ISO/IEC 27001:2022 – Struktur, Pflichtdokumente und die Rolle von Anhang A

Die ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Wer sich mit dem Aufbau oder der Zertifizierung eines ISMS beschäftigt, stößt schnell auf die Frage: Was ist eigentlich verpflichtend – und was nicht?

Kapitel 1-3: der formale Rahmen

Die ersten drei Kapitel der ISO/IEC 27001:2022 bilden den formalen und begrifflichen Einstieg in die Norm:

  • Kapitel 1 beschreibt den Anwendungsbereich der Norm.
  • Kapitel 2 enthält normative Verweise auf verwandte Standards.
  • Kapitel 3 liefert Definitionen und Begriffe, die für das Verständnis der Norm essenziell sind.
Diese Abschnitte sind wichtig für die Einordnung, enthalten aber keine prüfungsrelevanten Anforderungen.

Kapitel 4–10: Das Herzstück des ISMS

Die Kapitel 4 bis 10 bilden den verpflichtenden Kern der ISO/IEC 27001. Hier wird beschrieben, wie ein ISMS aufgebaut, betrieben und kontinuierlich verbessert wird:

  • Kapitel 4: Kontext der Organisation
  • Kapitel 5: Führung und Verantwortlichkeiten
  • Kapitel 6: Planung – inklusive Risikomanagement
  • Kapitel 7: Unterstützung – Ressourcen, Kompetenzen, Kommunikation
  • Kapitel 8: Betrieb – Umsetzung der Maßnahmen
  • Kapitel 9: Bewertung der Leistung – Audits und Managementbewertung
  • Kapitel 10: Verbesserung – Korrekturmaßnahmen und kontinuierliche Optimierung
Diese Kapitel sind verpflichtend für jede Zertifizierung und bilden die Grundlage für alle weiteren Maßnahmen.

Anhang A: Die 93 Controls

Der sogenannte Annex A enthält 93 konkrete Sicherheitsmaßnahmen (Controls), die Organisationen zur Behandlung identifizierter Risiken einsetzen können. Sie sind in vier Themenbereiche gegliedert:

  • A.5: Organisatorische Maßnahmen
  • A.6: Personenbezogene Maßnahmen
  • A.7: Physische Maßnahmen
  • A.8: Technologische Maßnahmen

Nicht alle Controls sind verpflichtend – aber sie müssen bewertet werden. Die Auswahl erfolgt risikobasiert, und jede Entscheidung (ob ein Control angewendet oder ausgeschlossen wird) muss dokumentiert und begründet werden.

Statement of Applicability (SoA)

Die Erklärung zur Anwendbarkeit (SoA) ist ein zentrales Dokument der ISO/IEC 27001. Sie dokumentiert, welche Controls aus Anhang A angewendet werden, welche als nicht anwendbar eingestuft wurden – und warum, und wie die ausgewählten Controls umgesetzt wurden.

Die SoA ist verpflichtend gemäß Klausel 6.1.3 der Norm. Selbst wenn ein Unternehmen keinen besonderen Schutzbedarf hat, muss es eine SoA erstellen und die Controls aus Anhang A bewerten.

Zusammengefasst lässt sich festhalten: die ISO ist klar strukturiert

  • Kapitel 4–10 definieren den Aufbau und Betrieb des ISMS.
  • Anhang A liefert die Maßnahmen zur Risikobehandlung.
  • Die SoA verbindet beides und sorgt für Transparenz und Nachvollziehbarkeit.

Auch Organisationen mit geringem Schutzbedarf müssen sich mit Anhang A auseinandersetzen – denn Informationssicherheit beginnt nicht erst bei Hochsicherheitsdaten, sondern bei der systematischen Bewertung und Dokumentation