Praxis & Cheatsheet
Umsetzung & Praxis
Das Wichtigste auf einen Blick
Zum Abschluss des Kurses bündeln wir die Kernideen von ISO/IEC 27001 als Spickzettel – ideal zum Wiederholen vor einer Prüfung oder einem Audit.
Die Kernbotschaften
- Risikobasiert: Maßnahmen folgen den Risiken, nicht einer starren Liste.
- Managementsystem: ISMS = Richtlinien + Prozesse + Rollen + Nachweise, fortlaufend im PDCA-Zyklus.
- Chefsache: ohne Rückhalt der obersten Leitung scheitert es.
- Klauseln 4–10 = Pflicht, Anhang A = Katalog mit begründbaren Ausschlüssen.
- Dokumentieren & nachweisen: „Nicht dokumentiert = nicht passiert" (aus Audit-Sicht).
Klauseln 4–10 als Merksatz
4 Kontext – Wo stehe ich, was ist der Scope? 5 Führung – Leitung, Politik, Rollen 6 Planung – Risiken, Ziele, SoA 7 Unterstützung – Ressourcen, Kompetenz, Doku 8 Betrieb – umsetzen & durchführen 9 Bewertung – messen, auditieren, Review 10 Verbesserung – korrigieren & besser werden
Anhang A: 4 Themen, 93 Maßnahmen
| Thema | Anzahl | Eselsbrücke |
|---|---|---|
| 5 Organisatorisch | 37 | Regeln & Prozesse |
| 6 Personenbezogen | 8 | Menschen |
| 7 Physisch | 14 | Türen & Geräte |
| 8 Technologisch | 34 | IT & Software |
Wichtige Begriffe
| Begriff | Kurz |
|---|---|
| ISMS | Informationssicherheits-Managementsystem |
| SoA | Erklärung zur Anwendbarkeit (alle 93 Maßnahmen + Begründung) |
| C-I-A | Vertraulichkeit, Integrität, Verfügbarkeit |
| PDCA | Plan – Do – Check – Act |
| RTO / RPO | Wiederanlaufzeit / tolerierbarer Datenverlust |
| Korrektur vs. Korrekturmaßnahme | Symptom vs. Ursache beseitigen |
Selbst ein ISMS aufbauen
Bereit für die Praxis? Mit der ISMS-Werkbank (für angemeldete Nutzer) baust du direkt auf oen.de deine eigene ISO-27001-Dokumentation auf: Kontext, Organigramm, Werteverzeichnis, Risikoregister mit Risikomatrix, die Erklärung zur Anwendbarkeit (alle 93 Maßnahmen), Ziele, Audits und mehr – inklusive generischer Beispielvorlagen und einem auditfertigen Export (Bericht als PDF, JSON, CSV).
ISMS-Werkzeuge auf dieser Seite
Mehrere Maßnahmen lassen sich mit unseren Tools üben oder umsetzen:
- Authentisierung: Passwort-Stärke, Passwort-Generator, TOTP
- Kryptographie & Integrität: Hash/HMAC, SSL/TLS-Check
- Netzwerk & E-Mail: DNS-Lookup, Subnetz-Rechner, SPF, Security-Header
Wichtiger Hinweis
Dieser Kurs erklärt ISO/IEC 27001 didaktisch und ersetzt nicht das Studium der amtlichen Norm (DIN/Beuth) oder eine fachkundige Beratung. Für eine echte Zertifizierung sind der Originaltext der Norm und eine akkreditierte Zertifizierungsstelle maßgeblich. Sicherheitswissen dient dem Schutz: Wende es nur auf Systeme an, für die du autorisiert bist.
Was ist – aus Audit-Sicht – der pragmatische Kern von „dokumentieren & nachweisen"?
Glückwunsch – du hast den ISO/IEC-27001-Kurs abgeschlossen! Zurück zur Kursübersicht oder weiter zu den anderen Tutorials.