Was ist ein ISMS nach ISO 27001 – Definition & Aufbau

Ein ISMS ISO 27001 (Informationssicherheitsmanagementsystem) ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen, sodass sie vertraulich, integer und verfügbar bleiben. Die Norm ISO/IEC 27001 ist ein international anerkannter Standard, der die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS definiert.

Das Ziel eines ISMS nach ISO 27001 besteht darin, Informationen wirksam vor Verlust, Diebstahl oder Missbrauch zu schützen. Dabei steht die Minimierung von Risiken im Bereich der Informationssicherheit im Mittelpunkt. Ein ISMS unterstützt Unternehmen zudem dabei, gesetzliche und regulatorische Anforderungen zuverlässig einzuhalten. Gleichzeitig trägt es wesentlich dazu bei, das Vertrauen von Kunden, Partnern und Aufsichtsbehörden in die Sicherheitsmaßnahmen und den verantwortungsvollen Umgang mit sensiblen Daten zu stärken.

Definition und Zielsetzung des ISMS nach ISO 27001

Ein Informationssicherheitsmanagementsystem (ISMS) ist ein strukturierter, ganzheitlicher Ansatz zur Planung, Umsetzung, Überwachung und kontinuierlichen Verbesserung der Informationssicherheit in einer Organisation. Es umfasst Richtlinien, Verfahren, Verantwortlichkeiten und technische sowie organisatorische Maßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.

Das ISMS basiert in der Regel auf einem Risikomanagementprozess, bei dem Sicherheitsrisiken identifiziert, bewertet und durch geeignete Maßnahmen kontrolliert werden. Ziel ist es, Informationen – unabhängig von deren Form (digital, physisch oder mündlich) – systematisch zu schützen und Sicherheitsanforderungen dauerhaft zu erfüllen.

Die ISO/IEC 27001 ist dabei die international anerkannte Norm der Internationalen Organisation für Normung (ISO) für das Management der Informationssicherheit. Sie legt die Anforderungen an ein ISMS fest, das darauf abzielt, Informationen systematisch zu schützen – in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit. ISO 27001 ist wichtig, weil sie Unternehmen eine nachweisbare Sicherheit gegenüber Kunden und Partnern bietet und damit das Vertrauen in den verantwortungsvollen Umgang mit Informationen stärkt. Die Zertifizierung nach diesem Standard verschafft zudem einen klaren Wettbewerbsvorteil auf dem Markt, da sie zeigt, dass Informationssicherheit strukturiert und professionell gemanagt wird. Darüber hinaus dient ISO 27001 als Grundlage für eine offizielle Zertifizierung durch externe Stellen, was insbesondere in Ausschreibungen oder Partnerschaften von Bedeutung sein kann. Nicht zuletzt hilft die Umsetzung der Norm dabei, Datenschutzvorfälle zu vermeiden – etwa im Sinne der Anforderungen der DSGVO – und somit rechtliche sowie finanzielle Risiken zu reduzieren.

Der PDCA Zyklus im Informationssicherheitsmanagementsystem

Der PDCA-Zyklus (Plan–Do–Check–Act) ist ein zentrales Prinzip im Aufbau und Betrieb eines Informationssicherheits-Managementsystems nach ISO 27001. Er beschreibt den kontinuierlichen Verbesserungsprozess, der sicherstellt, dass Informationssicherheit systematisch gesteuert und weiterentwickelt wird.

Plan (Planen)

Der Aufbau eines ISMS beginnt mit der Definition des Kontexts, das heißt, dem Verständnis der internen und externen Rahmenbedingungen sowie der Anforderungen relevanter Interessengruppen. Darauf folgt die Risikobewertung, bei der Informationssicherheitsrisiken identifiziert, analysiert und bewertet werden. Auf dieser Basis werden geeignete Maßnahmen (Controls) ausgewählt und geplant, beispielsweise Zugriffskontrollen oder Verschlüsselung gemäß Anhang A der ISO 27001. Gleichzeitig werden klare Informationssicherheitsziele und eine übergeordnete Strategie festgelegt. Abschließend erfolgt die Erstellung der notwendigen Dokumentation, die Sicherheitsrichtlinien, Prozesse und Verantwortlichkeiten verbindlich beschreibt.

