ISO 27001 Zertifizierung: Definition, Aufbau & Anforderungen

aktualisiert am 17. Juli 2024

Die ISO 27001 Zertifizierung ist wichtig, um Risiken bei der Informationssicherheit in Unternehmen zu senken und dadurch Kosten zu sparen. Dies kann mithilfe eines Informationssicherheitsmanagementsystems (ISMS) geschehen. Ein ISMS ist für jegliche Unternehmen unterschiedlicher Größen und Industriezweige geeignet.

Der Inhalt der ISO 27001 Norm beschreibt verbindliche Vorschriften für die Einführung, die Umsetzung, die Überwachung und die ständige Verbesserung eines ISMS nach ISO 27001. Die Norm behandelt dabei drei wichtige Themen: Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.

Die Vorteile einer ISO 27001 Zertifizierung sind beispielsweise die Verbesserung der Informationssicherheit und der Leitung im Unternehmen sowie die Minderung von Risiken für Verstöße gegen die Informationssicherheit. Dies schützt nicht nur die persönlichen Daten der Kunden, sondern auch die der Mitarbeiter. 

Wichtig ist an dieser Stelle zu erwähnen, dass es im Oktober 2022 eine Revision der ISO/IEC 27001 gab. Unternehmen, die Ihr Managementsystem derzeit nach der alten Version zertifiziert haben, sind verpflichtet, ihr bestehendes System gemäß der neuen Revision zu überarbeiten. Aktuelle Zertifikate sind noch bis November 2025 gültig.

Was ist die ISO 27001?

Die ISO 27001 ist ein internationaler Sicherheitsstandard zur Lenkung und Steigerung der Informationssicherheit in Unternehmen. Im Fokus steht der Schutz von (vertraulichen) Informationen im Unternehmen vor Verlust, unbefugtem Zugriff und Veränderung, unberechtigter Nutzung sowie Veröffentlichung oder Zerstörung. 

Bei der zehnteiligen Norm steht besonders die Gewährleistung eines angemessenen Risikomanagements im Vordergrund. Hierbei muss ermittelt werden, welche Probleme im Unternehmen in Verbindung mit wichtigen Informationen entstehen können (Einschätzung) und welche Maßnahmen zur Verhinderung dieser Probleme ergriffen werden müssen (Notfallplanung).

Die Norm wurde im Jahr 2005 sowohl von der International Organization for Standardization (ISO) als auch von der International Electrotechnical Commission (IEC) entwickelt, weswegen die vollständige Schreibweise der Norm DIN EN ISO/IEC 27001 ist. Nachfolgend wird jedoch der im allgemeinen Sprachgebrauch etablierte Term ISO 27001 verwendet.

Zu den Vorschriften der Norm gehören zum Beispiel Richtlinien, Verfahren, Ressourcen und zugehörige Aktivitäten, die von einem Unternehmen ausgeführt werden müssen, um vertrauliche und wichtige Informationen zu schützen. Dazu zählen ebenfalls technische Vorschriften wie beispielsweise für die Hard- und Software.

Wie ist der Aufbau der ISO 27001?

Der Aufbau der ISO 27001 ist in drei Teile gegliedert - Einleitung, Hauptteil und Schluss/Anhang - und ist dazu in 10 Kapitel unterteilt, die auf der von der ISO 9001 vorgegebenen Harmonized Structure (früher High Level Structure) basieren. Die Einleitung besteht aus den Kapiteln 0-3, in denen die Einführung in die Norm und ihre Begrifflichkeiten geschrieben steht. 

In den Kapiteln 4 - 10 des Hauptteils sind die Anforderungen, die ein Unternehmen für die Zertifizierung erfüllen muss, die Erläuterung der Maßnahmenziele sowie die Vorschläge für einen erfolgreiche Implementierung der Norm im Unternehmen festgehalten. Die folgende Liste zeigt die Inhalte der einzelnen Kapitel der ISO 27001 noch einmal detailliert.

