S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Regulierung

ISO/IEC 27001

Internationaler Standard für Informationssicherheitsmanagementsysteme (ISMS), der Anforderungen für systematisches Management von Informationssicherheitsrisiken definiert.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

ISO 27001 ist wie ein TÜV für Informationssicherheit. Ein unabhängiger Prüfer schaut ob du Sicherheit systematisch und nachweisbar managen kannst — nicht nur ob du gute Tools hast, sondern ob deine Prozesse und deine Organisation das richtig angehen. Mit dem Zertifikat kannst du das beweisen.

Ausführliche Erklärung

ISO 27001 ist der weltweit anerkannte Standard für ISMS. Er definiert einen Managementrahmen (basierend auf dem PDCA-Zyklus: Plan-Do-Check-Act) und 93 Controls in Anhang A (Organisatorisch, Personell, Physisch, Technologisch). Eine Zertifizierung erfordert einen akkreditierten Auditor. Die aktuelle Version ISO 27001:2022 wurde erheblich modernisiert. Ergänzt wird der Standard durch ISO 27002 (Implementierungshinweise). Zertifizierung signalisiert Kunden und Partnern vertrauenswürdiges Sicherheitsmanagement.

>Wie funktioniert das?

1

Gap-Analyse: Aktuellen Stand vs

2

ISO-27001-Anforderungen vergleichen

3

Scope definieren: Welche Teile der Organisation werden zertifiziert? 3

4

ISMS aufbauen: Richtlinien, Risikobehandlung, Controls implementieren

5

Internes Audit: Eigene Prüfung vor externem Audit

6

Zertifizierungsaudit: Externe Prüfung durch akkreditierte Zertifizierungsstelle

7

Überwachungsaudits jährlich, Re-Zertifizierung alle 3 Jahre.

?Häufig gestellte Fragen
Antwort

Unternehmen die B2B-Dienstleistungen erbringen, Cloud-Dienste anbieten, mit Behörden zusammenarbeiten oder Kunden den Nachweis guter Sicherheitspraktiken erbringen müssen.

Antwort

Je nach Unternehmensgröße zwischen 10.000 und über 100.000 EUR für externe Beratung und Audit — dazu kommen interne Implementierungskosten. Für KMUs gibt es Vereinfachungen.

Antwort

Anhang A listet 93 Controls (Sicherheitsmaßnahmen) die das Unternehmen bewertet — welche sind anwendbar, welche werden implementiert? Nicht anwendbare Controls müssen begründet werden (Statement of Applicability).

Antwort

Weil der Standard explizit Management-Commitment, organisatorische Prozesse, Mitarbeiterschulung und kontinuierliche Verbesserung fordert — nicht nur technische Maßnahmen.

Antwort

Für kleinere Unternehmen 6-12 Monate, für größere 12-24 Monate — abhängig von der Ausgangssituation, dem Scope und den verfügbaren internen Ressourcen.

Quick Facts
KategorieRegulierung
Verwandte Begriffe4
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC