Aufbau: Klauseln 4–10
Anforderungen (Klauseln 4–10)
Der normative Kern
Das Herz von ISO/IEC 27001 sind die Klauseln 4 bis 10. Sie enthalten die eigentlichen Anforderungen („muss") an das ISMS. Die Klauseln 1–3 (Anwendungsbereich, Verweisungen, Begriffe) sind nur einleitend und enthalten keine prüfbaren Pflichten.
| Klausel | Titel | Worum es geht |
|---|---|---|
| 4 | Kontext der Organisation | Umfeld, interessierte Parteien, Scope |
| 5 | Führung | Leitung, Politik, Rollen |
| 6 | Planung | Risiken, Ziele, Änderungen |
| 7 | Unterstützung | Ressourcen, Kompetenz, Doku |
| 8 | Betrieb | Umsetzung, Risikoprozesse |
| 9 | Bewertung der Leistung | Messen, Audit, Management-Review |
| 10 | Verbesserung | Korrektur, kontinuierliche Verbesserung |
Die harmonisierte Struktur (Annex SL)
Diese Nummerierung ist kein Zufall. Alle modernen ISO-Managementsystem-Normen nutzen dieselbe High-Level-Structure (Annex SL): identische Hauptkapitel, gleiche Begriffe, gleicher Basistext. Wer ISO 9001 (Qualität) kennt, findet sich in ISO 27001 sofort zurecht – und kann mehrere Managementsysteme bündeln.
Klauseln folgen dem PDCA-Zyklus
Die Reihenfolge spiegelt den PDCA-Kreislauf wider:
PLAN → Klausel 4, 5, 6, 7 (Kontext, Führung, Planung, Unterstützung) DO → Klausel 8 (Betrieb) CHECK → Klausel 9 (Bewertung der Leistung) ACT → Klausel 10 (Verbesserung)
Klauseln vs. Anhang A
Wichtige Unterscheidung: Die Klauseln 4–10 sind alle verpflichtend – hier gibt es keine Ausnahmen. Der Anhang A mit seinen 93 Maßnahmen ist dagegen ein Katalog: Welche Maßnahmen nötig sind, ergibt sich aus deiner Risikobeurteilung; nicht zutreffende dürfst du begründet ausschließen. Diesen Unterschied verinnerlichen viele erst spät – er ist zentral.
Welche Klauseln von ISO/IEC 27001 enthalten die verpflichtenden Anforderungen an das ISMS?