HomeLeistungenWissenBlogKontakt
ISO 27001

Welche Anforderungen stellt ISO 27001?

ISO 27001 stellt konkrete Anforderungen an Führung, Risikoanalyse, Maßnahmen und kontinuierliche Verbesserung. Dieser Artikel erklärt alle Kapitel 4–10 und Anhang A mit Praxisbeispielen.

⏱ 8 Min. Lesezeit · Aktualisiert: Juni 2026 · APASEC Consulting

Die Anforderungen der ISO/IEC 27001:2022 sind in den normativen Hauptkapiteln 4 bis 10 sowie dem normativen Anhang A definiert. Unternehmen, die eine Zertifizierung anstreben, müssen alle Anforderungen der Kapitel 4–10 erfüllen — ohne Ausnahme. Aus dem Anhang A wählen sie die für sie anwendbaren Controls und dokumentieren diese im Statement of Applicability. Verstöße gegen Kapitel 4–10 führen zu Major Nichtkonformitäten und verhindern die Zertifizierung. Ein fundiertes Verständnis aller Anforderungen ist Voraussetzung für ein erfolgreiches ISMS-Projekt.

Kapitel 4: Kontext der Organisation

Kapitel 4 verlangt, dass die Organisation ihren Kontext systematisch analysiert:

  • 4.1 Interne und externe Faktoren: Welche Faktoren beeinflussen die Informationssicherheit? (z.B. Regulierung, Technologietrends, Unternehmenskultur)
  • 4.2 Interessierte Parteien: Wer hat Anforderungen an das ISMS? (Kunden, Behörden, Mitarbeiter, Lieferanten) — und welche Anforderungen sind das?
  • 4.3 Anwendungsbereich: Welche Standorte, Geschäftsprozesse und IT-Systeme sind Teil des ISMS? Der Scope muss dokumentiert sein.
  • 4.4 ISMS: Die Organisation muss ein ISMS nach ISO 27001 einführen, implementieren, aufrechterhalten und kontinuierlich verbessern.

Kapitel 5: Führung

Kapitel 5 macht die Geschäftsführung persönlich verantwortlich:

  • 5.1 Leadership und Engagement: Die Leitung muss das ISMS aktiv unterstützen, Ressourcen bereitstellen und die Integration in Geschäftsprozesse sicherstellen.
  • 5.2 Informationssicherheitspolitik: Eine dokumentierte, genehmigte und kommunizierte Richtlinie der Leitung mit klaren Zielen.
  • 5.3 Rollen, Verantwortlichkeiten, Befugnisse: Wer ist für das ISMS verantwortlich? Typisch: ISB oder CISO.

Praxishinweis: Auditoren prüfen, ob die Geschäftsführung das ISMS wirklich kennt und aktiv unterstützt — oder ob es ein reines IT-Projekt ist.

Kapitel 6: Planung

Kapitel 6 ist das Herzstück des ISMS:

  • 6.1.1 Maßnahmen zum Umgang mit Risiken und Chancen: Allgemeine Risikoprozesse des ISMS
  • 6.1.2 Informationssicherheits-Risikobeurteilung: Methodik definieren, Risiken identifizieren, analysieren und bewerten — mindestens einmal jährlich und bei wesentlichen Änderungen
  • 6.1.3 Informationssicherheits-Risikobehandlung: Maßnahmen aus Anhang A oder eigene Controls. Statement of Applicability erstellen.
  • 6.2 Informationssicherheitsziele: Messbare Ziele, Verantwortliche, Ressourcen, Zeitplan
  • 6.3 Planung von Änderungen: Strukturierter Änderungsmanagementprozess

Kapitel 7: Unterstützung

Kapitel 7 stellt sicher, dass das ISMS die notwendigen Ressourcen hat:

  • 7.1 Ressourcen: Personal, Technologie, Budget
  • 7.2 Kompetenz: Qualifikationsnachweise für sicherheitsrelevante Rollen
  • 7.3 Bewusstsein: Alle Mitarbeiter kennen die Richtlinie und ihren Beitrag zur Informationssicherheit
  • 7.4 Kommunikation: Interne und externe Kommunikation zu Informationssicherheitsthemen
  • 7.5 Dokumentierte Information: Pflichtdokumente erstellen, aktuell halten und kontrolliert verteilen

Kapitel 8–10: Betrieb, Bewertung und Verbesserung

Kapitel 8 (Betrieb) verlangt, dass Risikobeurteilung und -behandlung auch operativ umgesetzt werden.

Kapitel 9 (Bewertung der Leistung) fordert:

  • Kennzahlen und Metriken (9.1)
  • Internes Audit mindestens einmal jährlich (9.2)
  • Management Review mit dokumentiertem Protokoll (9.3)

Kapitel 10 (Verbesserung) verlangt:

  • Nichtkonformitäten dokumentieren, Ursache analysieren, Korrekturmaßnahmen einleiten (10.1)
  • Kontinuierliche Verbesserung des ISMS (10.2)

Anhang A: Die 93 Controls

Anhang A ist normativ und enthält 93 Controls in 4 Bereichen. Die Anwendung ist nicht verpflichtend — wohl aber die Dokumentation im SoA, ob und warum Controls ausgeschlossen werden.

BereichAnzahl ControlsBeispiele
Organisatorisch37Threat Intelligence, Lieferkette, Incident Management
Personenbezogen8Überprüfung vor Einstellung, Schulung, Disziplinarverfahren
Physisch14Perimeterschutz, Clear Desk, Gerätentsorgung
Technologisch34Zugangskontrolle, Kryptographie, SIEM, Patch Management

Checkliste: Welche Anforderungen stellt ISO 27001?

  • Alle Kapitel 4–10 vollständig analysiert
  • Gap-Analyse gegen alle Kapitelanforderungen
  • Informationssicherheitspolitik erstellt
  • Risikobeurteilungsmethodik dokumentiert
  • Statement of Applicability mit allen 93 Controls
  • Informationssicherheitsziele messbar formuliert
  • Schulungsnachweise für alle sicherheitsrelevanten Rollen
  • Internes Audit geplant und durchgeführt
  • Management Review protokolliert
  • Nichtkonformitäten-Prozess etabliert

Häufige Fragen (FAQ)

Nein. Sie müssen für jeden der 93 Controls entscheiden, ob er anwendbar ist, und dies im SoA dokumentieren. Nicht anwendbare Controls müssen begründet werden. Nicht alle Controls sind für jedes Unternehmen relevant.

Eine Major Nichtkonformität bedeutet, dass eine Kernanforderung der Norm nicht erfüllt ist oder das ISMS fundamental nicht funktioniert. Sie verhindert die Zertifizierung. Minor NCs sind kleinere Abweichungen, die innerhalb eines Zeitraums zu beheben sind.

Dokumentierte Information umfasst alle Dokumente und Aufzeichnungen, die das ISMS erfordert. ISO 27001 unterscheidet Pflichtdokumente (müssen vorhanden sein) von Pflichtaufzeichnungen (müssen geführt werden). Unternehmen können weitere Dokumente hinzufügen.

Verwandte Artikel

ISO 27001 Was ist ISO 27001? ISMS ISMS einführen Audit Security Audit NIS2 NIS2 und ISO 27001 Risikomanagement Risikomanagement

Verwandte Begriffe

ISO 27001 Kapitel ISO 27001 Anhang A ISMS Anforderungen ISO 27001 Kontrollen SoA Statement of Applicability ISO 27001 Dokumente ISMS Pflichten ISO 27001 Controls ISMS Kapitel 6 Risikobeurteilung ISO