Lexikon · Recht & Normen
ISO 27001
ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert die Anforderungen, nach denen sich Organisationen zertifizieren lassen können.
Ausführliche Erklärung
ISO 27001 beschreibt, wie ein ISMS aufgebaut, betrieben und kontinuierlich verbessert wird. Der Hauptteil (Clauses 4-10) enthält die verpflichtenden Managementanforderungen, Annex A die 93 möglichen Controls.
Eine Zertifizierung durch eine akkreditierte Stelle weist gegenüber Kunden und Partnern ein angemessenes Sicherheitsniveau nach und erfüllt zugleich weitgehend die Anforderungen von NIS2.
Verwandte Begriffe
ISMS
Ein ISMS ist ein systematischer Rahmen aus Richtlinien, Prozessen und Maßnahmen, mit dem eine Organisation ihre Informationssicherheit steuert, überwacht und kontinuierlich verbessert.
Annex A
Annex A der ISO 27001:2022 ist der Katalog von 93 Sicherheitscontrols in vier Themengruppen (organisatorisch, personell, physisch, technologisch), aus denen sich Organisationen risikobasiert bedienen.
SoA (Anwendbarkeitserklärung)
Die Anwendbarkeitserklärung (SoA) dokumentiert für jedes Annex-A-Control der ISO 27001, ob es anwendbar ist, wie es umgesetzt wird und warum nicht anwendbare Controls ausgeschlossen wurden.
ISO 27001 in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.