ISO 27001

ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme. Sie definiert Anforderungen, wie Organisationen Informationssicherheit systematisch aufbauen, betreiben und kontinuierlich verbessern.

Der Ansatz ist risikobasiert: Ausgehend von einer Risikobewertung wählt die Organisation angemessene Maßnahmen aus dem Anhang A der Norm (in der Revision von 2022 in vier Themenfelder gegliedert: organisatorisch, personell, physisch, technologisch) und dokumentiert deren Umsetzung. Eine Zertifizierung durch akkreditierte Stellen bestätigt die Konformität und wird in Ausschreibungen und Lieferantenbewertungen zunehmend vorausgesetzt – regelmäßige Überwachungs- und Re-Zertifizierungsaudits sichern die Wirksamkeit über die Zeit.

Grundlage der Zertifizierung ist ein gelebtes ISMS; die laufende Sammlung von Nachweisen für die geforderten Kontrollen lässt sich mit Compliance Automation weitgehend automatisieren. Für viele Unternehmen ist ISO 27001 damit der praktikabelste Weg, Informationssicherheit intern zu verankern und extern zu belegen.