Do (Umsetzen)

In der Umsetzungsphase des ISMS ISO 27001 werden die zuvor geplanten Maßnahmen und Prozesse implementiert. Ein zentraler Bestandteil dabei ist die Schulung und Sensibilisierung der Mitarbeiter, um ein bewusstes und sicheres Verhalten im Umgang mit Informationen zu fördern. Parallel dazu wird der operative Betrieb der Sicherheitsmechanismen aufgenommen, etwa durch die Einrichtung von Zugangskontrollen, regelmäßige Datensicherungen (Backups) oder kontinuierliches Monitoring sicherheitsrelevanter Systeme.

Check (Überprüfen)

Zur Überprüfung der Wirksamkeit des Informationssicherheitsmanagementsystems erfolgt die kontinuierliche Messung und Bewertung der ISMS-Leistung. Dazu werden unter anderem regelmäßige interne Audits durchgeführt, um die Einhaltung der Anforderungen sowie die Effektivität der umgesetzten Maßnahmen zu überprüfen. Ein weiterer wichtiger Aspekt ist die Überprüfung, inwieweit die definierten Informationssicherheitsziele erreicht wurden. Abschließend findet ein Management-Review statt, bei dem die Geschäftsleitung die Ergebnisse bewertet und mögliche Verbesserungsmaßnahmen ableitet.

Act (Verbessern)

Im Rahmen der „Act“-Phase des PDCA-Zyklus nach ISO/IEC 27001 erfolgt zunächst die Analyse von Abweichungen und Nichtkonformitäten, die beispielsweise im Zuge interner Audits, bei der Überwachung von Prozessen oder durch Meldungen von Sicherheitsvorfällen festgestellt wurden. Auf Basis dieser Analyse werden Verbesserungsmaßnahmen eingeleitet und umgesetzt, um erkannte Schwächen zu beheben und das Informationssicherheits-Managementsystem und dessen Wirksamkeit zu stärken. In diesem Zusammenhang kann es auch erforderlich sein, Prozesse oder Ziele anzupassen, um sicherzustellen, dass das ISMS weiterhin den Anforderungen der Organisation und der Norm entspricht sowie auf Veränderungen im internen oder externen Umfeld angemessen reagiert.

Wie ist ein Informationssicherheitsmanagementsystem aufgebaut?

Der Aufbau eines ISMS beginnt mit der Analyse des Kontexts der Organisation. Dabei werden sowohl interne als auch externe Einflussfaktoren, gesetzliche Anforderungen und die Erwartungen interessierter Parteien berücksichtigt. Auf dieser Basis wird der Anwendungsbereich des ISMS definiert, also welche organisatorischen Einheiten, Prozesse und Informationen in das System einbezogen werden. Die oberste Leitung spielt eine zentrale Rolle im ISMS. Sie ist dafür verantwortlich, eine Informationssicherheitspolitik zu etablieren, klare Rollen wie beispielsweise den ISMS Beauftragten und Verantwortlichkeiten zuzuweisen sowie die notwendigen Ressourcen bereitzustellen. Darüber hinaus muss sie sicherstellen, dass Informationssicherheitsziele festgelegt und mit den strategischen Zielen des Unternehmens abgestimmt sind.

