Interne Audits, Managementbewertungen und Kennzahlen helfen dabei, Schwachstellen zu erkennen. Sicherheitsvorfälle werden analysiert und dienen als Grundlage für Optimierungen. Dieser kontinuierliche Verbesserungsprozess stellt sicher, dass das Sicherheitsniveau langfristig erhalten bleibt und sich an veränderte Bedrohungslagen anpasst.

Annex A und Maßnahmenkatalog

Ein wichtiger Bestandteil der Norm ist Annex A, der eine strukturierte Sammlung möglicher Sicherheitskontrollen enthält. Diese Kontrollen decken Bereiche wie Zugriffskontrolle, Kryptografie, physische Sicherheit, Lieferantenmanagement und Incident Response ab. Organisationen wählen die für sie relevanten Kontrollen aus und dokumentieren ihre Entscheidung.

Prozess der Zertifizierung

Die Zertifizierung nach ISO 27001 erfolgt durch unabhängige Prüforganisationen. Vor dem externen Audit wird das ISMS intern geprüft. Im Zertifizierungsaudit bewerten Auditoren, ob die Anforderungen der Norm erfüllt sind. Nach erfolgreicher Prüfung wird ein Zertifikat ausgestellt, das regelmäßig durch Überwachungsaudits bestätigt werden muss.

Vorteile für Unternehmen

  • STRUKTURIERTE SICHERHEITSARCHITEKTUR
    Durch klare Prozesse und definierte Verantwortlichkeiten entsteht Transparenz im Umgang mit Informationssicherheit.
  • ERHÖHTES VERTRAUEN
    Kunden und Geschäftspartner erhalten einen unabhängigen Nachweis für ein etabliertes Sicherheitsmanagement.
  • UNTERSTÜTZUNG BEI COMPLIANCE
    Gesetzliche und regulatorische Anforderungen lassen sich systematisch berücksichtigen.
  • LANGFRISTIGE RISIKOMINIMIERUNG
    Durch kontinuierliche Verbesserung sinkt die Wahrscheinlichkeit schwerwiegender Sicherheitsvorfälle.

Herausforderungen bei der Einführung

Die Implementierung eines ISMS erfordert Zeit, Ressourcen und Engagement auf Führungsebene. Dokumentationsanforderungen und regelmäßige Audits können zusätzlichen Aufwand verursachen. Eine erfolgreiche Umsetzung setzt voraus, dass Informationssicherheit als strategisches Thema verstanden wird und nicht nur als technische Aufgabe.

Fazit

ISO 27001 bietet einen strukturierten Rahmen zur Einführung und Weiterentwicklung eines Informationssicherheitsmanagementsystems. Durch risikobasierte Planung, klare Verantwortlichkeiten und kontinuierliche Verbesserung entsteht eine nachhaltige Sicherheitskultur. Eine Zertifizierung stärkt Vertrauen und unterstützt Unternehmen dabei, Informationssicherheit systematisch und überprüfbar umzusetzen.

Zurück zum IT-Lexikon
Zur BSI Website
2abcdefghijklmnopqrstuvwxyz
2
a
b
c
d
e
f
g
h
i
j
k
l
m
n
o
p
q
r
s
t
u
v
w
x
z

Weiteres IT-Wissen in unserem Blog

News

IT-Risikomanagement 12systems GmbH Systemhaus Bremen IT-Dienstleister IT-Service IT-Outsourcing IT-Systemhaus

IT-Risikomanagement im Mittelstand: Warum Cybersicherheit jetzt Chefsache ist

IT-Risikomanagement gehört heute auf die Chef-Agenda. Cyberangriffe, Datenverlust, unsichere Zugänge oder fehlende Notfallpläne können Unternehmen schnell ausbremsen. In diesem Beitrag erhalten Entscheider einen klaren Kurzleitfaden: Welche 8 IT-Risiken gefährden Unternehmen besonders? Wie schaffen Unternehmen in 6 Schritten mehr Sicherheit? Und welche 11 konkreten Maßnahmen stärken das IT-Risikomanagement nachhaltig?

weiterlesen »
05.05.2026
Zukunftstag bei 12systems Systemhaus Bremen IT-Dienstleister IT-Service IT-Outsourcing IT-Systemhaus

Zukunftstag bei 12systems: Ein Tag voller IT, Technik und praktischer Einblicke

Beim Zukunftstag bei 12systems bekamen Schülerinnen und Schüler der Klassen 6 und 7 spannende Einblicke in die Welt der IT. Folgende Fragen wurden dabei beantwortet: Wie entstehen sichere Passwörter? Was macht ein Helpdesk im Alltag? Und was bedeuten Begriffe wie Firewall, Backup, Netzwerk oder Server? Besonders gut kam der praktische Teil an: Die Kinder gestalteten ein eigenes IT-Plakat, bauten PC-Komponenten ein und probierten erste Aufgaben selbst aus.

weiterlesen »
23.04.2026
Terminbuchung

12systems

Sie möchten ein Beratungsgespräch?

Jetzt Termin online buchen
Mail schreiben
Jetzt anrufen
Fernwartung