ISO 27001 Wissen & FAQ

Praxiswissen zu ISMS, Informationssicherheit und Zertifizierung

ISO 27001 verständlich erklärt

Die ISO 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS). Sie beschreibt, wie Unternehmen Informationen systematisch schützen, Risiken steuern und Sicherheitsmaßnahmen dauerhaft verankern.

Besonders relevant ist die Norm für IT-Dienstleister, SaaS-Anbieter, Industrieunternehmen und Organisationen, die mit sensiblen Daten arbeiten oder Kundenanforderungen im Bereich Informationssicherheit erfüllen müssen.

Häufige Fragen zur DSGVO

  • Was ist die DSGVO einfach erklärt?
    Die DSGVO ist ein EU-weites Datenschutzgesetz, das regelt, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen. Ziel ist der Schutz der Privatsphäre sowie die Transparenz der Datenverarbeitung.
  • Wann brauche ich ein Verzeichnis von Verarbeitungstätigkeiten?
    Sobald ein Unternehmen personenbezogene Daten verarbeitet, ist ein Verzeichnis nach Art. 30 DSGVO erforderlich. Es dokumentiert Zwecke, Datenarten, Empfänger und Löschfristen der Verarbeitung.
  • Was ist ein AV-Vertrag?
    Ein Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch externe Dienstleister und stellt sicher, dass diese DSGVO-konform und weisungsgebunden handeln.
  • Welche Daten gelten als personenbezogen?
    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, z. B. Name, E-Mail-Adresse, IP-Adresse oder Standortdaten.
  • Wann ist ein Datenschutzbeauftragter Pflicht?
    Ein Datenschutzbeauftragter ist erforderlich, wenn regelmäßig mindestens 20 Personen personenbezogene Daten verarbeiten oder besondere Datenkategorien wie Gesundheitsdaten verarbeitet werden.
  • Welche Strafen drohen bei DSGVO-Verstößen?
    Verstöße können mit Bußgeldern von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden, zusätzlich drohen Reputationsschäden.
  • Wie lange dürfen Daten gespeichert werden?
    Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Danach müssen sie gelöscht oder anonymisiert werden (Grundsatz der Speicherbegrenzung).
  • Was sind technische und organisatorische Maßnahmen (TOMs)?
    TOMs sind Sicherheitsmaßnahmen wie Zugriffskontrollen, Verschlüsselung, Backup-Strategien und Berechtigungskonzepte zum Schutz personenbezogener Daten.
  • Wie gehe ich mit Bewerberdaten richtig um?
    Bewerberdaten dürfen nur für den Bewerbungsprozess genutzt werden und sind in der Regel spätestens nach 6 Monaten zu löschen, sofern keine Einwilligung zur längeren Speicherung vorliegt.
  • Was muss ich bei Tracking und Cookies beachten?
    Tracking ist nur mit vorheriger, aktiver Einwilligung erlaubt. Nutzer müssen informiert werden und die Einwilligung muss jederzeit widerrufbar sein.

Praxiswissen aus ISO 27001 Projekten

1. ISMS als Managementsystem, nicht als IT-Projekt

ISO 27001 ist kein reines IT-Thema, sondern ein Managementsystem. Entscheidend ist die organisatorische Verankerung in der Unternehmensführung.

2. Risikoanalyse als Steuerungsinstrument

Die Risikoanalyse dient nicht nur der Dokumentation, sondern der Priorisierung von Sicherheitsmaßnahmen und Investitionsentscheidungen.

3. Statement of Applicability (SoA)

Das SoA dokumentiert, welche Controls aus Annex A angewendet werden und warum. Es ist ein zentrales Auditdokument.

4. Rolle der Geschäftsführung

Managementverantwortung ist verpflichtend. Ohne aktive Steuerung durch die Geschäftsleitung ist ein wirksames ISMS nicht möglich.

5. Dokumentation vs. gelebte Praxis

Auditoren bewerten nicht nur Dokumente, sondern die tatsächliche Umsetzung im Tagesgeschäft.

6. Kontinuierliche Verbesserung (PDCA)

ISO 27001 basiert auf dem PDCA-Zyklus (Plan-Do-Check-Act), um Informationssicherheit kontinuierlich zu verbessern.

7. Asset Management als Grundlage

Ohne vollständige Übersicht über Informationen, Systeme und Daten kann kein wirksames Sicherheitskonzept erstellt werden.

8. Lieferanten- und Dienstleisterrisiken

Externe Dienstleister müssen in das Sicherheitskonzept einbezogen und regelmäßig bewertet werden.

9. Typische Audit-Findings

Häufige Abweichungen sind fehlende Nachweise, unvollständige Risikoanalysen oder nicht dokumentierte Prozesse.

10. Reifegrad des ISMS

ISO 27001 bewertet indirekt den Reifegrad eines Unternehmens in der Informationssicherheit – nicht nur die Existenz von Dokumenten, sondern deren Wirksamkeit.

  • Aufbau und Einführung von ISMS-Strukturen
  • ISO 27001 Auditvorbereitung und Begleitung
  • Risikoanalysen und Maßnahmenplanung
  • Erstellung von Sicherheitsrichtlinien und SoA
  • Optimierung bestehender ISMS-Systeme

Unterstützung bei ISO 27001 und Informationssicherheit

Wir unterstützen Unternehmen beim Aufbau und der Optimierung von ISMS nach ISO 27001.

Jetzt unverbindlich anfragen