  • Kapitel 4: Verstehen der Organisation und ihres Kontextes sowie des Anwendungsbereichs des ISMS
  • Kapitel 5: Festlegung der Leitung, Verpflichtungen, Verantwortlichkeiten und Befugnisse
  • Kapitel 6: Planung des Umgangs mit Risiken und Chancen sowie Pläne für Ziele und deren Erreichung 
  • Kapitel 7: Planung der Unterstützung, Ressourcen, Kommunikation und dokumentierten Informationen
  • Kapitel 8: Planung der betrieblichen Steuerung, Beurteilung von Informationssicherheits-Risikobeurteilung und -behandlung. 
  • Kapitel 9: Bewertung der Leistung in Form von Überwachung, Messung, Analyse, Management-Bewertung und eines internen Audits
  • Kapitel 10: Sicherstellung einer kontinuierlichen Verbesserung sowie dem Umgang mit Nichtkonformitäten und Korrekturmaßnahmen

Im Schluss bzw. im Anhang der Norm werden 114 spezifische Maßnahmen aus 14 Kategorien für den Umgang mit Informationssicherheitsrisiken sowie zur Umsetzung der Normforderungen definiert. Diese Maßnahmen gelten als Ergänzung zu den allgemein gehaltenen Normtexten. Ebenfalls im Anhang befindet sich eine Checkliste, die zum Abgleich der im Unternehmen umgesetzten Maßnahmen mit den Anforderungen an eine ISMS auszufüllen ist.

Was sind die Anforderungen der ISO 27001?

Die Anforderungen der ISO 27001 können der folgenden Auflistung entnommen werden.

  • Normkonformität nachgehen: Die wichtigste Anforderung der ISO 27001 ist die Normkonformität, sprich die Einhaltung aller Vorschriften der Norm. Im Allgemeinen ist die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen in Unternehmen darzulegen und die Datensicherheit sowie die Datenverwaltungsstruktur des Unternehmens festzuhalten. 
  • Kontext des Unternehmens verstehen: Organisationen, die eine Zertifizierung nach ISO/IEC 27001 anstreben, müssen zunächst den Kontext des Unternehmens festlegen. Hierbei ist zu bestimmen, warum das Unternehmen tätig ist, was das Unternehmen ausmacht und welchen unternehmerischen Ansatz oder welche Strategie es verfolgt. 
  • Relevante Sicherheitsstandards einhalten: Laut der ISO 27001 sind relevante Sicherheitsstandards, IT-Anforderungen und gesetzliche Vorgaben zusammenzufassen. Aus diesen Vorschriften sind schließlich Maßnahmen zu formulieren, die die Einhaltung dieser Vorschriften gewährleisten.
  • Interne oder externe Auswirkungen beachten: Für eine Normkonformität gemäß der ISO 27001 muss definiert werden, inwiefern die Tätigkeit des Unternehmens interne oder externe Auswirkungen hat. Beispiele sind der Umgang mit Lieferanten und Kunden, behördliche Anforderungen, die Mitarbeiterführung und Prozessbeschreibungen für die Erkennung der Belange externer Parteien. 
  • Umgang mit Risiken und Chancen formulieren: Risiken und Chancen, die sich aus der Geschäftstätigkeit des Unternehmens mit Hinsicht auf die Informationssicherheit ergeben, müssen ermittelt, bewertet und dokumentiert werden. Diese Dokumentationen sind während der internen und externen Audits nach ISO 27001 zu präsentieren und insgesamt 5 - 10 Jahre aufzubewahren.
  • Prozesse und Technologien kontrollieren: Im Unternehmen müssen gemäß der ISO 27001 Prozesse und Technologien eingeführt werden, die die Daten des Unternehmens verwalten und schützen können. Informationssicherheitsrisiken, - chancen und -gefahren in einem Unternehmen müssen demnach kontrollierbar gemacht werden. 
  • Risikomanagement beschreiben: Aus dem ISMS muss die Beschreibung des Risikomanagements im Unternehmen sowie die Einhaltung wichtiger Bestimmungen (u.A. DSGVO) hervorgehen. Das ISMS muss Sicherheitsvorschriften befolgen und die Entwicklung der Informationssicherheit begünstigen. Für erkannte Sicherheitsrisiken müssen entsprechende Schutzmaßnahmen bestimmt werden.

ISO 27001 Zertifizierung

Eine ISO 27001 Zertifizierung ist ein offizieller Nachweis, dass ein Unternehmen ein vollständiges, wirksames und effektives Informationssicherheitsmanagementsystem gemäß den Vorgaben der ISO 27001 eingeführt hat. Das Zertifizierungsaudit gilt als externe Prüfung und wird ebenfalls Third-Party-Audit genannt.

