Ist ISO 27001 Pflicht?

ISO 27001 ist grundsätzlich freiwillig. Allerdings wird sie durch regulatorische Anforderungen wie NIS2, KRITIS-Verordnung oder branchenspezifische Standards wie TISAX faktisch zur Pflicht. Auch viele Geschäftspartner verlangen eine Zertifizierung.

Wie lange ist ein ISO 27001 Zertifikat gültig?

Das Zertifikat ist drei Jahre gültig. In den Zwischenjahren finden jährliche Überwachungsaudits statt. Nach drei Jahren ist ein vollständiges Re-Zertifizierungsaudit erforderlich.

Kann ich ISO 27001 ohne externe Berater umsetzen?

Grundsätzlich ja, wenn internes Know-how vorhanden ist. In der Praxis nutzen die meisten Unternehmen zumindest punktuelle externe Unterstützung. Eine gute ISMS-Software mit integrierten Vorlagen kann den Beratungsbedarf reduzieren.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

Die ISO 27001 definiert die Anforderungen an ein ISMS und ist die Norm, nach der zertifiziert wird. Die ISO 27002 ist ein Leitfaden, der die Controls des Annex A im Detail beschreibt und Umsetzungshinweise gibt.

Kann man gleichzeitig ISO 27001 und BSI IT-Grundschutz umsetzen?

Ja. Der BSI IT-Grundschutz kann als Methodik zur Umsetzung der ISO 27001 dienen. Die Zertifizierung heißt dann „ISO 27001 auf Basis von IT-Grundschutz".

ISO 27001 einfach erklärt: Anforderungen, Ablauf und Kosten

Die ISO/IEC 27001 ist der weltweit führende Standard für Informationssicherheitsmanagementsysteme. Sie gibt Unternehmen einen klaren Rahmen vor, um Informationssicherheit systematisch zu planen, umzusetzen und zu verbessern.

Was ist ISO 27001?

Die ISO/IEC 27001 ist eine internationale Norm, die Anforderungen an Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS definiert. Die aktuelle Version ist die ISO/IEC 27001:2022.

Die Norm ist bewusst allgemein gehalten, damit sie branchenunabhängig und für Unternehmen jeder Größe anwendbar ist.

Die Struktur der ISO 27001

Klauseln 4–10: Das Managementsystem

Klausel 4 — Kontext der Organisation: Interne/externe Faktoren, Erwartungen interessierter Parteien, Geltungsbereich.

Klausel 5 — Führung: Informationssicherheitspolitik, Rollen und Verantwortlichkeiten. ISMS ist Chefsache.

Klausel 6 — Planung: Risikomanagement, Risikoakzeptanzkriterien, Risikobehandlungsplan.

Klausel 7 — Unterstützung: Ressourcen, Kompetenzen, Sensibilisierung, Dokumentation.

Klausel 8 — Betrieb: Umsetzung der Maßnahmen, Risikobewertungen.

Klausel 9 — Bewertung der Leistung: Überwachung, interne Audits, Management-Reviews.

Klausel 10 — Verbesserung: Nichtkonformitäten behandeln, Korrekturmaßnahmen, kontinuierliche Weiterentwicklung.

Annex A: Die 93 Maßnahmen

Kategorie	Beschreibung
Organisatorische Maßnahmen (37)	Richtlinien, Identitätsmanagement, Zugriffskontrolle, Incident Management, Business Continuity
Personelle Maßnahmen (8)	Screening, Arbeitsvertragsbedingungen, Schulung, Disziplinarverfahren
Physische Maßnahmen (14)	Sicherheitsperimeter, Zutrittskontrollen, Schutz vor Umweltbedrohungen
Technologische Maßnahmen (34)	Endgerätesicherheit, Kryptografie, Netzwerksicherheit, Schwachstellenmanagement

ISO 27001 Zertifizierung: Ablauf in 5 Phasen

Phase 1: Vorbereitung (3–6 Monate)

Geltungsbereich definieren, Gap-Analyse, ISMS aufbauen, Dokumentation vorbereiten.

Phase 2: Interne Audits und Management-Review (1–2 Monate)

Mindestens ein internes Audit und ein Management-Review sind Pflicht vor der Zertifizierung.

Phase 3: Stage 1 Audit — Dokumentenprüfung (1–2 Tage)

Der externe Auditor prüft die ISMS-Dokumentation auf Vollständigkeit und Konformität.

Phase 4: Stage 2 Audit — Vor-Ort-Prüfung (3–5 Tage)

Der Auditor prüft vor Ort, ob das ISMS wie dokumentiert funktioniert.

Phase 5: Zertifizierung und Überwachung

Das ISO-27001-Zertifikat ist drei Jahre gültig. Jährliche Überwachungsaudits, nach drei Jahren Re-Zertifizierung.

Was kostet eine ISO 27001 Zertifizierung?

Kostenblock	KMU (50–100 MA)	Mittelstand (100–500 MA)	Großunternehmen (500+ MA)
ISMS-Software (jährlich)	5.000–15.000 €	15.000–40.000 €	40.000–100.000+ €
Externe Beratung	15.000–40.000 €	40.000–80.000 €	80.000–200.000+ €
Zertifizierungsaudit	5.000–10.000 €	10.000–20.000 €	20.000–50.000 €
Gesamtkosten 1. Jahr	45.000–105.000 €	105.000–240.000 €	240.000–680.000+ €

Detaillierte Kostenaufstellungen finden Sie in Was kostet ein ISMS?.

Häufige Fragen zur ISO 27001

Sie planen eine ISO 27001 Zertifizierung?

Finden Sie die ISMS-Software, die Ihren Weg zur Zertifizierung beschleunigt.

Zum ISMS-Software-Vergleich

Top-Vergleiche

Weitere Vergleiche