ISO/IEC 27001
ISO/IEC 27001 (Informationssicherheits-Managementsystem)
Internationaler Standard für ein Informationssicherheits-Managementsystem (ISMS) — Zertifizierung, die die Reife eines Unternehmens in der IT-Sicherheit nachweist.
Was ist ISO/IEC 27001?
ISO/IEC 27001 ist ein internationaler Standard der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC), der die Anforderungen an ein Information Security Management System (ISMS) — ein Informationssicherheits-Managementsystem — definiert. Die aktuelle Version ISO/IEC 27001:2022 enthält in Annex A 93 Sicherheitskontrollen, aufgeteilt in 4 Themen (organisatorische, personelle, physische, technologische).
Die Zertifizierung nach ISO 27001 ist freiwillig, wird aber im B2B-Bereich de facto zur Pflicht — die meisten Enterprise-Kunden fordern sie bei der Auswahl von SaaS-Anbietern. Der Zertifizierungsprozess besteht aus:
- Lückenanalyse gegenüber den Normanforderungen
- ISMS-Implementierung — Richtlinien, Verfahren, Kontrollen
- Internes Audit
- Zertifizierungsaudit durch eine akkreditierte Stelle (in Deutschland z. B. TÜV SÜD, TÜV Rheinland, Bureau Veritas, DQS)
- Rezertifizierung alle 3 Jahre, Überwachungsaudit jedes Jahr
Wichtige Bereiche des Annex A 2022:
- A.5 Organisatorische Kontrollen — Richtlinien, Rollen, Lieferanten
- A.6 Personelle Kontrollen — Überprüfung, Disziplin
- A.7 Physische Kontrollen — Zugang zu Gebäuden, Rechenzentren
- A.8 Technologische Kontrollen — Kryptografie, Protokollierung, Zugänge
Wann wird sie eingesetzt
ISO 27001 ist relevant für:
- SaaS-Anbieter — Kunden verlangen sie
- Finanzinstitute und Fintechs
- Öffentliche Verwaltung — bei bestimmten Projekten verpflichtend
- Gesundheitswesen und kritische Infrastruktur
Siehe Seite Datenschutz.
Verwandte Begriffe
- DSGVO — ISO 27001 hilft erheblich bei der DSGVO-Compliance. Siehe /de/glossar/gdpr.
- RBAC — technische Kontrolle aus Annex A. Siehe /de/glossar/rbac.
- SSO — häufige technologische Kontrolle. Siehe /de/glossar/sso.
In Modulario
Modulario implementiert ISO 27001-Kontrollen in seinen Cloud-Operationen — Datenverschlüsselung im Ruhezustand und bei der Übertragung, RBAC, Audit-Protokollierung, Incident-Response-Prozess. Details zu Zertifizierungen und Unterauftragsverarbeitern finden Sie auf /bezpecnost.
Als SaaS-Anbieter stellt Modulario Kunden SOC 2- und ISO 27001-Reporting bereit, um Compliance-Audits zu erleichtern. Kunden erhalten eine Unterauftragsverarbeiter-Liste, Penetrationstests und Dokumentation zu Sicherheitsvorfällen — alles ist im Kundenportal verfügbar.
In Deutschland sind auch weitere relevante Zertifizierungen verbreitet — ISO/IEC 27701 (Erweiterung um Datenschutz), ISO 9001 (Qualität) und TISAX (Automotive). Moderne SaaS-Unternehmen akkumulieren oft mehrere Zertifikate, um bei Enterprise- und öffentlichen B2B-Ausschreibungen zu bestehen.
Verwandte Begriffe
GDPR
EU-Datenschutzverordnung, gültig ab 25. Mai 2018 — definiert Rechte betroffener Personen und Pflichten der Verantwortlichen.
AI Act
Die erste umfassende EU-Verordnung zur Regulierung der Entwicklung, des Einsatzes und der Nutzung künstlicher Intelligenz — risikobasierter Ansatz mit vier Stufen.
RBAC
Autorisierungsmodell, bei dem Berechtigungen über Rollen und nicht einzelnen Nutzern zugewiesen werden — einfachere Verwaltung und Auditierbarkeit.
SSO
Authentifizierungsmechanismus, der einem Nutzer ermöglicht, sich einmal anzumelden und Zugang zu mehreren Anwendungen zu erhalten — ohne wiederholte Passworteingabe.
ReBAC
Autorisierungsmodell basierend auf Beziehungen zwischen Objekten — der Zugriff leitet sich davon ab, in welchen Teams und Projekten ein Nutzer ist.
Implementieren Sie ISO/IEC 27001 in Ihrem Unternehmen?
Modulario deckt die meisten B2B-Prozesse modular ab — setzen Sie nur das ein, was Sie jetzt brauchen, und wachsen Sie schrittweise. Buchen Sie eine kostenlose Beratung.
Beratung buchen