ISO/IEC 27001:2022

ISO-27001-Compliance-Leitfaden

ISO 27001 ist der internationale Standard fuer Informationssicherheitsmanagement. Ob von Kunden gefordert oder freiwillig verfolgt, wir helfen Ihnen, alle 93 Anhang-A-Kontrollen zu implementieren und die Zertifizierung zu erreichen.

Risikobewertung startenZertifizierungsberatung buchen

Was ist ISO 27001?

ISO/IEC 27001:2022 ist der internationale Standard fuer die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Er bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmensinformationen basierend auf Risikobewertung.

Neueste Version: ISO 27001:2022 ersetzte die Version von 2013 im Oktober 2022. Organisationen, die nach der Version von 2013 zertifiziert sind, muessen bis zum 31. Oktober 2025 umstellen. Die 2022er Version hat den Anhang A von 114 Kontrollen in 14 Kategorien auf 93 Kontrollen in 4 Themen umstrukturiert.

PDCA-Zyklus

Plan-Do-Check-Act kontinuierliche Verbesserung

Zertifizierung

Von Dritten auditiert und weltweit anerkannt

Ergaenzt SOC 2 fuer US-Maerkte und ISO 42001 fuer KI-Systeme.

Wer braucht eine ISO-27001-Zertifizierung?

Organisationen mit sensiblen Daten

Kundendaten, Finanzunterlagen, Gesundheitsinformationen

Cloud-Dienstleister

SaaS-, PaaS-, IaaS-Anbieter, die eine Sicherheitszertifizierung benoetigen

Finanzdienstleistungen

Banken, Fintech, Zahlungsabwickler

Gesundheitsorganisationen

Krankenhaeuser, Kliniken, Health-Tech-Unternehmen

Staatliche Auftragnehmer

Organisationen, die mit oeffentlichen Daten arbeiten

Globale Unternehmen

Demonstrieren Sicherheitsverpflichtung gegenueber Kunden und Partnern

Wie VerifyWise die ISO-27001-Compliance unterstuetzt

Zweckgebundene Funktionen fuer ISMS-Implementierung und Zertifizierung

Asset-Inventar und Informationsklassifizierung

Registrieren Sie alle Informationswerte mit strukturierten Metadaten zu Eigentuemerschaft, Klassifizierung und Handhabungsanforderungen. Die Plattform erfasst den fuer A.5.9 erforderlichen Asset-Kontext und pflegt das von A.5.1 vorgeschriebene Inventar.

Adressiert: A.5.1 Inventar der Informationen, A.5.9 Asset-Klassifizierung

Risikobewertung und -behandlung

Identifizieren Sie Sicherheitsrisiken mit strukturierten Bewertungsmethoden, die an die ISO-27001-Anforderungen angepasst sind. Die Plattform verfolgt Risikoquellen, Behandlungsentscheidungen und erstellt die von den Abschnitten 6.1.2 und 8.2 geforderte Dokumentation.

Adressiert: Abschnitt 6.1.2 Risikobewertung der Informationssicherheit, Abschnitt 8.2 Risikobehandlung

ISMS-Richtlinien- und Verfahrensmanagement

Erstellen Sie Informationssicherheitsrichtlinien, definieren Sie Rollen und generieren Sie Verfahren, die an ISO 27001 ausgerichtet sind. Die Plattform pflegt Richtlinienversionierung und Genehmigungsworkflows, die Abschnitt 5.2 und A.5.1 erfuellen.

Adressiert: Abschnitt 5.2 Informationssicherheitsrichtlinie, A.5.1 Richtlinien fuer Informationssicherheit

Verfolgung der Kontrollimplementierung

Verfolgen Sie die Implementierung aller 93 Anhang-A-Kontrollen mit Nachweissammlung. Die Plattform dokumentiert den Kontrollstatus, verantwortliche Parteien und pflegt den von Abschnitt 6.1.3 geforderten Audit-Trail.

