Was ist ISO/IEC 27001?

Was ist ISO/IEC 27001?

ISO/IEC 27001 ist die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Sie beschreibt, wie eine Organisation Informationssicherheit systematisch aufbaut, betreibt und fortlaufend verbessert – nicht als einmaliges Projekt, sondern als dauerhaften Managementprozess. Die aktuelle Fassung ist ISO/IEC 27001:2022 (in Deutschland als DIN EN ISO/IEC 27001:2024-01 veröffentlicht).

Der Kern der Norm: Eine Organisation soll ihre Risiken für die Informationssicherheit kennen, bewerten und mit angemessenen Maßnahmen behandeln. Das Ergebnis ist nachweisbar, wiederholbar und unabhängig prüfbar – bis hin zur Zertifizierung.

Warum ist sie so verbreitet?

• Zertifizierbar: Als einzige Norm der 27000-Familie kann eine Organisation nach ISO/IEC 27001 zertifiziert werden – ein anerkannter Nachweis gegenüber Kunden, Partnern und Behörden.
• Risikobasiert: Sie schreibt nicht stur Technik vor, sondern verlangt, dass Maßnahmen zu den tatsächlichen Risiken der Organisation passen.
• Branchenneutral: Vom Ein-Personen-IT-Dienstleister bis zum Konzern – die Norm skaliert mit der Größe und Struktur der Organisation.
• Anschlussfähig: Sie nutzt die harmonisierte Struktur (Annex SL), die auch ISO 9001 (Qualität) oder ISO 22301 (Continuity) verwenden. So lassen sich mehrere Managementsysteme bündeln.

Was schützt die Norm?

Im Zentrum stehen Informationen in jeder Form – digitale Daten, Ausdrucke, Wissen in Köpfen, Gespräche. Geschützt werden die drei klassischen Schutzziele:

Norm vs. Gesetz

ISO-Normen sind freiwillig – niemand ist per se gesetzlich verpflichtet, ISO 27001 umzusetzen. In der Praxis wird sie aber oft vertraglich gefordert (Ausschreibungen, Lieferantenaudits) oder hilft, gesetzliche Pflichten (z. B. „Stand der Technik" nach DSGVO, NIS-2) strukturiert zu erfüllen.

Im nächsten Kapitel ordnen wir die Norm in die ISO/IEC-27000-Familie ein.