Definition, Inhalt und Herkunft
Die ISO/IEC 27001:2022 ist die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Sie legt Anforderungen fest, wie Organisationen ihre Informationen systematisch schützen können. Die Norm basiert auf einem risikobasierten Ansatz und wurde in der Version 2022 aktualisiert, um aktuelle Bedrohungen, digitale Entwicklungen und Anforderungen an Governance, Compliance und Resilienz stärker zu integrieren. Im Anhang der Norm sind 94 Massnahmen (Controls) zur Erhöhung der Informationssicherheit aufgeführt.
Ziele und Nutzen
Das Ziel eines ISMS nach ISO/IEC 27001 ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen aller Art nachhaltig zu sichern. Durch die Umsetzung der Norm können Organisationen Risiken besser steuern, regulatorische Anforderungen erfüllen, das Vertrauen von Kunden und Partnern stärken und sich besser vor Cyberangriffen schützen. Der strukturierte Managementansatz ermöglicht eine kontinuierliche Verbesserung der Sicherheitsmassnahmen.
Anwendung und Vorgehen
Die Einführung eines ISMS erfolgt schrittweise und umfasst unter anderem:
- Festlegung des Anwendungsbereichs (Scope)
- Risikobasierte Bewertung von Informationswerten, Bedrohungen und Schwachstellen
- Festlegung und Umsetzung geeigneter Sicherheitsmassnahmen (Annex A Controls)
- Dokumentation und Überwachung des Systems (z. B. durch interne Audits, Managementbewertungen)
- Kontinuierliche Verbesserung auf Basis von Vorfällen, neuen Risiken oder Veränderungen.
Die Norm fordert zudem eine stärkere Einbindung des Top-Managements und legt Wert auf eine ganzheitliche Sicht auf Geschäftsprozesse, Technologien und externe Anforderungen.
Zusätzlicher Mehrwert im europäischen Rechtskontext
Die ISO/IEC 27001:2022 bietet einen strukturierten Rahmen, um zentrale Anforderungen aktueller europäischer Gesetze und Richtlinien zu erfüllen – etwa die Datenschutz-Grundverordnung (DSGVO), die NIS2-Richtlinie, der Cyber Resiliance Act oder branchenspezifische Vorgaben wie DORA im Finanzsektor. Durch die Einführung eines zertifizierten ISMS können Organisationen ihre Rechenschaftspflicht nachweisen, regulatorische Risiken minimieren und Bußgelder vermeiden. Die Norm unterstützt dabei, Informationssicherheit als integralen Bestandteil der Compliance-Strategie zu etablieren – insbesondere angesichts steigender Anforderungen an Governance, Resilienz und Transparenz.
Anwendungsbeispiel
Ausgangslage
Ein international tätiger Dienstleister will den zunehmenden Anforderungen seiner Kunden gerecht werden und entscheidet sich für die Einführung eines ISMS nach ISO/IEC 27001:2022. Nach einer Risikoanalyse werden sensible Prozesse und Systeme identifiziert, klare Verantwortlichkeiten zugewiesen und technische wie organisatorische Schutzmassnahmen eingeführt. Dazu gehören u.a. Zugriffskontrollen, Schulungen und Notfallpläne.
Resultat
Durch die Zertifizierung nach ISO/IEC 27001:2022 demonstriert das Unternehmen seine Sicherheitskompetenz gegenüber Kunden und Partnern. Interne Prozesse sind besser strukturiert, Sicherheitsvorfälle gehen zurück, und die Organisation ist nachweislich in der Lage, auf neue Bedrohungen flexibel zu reagieren. Die kontinuierliche Überprüfung sorgt für nachhaltige Sicherheit und Compliance.
Diese Methode wurde aufbereitet von
Sandra Thurnheer
Geschäftsführerin und Leitende Auditorin & Beraterin

www.malean.org
Tel. +41 76 321 39 40