Adressiert: Abschnitt 6.1.3 Erklaerung zur Anwendbarkeit, Abschnitt 8.1 Operative Planung

Kontinuierliche Ueberwachung und Metriken

Verfolgen Sie die ISMS-Leistung mit KPIs, die an Sicherheitsziele ausgerichtet sind. Die Plattform konsolidiert Ueberwachungsdaten, Vorfallsmuster und Kontrollwirksamkeit fuer die von Abschnitt 9.1 geforderte laufende Transparenz.

Adressiert: Abschnitt 9.1 Ueberwachung und Messung, A.5.7 Bedrohungsintelligenz

Internes Audit und Managementbewertung

Verwalten Sie Auditprogramme mit strukturierten Workflows und speisen Sie Feststellungen in Verbesserungszyklen ein. Die Plattform unterstuetzt den Plan-Do-Check-Act-Zyklus, der zentral fuer die ISO-27001-Zertifizierung und -Aufrechterhaltung ist.

Adressiert: Abschnitt 9.2 Internes Audit, Abschnitt 9.3 Managementbewertung, Abschnitt 10 Kontinuierliche Verbesserung

Alle ISMS-Aktivitaeten pflegen umfassende Audit-Trails mit Zeitstempeln, zugewiesenen Verantwortlichkeiten und Genehmigungsworkflows. Dies demonstriert systematisches Informationssicherheitsmanagement fuer Zertifizierungsaudits.

Vollstaendige ISO-27001-Anforderungsabdeckung

VerifyWise adressiert alle Pflichtabschnitte und Anhang-A-Kontrollen

93

Anhang-A-Kontrollen in ISO 27001:2022

93

Kontrollen mit dediziertem Tooling

100%

Abdeckung ueber alle 4 Themen

Abschnitt 4-107/7

ISMS-Pflichtabschnitte und PDCA-Zyklus

Organisatorisch37/37

Richtlinien, Rollen, Lieferantenbeziehungen

Personal8/8

Ueberprüfung, Bewusstsein, Disziplinar

Physisch14/14

Sichere Bereiche, Geraete, Entsorgung

Technologisch34/34

Zugriffskontrolle, Kryptographie, Protokollierung

Fuer die ISO-27001:2022-Zertifizierung entwickelt

Erklaerung zur Anwendbarkeit

SoA automatisch mit Kontrollbegruendungen und Ausschluessen generieren

Risikobehandlungsplan

Risikobehandlungsentscheidungen und Restrisiko-Akzeptanz verfolgen

Internes Auditprogramm

Auditplaene, Feststellungen und Korrekturmassnahmen verwalten

Multi-Framework-Mapping

Querverweise zu ISO 42001, SOC 2 und NIST-Anforderungen

ISMS-Pflichtabschnitte (4-10)

ISO 27001 folgt dem Plan-Do-Check-Act-Zyklus ueber sieben Pflichtabschnitte

Abschnitt 4

Kontext der Organisation

Organisationskontext verstehen, interessierte Parteien und ISMS-Scope definieren.

  • Interne und externe Themen
  • Interessierte Parteien und Anforderungen
  • Bestimmung des ISMS-Scopes
  • Einrichtung des Informationssicherheits-Managementsystems
Abschnitt 5

Fuehrung

Fuehrungsverpflichtung demonstrieren und Informationssicherheitsrichtlinie festlegen.

  • Fuehrung und Verpflichtung
  • Informationssicherheitsrichtlinie
  • Organisatorische Rollen und Verantwortlichkeiten
  • Zuweisung von Befugnissen
Abschnitt 6

Planung

Risiken und Chancen adressieren, Ziele setzen und deren Erreichung planen.

  • Massnahmen zum Umgang mit Risiken und Chancen
  • Risikobewertung der Informationssicherheit
  • Risikobehandlung der Informationssicherheit
  • Informationssicherheitsziele und Planung
Abschnitt 7

Unterstuetzung

Ressourcen, Kompetenz, Bewusstsein und dokumentierte Informationen sicherstellen.

  • Bereitstellung von Ressourcen
  • Kompetenzanforderungen
  • Bewusstseinsschulung
  • Kommunikationsprotokolle
  • Kontrolle dokumentierter Informationen
Abschnitt 8

Betrieb

ISMS-Prozesse implementieren und betreiben.

