Normanforderungen der ISO 27001

Dies sind die ISO 27001 Anforderungen an ein ISMS

Auf dieser Seite möchten wir Ihnen nun die Norm ISO 27001 genauer vorstellen. Unter ISO 27001 Einführung haben wir Ihnen bereits gezeigt, dass die ISO 27001 das zentrale und wichtigste Element der ISO 27000-Standardfamilie ist. Die Norm legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und laufende Verbesserung eines Informationssicherheits-Managementsystems im Kontext der Organisation fest und beinhaltet Anforderungen für die Beurteilung und Handhabung von Informationssicherheitsrisiken entsprechend der individuellen Bedürfnisse der Organisation. Dabei folgt der Aufbau der ISO 27001 der High Level Structure (HLS), die auch bereits im Qualitätsmanagement ISO 9001, im Umweltmanagement ISO 14001 oder auch im Arbeitsschutzmanagement ISO 45001, Anwendung findet. Durch die HLS wurde eine einheitliche Struktur für alle ISO-Normen mit einheitlichen Begriffen geschaffen. Im weiteren Verlauf dieser Seite werden Ihnen die einzelnen Abschnitte der ISO 27001 gemäß der High Level Structure etwas näher vorgestellt


Kapitel 0 bis 3 der ISO 27001 enthalten Basisinformationen zur Norm

In den ersten Kapiteln der ISO 27001 sind allgemeine Informationen zur Norm enthalten. Neben einer Einleitung legt die Norm hier Anforderungen für die Einrichtung, Implementierung, Wartung und laufende Verbesserung eines Informationssicherheits-Managementsystems fest. Es wird außerdem festgelegt, dass die Norm ISO 27001 von allen Organisation – unabhängig derer Art und Größe – anwendbar sein soll. Die in der ISO 27001 verwendeten Begriffe werden nicht mehr in der Norm selbst definiert. Vielmehr wird nun auf die ISO 27000 verwiesen, alle relevanten Begrifflichkeiten definiert sind.


Unser Tipp
Gratis Vorlage:
Mit der gratis Vorlage Erstellung einer Prozessbeschreibung zeigen wir Ihnen, wie Sie Ihre Geschäftsprozessse zielführend beschreiben und in Visualisierungsmodellen darstellen, um Ihren Mitarbeitern Arbeitsabläufe verständlich aufzuzeigen.

Ausbildung: Oder besuchen Sie unsere Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 und steigen Sie in die ISMS Grundlagen ein. Wir machen Sie dabei mit der ISO 27001 vertraut und zeigen, wie Sie deren Anforderungen in Ihrem ISMS umsetzen.


Kontext der Organisation – Anforderungen aus Kapitel 4 der ISO 27001

Kapitel 4 der ISO 27001 stellt Anforderungen an den Kontext einer Organisation und ist in folgende Unterabschnitte unterteilt:

  • Verstehen der Organisation und ihre Kontextes
  • Verstehen der Erfordernisse und Erwartungen interessierter Parteien
  • Festlegen des Anwendungsbereichs des ISMS
  • ISMS

Gemäß den hier aufgeführten Anforderungen müssen Unternehmen die Bedingungen für das Informationssicherheits-Managementsystem festlegen. Es müssen interne und externen Themen, welche sich auf die Fähigkeit auswirken, die beabsichtigten Ergebnisse ihres ISMS zu erreichen sowie interessierte Parteien und deren Anforderungen in Bezug auf die Informationssicherheit bestimmt werden. Auf Basis der ermittelten Themen und interessierten Parteien muss anschließend der Anwendungsbereich des Managementsystems festgelegt werden. Dabei gilt es, die Grenzen und die Anwendbarkeit des Systems zu definieren. Ist der Anwendungsbereich gesteckt, erfolgt anschließend die Realisierung des ISMS. Die ISO 27001 Norm gibt hier vor, dass die Normanforderungen bei der Umsetzung zu berücksichtigen sind und das IT Sicherheitssystem aufrechterhalten und fortlaufend verbessern werden muss.