Eine Zertifizierung nach ISO 27001 lässt die Wahrscheinlichkeit von Vorfällen im Bereich der Cybersicherheit und des Datenschutzes sinken, optimiert die Kontrollen der Informationssicherheit und sorgt dafür, dass Unternehmen wirksam auf Bedrohungen reagieren können. Darüber hinaus lässt eine Zertifizierung das Risiko für Datenschutzverstöße und Bußgelder sinken.

Mithilfe einer Zertifizierung können Unternehmen Nachweise für angemessene Sicherheitsmaßnahmen für Kunden und Partner liefern. Dies stärkt das Vertrauen der Partner, Kunden und andere Interessengruppen. Des Weiteren kann dadurch die Minimierung von Haftungs- und Geschäftsrisiken ein höherer Schutz der Informationen gewährleistet werden.

Ein zertifiziertes Informationssicherheitsmanagementsystem wird vor allem von Institutionen gefordert, die selbst aufgrund Ihres Unternehmen besonderen Wert auf Informationen legen müssen. Dazu zählen beispielsweise Institutionen, die nach der BSI-Kritisverordnung als kritische Infrastruktur eingestuft sind und eine besondere Bedeutung für das staatliche Gemeinwesen haben. Beispiele hierfür sind Energieversorger, Krankenhäuser, öffentliche Einrichtungen und Verteidigungseinrichtungen.

Was kostet die ISO 27001 Zertifizierung?

Die ISO 27001 Zertifizierung kostet für kleine Unternehmen etwa 3000 bis 6000 Euro, wobei die Kosten für mittelständische und große Unternehmen im fünfstelligen Bereich liegen. Die genaue Kalkulation der Kosten wird jedoch für jedes Unternehmen individuell von der jeweiligen Zertifizierungsstelle übernommen.

Bei der Ermittlung des exakten Preises werden vor allem die Unternehmensgröße, der Unternehmensstandort, die derzeitige Normkonformität und der Prozessaufwand im Zertifizierungsaudit einberechnet. Der oben genannte Preis ist nur der Preis für die Zertifizierung nach ISO 27001. Werden zusätzliche Berater oder Auditoren für das interne Audit eingesetzt, müssen diese Kosten ebenfalls berücksichtigt werden.  

Wie lange ist die ISO 27001 Zertifizierung gültig?

Die ISO 27001 Zertifizierung ist drei Jahre gültig und muss nach dieser Zeit wiederholt werden. Es ist jedoch Pflicht, nach der Zertifizierung jedes Jahr ein Überwachungsaudit durchzuführen, um bestimmte Prozesse und Bereiche in komprimierter Form zu auditieren. Auf diese Weise kann jährlich sichergegangen werden, dass das ISMS stets den Vorgaben entspricht. Zertifizierungen gemäß der ISO 27001 hingegen haben den gleichen Ablauf und Umfang wie die Erstzertifizierung.

Wie erhält man die ISO 27001 Zertifizierung?

Die ISO 27001 Zertifizierung erhält man zunächst mit einem Voraudit und schließlich mit einem Hauptaudit. Sind beim Hauptaudit Abweichungen zur Norm oder Fehler aufgetreten, muss ein Nachaudit zur Zertifizierung nach ISO 27001 durchgeführt werden.

1. Stufe 1 Audit: Voraudit

Während des Voraudits werden vom zuständigen Zertifizierungsauditor sowohl das Informationssicherheitsmanagementsystem nach ISO 27001 als auch relevante Management-Dokumente geprüft. Werden dabei kleinere Abweichungen oder Fehler vom Auditor aufgedeckt, können diese in der Regel bis zum Hauptaudit berichtigt werden.

Sollten jedoch große Risiken oder schwerwiegende Nicht-Konformitäten erkannt worden sein, kann der Auditor das Zertifizierungsaudit bereits im Voraudit abbrechen. Dies passiert jedoch nur dann, wenn der Auditor den Erhalt des Zertifikats mit diesem Zustand des ISMS im Unternehmen für problematisch oder unrealistisch hält.

2. Stufe 2 Audit: Hauptaudit

War das Voraudit erfolgreich, wird das Unternehmen zur Stufe 2, zum Hauptaudit, zugelassen. Im Hauptaudit prüft der jeweilige Zertifizierungsauditor erneut die Effektivität des ISMS nach ISO 27001. Diese Prüfung und die damit einhergehende Sichtung der wichtigen Management-Dokumentation erfolgt ausführlicher als im Voraudit.