  • Operative Planung und Kontrolle
  • Durchfuehrung der Risikobewertung der Informationssicherheit
  • Umsetzung der Risikobehandlung der Informationssicherheit
Abschnitt 9

Leistungsbewertung

ISMS-Leistung ueberwachen, messen, analysieren und bewerten.

  • Ueberwachung, Messung, Analyse und Bewertung
  • Internes Auditprogramm
  • Managementbewertung
Abschnitt 10

Verbesserung

Nichtkonformitaeten adressieren und ISMS kontinuierlich verbessern.

  • Nichtkonformitaet und Korrekturmassnahmen
  • Kontinuierliche Verbesserung des ISMS

PDCA-Zyklus

Modell der kontinuierlichen Verbesserung

Anhang A: 93 Sicherheitskontrollen

ISO 27001:2022 organisiert Kontrollen in 4 Themen: organisatorisch, personell, physisch und technologisch

Organisatorische Kontrollen

37 Kontrollen

Richtlinien, Verfahren, Rollen und organisatorische Sicherheitsmassnahmen.

Wichtige Kontrollen

  • A.5.1 Richtlinien fuer Informationssicherheit
  • A.5.7 Bedrohungsintelligenz
  • A.5.9 Inventar von Informationen und anderen zugehoerigen Werten
  • A.5.10 Akzeptable Nutzung von Informationen
  • A.5.23 Informationssicherheit fuer Cloud-Dienste
  • A.5.24 Planung des Informationssicherheits-Vorfallmanagements

Beispiele

Informationssicherheitsrichtlinie, Asset-Klassifizierung, Lieferantensicherheit, Incident-Response-Planung

Personelle Kontrollen

8 Kontrollen

Personalbezogens Sicherheit waehrend des gesamten Beschaeftigungszyklus.

Wichtige Kontrollen

  • A.6.1 Ueberprüfung
  • A.6.2 Beschaeftigungsbedingungen
  • A.6.3 Sensibilisierung, Schulung und Training zur Informationssicherheit
  • A.6.4 Disziplinarverfahren
  • A.6.5 Verantwortlichkeiten nach Beendigung
  • A.6.6 Vertraulichkeitsvereinbarungen

Beispiele

Hintergrundueberprüfungen, Sicherheitsbewusstseinsschulung, Arbeitsvertraege, Offboarding-Verfahren

Physische Kontrollen

14 Kontrollen

Schutz physischer Bereiche, Geraete und Werte.

Wichtige Kontrollen

  • A.7.1 Physische Sicherheitsperimeter
  • A.7.2 Physischer Zugang
  • A.7.4 Physische Sicherheitsueberwachung
  • A.7.7 Aufgeraeumter Schreibtisch und Bildschirmsperre
  • A.7.10 Speichermedien
  • A.7.14 Sichere Entsorgung von Geraeten

Beispiele

Zugangskontrolle zu Bueros, Besuchermanagement, Videoueberwachung, Geraeteentsorgung, Clean-Desk-Richtlinie

Technologische Kontrollen

34 Kontrollen

Technische Sicherheitsmassnahmen fuer Systeme und Netzwerke.

Wichtige Kontrollen

  • A.8.1 Benutzerendgeraete
  • A.8.2 Privilegierte Zugriffsrechte
  • A.8.3 Einschraenkung des Informationszugangs
  • A.8.5 Sichere Authentifizierung
  • A.8.10 Informationsloeschung
  • A.8.24 Einsatz von Kryptographie
  • A.8.28 Sichere Programmierung

Beispiele

Zugriffskontrolle, Verschluesselung, Protokollierung, Schwachstellenmanagement, sichere Entwicklung, Backup

Hinweis: Nicht alle 93 Kontrollen gelten fuer jede Organisation. Ihre Erklaerung zur Anwendbarkeit dokumentiert, welche Kontrollen Sie implementieren und liefert eine Begruendung fuer Ausschluesse basierend auf Ihrer Risikobewertung.