Ein wesentlicher Bestandteil des ISMS ist das Risikomanagement. Hierbei werden Risiken für die Informationssicherheit systematisch identifiziert, bewertet und behandelt. Zur Risikobehandlung werden geeignete Sicherheitsmaßnahmen ausgewählt, die sich unter anderem an den 93 Maßnahmenvorschlägen im Anhang A der Norm orientieren. Diese Maßnahmen decken organisatorische, personelle, physische und technische Aspekte ab. Die Umsetzung des ISMS erfordert außerdem geeignete Unterstützungsprozesse. Dazu gehören die Schulung und Sensibilisierung der Mitarbeitenden, die Steuerung der dokumentierten Informationen sowie eine effektive interne Kommunikation über sicherheitsrelevante Themen. Im operativen Betrieb des ISMS werden die geplanten Maßnahmen realisiert, Sicherheitsvorfälle behandelt und der Umgang mit Risiken regelmäßig überprüft.

Zur Bewertung der Wirksamkeit des ISMS sieht die Norm regelmäßige interne Audits sowie eine Managementbewertung vor. Auf Basis dieser Ergebnisse werden Schwachstellen identifiziert und Verbesserungspotenziale abgeleitet. Durch Korrekturmaßnahmen und die systematische Analyse von Vorfällen wird das ISMS fortlaufend weiterentwickelt.

Zusammengefasst ist ein ISMS nach ISO 27001 kein rein technisches System, sondern ein umfassendes Managementsystem, das organisatorische, personelle und technische Maßnahmen integriert, um Informationen ganzheitlich zu schützen und Sicherheitsrisiken kontrolliert zu beherrschen.

Die Harmonized Structure der ISO 27001

Die ISO/IEC 27001 ist eine international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Seit der Revision 2022 folgt sie der sogenannten Harmonized Structure (HS), die früher als „High Level Structure (HLS)“ bekannt war. Diese Struktur sorgt für eine einheitliche Gliederung aller ISO-Managementsystemnormen und erleichtert so die Integration mehrerer Managementsysteme (z. B. ISO 9001, ISO 14001, etc.). Hier ist der Aufbau der ISO 27001:2022 nach der Harmonized Structure:

  • Kapitel 1-3 Anwendungsbereich, Verweisungen & Begriffe
    Zweck der Norm, Geltungsbereich sowie Verweise auf andere Normen werden beschrieben. Im 3. Kapitel werden dann zentrale Begriffe der Informationssicherheit, wie z. B. „ISMS“, „Risiko“ und „Maßnahme“ definiert.
  • Kapitel 4 Kontext der Organisation
    Identifikation interner und externer Einflussfaktoren auf die Informationssicherheit sowie der Erwartungen interessierter Parteien.
  • Kapitel 5 Führung
    Verantwortung und Engagement der obersten Leitung für das ISMS inkl. Einführung einer klaren und verbindlichen Informationssicherheitspolitik, die die strategische Ausrichtung der Organisation widerspiegelt und Festlegung der Verantwortlichkeiten.
  • Kapitel 6 Planung
    Die Organisation muss Risiken für die Informationssicherheit erkennen, bewerten und angemessen behandeln, aber auch Chancen nutzen, um das ISMS zu verbessern.
  • Kapitel 7 Unterstützung
    Bereitstellung sowohl personeller als auch technischer Mittel, Schulung der Mitarbeiter und gezielte Kommunikation und Dokumentation.
  • Kapitel 8 Betrieb
    Planung und Steuerung betrieblicher Prozesse mit Durchführung der Risikobewertung und Risikobehandlung.
  • Kapitel 9 Bewertung der Leistung
    Wirksamkeit der getroffenen Informationssicherheitsmaßnahmen systematisch bewerten und sicherstellen, dass die definierten Ziele erreicht werden.
  • Kapitel 10. Verbesserung
    Strukturierter Umgang mit Nichtkonformitäten sowie Umsetzung von Korrektur- und Verbesserungsmaßnahmen als wesentlicher Bestandteil des Informationssicherheits-Managementsystems (ISMS).