Zusätzlich führt der Auditor Gespräche mit involvierten Mitarbeitern sowie der Leitung des Unternehmens, um die derzeitige Informationssicherheit in der Praxis zu analysieren und zu bewerten. Gleichzeitig wird dabei der unmittelbare Kenntnisstand der ISO 27001 im Unternehmen beurteilt. Nach dem Audit wird ein Abschlussgespräch mit dem Zertifizierungsauditor über den Verlauf geführt.

Gab es Auffälligkeiten, erhebliche Mängel, Abweichungen von der Norm oder sonstige Sicherheitsrisiken, müssen Maßnahmen zur Korrektur dieser gemäß der ISO 27001 ergriffen werden. Danach muss ein erneutes Audit, ein sogenanntes Nachaudit durchgeführt werden. Wurden nach dem Hauptaudit keine Fehler oder Verbesserungspotenziale erkannt, erhält das Unternehmen die Zertifizierung nach ISO 27001.

3. Nachaudit

Ein Nachaudit muss nur dann durchgeführt werden, wenn schwerwiegende Mängel und Schwächen im Informationsmanagementsystem aufgedeckt wurden. Sind die Optimierungen vom Unternehmen vorgenommen wurden, sind diese an den Auditor zu senden. Bei erfolgreicher Korrektur erhält das Unternehmen das Zertifikat für die ISO 27001.

Das Nachaudit bei der ISO 27001 Zertifizierung muss jedoch nur in Einzelfällen durchgeführt werden. Sollten wir Sie nicht bei der Einführung eines ISMS gemäß ISO 27001 begleitet haben, melden Sie sich bei uns und wir unterstützen Sie dabei, die Nichtkonformitäten zu beseitigen, um eine erfolgreiche Zertifizierung durchführen zu können.

Welche Leistungen bieten wir rund um die ISO 27001?

Wir bieten Leistungen für kleine, mittlere und große Unternehmen rund um die ISO 27001 zur Beratung, zum internen Audit, zum Seminar und zum Rechtskataster.

ISO 27001 Beratung

Unsere ISO 27001 Beratung beinhaltet eine Gap-Analyse zur Ermittlung des IST-Zustand in Ihrem Unternehmen mit Hinblick auf die derzeitige Informationssicherheit. Danach unterstützen wir Sie bei der Einführung oder Optimierung eines Informationssicherheitsmanagementsystems und entwickeln für Sie die notwendige Management-Dokumentation. Darüber hinaus führen wir ebenfalls das interne Audit bei Ihnen durch und helfen Ihnen im ISO 27001 Zertifizierungsprozess. 

ISO 27001 Audit

Möchten Sie, dass wir in Ihrem Unternehmen ein internes ISO 27001 Audit durchführen, stellen wir Ihnen für den nötigen Blick von außen einen externen Auditor. Dieser identifiziert während des Audits potenzielle Abweichungen oder Verbesserungsvorschläge und hält diese in einem Bericht schriftlich fest. Dieser Bericht enthält ebenfalls Maßnahmen, die bis zur Zertifizierung nach ISO 27001 noch getroffen werden müssen.

ISO 27001 Seminar

Ein ISO 27001 Seminar ist entweder Teil unserer Beratung oder kann als separater Lehrgang in Anspruch genommen werden. Als Bestandteil unserer ISO 27001 Beratung hat die Schulung einen Workshop-Charakter, damit die beteiligten Mitarbeiter in kurzer Zeit für das Thema Informationssicherheit sensibilisiert werden. Mit dieser Fortbildung für die ISO 27001 soll der Kontinuierliche Verbesserungsprozess (KVP) für das ISMS sichergestellt werden.

ISO 27001 Rechtskataster

Wünschen Sie sich die Errichtung eines Rechtskatasters für die ISO 27001, bieten wir Ihnen unsere Hilfe dafür an. Ein Rechtskataster unterstützt Sie, bei externen und internen Audits alle wichtigen Nachweise für die Einhaltung gesetzlicher Richtlinien und Gesetze vorzulegen. Neben der Erstellung des Rechtskatasters pflegen und optimieren wir dieses aufgrund sich ständig ändernder Vorschriften. 

Was ist das Verhältnis zwischen der ISO 27001 und anderen Normen?

