ISO/27001:2022 – Überblick, Umsetzung und Kontroll-Register
Dieses Kapitel erklärt die ISO 27001:2022 kurz und pragmatisch, zeigt einen klaren Implementierungsweg für unser ISMS (Information Security Management System) und liefert ein ausfüllbares Register für alle Annex-A-Kontrollen (2022, 93 Stück).
1) Was ist ISO 27001:2022?
ISO 27001 definiert Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der Standard nutzt die High-Level-Struktur (Annex SL) und zielt auf systematisches, risikobasiertes Steuern von Sicherheitsmaßnahmen – unabhängig von Branche und Größe.
2) Pflicht-Nachweise (Dokumentierte Informationen)
Diese 14 Dokumente/Records sind für Konformität erforderlich (Kurzfassung): ISMS-Scope, IS-Policy, Risikobewertungs- und Risikobehandlungsverfahren, SoA, IS-Ziele, Personalnachweise, operative ISMS-Infos, Risikoberichte, Risikobehandlungsplan, Messungen/Metriken, Auditprogramm/-berichte, Management-Review, Nichtkonformitäten & Korrekturmaßnahmen.
3) Unser Implementierungsweg (praxisnah)
- Kontext & Scope klären: Umfeld, Stakeholder, rechtliche/vertragliche Pflichten, Geltungsbereich definieren. oaicite:3
- Führung & Governance aufsetzen: Rollen/Verantwortungen, Lenkungskreis, Policy-Rahmen. oaicite:4
- Policy-Lebenszyklus etablieren: erstellen, freigeben, veröffentlichen, bekanntmachen, pflegen. (Siehe Policy-Prozessgrafik im Wiki.) oaicite:5
- Risiken managen: Verfahren definieren, Risiken bewerten, Behandlungsoptionen wählen. oaicite:6
- SoA (Statement of Applicability): alle Annex-A-Kontrollen prüfen, Auswahl + Begründung dokumentieren (inkl. Custom Controls falls passender). oaicite:7
- Kontrollen implementieren: Prozesse/Tech/People-Maßnahmen und Nachweise (Logs, Reports, Tickets) aufsetzen. oaicite:8
- Messen & Überwachen: Ziele, KPIs/Metriken, Statusberichte. oaicite:9
- Interne Audits durchführen. oaicite:10
- Management-Review. oaicite:11
- Kontinuierlich verbessern. oaicite:12
Tipp: Haltet die Dokumentation ausreichend aber schlank – zu wenig ist auditkritisch, zu viel ist unhandlich.
oaicite:13
4) SoA-Vorlage (Markdown)
Kopieren, pro Zeile eine Kontrolle pflegen (Annex A 2022).
### Statement of Applicability (SoA) – Version: [YYYY-MM-DD]
| Control ID | Kontrollname | Anwendbar (Ja/Nein) | Begründung/Scope | Umsetzung (kurz) | Evidenz/Links | Owner | Status |
|---|---|---|---|---|---|---|---|
| A.5.1 | Richtlinien für Informationssicherheit | Ja | Gilt für gesamten ISMS-Scope | Konzernweite IS-Policy + Themenpolicies veröffentlicht | [Link] | [Name] | In Betrieb |
| A.5.2 | … | … | … | … | … | … | … |