Anhang A – Maßnahmenziele und Maßnahmen (Controls)

Anhang A der ISO/IEC 27001 enthält eine strukturierte Liste von Informationssicherheitsmaßnahmen (Controls), die als Orientierung für den Aufbau und die Umsetzung eines wirksamen Informationssicherheitsmanagementsystems dienen. Diese Maßnahmen sind in vier Themenbereiche gegliedert und unterstützen dabei, identifizierte Risiken im Rahmen der Risikobehandlung systematisch zu adressieren. Die aktuelle Version der Norm (ISO/IEC 27001:2022) gliedert Anhang A in 93 Maßnahmen, die in folgende vier Hauptkategorien unterteilt sind:

  1. Organisatorische Maßnahmen (Organizational Controls) – z. B. Richtlinien zur Informationssicherheit, Rollen und Verantwortlichkeiten, Schulungen, Lieferantenmanagement.
  2. Personenbezogene Maßnahmen (People Controls) – z. B. Schulung und Sensibilisierung der Mitarbeiter, Verantwortlichkeiten vor, während und nach dem Arbeitsverhältnis.
  3. Physische Maßnahmen (Physical Controls) – z. B. Zutrittskontrollen, Schutz vor physischem Zugriff und Umwelteinflüssen.
  4. Technologische Maßnahmen (Technological Controls) – z. B. Zugriffskontrollen, Kryptografie, Schutz vor Malware, Überwachung und Protokollierung.

Diese Maßnahmen sind nicht verpflichtend im Sinne eines vollständigen Einsatzes, sondern dienen als Referenzrahmen. Organisationen müssen im Rahmen ihrer Risikobewertung und -behandlung individuell entscheiden, welche Maßnahmen für sie relevant und angemessen sind. Die getroffenen Entscheidungen, einschließlich abgelehnter Controls, müssen im sogenannten Statement of Applicability (SoA) dokumentiert und begründet werden.

Diese Struktur macht ISO 27001 zu einem vollständigen, prozessorientierten Managementsystem, das auf Risikobewusstsein, kontinuierliche Verbesserung und klare Verantwortlichkeiten setzt. Die DIN ISO/IEC 27001 ist dabei die deutsche Ausgabe der internationalen Norm ISO/IEC 27001, veröffentlicht durch das Deutsche Institut für Normung (DIN). Sie ist vollständig inhaltsgleich mit der internationalen Norm, trägt jedoch zusätzlich den Hinweis auf die deutsche Normenausgabe.

Risikomanagement im Rahmen des ISMS nach ISO 27001

Das Risikomanagement ist das zentrale Element eines Informationssicherheitsmanagementsystems nach ISO/IEC 27001. Ziel ist es, Informationssicherheitsrisiken systematisch zu identifizieren, zu bewerten und mit geeigneten Maßnahmen zu behandeln, um die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Kurz zusammengefasst, enthält das Risikomanagement im Rahmen des ISMS folgende Schritte:

1. Risikoidentifikation

  • Analyse des Unternehmenskontexts und der Informationswerte (Assets)
  • Ermittlung von Bedrohungen (z. B. Hackerangriffe, menschliche Fehler) und Schwachstellen (z. B. fehlende Updates)
  • Zuordnung zu betroffenen Systemen, Prozessen oder Personen

2. Risikobewertung

  • Einschätzung der Eintrittswahrscheinlichkeit und Auswirkung jedes identifizierten Risikos
  • Bildung eines Risikograds (z. B. durch Risikomatrix)
  • Priorisierung der Risiken nach Relevanz

3. Risikobehandlung

  • Auswahl geeigneter Maßnahmen zur Risikominderung
    • Vermeidung (z. B. Prozesse ändern)
    • Verringerung (z. B. technische Schutzmaßnahmen)
    • Übertragung (z. B. Versicherung)
    • Akzeptanz (bei tolerierbaren Risiken)
  • Orientierung an den Maßnahmen aus Anhang A der ISO/IEC 27001

4. Statement of Applicability (SoA)

  • Dokumentation aller umgesetzten, akzeptierten oder abgelehnten Sicherheitsmaßnahmen
  • Begründung der Auswahl/Nichtauswahl aus den 93 Controls in Anhang A

5. Überwachung und Verbesserung

  • Regelmäßige Überprüfung der Risiken und Maßnahmen
  • Anpassung bei Veränderungen (z. B. neue Technologien, gesetzliche Änderungen)
  • Integration in den kontinuierlichen Verbesserungsprozess

Das Risikomanagement nach ISO 27001 ist dabei nicht starr – es muss zur Organisation passen. Der gewählte Bewertungsansatz (qualitativ oder quantitativ) sowie die Dokumentation müssen nachvollziehbar und reproduzierbar sein.

