ISO 27001 Kapitel 4 bis 10 erklärt
Die Anforderungen der ISO 27001 stehen in den Kapiteln 4 bis 10. Kurz zusammengefasst: Kapitel 4 (Kontext) und 5 (Führung) legen die Grundlage, 6 (Planung) befasst sich mit Risiken und Zielen, 7 (Unterstützung) mit Ressourcen und Bewusstsein, 8 (Betrieb) mit der Wirksamkeit, 9 (Bewertung) mit Messen und Auditieren und 10 (Verbesserung) mit dem Nachsteuern. Zusammen bilden sie den PDCA-Zyklus Ihres ISMS.
Kapitel 4 — Kontext der Organisation
Bestimmen Sie, was für Ihre Informationssicherheit relevant ist: interne und externe Faktoren, interessierte Parteien (Kunden, Aufsichtsbehörden) und der Geltungsbereich des ISMS. Das ist das Fundament; ein falsch abgegrenzter Geltungsbereich rächt sich im gesamten Audit.
Kapitel 5 — Führung
Die Geschäftsführung muss sichtbar eingebunden sein: Richtlinien festlegen, Rollen und Verantwortlichkeiten zuweisen und Ressourcen bereitstellen. Informationssicherheit, die nur "Sache der IT" ist, erfüllt dieses Kapitel nicht.
Kapitel 6 — Planung
Das Herzstück der Norm: die Risikobeurteilung und -behandlung, plus messbare Ziele. Hier entsteht auch das Statement of Applicability, das Risiken mit Annex-A-Maßnahmen verknüpft.
Kapitel 7 — Unterstützung
Sorgen Sie für Ressourcen, kompetente Mitarbeitende, Sensibilisierung, Kommunikation und dokumentierte Informationen. Sensibilisierung ist keine einmalige Schulung, sondern ein fortlaufender Prozess.
Kapitel 8 — Betrieb
Die Maßnahmen laufen in der Praxis: Prozesse werden ausgeführt und Risikobehandlungen angewendet. Das ist das "Do", in dem der Auditor die meisten Nachweise sucht.
Kapitel 9 — Bewertung der Leistung
Messen, überwachen, internes Audit und Managementbewertung. Hier weisen Sie nach, dass Sie kontrollieren, ob es funktioniert — und dieses Kapitel kommt in jedem Audit stark zur Sprache.
Kapitel 10 — Verbesserung
Abweichungen korrigieren, Ursachen beseitigen und das ISMS kontinuierlich verbessern. Ohne nachweisbare Nachverfolgung von Feststellungen ist der Zyklus nicht geschlossen.
ISO/IEC 27001 — offizielle Normseite (offizielle Quelle).
Häufig gestellte Fragen
Kurze, direkte Antworten — geschrieben für Menschen und für KI-Suchfunktionen.
Die Kapitel 1 bis 3 enthalten den Anwendungsbereich, Normverweise und Begriffe; das sind keine Anforderungen. Die eigentlichen, auditierbaren Anforderungen beginnen bei Kapitel 4 (Kontext) und reichen bis Kapitel 10 (Verbesserung). Deshalb sprechen Auditoren von 'den Anforderungen der Kapitel 4 bis 10'.
Die Kapitel 4 bis 10 beschreiben die Anforderungen an das Managementsystem (wie Sie die Informationssicherheit steuern und verbessern). Annex A ist eine Liste von 93 konkreten Maßnahmen, aus denen Sie auf Basis Ihrer Risiken auswählen. Die Kapitel bilden das System; Annex A liefert die Bausteine.
Kein Kapitel steht für sich allein, aber Kapitel 6 (Risiken und SoA), 8 (Wirksamkeit) und 9 (internes Audit und Managementbewertung) erhalten oft die meiste Aufmerksamkeit. Dort weisen Sie nach, dass das System risikogesteuert ist, in der Praxis funktioniert sowie bewertet und nachgesteuert wird.
Möchten Sie wissen, ob Sie audit-ready sind?
Vereinbaren Sie einen unverbindlichen Audit-Scan und wissen Sie innerhalb eines Gesprächs, wo Sie stehen und was der nächste Schritt ist.
