Was ISO/IEC 27001 leistet
ISO 27001 beschreibt ein Managementsystem fuer Informationssicherheit. Es verbindet Kontext, Fuehrung, Planung, Betrieb, Bewertung und Verbesserung mit einem risikobasierten Kontrollmodell.
Bausteine eines wirksamen ISMS
Scope und Risiken
Geltungsbereich, Assets, Bedrohungen, Schwachstellen, Auswirkungen und Risikoentscheidungen dokumentieren.
Statement of Applicability
Anwendbare Controls, Ausschluesse, Begruendungen und Umsetzungsstatus nachvollziehbar pflegen.
Evidence Management
Policies, Reviews, Tickets, Reports und technische Nachweise zentral mit Controls verbinden.
ISO 27001 und regulatorische Anforderungen
Viele Anforderungen aus NIS2, DORA, DSGVO und Cyber Security Compliance koennen auf ISO-Controls gemappt werden. Dadurch entsteht ein gemeinsames Nachweismodell statt paralleler Tabellen.
Zertifizierung vorbereiten
Audit Readiness entsteht durch wiederkehrende Reviews, interne Audits, Management Review, gepflegte Risikoentscheidungen und belastbare Nachweise. Zertifizierung ist ein Ergebnis des Managementsystems, nicht sein Ersatz.
Spaetere SaaS-Produkte
- ISO 27001 Control Library.
- Statement of Applicability Generator.
- Evidence Hub mit Ownern und Fristen.
- Audit Readiness Dashboard.
- Crosswalk zu NIS2, DORA und DSGVO.
FAQ
Was ist ein ISMS?
Ein ISMS ist ein Managementsystem, mit dem Informationssicherheitsrisiken identifiziert, bewertet, behandelt und kontinuierlich ueberwacht werden.
Was ist das Statement of Applicability?
Es dokumentiert, welche Controls angewendet werden, warum sie relevant sind und wie sie umgesetzt sind.
Warum ist Evidence Management wichtig?
Audits und Kundenpruefungen verlangen nachvollziehbare Nachweise, nicht nur beschriebene Prozesse.