Video: High Level Strucutre
Video: Der PDCA Zyklus


Führung – ISO 27001 Anforderungen aus Kapitel 5

Damit das Informationssicherheitsmanagementsystem auch dauerhaft aufrechterhalten werden kann, ist die volle Rückendeckung der obersten Leitung erforderlich. Die ISO 27001 hat daher im Kapitel 5 „Führung“ Anforderungen an die Verantwortung der Organisationsleitung definiert. Dieser Abschnitt der Norm besteht dabei aus drei Unterpunkten:

  • Führung und Verpflichtung
  • Politik
  • Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

Die oberste Leitung muss gemäß den ISO 27001 Anforderungen unter anderem sicherstellen, dass die Informationssicherheitspolitik und die -ziele definiert und mit der strategischen Ausrichtung des Unternehmens übereinstimmt. Zudem muss unter anderem gewährleistet werden, dass die Anforderungen an das ISMS in den Geschäftsprozessen integriert und die notwendigen Ressourcen zur Realisierung des ISMS zur Verfügung gestellt werden. Bezüglich der Informationssicherheitspolitik wird gefordert, dass eine – dem Kontext angemessene – organisationsspezifische Politik mit der Verpflichtung zur fortlaufenden Verbesserung und Bekanntmachung in der Organisation formuliert wird. Weiterhin muss die oberste Leitung laut ISO 27001 sicherstellen, dass Rollen, Verantwortlichkeiten und Befugnisse in Bezug auf die Informationssicherheit zugewiesen und bekannt gemacht werden. Durch diese Normforderungen soll die oberste Leitung das Engagement in Bezug auf das Managementsystem demonstrieren.


Planung – Anforderungen aus Kapitel 6 der ISO 27001

Nachdem übergeordnete Vorgaben und Richtlinien an das Inforamtionssicherheitsmanagement definiert und die wesentlichen Verantwortlichkeiten zugewiesen wurden, erfolgt bei der Umsetzung eines ISMS als nächstes dessen Planung. Die entsprechenden ISO 27001 Normforderungen sind im Kapitel 6 der Norm zu finden. Dieser Abschnitt befasst sich mit dem Informationssicherheits-Risikomanagement und Zielemanagement:

  • Maßnahmen zum Umgang mit Risiken und Chancen
  • Informationssicherheitsziele und Planung zu deren Erreichung

Gemäß den Anforderungen müssen sich Organisationen sowohl mit internen als auch externen Faktoren, die sich auf die Informationssicherheitsziele auswirken können, beschäftigen. Es muss analysiert werden, wie die IT Sicherheit auf interner Ebene – also seitens Mitarbeiter – oder externer und unautorisierter Dritter negativ beeinflusst werden kann. Hierfür muss eine Risikostrategie aufgebaut werden, indem unter anderem Risiken identifiziert und bewertet werden, deren Eintrittswahrscheinlichkeit ermittelt wird und Maßnahmen zum Umgang mit Risiken und Chancen abgeleitet werden. Durch diese Anforderungen müssen sich Unternehmen gezielt mit ihren Risiken und Chancen befassen und diese aktiv steuern.

Darüber hinaus finden sich in dem Abschnitt „Planung“ der ISO 27001 Anforderungen zur Planung und Erreichung der Informationssicherheitsziele. Diese sind im Unterabschnitt 6.2 aufgeführt. Es ist dabei unerlässlich, dass die definierten Ziele im Einklang mit der Informationssicherheitspolitik stehen, der Risikoanalyse und -strategie entsprechen und natürlich messbar sind. Es muss dokumentiert werden, mit welchen Maßnahmen Unternehmen ihre Ziele zu erreichen versuchen, welche Ressourcen dafür notwendig sind, wer für die Überwachung der Sicherheitsmaßnahmen verantwortlich ist und bis wann diese abzuschließen sind.