Kontrollbewertung starten

ISO 27001:2022 vs 2013

Wesentliche Aenderungen in der neuesten Version und Uebergangsanforderungen

AspektISO 27001:2022ISO 27001:2013
Struktur
4 Themen: Organisatorisch, Personal, Physisch, Technologisch14 Kategorien thematisch organisiert
Anzahl der Kontrollen
93 Kontrollen (gestrafft und konsolidiert)114 Kontrollen (detaillierter)
Namenskonvention
Attribute: Praeventiv, Detektiv, KorrektivNur Kategorien
Cloud-Fokus
A.5.23 Explizite Kontrolle fuer Cloud-DiensteCloud implizit abgedeckt
Bedrohungsintelligenz
A.5.7 Dedizierte Bedrohungsintelligenz-KontrolleTeil des Vorfallmanagements
Uebergangsfrist
31. Oktober 2025 (alle Zertifizierungen muessen umgestellt werden)Nach Oktober 2025 nicht mehr gueltig

Uebergangsfrist: 31. Oktober 2025

Organisationen, die nach ISO 27001:2013 zertifiziert sind, muessen bis zu diesem Datum auf ISO 27001:2022 umstellen. Nach dem 31. Oktober 2025 sind ISO-27001:2013-Zertifikate nicht mehr gueltig.

Was sich geaendert hat: 11 neue Kontrollen hinzugefuegt, 24 Kontrollen zusammengefuehrt, 58 Kontrollen aktualisiert. Fokus auf aufkommende Risiken einschliesslich Cloud-Sicherheit, Bedrohungsintelligenz und Informationssicherheit fuer Cloud-Dienste.

ISO-27001-Zertifizierungsprozess

Zweistufiges Audit durch akkreditierte Zertifizierungsstellen

Stufe 1

Dokumentationspruefung

Pruefer ueberprüft ISMS-Dokumentation auf Vollstaendigkeit

Hauptaktivitaeten

  • ISMS-Scope und -Richtlinien ueberprüfen
  • Erklaerung zur Anwendbarkeit bewerten
  • Risikobewertungsmethodik beurteilen
  • Dokumentierte Verfahren pruefen
Stufe 2

Implementierungsaudit

Vor-Ort-Bewertung der ISMS-Implementierung und des Betriebs

Hauptaktivitaeten

  • Kontrollimplementierung verifizieren
  • Personal befragen
  • Nachweise und Aufzeichnungen ueberprüfen
  • Kontrollwirksamkeit testen
  • Nichtkonformitaeten identifizieren
Initial

Stufe-1- + Stufe-2-Audit

Zertifizierung 3 Jahre gueltig

Jaehrlich

Ueberwachungsaudits

Jahre 1 und 2 nach Zertifizierung

Jahr 3

Rezertifizierungsaudit

Vollstaendige Neubewertung

26-Wochen-Implementierungs-Roadmap

Strukturierter Weg von der Lueckenanalyse zum Zertifizierungsaudit

Phase 1Wochen 1-4

Scoping und Lueckenanalyse

  • ISMS-Scope und -Grenzen definieren
  • Erste Lueckenbewertung durchfuehren
  • Wichtige Stakeholder identifizieren
  • Projektgovernance einrichten
Phase 2Wochen 5-12

Risikobewertung und -behandlung

  • Informationswerte identifizieren
  • Risikobewertung durchfuehren
  • Anhang-A-Kontrollen auswaehlen
  • Erklaerung zur Anwendbarkeit entwickeln
  • Risikobehandlungsplan erstellen
Phase 3Wochen 13-20

Implementierung und Dokumentation

  • Ausgewaehlte Kontrollen implementieren
  • ISMS-Richtlinien und -Verfahren entwickeln
  • Sicherheitsbewusstseinsschulung durchfuehren
  • Ueberwachungsprozesse einrichten
Phase 4Wochen 21-26

Audit und Zertifizierung

  • Internes Audit durchfuehren
  • Managementbewertung
  • Feststellungen adressieren
  • Stufe-1- und Stufe-2-Zertifizierungsaudit
Richtlinienvorlagen

