+49 152 03083 103 monka@vialevo.de

Die ISO 27001 Normfamilie

von | Apr. 11, 2025 | Allgemein, IT-Sicherheit

ISO 27001 Ergänzende Standards

Überblick

Die ISO 27001 Normfamilie ist ein vielschichtiger Rahmen für das Management von Informationssicherheit, der weit über die reine Einführung eines Informationssicherheitsmanagementsystems (ISMS) hinausgeht. Sie bietet Unternehmen eine wissenschaftlich fundierte, praxisorientierte und kontinuierlich weiterentwickelte Grundlage, um Risiken zu minimieren, regulatorische Anforderungen zu erfüllen und einen nachhaltigen Sicherheitskulturwandel zu etablieren. Dieser Beitrag geht auf die mit der ISO 27001 verbundenen normativen, allgemeinen und Branchenspezifischen Standards ein.

 

Dieser Beitrag ist Teil einer Reihe von aufeinander aufbauenden und vernetzten Beiträgen - ausgehend von einer generellen "ISO 27001-Checkliste".
iso 27001 mindmap

In dieser Checkliste sind zu allen Themen der ISO 27001 die Fragen und Hinweise aufgeführt, die zur Umsetzung der Norm wesentlich sind. Der folgende Beitrag gibt Antworten auf die spezifien Aspekte aus der Checkliste.

Um wieder zur Checkliste zurück zu kehren, klicken Sie einfach auf das ICON

 

Meta-Ebene der ISO 27001 Normfamilie

Beginnen wir mit einer Übersicht, denn eine Grafik sagt bekanntlich mehr als 1000 Worte.

 

iso 27001 normfamilie

 

Die ISO 27000-Serie ist nicht isoliert zu betrachten, sondern als Bestandteil eines holistischen Sicherheitsansatzes.

Holistisch? Was heißt das?

Das bedeutet, dass Sie Managementsysteme, kontrollbasierte Standards und erweiterte Richtlinien, die in Unternehmen je nach Bedarf kombiniert werden können, miteinander vereint. Die Normfamilie folgt somit einer iterativen Methodik, die nicht nur reaktive Schutzmaßnahmen, sondern auch proaktive Ansätze wie Sicherheitskultur, Risikoantizipation und strategische Sicherheitsplanung integriert.

Hier die grundsätzliche Philosophie der ISO 27000-Familie. Sie umfasst:

  • Einen Risikobasierter Ansatz: Jede Entscheidung basiert auf der Identifikation, Bewertung und Behandlung spezifischer Informationsrisiken.
  • Die Möglichkeit zur Flexibilität und Anpassbarkeit: Die Normen sind bewusst generisch gestaltet, um auf alle Branchen, Größen und Geschäftsmodelle anwendbar zu sein.
  • Nachhaltigkeit: Der Schwerpunkt liegt auf der kontinuierlichen Verbesserung der Sicherheitsmaßnahmen (PDCA-Zyklus).

 

Der Kern: ISO/IEC 27001

Bisher wurde immer die ausschließlich die ISO 27001 betrachtet. Sie ist der zentrale Standard und definiert die Anforderungen an ein ISMS. Im Mittelpunkt steht aber die Integration von 93 Sicherheitsmaßnahmen (Anhang A, aktualisiert 2022).

Im Anhang sind diese Maßnahmen allerdings nur sehr knapp dargestellt. Sie unterteilen sind in 4 thematische Gruppen. Eine ausführliche Darstellung findet man daher in der ISO 27002 (s. nächstes Kapitel). Diese Gruppen und Maßnahmen sind allerdings zertifizierungsrelevant:

  • Organisatorische Maßnahmen: wie z. B. Sicherheitsrichtlinien, Verantwortlichkeiten, Schulungen und Sicherheitsbewusstsein.
  • Personenbezogene Sicherheitsmaßnahmen: wie der Umgang mit Zugriffsrechten, Insider-Bedrohungen, Rollenbeschreibungen.
  • Technische Maßnahmen: wie z. B. Netzwerksicherheit, Datenverschlüsselung, Endpoint-Schutz.
  • Physische Maßnahmen: wie der Schutz von Serverräumen, Zugangskontrollsystemen und Notfallinfrastruktur.

Daher gehört für jeden, der die Norm umsetzten möchte, die ISO 27002 quasi mit dazu. Aber auch die folgenden Erweiterung sollten nach Möglichkeit hinzugezogen weden.