Das Verhältnis zwischen der ISO 27001 und anderen Normen zeigt die folgende Übersicht. Wir vergleichen die ISO 27001 mit TISAX ® und der ISO 9001.

ISO 27001 und TISAX ® 

Die ISO 27001 ist eine internationale Norm, die für die verbesserte Informationssicherheit in Unternehmen aus allen Branchen verantwortlich ist. TISAX ® hingegen ist ein Standard, der nicht international anerkannt ist und nur in der Automobilindustrie eingesetzt wird. Beide sind jedoch für die Optimierung der Informationssicherheit verantwortlich. 

TISAX ® basiert zwar auf der ISO 27001, ist jedoch ein eigener und unabhängiger Standard. Das heißt, dass die ISO 27001 im Unternehmen nicht implementiert sein muss, um die TISAX ® Labels zu erlangen. Dementsprechend erhält man bei der ISO 27001 eine Zertifizierung und bei TISAX ® ein Label.

Die Gemeinsamkeiten von TISAX ® und der ISO 27001 sind, dass sie beide die gleichen Anforderungen an die Informationssicherheit im Unternehmen haben, da der Katalog für TISAX ® bereits in der ISO 27001 im Anhang verankert ist. Beide verlangen darüber hinaus einen KVP.

ISO 27001 und ISO 9001

Sowohl die ISO 27001 als auch die ISO 9001 sind internationale Qualitätsmanagement-Normen. Die ISO 27001 zielt jedoch auf den Schutz von wichtigen Informationen im Unternehmen und die ISO 9001 auf die Optimierung der Qualität von Produkten oder Dienstleistung eines Unternehmens ab.  

Bei beiden Normen spielen der KVP und das Risikomanagement eine wichtige Rolle. Die ISO 9001 gibt die Kapitel-Struktur, die Harmonized Structure (früher High Level Structure), für die ISO 27001 vor. Aus diesem Grund sind die beiden Normen gleich aufgebaut, haben jedoch andere Vorgaben, weshalb die ISO 27001 derart einfach mit der ISO 9001 zu kombinieren ist. 

Kann man die ISO 27001 mit der ISO 9001 kombinieren?

Ja, man kann die ISO 27001 mit der ISO 9001 kombinieren, da beide die gleiche Struktur haben und mit der Verbindung beider Normen die Datensicherheit, Qualität, Kundenzufriedenheit und Sicherheitsmaßnahmen im Unternehmen sichergestellt werden können. 

Sie können zwar im Nachhinein die fehlende Norm in das bestehende Managementsystem integrieren, Sie sparen sich jedoch Zeit, Geld und Ressourcen, wenn Sie von Anfang an beide Systeme gemeinsam einführen. Auf diese Weise können ebenfalls integrierte Audits durchgeführt und gleichzeitig sowohl für die Qualitätssicherung nach ISO 9001 als auch für die Informationssicherheit gemäß ISO 27001 gesorgt werden.

Sprechen sie uns an

Kontakt Formular
02933. 78 63 185
info@iqi-gmbh.de
IQI Privates Institut für Qualität und Innovation GmbH 
Niedensteinsweg 8
59846 Sundern
Die IQI GmbH ist seit mehr als 20 Jahren nach DIN EN ISO 9001 zertifiziert und wendet damit selbst ein Qualitätsmanagementsystem an. Damit zeigen wir, dass wir aktiv leben, was wir Ihnen anbieten.

Als AVPQ-zertifiziertes Unternehmen weisen wir die Einhaltung sozialer Standards, gesetzlicher Anforderungen sowie unsere Leistungsfähigkeit als zuverlässiger Lieferant nach. Die Nachweise entsprechen den Anforderungen der Einheitlichen Europäischen Eigenerklärung (EEE) und der Vergabe- und Vertragsordnung für Leistungen (VOL).

Wir sind Mitglied in der Deutschen Gesellschaft für Luft-und Raumfahrt (DGLR) und der Deutschen Gesellschaft für Qualität (DGQ), beteiligen uns an Experten-Netzwerken und stellen unsere fachliche Weiterentwicklung sicher.

Mit unserer Mitgliedschaft im “Wirtschaft in Südwestfalen e.V.” wollen wir gemeinsam mit regionalen Unternehmen den Standort Südwestfalen als Marke fördern.
Copyright © 2024
 iqi-gmbh.de. 
Alle Rechte vorbehalten
envelopephone-handsetmap-markermagnifiercross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram