ISO 27001: Internationaler Standard für Informationssicherheit

ERKLÄRUNG

Einfach erklärt

ISO 27001 ist ein Framework für systematisches Sicherheitsmanagement – nicht nur Technik, sondern auch Prozesse und Organisation.

ISMS-Komponenten:

Plan → Do → Check → Act (PDCA-Zyklus)

Plan:  Risiken identifizieren, Maßnahmen planen
Do:    Maßnahmen umsetzen
Check: Wirksamkeit prüfen
Act:   Verbessern

Technischer Deep Dive

Annex A Kontrollen (Auszug)

Bereich	Beispiel-Kontrollen
Access Control	Benutzerregistrierung, Passwort-Policy
Cryptography	Verschlüsselung, Key Management
Operations	Change Management, Backup
Communications	Netzwerksicherheit, Datenübertragung
Incident Management	Meldeprozess, Lessons Learned

ANALOGIE

ISO 27001 ist wie ein Qualitätsmanagement-System für Sicherheit: Nicht nur einzelne Maßnahmen, sondern ein komplettes System aus Prozessen, Verantwortlichkeiten und kontinuierlicher Verbesserung.

WICHTIGSTE PUNKTE

ISMS: Information Security Management System

114 Kontrollen in 14 Bereichen (Annex A)

Zertifizierung durch akkreditierte Prüfer

ANWENDUNGSFÄLLE

Enterprise-Kunden

Oft Voraussetzung für Verträge

Internationales Business

Global anerkannter Standard

Systematische Sicherheit

Rahmenwerk für Sicherheitsorganisation

HÄUFIGE FRAGEN

ISO 27001 vs. SOC 2?

ISO 27001: Internationaler Standard, Zertifizierung. SOC 2: US-Standard, Audit-Report. Beide zeigen Sicherheitsreife, oft werden beide verlangt.

Wie lange dauert die Zertifizierung?

Vorbereitung: 6-12 Monate. Audit: 1-2 Wochen. Zertifikat gilt 3 Jahre mit jährlichen Überwachungsaudits.

VERWANDTE BEGRIFFE

Sicherheit Sicherheit

SOC 2

Ein Audit-Standard für Service-Provider, der Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz prüft – oft Voraussetzung für Enterprise-Kunden.

Sicherheit Sicherheit

Audit Logging

Die systematische Protokollierung sicherheitsrelevanter Ereignisse – wer hat wann was getan. Grundlage für Compliance und Incident Response.