 

Erweiterungen und vertiefende Normen

Um alle Anforderungn der ISO 27001 zu bewältigen, gibt es besagte, unterstützende Elemente. Man könnte auch sagen, die ISO 27001 ist Teil eines Ökosystems von spezialisierten Standards. Diese bieten tiefgehende Erläuterungen und parktische Hinweise in spezifischen Bereichen der Informationssicherheit. Hier eine Übersicht:

Strategische Erweiterungen

  • ISO/IEC 27002: Ein Leitfaden für die Umsetzung der 93 Sicherheitskontrollen. Diese Norm bietet nicht nur „Was zu tun ist“, sondern auch „Wie es effektiv umgesetzt wird“. Sie dient als operativer Leitfaden für Sicherheitsteams.
  • ISO/IEC 27003: Diese Norm beschreibt die strategischen und projektorientierten Schritte zur Einführung eines ISMS. Sie geht auf Zeitpläne, Ressourcenplanung und Projektstrukturen ein.
  • ISO/IEC 27004: Messung der Wirksamkeit. Diese Erweiterung definiert, wie Unternehmen die Effektivität ihres ISMS überwachen und messen können. Dabei wird der Fokus auf Metriken und Indikatoren gelegt, die zeigen, wie gut Sicherheitsmaßnahmen greifen.
  • ISO/IEC 27005: Risikomanagement wird hier bis ins Detail spezifiziert. Unternehmen können damit ein wissenschaftlich fundiertes, wiederholbares System zur Bewertung von Bedrohungen und Schwachstellen schaffen.

Branchenspezifische Erweiterungen

  • ISO/IEC 27017 und ISO/IEC 27018: Diese Standards erweitern die Sicherheitsanforderungen für Cloud-Dienste und den Schutz personenbezogener Daten in der Cloud.
  • ISO/IEC 27019: Fokussiert sich auf die Energiebranche und bietet branchenspezifische Kontrollen für kritische Infrastrukturen.
  • ISO/IEC 27031: Dies ist eine wichtige ergänzende Norm für ein Business Continuity Management, die bei der Planung und Umsetzung von Notfall- und Wiederherstellungsstrategien unterstützt. Sie stellt Praktiken zur Verfügung, die zur Gewährleistung der Informationskontinuität anzuwenden sind

Datenschutz-Erweiterung:

  • ISO/IEC 27701: Mit der wachsenden Bedeutung von Datenschutzgesetzen wie der DSGVO hat die Normfamilie mit ISO 27701 eine Erweiterung für Datenschutz-Managementsysteme (PIMS) eingeführt. Diese Norm integriert Datenschutzaspekte direkt in das ISMS. Es ist allerdings kein normativer Standard.

 

Das Zusammenspiel der Normen

Die Normen der ISO 27000-Familie stehen in einer engen Wechselwirkung zueinander. Unternehmen können damit ein modulares System aufbauen, das je nach Anforderungen die relevanten Normen kombiniert. Dabei stellt die ISO 27001 das Fundament. Sie ist der zentrale Standard und die Basis, auf der weitere spezialisierte Normen aufsetzen.
So entstehen Synergien mit anderen ISO-Standards: ISO 27001 lässt sich hervorragend mit Standards wie ISO 9001 (Qualitätsmanagement) oder ISO 22301 (Business Continuity) integrieren, um ein umfassendes integriertes Managementsystem (IMS) zu schaffen.

Hinweis: Verwechseln Sie nicht die ISO 27031 mit der ISO 22301. ISO 22301 behandelt die Anforderungen für die Einrichtung, Implementierung, den Betrieb, die Kontrolle und Verbesserung eines Business Continuity Management Systems (BCMS) und deckt alle Aspekte eines Geschäftsbetriebs ab, während ISO 27031 die Praktiken behandelt.

 

Wissenschaftliche Fundierung und Evolution

Die gesamte Normfamilie hat noch einen weiteren Vorteil: Sie wird regelmäßig aktualisiert, um beispielsweise neue Bedrohungen wie KI-basierte Angriffe oder Ransomware zu berücksichtigen. Weiterhin werden Fortschritte in Technologien (z. B. Quantenkryptografie) integriert. Und ganz wichtig: Es wird kontinuierlich Feedback aus der Praxis eingebaut, um Sicherheitsansätze weiter zu optimieren.

 

Schauen Sie sich gerne unsere Musterlösungen zur ISO 27001 im Detail an,

mit der Sie die Norm vollständig implementieren können.

 

ISO 27001 Verfahrensanweisungen
ISO 27001-Haus Prozesse_Verfahren
Dr. Michael Monka ist externer Lead Auditor des TÜV Rheinland für die ISO 27001 und KRITIS.

Für weitere Informationen ...

1 + 8 =