Welche Vorteile bietet ein Informationssicherheitsmanagementsystem?

Ein Informationssicherheitsmanagementsystem nach ISO 27001 bietet Unternehmen zahlreiche Vorteile. Im Mittelpunkt steht der systematische Schutz sensibler Informationen, insbesondere in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Norm hilft, Sicherheitsrisiken zu identifizieren, zu bewerten und durch geeignete Maßnahmen zu minimieren.

Ein zertifiziertes ISMS stärkt das Vertrauen von Kunden, Partnern und Behörden, da es nachweist, dass das Unternehmen verantwortungsvoll mit Informationen umgeht. Besonders in sicherheitskritischen Branchen wie IT, Gesundheit oder Finanzen wird eine ISO 27001-Zertifizierung zunehmend vorausgesetzt. Gleichzeitig unterstützt die Norm bei der Erfüllung gesetzlicher Anforderungen, z. B. im Rahmen der DSGVO oder des IT-Sicherheitsgesetzes.

Ein wesentlicher Vorteil liegt im systematischen Risikomanagement. Durch strukturierte Risikoanalysen lassen sich potenzielle Bedrohungen frühzeitig erkennen und angemessen behandeln. Dadurch werden Sicherheitsvorfälle reduziert, was auch finanzielle Risiken mindert. Zudem sorgt ISO 27001 durch regelmäßige Audits und Überprüfungen für eine kontinuierliche Verbesserung des Sicherheitsniveaus.

Die Einführung eines ISMS kann langfristig Kosten senken, da Sicherheitsvorfälle, Betriebsunterbrechungen und Bußgelder vermieden werden. Auch die interne Organisation profitiert: Prozesse werden klar definiert, Zuständigkeiten zugewiesen und Sicherheitsmaßnahmen nachvollziehbar dokumentiert.

Dank der Harmonized Structure (HLS) ist das ISMS leicht mit bestehenden Managementsystemen wie ISO 9001 kombinierbar, was Synergien schafft. Nicht zuletzt verschafft eine ISO 27001-Zertifizierung Unternehmen einen Wettbewerbsvorteil, da sie Sicherheit und Professionalität signalisiert.

Insgesamt trägt ein ISMS nach ISO 27001 dazu bei, Informationssicherheit gezielt zu managen, Risiken zu beherrschen und das Unternehmen zukunftssicher aufzustellen.

Wie erfolgt die Zertifizierung eines ISMS ISO 27001?

Die Zertifizierung eines ISMS nach ISO 27001 erfolgt in mehreren Schritten. Zunächst bereitet sich das Unternehmen intern vor, indem es das ISMS aufbaut, notwendige Dokumentationen erstellt, eine Risikobewertung durchführt und interne Audits sowie eine Managementbewertung umsetzt.

Anschließend wird eine akkreditierte Zertifizierungsstelle ausgewählt, die den Zertifizierungsprozess durchführt. Dieser beginnt mit einem Audit in zwei Stufen: In Stufe 1 prüfen die Auditoren die Dokumentation des ISMS, um sicherzustellen, dass die formalen Anforderungen erfüllt sind. In Stufe 2 folgt das eigentliche Systemaudit, bei dem vor Ort die praktische Umsetzung und Wirksamkeit des ISMS überprüft wird. Festgestellte Abweichungen müssen behoben werden, bevor das Zertifikat erteilt wird. Das ISO 27001-Zertifikat ist drei Jahre gültig, wobei jährlich Überwachungsaudits stattfinden, um die fortlaufende Anwendung und Verbesserung des Systems sicherzustellen. Nach Ablauf der Gültigkeit ist ein vollständiges Rezertifizierungsaudit erforderlich, um das Zertifikat zu verlängern.