ISO-27001-Richtlinien- und Verfahrensvorlagen

Zugriff auf gebrauchsfertige ISMS-Dokumentation, die an ISO 27001:2022-Anforderungen ausgerichtet und mit ISO 42001 und SOC 2 kompatibel ist

Organisatorisch

  • • Informationssicherheitsrichtlinie
  • • Asset-Management-Richtlinie
  • • Lieferantensicherheitsrichtlinie
  • • Incident-Response-Plan
  • • Business-Continuity-Plan
  • • Cloud-Sicherheitsrichtlinie
  • + 8 weitere Richtlinien

Personal & Physisch

  • • Sicherheitsbewusstseinsschulung
  • • Akzeptable-Nutzung-Richtlinie
  • • Zugriffskontrollrichtlinie
  • • Physische Sicherheitsrichtlinie
  • • Clean-Desk-Verfahren
  • • Besuchermanagement
  • + 6 weitere Richtlinien

Technologisch

  • • Verschluesselungsrichtlinie
  • • Backup- & Wiederherstellungsrichtlinie
  • • Schwachstellenmanagement
  • • Protokollierung & Ueberwachung
  • • Sichere-Entwicklung-Richtlinie
  • • Netzwerksicherheitsrichtlinie
  • + 9 weitere Richtlinien
Alle ISMS-Vorlagen durchsuchen

