Skip to main content

ISO/27001:2022 – Überblick, Umsetzung und Kontroll-Register

Dieses Kapitel erklärt die ISO 27001:2022 kurz und pragmatisch, zeigt einen klaren Implementierungsweg für unser ISMS (Information Security Management System) und liefert ein ausfüllbares Register für alle Annex-A-Kontrollen (2022, 93 Stück).


1) Was ist ISO 27001:2022?

ISO 27001 definiert Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der Standard nutzt die High-Level-Struktur (Annex SL) und zielt auf systematisches, risikobasiertes Steuern von Sicherheitsmaßnahmen – unabhängig von Branche und Größe.


2) Pflicht-Nachweise (Dokumentierte Informationen)

Diese 14 Dokumente/Records sind für Konformität erforderlich (Kurzfassung): ISMS-Scope, IS-Policy, Risiko­bewertungs- und Risiko­behandlungs­verfahren, SoA, IS-Ziele, Personal­nachweise, operative ISMS-Infos, Risiko­berichte, Risiko­behandlungs­plan, Messungen/Metriken, Audit­programm/-berichte, Management-Review, Nichtkonformitäten & Korrekturmaßnahmen.


3) Unser Implementierungsweg (praxisnah)

  1. Kontext & Scope klären: Umfeld, Stakeholder, rechtliche/vertragliche Pflichten, Geltungsbereich definieren.
    oaicite:3
  2. Führung & Governance aufsetzen: Rollen/Verantwortungen, Lenkungskreis, Policy-Rahmen.
    oaicite:4
  3. Policy-Lebenszyklus etablieren: erstellen, freigeben, veröffentlichen, bekanntmachen, pflegen. (Siehe Policy-Prozessgrafik im Wiki.)
    oaicite:5
  4. Risiken managen: Verfahren definieren, Risiken bewerten, Behandlungs­optionen wählen.
    oaicite:6
  5. SoA (Statement of Applicability): alle Annex-A-Kontrollen prüfen, Auswahl + Begründung dokumentieren (inkl. Custom Controls falls passender).
    oaicite:7
  6. Kontrollen implementieren: Prozesse/Tech/People-Maßnahmen und Nachweise (Logs, Reports, Tickets) aufsetzen.
    oaicite:8
  7. Messen & Überwachen: Ziele, KPIs/Metriken, Statusberichte.
    oaicite:9
  8. Interne Audits durchführen.
    oaicite:10
  9. Management-Review.
    oaicite:11
  10. Kontinuierlich verbessern.
    oaicite:12

Tipp: Haltet die Dokumentation ausreichend aber schlank – zu wenig ist auditkritisch, zu viel ist unhandlich.

oaicite:13


4) SoA-Vorlage (Markdown)

Kopieren, pro Zeile eine Kontrolle pflegen (Annex A 2022).

### Statement of Applicability (SoA) – Version: [YYYY-MM-DD]

| Control ID | Kontrollname | Anwendbar (Ja/Nein) | Begründung/Scope | Umsetzung (kurz) | Evidenz/Links | Owner | Status |
|---|---|---|---|---|---|---|---|
| A.5.1 | Richtlinien für Informationssicherheit | Ja | Gilt für gesamten ISMS-Scope | Konzernweite IS-Policy + Themenpolicies veröffentlicht | [Link] | [Name] | In Betrieb |
| A.5.2 ||||||||