ISO/IEC 27001:2022
ISO 27001 einführen, zertifizieren und betreiben
Eine ISO-27001-Zertifizierung ist im Mittelstand häufig Voraussetzung für Aufträge, Versicherungsschutz und regulatorische Nachweispflichten. Wer sie sauber umsetzt, schafft gleichzeitig die Basis für NIS2, TISAX und weite Teile der DSGVO-Dokumentation.
Unverbindlich testen – keine Verpflichtung, keine automatische Vertragsbindung.
Fachlich geprüft von Dr. Stefan Spörrer, LL.M. – Wirtschaftsjurist, geprüfter Datenschutzbeauftragter und Gründer von MGMSYS · Aktualisiert: Juni 2026
Auf einen Blick
ISO/IEC 27001:2022 beschreibt in den Klauseln 4 bis 10 Aufbau und Betrieb des Informationssicherheits-Managementsystems (ISMS); Anhang A listet 93 Maßnahmen, die ISO 27002 ausgestaltet.
- Aktuelle Norm ISO/IEC 27001:2022; die Klauseln 4 bis 10 beschreiben Aufbau und Betrieb des ISMS.
- Anhang A umfasst 93 Controls: A.5 Organisatorisch (37), A.6 Personell (8), A.7 Physisch (14), A.8 Technologisch (34).
- Die 2022er-Fassung ergänzte elf neue Controls (u. a. Threat Intelligence, Cloud-Sicherheit, Datenleckschutz, sicheres Programmieren).
- Das Statement of Applicability (SoA) begründet je Control Anwendung oder Ausschluss; jeder Ausschluss muss begründet sein.
- Acht Schritte zum Zertifikat: Scope, Gap-Analyse, Risikoanalyse/-behandlung, SoA, Umsetzung, interne Audits/Managementbewertung, Stufe-1- und Stufe-2-Audit.
- Zertifikat gilt 3 Jahre mit jährlichen Überwachungsaudits; typische Projektdauer im Mittelstand 6 bis 12 Monate.
Primärquellen: ISO/IEC 27001 (iso.org)
Stand: 2026 · Überblick ohne Gewähr, ersetzt keine Rechtsberatung im Einzelfall.
Struktur
Klauseln 4 bis 10 plus 93 Controls
ISO 27001 beschreibt in den Klauseln 4 bis 10, wie das Managementsystem aufgebaut und betrieben wird. Anhang A listet 93 Maßnahmen, deren konkrete Ausgestaltung die flankierende Norm ISO 27002 beschreibt.
A.5
37 Controls
Organisatorische Maßnahmen
A.6
8 Controls
Personelle Maßnahmen
A.7
14 Controls
Physische Maßnahmen
A.8
34 Controls
Technologische Maßnahmen
Die Fassung 2022 hat elf neue Controls ergänzt. MGMSYS bringt für jeden eine hinterlegte Maßnahmenvorlage mit:
| Neuer Control (ISO/IEC 27001:2022) | Bereich |
|---|---|
| A.5.7 – Threat Intelligence | Organisatorisch |
| A.5.23 – Informationssicherheit bei Cloud-Diensten | Organisatorisch |
| A.5.30 – IKT-Bereitschaft für Business Continuity | Organisatorisch |
| A.7.4 – Physische Sicherheitsüberwachung | Physisch |
| A.8.9 – Konfigurationsmanagement | Technologisch |
| A.8.10 – Löschung von Informationen | Technologisch |
| A.8.11 – Datenmaskierung | Technologisch |
| A.8.12 – Schutz vor Datenlecks (DLP) | Technologisch |
| A.8.16 – Überwachung von Aktivitäten | Technologisch |
| A.8.23 – Webfilterung | Technologisch |
| A.8.28 – Sicheres Programmieren | Technologisch |
Abbildung
Wie MGMSYS ISO 27001 führt
| Normklausel | Modul / Funktion |
|---|---|
| Klausel 4 – Kontext | ISMS: Kontextanalyse, interessierte Parteien, Scope |
| Klausel 5 – Führung | Leitlinien, Rollen, Management-Commitment |
| Klausel 6 – Planung | Risikoregister, Risikobewertung, SoA-Generator |
| Klausel 7 – Unterstützung | Ressourcen, Schulungen, Dokumentenlenkung |
| Klausel 8 – Betrieb | Maßnahmenumsetzung, Änderungen, Vendor Risk |
| Klausel 9 – Bewertung | KPIs, Audit Management, Managementbewertung |
| Klausel 10 – Verbesserung | Korrekturmaßnahmen, KVP-Prozess |
| Anhang A.5–A.8 | Strukturiertes Control-Register mit Reifegrad |
Jede Maßnahme wird einmal eingeführt und steht über das Cross-Reporting auch für NIS2, TISAX, DSGVO-TOM und weitere Frameworks zur Verfügung.
Zertifizierungsweg
In acht Schritten zum Zertifikat
- 1
Scope definieren
Anwendungsbereich, Standorte, Prozesse, Assets.
- 2
Gap-Analyse
Status quo gegen Klauseln und Anhang A abgleichen.
- 3
Risikoanalyse und -behandlung
Assets erfassen, Bedrohungen bewerten, Behandlungsstrategie festlegen.
- 4
Statement of Applicability
Pro Control begründen, warum angewendet oder ausgeschlossen.
- 5
Maßnahmen einführen
Prozesse dokumentieren, Policies erlassen, technische Controls implementieren.
- 6
Interne Audits und Managementbewertung
Mindestens einmal vor dem Zertifizierungsaudit.
- 7
Stufe-1- und Stufe-2-Audit
Externer Prüfer bewertet Dokumentation und Wirksamkeit.
- 8
Überwachung und Rezertifizierung
Jährliche Überprüfung, vollständige Rezertifizierung nach drei Jahren.
Typische Projektdauer bis zur Erstzertifizierung im Mittelstand: 6 bis 12 Monate.
Häufige Fragen
- Müssen wir alle 93 Controls umsetzen?
Nicht zwingend. Controls dürfen ausgeschlossen werden, wenn sie im Anwendungsbereich nicht greifen. Jeder Ausschluss muss im Statement of Applicability begründet sein.
- Was ist das Statement of Applicability?
Ein Dokument, das alle Controls aus Anhang A auflistet und für jeden Control begründet, ob er angewendet wird – oder warum nicht. Zertifizierungskritisch. MGMSYS erzeugt das SoA automatisiert aus der Risikobehandlung.
- Reicht ISO 27001 für NIS2?
Als Ausgangspunkt ja, als alleinige Erfüllung nein. NIS2 ergänzt unter anderem Meldefristen gegenüber dem BSI, Registrierungspflicht und Leitungsschulung. Mehr auf der NIS2-Seite.
- Wie oft muss rezertifiziert werden?
Das Zertifikat gilt drei Jahre. Jährlich finden Überwachungsaudits statt, nach drei Jahren eine vollständige Rezertifizierung.
Zertifikat ist Ergebnis, nicht Ziel
Ein gelebtes ISMS macht das Unternehmen widerstandsfähiger – gegen Angriffe, Betriebsunterbrechungen und regulatorische Risiken. Der Testzugang ist unverbindlich – keine automatische Vertragsbindung.