Unser Tipp
Gratis E-Learning:
Absolvieren Sie gratis E-Learning Kurs Arbeitsanweisungen erstellen und erhalten Sie einen schnellen Einstieg ins Thema. Anhand verschiedener Videos machen wir Sie mit der Struktur sowie dem Lebenszyklus von Arbeitsanweisungen vertraut.


Unterstützung – ISO 27001 Anforderungen aus Kapitel 7

In Kapitel 7 „Planung“ sind alle „begleitenden“ Anforderungen, welche zur Sicherstellung der Fähigkeit und Wirksamkeit eines ISMS dienen, zusammengefasst:

  • Ressourcen
  • Kompetenz
  • Bewusstsein
  • Kommunikation
  • Dokumentierte Information

Die Norm fordert in diesem Abschnitt, dass die Organisation die Ressourcen, die zur Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems notwendig sind, zur Verfügung stellt. Zudem müssen Personen, die im Rahmen des ISMS Verantwortung übernehmen, über die notwendige Kompetenz verfügen, die Aufgaben umzusetzen. Hierzu müssen die notwendigen Kompetenzen erst einmal ermittelt und bei Bedarf Maßnahmen eingeleitet werden, mit denen die Kompetenzen erworben werden. Als Nachweis der Kompetenz ist eine angemessene dokumentierte Information aufrechtzuerhalten. Neben der Kompetenz ist aber auch das richtige Bewusstsein für die Informationssicherheit entscheidend für die Wirksamkeit des ISMS ISO 27001. Daher fordert die Norm, dass sich alle Personen, die unter Aufsicht der Organisation Tätigkeiten verrichten, der Informationssicherheitspolitik, ihres Beitrags zur Wirksamkeit des ISMS sowie den Folgen bei Nichterfüllung der ISO 27001 Anforderungen bewusst sein. Eine gut funktionierende interne Kommunikation ist dabei ein wichtiger Baustein für die Schaffung des Bewusstseins.

Anforderungen an die interne und externe Kommunikation stellt auch die ISO 27001. Gemäß den Normforderungen muss die Kommunikation der Organisation zu den Themen der Informationssicherheit geplant und gesteuert werden. Organisationen müssen festlegen, wer kommuniziert, mit wem, wann und worüber kommuniziert wird. Im letzten Unterabschnitt „Dokumentierte Information“ fordert die Norm außerdem, dass das ISMS die von der ISO 27001 geforderte sowie von der Organisation als für die Wirksamkeit des Managementsystems als notwendig betrachtete dokumentierte Information umfassen muss. Bei der Erstellung und Aktualisierung der Dokumente ist auf eine angemessene Beschreibung und Kennzeichnung zu achten. Außerdem muss die dokumentierte Information in einem angemessenem Format erstellt und im Hinblick auf Angemessenheit und Eignung geprüft werden.


Betrieb – Normforderungen aus Kapitel 8 der ISO 27001

Kapitel 8 beschreibt das „Tagesgeschäft“ im ISMS, d.h. wie ein implementiertes ISMS zu leben ist. Dabei setzt sich das Kapitel aus folgenden 3 Unterabschnitten zusammen:

  • Betriebliche Planung und Steuerung
  • Informationssicherheitsrisikobeurteilung
  • Informationssicherheitsrisikobehandlung

Für ein wirksames Informationssicherheitsmanagementsystem reicht es nicht aus, Risiken zu ermitteln, daraus Informationssicherheitsanforderungen abzuleiten und entsprechende Maßnahmen zu definieren. Gemäß den ISO 27001 Anforderungen müssen Unternehmen auch die Prozesse zur Umsetzung der Anforderungen und Maßnahmen planen, definieren, umsetzen und überwachen. Damit die bestimmten Informationssicherheitsziele erreicht werden, sind zudem Pläne und Verfahren festzulegen, wie die Ziele zu erreichen sind. Es sind dokumentierte Informationen aufzubewahren, die nachweisen, dass die Prozesse wie geplant umgesetzt sind. Das sich das ISMS und die damit verbundenen Prozesse dynamisch weiterentwickeln, muss das System bei allen (geplanten) Änderungen angepasst werden. Geplante Änderungen sind dabei zu überwachen und die Folgen unbeabsichtigter Änderungen sind zu bewerten. Ggf. sind Maßnahmen zu ergreifen Auch ausgelagerte sind zu bestimmen und zu überwachen.

