Informationssicherheit nach ISO/IEC 27001:2022

Anwendungsbeispiel

Zum Anwendungsbeispiel

Definition, Inhalt und Herkunft

Die ISO/IEC 27001:2022 ist die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Sie legt Anforderungen fest, wie Organisationen ihre Informationen systematisch schützen können. Die Norm basiert auf einem risikobasierten Ansatz und wurde in der Version 2022 aktualisiert, um aktuelle Bedrohungen, digitale Entwicklungen und Anforderungen an Governance, Compliance und Resilienz stärker zu integrieren. Im Anhang der Norm sind 94 Massnahmen (Controls) zur Erhöhung der Informationssicherheit aufgeführt.

Ziele und Nutzen

Das Ziel eines ISMS nach ISO/IEC 27001 ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen aller Art nachhaltig zu sichern. Durch die Umsetzung der Norm können Organisationen Risiken besser steuern, regulatorische Anforderungen erfüllen, das Vertrauen von Kunden und Partnern stärken und sich besser vor Cyberangriffen schützen. Der strukturierte Managementansatz ermöglicht eine kontinuierliche Verbesserung der Sicherheitsmassnahmen.

Anwendung und Vorgehen

Die Einführung eines ISMS erfolgt schrittweise und umfasst unter anderem:

  1. Festlegung des Anwendungsbereichs (Scope)
  2. Risikobasierte Bewertung von Informationswerten, Bedrohungen und Schwachstellen
  3. Festlegung und Umsetzung geeigneter Sicherheitsmassnahmen (Annex A Controls)
  4. Dokumentation und Überwachung des Systems (z. B. durch interne Audits, Managementbewertungen)
  5. Kontinuierliche Verbesserung auf Basis von Vorfällen, neuen Risiken oder Veränderungen.

Die Norm fordert zudem eine stärkere Einbindung des Top-Managements und legt Wert auf eine ganzheitliche Sicht auf Geschäftsprozesse, Technologien und externe Anforderungen.

Zusätzlicher Mehrwert im europäischen Rechtskontext

Die ISO/IEC 27001:2022 bietet einen strukturierten Rahmen, um zentrale Anforderungen aktueller europäischer Gesetze und Richtlinien zu erfüllen – etwa die Datenschutz-Grundverordnung (DSGVO), die NIS2-Richtlinie, der Cyber Resiliance Act oder branchenspezifische Vorgaben wie DORA im Finanzsektor. Durch die Einführung eines zertifizierten ISMS können Organisationen ihre Rechenschaftspflicht nachweisen, regulatorische Risiken minimieren und Bußgelder vermeiden. Die Norm unterstützt dabei, Informationssicherheit als integralen Bestandteil der Compliance-Strategie zu etablieren – insbesondere angesichts steigender Anforderungen an Governance, Resilienz und Transparenz.

Anwendungsbeispiel

Ausgangslage

Ein international tätiger Dienstleister will den zunehmenden Anforderungen seiner Kunden gerecht werden und entscheidet sich für die Einführung eines ISMS nach ISO/IEC 27001:2022. Nach einer Risikoanalyse werden sensible Prozesse und Systeme identifiziert, klare Verantwortlichkeiten zugewiesen und technische wie organisatorische Schutzmassnahmen eingeführt. Dazu gehören u.a. Zugriffskontrollen, Schulungen und Notfallpläne.

Resultat

Durch die Zertifizierung nach ISO/IEC 27001:2022 demonstriert das Unternehmen seine Sicherheitskompetenz gegenüber Kunden und Partnern. Interne Prozesse sind besser strukturiert, Sicherheitsvorfälle gehen zurück, und die Organisation ist nachweislich in der Lage, auf neue Bedrohungen flexibel zu reagieren. Die kontinuierliche Überprüfung sorgt für nachhaltige Sicherheit und Compliance.

Diese Methode wurde aufbereitet von

Sandra Thurnheer

Geschäftsführerin und Leitende Auditorin & Beraterin

Sandra Thurnheer

www.malean.org
Tel. +41 76 321 39 40

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren und die Zugriffe auf unsere Website zu analysieren.Mehr erfahren