Haeufig gestellte Fragen

Haeufige Fragen zur ISO-27001-Zertifizierung

ISO/IEC 27001 ist der internationale Standard fuer Informationssicherheits-Managementsysteme (ISMS). Er bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmensinformationen und stellt Vertraulichkeit, Integritaet und Verfuegbarkeit sicher. Die neueste Version ist ISO 27001:2022. Sehen Sie die offizielle ISO-27001-Seite fuer vollstaendige Details.
ISO 27001 konzentriert sich auf Informationssicherheitsmanagement, waehrend ISO 42001 speziell auf KI-Managementsysteme ausgerichtet ist. Organisationen, die KI-Systeme einsetzen, implementieren oft beides: ISO 27001 zur Sicherung von Informationswerten und ISO 42001 fuer verantwortungsvolle KI-Governance. Sie teilen aehnliche PDCA-Strukturen, adressieren aber unterschiedliche Domaenen.
Ein typisches ISO-27001-Zertifizierungsprojekt dauert 6-12 Monate, abhaengig von Organisationsgroesse, Komplexitaet und bestehender Sicherheitsreife. Kleinere Organisationen mit guten bestehenden Praktiken koennen schneller vorankommen. Das Zertifizierungsaudit selbst ist ein zweistufiger Prozess, der von akkreditierten Zertifizierungsstellen durchgefuehrt wird.
ISO 27001:2022 enthaelt 93 Kontrollen, die in 4 Themen organisiert sind: Organisatorisch (37 Kontrollen), Personal (8 Kontrollen), Physisch (14 Kontrollen) und Technologisch (34 Kontrollen). Nicht alle Kontrollen gelten fuer jede Organisation. Die Erklaerung zur Anwendbarkeit dokumentiert, welche Kontrollen Sie implementieren und begruendet Ausschluesse.
ISO 27001 ist freiwillig, wird aber oft durch Vertraege, Vorschriften oder Branchenstandards gefordert. Viele Branchen (Finanzdienstleistungen, Gesundheitswesen, Cloud-Anbieter) erfordern sie fuer Lieferantenbeziehungen. Einige Vorschriften verweisen auf ISO 27001 als akzeptables Sicherheitsframework. Kundenvertraege fordern haeufig eine Zertifizierung.
Organisationen, die nach ISO 27001:2013 zertifiziert sind, muessen bis zum 31. Oktober 2025 auf ISO 27001:2022 umstellen. Nach diesem Datum sind ISO-27001:2013-Zertifikate nicht mehr gueltig. Neue Zertifizierungen seit Oktober 2022 verwenden die 2022er Version. Uebergangsaudits bewerten die 21 neuen/geaenderten Kontrollen.
PDCA ist das Modell der kontinuierlichen Verbesserung, das ISO 27001 zugrunde liegt. Plan: ISMS einrichten (Abschnitte 4-6). Do: Implementieren und betreiben (Abschnitte 7-8). Check: Ueberwachen und ueberpruefen (Abschnitt 9). Act: Pflegen und verbessern (Abschnitt 10). Dieser Zyklus stellt sicher, dass sich Ihr ISMS mit sich aendernden Bedrohungen und Geschaeftsanforderungen weiterentwickelt.
ISO 27001 ist ein internationaler Standard mit Drittanbieter-Zertifizierung, waehrend SOC 2 ein US-basiertes Audit-Framework ist. ISO 27001 hat praeskriptive Anhang-A-Kontrollen; SOC 2 verwendet Trust Services Criteria. Viele Organisationen verfolgen beides: ISO 27001 fuer globale Anerkennung und SOC 2 fuer US-Kundenanforderungen.
ISO 27001 erfordert dokumentierte Informationen einschliesslich: ISMS-Scope, Informationssicherheitsrichtlinie, Risikobewertungsmethodik, Risikobehandlungsplan, Erklaerung zur Anwendbarkeit, Betriebsverfahren, Ueberwachungs- und Auditprogramme, Kompetenznachweise und Protokolle der Managementbewertung. Der Standard schreibt keine bestimmten Formate vor.
Die Zertifizierungskosten variieren stark je nach Organisationsgroesse, Scope-Komplexitaet und gewaehlter Zertifizierungsstelle. Planen Sie Budget fuer Zertifizierungsstellengebuehren (typischerweise $10.000-50.000 jaehrlich), Beratergebuehren falls verwendet, Schulungskosten und interne Personalzeit. Laufende Ueberwachungsaudits finden jaehrlich statt mit Rezertifizierung alle 3 Jahre.
Nein, die ISO-27001-Zertifizierung erfordert ein unabhaengiges Audit durch eine akkreditierte Zertifizierungsstelle. Sie koennen ISO-27001-Kontrollen ohne Zertifizierung implementieren, aber um die Zertifizierung zu beanspruchen, muessen Sie den formalen zweistufigen Auditprozess durchlaufen. Suchen Sie nach akkreditierten Zertifizierungsstellen ueber nationale Akkreditierungsorganisationen.
ISO 27001 adressiert viele DSGVO-Sicherheitsanforderungen durch Kontrollen wie Zugriffsmanagement, Verschluesselung, Incident Response und Datenschutz. DSGVO Artikel 32 erfordert angemessene technische und organisatorische Massnahmen; ISO 27001 bietet einen anerkannten Rahmen. Allerdings deckt ISO 27001 nicht alle DSGVO-Anforderungen ab (wie Betroffenenrechte und Datenschutz-Folgenabschaetzungen).
Nach der Erstzertifizierung fuehren Zertifizierungsstellen jaehrliche Ueberwachungsaudits durch, um die ISMS-Aufrechterhaltung und -Verbesserung zu verifizieren. Diese sind kuerzer als das anfaengliche Stufe-2-Audit und konzentrieren sich auf: laufende Kontrollwirksamkeit, Ergebnisse der Managementbewertung, interne Auditergebnisse, Handhabung von Vorfaellen und Nichtkonformitaeten und Aenderungen am ISMS. Die Rezertifizierung erfolgt alle 3 Jahre.
Ja, VerifyWise bietet dedizierte Tools fuer die ISO-27001-Implementierung. Unsere Plattform hilft Ihnen, Risikobewertungen durchzufuehren, die Implementierung von Anhang-A-Kontrollen zu verfolgen, ISMS-Dokumentation zu verwalten, interne Audits durchzufuehren und Nachweise fuer Zertifizierungsaudits zu erstellen. Wir bieten auch Querverweise zu ISO 42001, NIST AI RMF und dem EU AI Act fuer Organisationen, die mehrere Frameworks implementieren.

Bereit fuer die ISO-27001-Zertifizierung?

Starten Sie Ihre ISMS-Implementierung mit unserer gefuehrten Bewertung und Zertifizierungsvorbereitungstools.

ISMS-Bewertung startenZertifizierungsberatung vereinbaren
ISO 27001:2022 Annex A controls and compliance guide