Neben den Betriebsprozessen müssen auch Risiken für die Informationssicherheit regelmäßig beurteilt werden. Hinsichtlich der Informationssicherheitsrisiken fordert die ISO 27001, dass Organisationen eine Beurteilung der Informationssicherheitsrisiken in geplanten Abständen durchführen. Über die Ergebnisse dieser Beurteilung sind dokumentierte Informationen aufzubewahren. Nachdem Risiken beurteilt werden, müssen diese natürlich auch entsprechend behandelt werden. Daher sind im Unterabschnitt 8.3 der ISO 27001 Anforderungen an die Informationssicherheitsbehandlung zu finden. Demnach muss ein Unternehmen einen Plan zur Behandlung von Risiken aufsetzen und dokumentierte Information übe die Ergebnisse der Risikobehandlung aufbewahren.

Video: Was ist ein internes Audit
Video: Der Auditkreislauf und dessen Akteure


Bewertung der Leistung – ISO 27001 Anforderungen aus dem Kapitel 9

Nachdem das ISMS geplant und umgesetzt wurde, müssen der erreichte Stand sowie die Wirksamkeit geprüft werden. Die entsprechenden Anforderungen der ISO 27001 sind im Normabschnitt 9 „Bewertung der Leistung“ aufgeführt. Dabei gibt die Norm ISO 27001 in den folgenden 3 Unterabschnitten verschiedene Anforderungen und Werkzeuge für die Leistungsbewertung des Informationssicherheitsmanagementsystems vor:

  • Überwachung, Messung, Analyse und Bewertung
  • Internes Audit
  • Managementbewertung

Im Unterabschnitt 9.1 wird ganz allgemein gefordert, dass Unternehmen die Informationssicherheitsleistung und die Wirksamkeit des ISMS bewerten muss. Dazu muss bestimmt werden, was überwacht und gemessen wird. Dies schließt auch Informationssicherheitsprozesse und -maßnahmen mit ein. Außerdem sind Methoden zur Überwachung, Messung, Analyse und Bewertung zu definieren. Die Methoden sind so zu wählen, dass gültige Ergebnisse sichergestellt sind. Weitere ISO 27001 Anforderungen umfassen den Zeitpunkt und die Verantwortlichkeiten bei der Umsetzung der Bewertung sowie der  der Analyse und Bewertung der Ergebnisse. Als Nachweis der Ergebnisse muss geeignete dokumentierte Information aufbewahrt werden.

Auch die regelmäßige Durchführung interner Audits ist von der ISO 27001 gefordert, die entsprechenden Vorgaben sind im Unterabschnitt 9.2 zu finden. Mithilfe der Audits soll festgestellt werden, ob die ISO 27001 Anforderungen sowie die spezifischen Anforderungen des Unternehmens an das ISMS erfüllt sind und ob das System verwirklicht und aufrechterhalten wird. Dafür muss ein Auditprogramm, welches unter anderem die Audithäufgkeit, Methoden oder auch Verantwortlichkeiten enthält, aufgebaut, verwirklicht und aufrechterhalten werden. Außerdem müssen Umfang und Auditkriterien definiert und die Auditoren so ausgewählt werden, dass die Unparteilichkeit und Objektivität des Auditprozesses gewährleistet wird. Die Auditergebnisse an die oberste Leitung zu bericht und zusammen mit dem Auditprogramm als dokumentierte Information aufzubewahren.