Lesen Sie mehr auf unserer Seite: Was ist eine ISMS ISO 27001 Zertifizierung?

Kosten eines ISMS nach ISO 27001

Die Kosten für die Einführung und den Betrieb eines Informationssicherheitsmanagementsystems nach ISO 27001 können stark variieren – je nach Unternehmensgröße, Branche, bestehender IT-Infrastruktur, interner Expertise und gewünschtem Zertifizierungsgrad. Nachfolgend eine grobe Aufschlüsselung der typischen Kostenfaktoren für für kleine bis mittelgroße Unternehmen. Große Organisationen oder Konzerne müssen mit deutlich höheren Beträgen rechnen.

Einmalkosten für die Einführung:

  • Initiale Gap-Analyse
    Ermittlung des Reifegrads/Abweichungen zur Norm, ca. 1.000 – 10.000 €
  • Beratung / externe Unterstützung
    Externe ISMS-Experten für Planung, Doku, Risikoanalyse, ca. 5.000 – 50.000 €
  • Schulungen / Awareness
    Trainings für Mitarbeiter und ISMS-Verantwortliche, ca. 500 – 5.000 €
  • Dokumentation & Tools
    Erstellung von Richtlinien, Prozessen, ggf. ISMS-Software, ca. 1.000 – 10.000 €
  • Technische Maßnahmen
    Z. B. Firewalls, Backup-Systeme, Zugangskontrollen, Kosten variieren sehr stark, ca. 1.000  bis zu 50.000 €

Laufende Betriebskosten (jährlich)

  • Personalaufwand intern
    Pflege des ISMS, Audits, Risikomanagement, Awareness etc., ca. 0,1–1 FTE je nach Größe (Ein FTE von 0,5 bedeutet, dass etwa 50 % einer Vollzeitstelle für das ISMS aufgewendet werden)
  • Interne / externe Audits
    Jährliche Überwachungsaudits durch Zertifizierer oder interne Auditoren, ca. 3.000 – 15.000 €
  • Zertifizierungskosten (alle 3 Jahre)
    Erstzertifizierung + Rezertifizierung + jährliche Überwachungsaudits, ca. 10.000 – 30.000 € (für 3 Jahre)
  • ISMS-Tool-Software (optional)
    Tools für Doku, Risikomanagement, Maßnahmenverfolgung, ca. 1.000 – 15.000 €/Jahr

Zusätzliche Kostenpunkte

Zusätzliche Faktoren, die die Kosten eines ISMS beeinflussen, umfassen die Komplexität der IT-Landschaft, die Anzahl und Standorte der Mitarbeitenden, sowie spezifische Anforderungen von Kunden oder regulatorischen Stellen. Eine komplexe IT-Infrastruktur mit verschiedenen Systemen, Netzwerken und Anwendungen erfordert möglicherweise mehr Aufwand für die Implementierung und Wartung von Sicherheitsmaßnahmen. Auch die Anzahl der Mitarbeitenden und deren geografische Verteilung kann die Kosten beeinflussen, da mehr Schulungen, spezifische Sicherheitsvorkehrungen und zusätzliche Ressourcen für Remote-Standorte notwendig sein können.

Zudem können Anforderungen von Kunden oder regulatorischen Stellen, wie etwa bei Unternehmen in kritischen Infrastrukturen (KRITIS), zusätzliche Anforderungen an die Informationssicherheit mit sich bringen, die ebenfalls die Kosten beeinflussen. Schließlich können bestehende Managementsysteme, wie beispielsweise ein bereits implementiertes ISO 9001-Qualitätsmanagementsystem, Synergieeffekte bieten, die den Aufwand für die Einführung und Pflege eines ISMS reduzieren, da viele Prozesse und Dokumentationen bereits vorhanden sind.