ISO 27001 Alle Klauseln und Anhänge im Überblick

Die ISO/IEC 27001 definiert ein umfassendes System zur Steuerung der Informationssicherheit in Unternehmen. Ein zentraler Bestandteil sind die Controls aus Anhang A der Norm. Diese Sicherheitsmaßnahmen helfen Organisationen, Risiken systematisch zu identifizieren, zu reduzieren und ein wirksames Informationssicherheitsmanagementsystem (ISMS) aufzubauen.

In der aktuellen Version der ISO 27001 sind die Controls in vier Kategorien strukturiert: organisatorische, personelle, physische und technologische Maßnahmen. Insgesamt umfasst der Standard 93 Controls, die Unternehmen je nach Risikobewertung umsetzen müssen.

Auf dieser Seite finden Sie einen vollständigen Überblick über alle ISO 27001 Controls sowie die wichtigsten Anhänge der Norm. Zu jedem Control gelangen Sie über einen direkten Link zu einer ausführlichen Erklärung und praktischen Umsetzungshinweisen.

Allgemeine Informationen

Klauseln

Anhänge

ISO 27001 Projektkosten und Aufwände berechnen

Der tatsächliche Aufwand hängt stark von Unternehmensgröße, IT-Komplexität und vorhandenen Sicherheitsmaßnahmen ab. Mit unserem ISO-27001-Kostenrechner können Sie eine erste realistische Aufwandsschätzung für Ihr Unternehmen erhalten.

Berechnen Sie hier den ISO 27001-Projektaufwand
Projektrechner

Kostenlose Erstberatung zur ISO 27001

Sie möchten wissen, wie ISO 27001 in Ihrem Unternehmen umgesetzt werden kann?

Wir analysieren Ihre Ausgangssituation und zeigen Ihnen den realistischen Projektaufwand.

Erstberatung vereinbaren

FAQ zu ISO 27001 Kosten und Aufwände

Wie lange dauert es, sich nach ISO 27001 zertifizieren zu lassen?

Wie lange dauert der ISO 27001-Zertifizierungsprozess?

Die Dauer hängt von der Größe und Komplexität Ihres Unternehmens ab. In der Regel dauert der gesamte Prozess zwischen 6 und 12 Monaten. Mit der Unterstützung spezialisierter Tools oder Plattformen kann dieser Zeitraum – je nach Ausgangslage – auf etwa 3 Monate verkürzt werden.

Die intensive Vorbereitungsphase, auch Ramp-Up-Phase genannt, ist dabei entscheidend. In dieser Zeit wird eine Gap-Analyse durchgeführt, um bestehende Sicherheitslücken zu identifizieren und die größten Risiken innerhalb weniger Wochen zu reduzieren.

Typischerweise umfasst der Weg zur Zertifizierung folgende Schritte:

  1. Definition des Anwendungsbereichs (Scope)
  2. Aufbau des Informationssicherheits-Managementsystems (ISMS)
  3. Ermittlung und Bewertung von Risiken
  4. Schutz der relevanten Informationswerte
  5. Durchführung und Bestehen des ISO 27001-Audits
  6. Laufende Pflege und Verbesserung des ISMS

Tipp: Beginnen Sie frühzeitig – besonders, wenn Ihr Unternehmen wächst. Ein ISMS lässt sich deutlich einfacher parallel zur Unternehmensentwicklung aufbauen und skalieren.

Was sind die Zertifizierungsschritte? Wie genau lasse ich mich mach ISO 27001 zertifizieren?

Wie läuft die Implementierung von ISO 27001 ab?

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 erfolgt in mehreren Schritten. Ziel ist es, Informationsrisiken systematisch zu erkennen, zu bewerten und durch geeignete Maßnahmen zu minimieren.

1. Lückenanalyse & Planung

Zu Beginn wird eine Gap-Analyse durchgeführt, um festzustellen, welche Anforderungen der ISO 27001 bereits erfüllt sind und wo Nachholbedarf besteht.
Gemeinsam mit unseren Experten wird daraus ein Implementierungsplan entwickelt, der auch den Geltungsbereich (Scope) Ihres ISMS definiert.

2. Aufbau des ISMS

Das ISMS umfasst Richtlinien, Prozesse und Kontrollen, die die Informationssicherheit im Unternehmen steuern. Es bildet die Grundlage für ein strukturiertes und nachweisbares Sicherheitsmanagement.

3. Risikoanalyse & Risikobehandlung

Im nächsten Schritt werden potenzielle Risiken identifiziert – z. B. durch menschliche Fehler, technische Schwachstellen oder externe Angriffe.
Die Risiken werden bewertet (nach Auswirkung und Eintrittswahrscheinlichkeit) und anschließend durch geeignete Maßnahmen vermieden, reduziert, übertragen oder akzeptiert.
Die Ergebnisse fließen in einen Risikobehandlungsplan ein.