Der letzte Unterabschnitt 9.3 zur Bewertung der Leistung stellt Anforderungen an die „Managementbewertung“. Gemäß den ISO 27001 Anforderungen muss eine Bewertung des ISMS durch das Management in regelmäßigen Abständen erfolgen. Ziel dieser Managementbewertung ist es, die fortdauernde Eignung, Wirksamkeit und Angemessenheit des Managementsystems sicherzustellen. Dabei muss die Managementbewertung gemäß Normforderungen folgende Elemente umfassen:

  • Status von Maßnahmen aus früheren Management Reviews
  • Veränderungen bei externen und internen Themen, die für das ISMS relevant sind
  • Rückmeldung über die Informationssicherheitsleistung, inkl. Entwicklungen bei
    • Nichtkonformitäten und Korrekturmaßnahmen
    • Überwachung und Messung sowie deren Ergebnisse
    • Auditergebnisse
    • Erreichung von Informationssicherheitszielen
  • Rückmeldung von interessierten Parteien
  • Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung
  • Möglichkeiten zur kontinuierlichen Verbesserung

Verbesserung – Anforderungen aus Kapitel 10

Der letzte Abschnitt der ISO 27001 befasst sich mit der kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems. Grundlage für diesen Abschnitt ist der Ansatz, aus Fehlern zu lernen und damit auch Verbesserungspotenzial zu heben. Aufgeteilt werden die Anforderungen an die Verbesserung des ISMS in zwei Unterabschnitten:

  • Nichtkonformität und Korrekturmaßnahmen
  • Fortlaufende Verbesserung

Die entsprechenden ISO 27001 Anforderungen umfassen die Reaktion auf Nichtkonformitäten, Behebung von Ursachen sowie das Durchführen von angemessenen Korrekturmaßnahmen. Wurden beim Audit Nichtkonformitäten festgestellt, muss die Organisation Maßnahmen zur Überwachung und Korrektur der Abweichung festlegen und deren Notwendigkeit bewerten. Außerdem müssen die Maßnahmen eingeleitet und anschließend deren Wirksamkeit beurteilt werden. Im letzten Unterabschnitt „Fortlaufende Verbesserung“ fordert die Norm Unternehmen auf, die Eignung, Angemessenheit und Wirksamkeit ihres ISMS fortlaufend zu verbessern.


Struktur der Norm ISMS ISO 27001

Die nachfolgende Tabelle stellt Ihnen die Struktur der ISO 27001 mit den übergeordneten Abschnitten sowie den jeweiligen Unterabschnitten übersichtlich dar. Durch diese Darstellung wird auch die High Level Structure sichtbar. So ist der strukturelle Aufbau der Norm ähnlich, wie bei der ISO 9001, ISO 14001, ISO 50001 oder der ISO 45001.

Forderungspunkte der ISO 27001 Forderungsabschnitte der ISO 27001

4 Kontext der Organisation


4.1 "Verständnis der Organisation und ihres Kontexts "
4.2 "Verständnis der Bedürfnisse und Erwartungen interessierter Parteien "
4.3 "Festlegung des Geltungsbereichs des Informationssicherheitsmanagementsystem"
4.4 Informationssicherheitsmanagementsystem

5 Führung


5.1 Führung und Engagement
5.2 Leitlinie
5.3 "Organisatorische Aufgaben, Zuständigkeiten und Befugnisse "

6 Planung


6.1 "Maßnahmen zum Umgang mit Risiken und Chancen "
6.2 "Informationssicherheitsziele und Pläne für deren Erreichung "

7 Unterstützung


7.1 Ressourcen
7.2 Kompetenz
7.3 Bewusstsein
7.4 Kommunikation
7.5 Dokumentierte Informationen

8 Einsatz


8.1 Einsatzplanung und -kontrolle
8.2 Informationssicherheitsrisikoeinschätzung
8.3 Informationssicherheitsrisikobehandlung

9 Leistungsauswertung


9.1 "Überwachung, Messung, Analyse
und Auswertung"
9.2 Internes Audit
9.3 Prüfung durch die Leitung

10 Verbesserung


10.1 Fehler und Korrekturmaßnahmen
10.2 Laufende Verbesserungen