Zum Hauptinhalt springen
Internationaler ISMS-Standard

ISO 27001 Informationssicherheit mit System

Der weltweit führende Standard für Informationssicherheits-Managementsysteme. Wir bauen Ihr ISMS nach ISO/IEC 27001:2022 auf und begleiten Sie bis zur akkreditierten Zertifizierung – systematisch, risikobasiert, prüfungssicher.

Beratung anfragen Weg zum Zertifikat
93

Controls (Annex A)

4

Themen-Kategorien

4–10

Normative Klauseln

3 Jahre

Zertifizierungszyklus

Die Grundlagen

Was ist ISO/IEC 27001?

ISO/IEC 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie legt Anforderungen für Aufbau, Betrieb und kontinuierliche Verbesserung fest, mit denen Organisationen ihre Informationssicherheitsrisiken systematisch steuern. Aktuell gilt die Fassung 2022, ergänzt um das Amendment 1:2024 (Klimawandel-Bezug).

International anerkannt

Der weltweit verbreitete ISMS-Standard – branchen- und größenunabhängig, anerkannt bei Kunden, Partnern und in Ausschreibungen.

Risikobasiert

Maßnahmen werden nicht pauschal, sondern nach Risiko ausgewählt – dokumentiert in Risikobehandlungsplan und Statement of Applicability.

Zertifizierbar

Ein akkreditiertes Zertifikat (über DAkkS-akkreditierte Stellen) belegt gelebte Informationssicherheit gegenüber Dritten.

NIS-2-Nachweis

Ein ISO-27001-ISMS deckt einen wesentlichen Teil der Risikomanagement-Pflichten aus § 30 BSIG ab und dient als Nachweis.

Die Maßnahmen

Annex A: 93 Controls in 4 Themen

Die Fassung 2022 strukturiert die Sicherheitsmaßnahmen in vier Themenbereiche. Welche Controls anwendbar sind, entscheidet die Risikobeurteilung – ausformuliert in der ISO/IEC 27002:2022.

37
A.5

Organisatorisch

Richtlinien, Rollen, Lieferanten, Cloud, Vorfallmanagement und Compliance

8
A.6

Personenbezogen

Sensibilisierung, Verantwortlichkeiten und sicheres Verhalten der Beschäftigten

14
A.7

Physisch

Zutritt, Sicherung von Bereichen, Geräten und Datenträgern

34
A.8

Technologisch

Zugriff, Kryptographie, Härtung, Monitoring und sichere Entwicklung

Nicht alle 93 Controls müssen umgesetzt werden – die Auswahl erfolgt risikobasiert, die Nicht-Anwendbarkeit wird im Statement of Applicability (SoA) begründet.

Aufbau des ISMS

Klauseln 4 bis 10

Die normativen Anforderungen folgen dem PDCA-Zyklus – von der Kontextanalyse bis zur kontinuierlichen Verbesserung.

4 Kontext der Organisation Plan
5 Führung Plan
6 Planung (Risikobeurteilung) Plan
7 Unterstützung Plan
8 Betrieb Do
9 Leistungsbewertung Check
10 Verbesserung Act

Der Weg zum Zertifikat

1

Stage-1-Audit

Dokumentenprüfung: Ist das ISMS normkonform aufgebaut und auditbereit?

2

Stage-2-Audit

Wirksamkeitsprüfung vor Ort: Wird das ISMS in der Praxis gelebt?

3

Zertifikat

Ausstellung durch eine DAkkS-akkreditierte Stelle – gültig für drei Jahre

4

Überwachungsaudits

Jährliche Audits in Jahr 1 und 2 bestätigen die fortlaufende Konformität

5

Re-Zertifizierung

Vollaudit nach drei Jahren zur Verlängerung des Zertifikats

ISO 27001, IT-Grundschutz und NIS 2

Die ISO 27001 lässt sich über die offizielle BSI-Zuordnungstabelle mit dem IT-Grundschutz verbinden und dient als Nachweis für die Risikomanagement-Pflichten nach NIS 2 / BSIG 2025.

IT-Grundschutz NIS 2

Unsere Leistungen

Rundum-Betreuung für ISO 27001

Von der Gap-Analyse bis zum Zertifikat – wir begleiten Sie durch den gesamten Zyklus.

Gap-Analyse

Soll-Ist-Vergleich gegen alle Anforderungen der ISO/IEC 27001:2022.

  • Bewertung Klauseln 4–10
  • Prüfung der Annex-A-Controls
  • Priorisierter Umsetzungsplan

ISMS-Aufbau

Konzeption und Einführung eines vollständigen ISMS.

  • Leitlinie, RTP & SoA
  • Governance & Rollen
  • Integration in ISO 9001 / 22301

Risikobeurteilung

Methodische Identifikation, Analyse und Behandlung von Risiken.

  • Bewertungskriterien definieren
  • Risikoidentifikation
  • Risikobehandlungsplan

Annex-A-Umsetzung

Auswahl und Implementierung der relevanten Controls.

  • Statement of Applicability
  • Richtlinien-Templates
  • Cloud- & Threat-Intel-Controls

Interne Audits

Normkonforme interne Audits zur Vorbereitung der Zertifizierung.

  • Auditplan & Checklisten
  • Durchführung nach ISO 19011
  • Auditbericht & Maßnahmen

Zertifizierungsbegleitung

Vorbereitung und Begleitung von Stage-1- und Stage-2-Audit.

  • Dokumentenreview
  • Auditorenbegleitung
  • Nachverfolgung von Abweichungen

Warum DLAU für ISO 27001?

Selbst zertifiziert

DLAU ist nach ISO 27001 und ISO 9001 zertifiziert – wir kennen das Audit aus eigener Erfahrung

Aktuelle Fassung

Durchgängig nach ISO/IEC 27001:2022 inkl. Amendment 1:2024

Brücke zum IT-Grundschutz

Auch ISO 27001 auf Basis von IT-Grundschutz aus einer Hand

NIS-2-tauglich

Das ISMS als belastbarer Nachweis gegenüber dem BSI

ISO 27001 zertifizieren?

Wir bringen Sie systematisch zur ISO/IEC 27001:2022 – von der Gap-Analyse über den ISMS-Aufbau bis zum bestandenen Zertifizierungsaudit.

Beratung anfragen Direkt anrufen

Weiterführend: IT-Sicherheitsstandards · IT-Grundschutz · NIS 2