4. Schutz von Informationswerten

Alle relevanten Informationswerte – etwa Daten, Systeme oder Personal – werden dokumentiert und nach ihrer Kritikalität bewertet. So können passende Sicherheitskontrollen festgelegt und Verantwortlichkeiten eindeutig zugewiesen werden.

5. Dokumentation

Alle Richtlinien, Verfahren und Zuständigkeiten müssen dokumentiert werden.
Wichtige Dokumente sind z. B.:

  • Scope-Dokument (Geltungsbereich des ISMS)
  • Leitlinie zur Informationssicherheit
  • Methoden zur Risikoanalyse
  • Erklärung zur Anwendbarkeit (Statement of Applicability, SoA)

Diese Dokumentation ist Voraussetzung für das Audit und den späteren Nachweis der Zertifizierung.

6. Interne & externe Audits

Bevor das eigentliche Zertifizierungsaudit startet, sollte ein internes Audit durchgeführt werden, um eventuelle Schwachstellen frühzeitig zu erkennen.
Im Anschluss folgt das Zertifizierungsaudit durch eine akkreditierte Prüfgesellschaft (z. B. DQS), die das ISMS bewertet und – bei erfolgreichem Bestehen – das ISO 27001-Zertifikat vergibt.

7. Kontinuierliche Verbesserung

Nach der Zertifizierung beginnt die eigentliche Arbeit:
Ihr ISMS muss laufend gepflegt und verbessert werden, um neue Risiken, gesetzliche Änderungen und technologische Entwicklungen zu berücksichtigen.
Dazu gehören:

  • jährliche Überwachungsaudits
  • ein Re-Zertifizierungsaudit alle drei Jahre
  • regelmäßige Risikobewertungen und Schulungen

So bleibt Ihr Unternehmen langfristig sicher und konform mit der ISO 27001.

Wie lange dauert es, sich auf ein externes ISO 27001-Audit vorzubereiten?

Wie lange dauert es, bis man ISO 27001-zertifiziert ist?

Die Dauer bis zur ISO 27001-Zertifizierung hängt stark von der Größe und Struktur Ihres Unternehmens ab.
Mit einer guten Vorbereitung und klaren Prozessen können Sie bereits in 8 Wochen prüfungsreif sein. Wenn Sie jedoch alle Dokumente manuell erstellen und das ISMS von Grund auf aufbauen, sollten Sie mit mindestens 4 Monaten rechnen.

Richtwerte für die Vorbereitungsdauer:
  • 1–20 Mitarbeitende: ca. 3 Monate
  • 20–50 Mitarbeitende: ca. 3–5 Monate
  • 50–200 Mitarbeitende: ca. 5–8 Monate
  • über 200 Mitarbeitende: ca. 8–20 Monate
Faktoren, die die Dauer beeinflussen:
  • Anzahl und Erfahrung der Personen, die am Projekt mitarbeiten
  • Zeitaufwand und Priorisierung innerhalb des Unternehmens
  • Unterstützung durch die Geschäftsführung
  • Komplexität der IT- und Organisationsstruktur
  • Verfügbarkeit der Zertifizierungsstelle für das externe Audit

Da jedes Unternehmen unterschiedlich ist, können unvorhergesehene Herausforderungen den Zeitplan verlängern. Eine gute Planung, klare Zuständigkeiten und externe Unterstützung helfen, den Prozess effizient und planbar zu gestalten.

Wie hoch sind die Kosten für eine ISO 27001-Zertifizierung?

Was kostet eine ISO 27001-Zertifizierung?

Die Gesamtkosten für eine ISO 27001-Zertifizierung liegen in der Regel zwischen 10.000 € und 48.000 €.
Sie setzen sich aus drei Hauptphasen zusammen: Implementierung, interne Prüfung und Zertifizierung.

1. Interne Kosten

Dazu gehören Personal- und Beratungskosten, Management- und Projektaufwand, Mitarbeiterschulungen sowie eventuell Softwarelösungen zur Unterstützung beim Aufbau des ISMS.

2. Externe Kosten

Hierzu zählen vor allem die Auditorengebühren der Zertifizierungsstelle. Diese liegen im Durchschnitt bei etwa 1.000 € pro Tag, abhängig von Umfang, Dauer und Art des Audits (remote oder vor Ort).

3. Implementierungskosten (Vorzertifizierung)

In dieser Phase werden unter anderem Risikobewertung, Gap-Analyse und die Entwicklung des ISMS durchgeführt.

Hinweis:
Die tatsächlichen Kosten variieren je nach Unternehmensgröße, Branche und Komplexität der Prozesse. Eine genaue Kalkulation lässt sich am besten im Rahmen einer individuellen Beratung erstellen.