ISO/IEC 27001
Der Standard für Informationssicherheits-Managementsysteme (ISMS)
ISO/IEC 27001 definiert Anforderungen an ein ISMS: Risiken identifizieren, Maßnahmen ableiten, Wirksamkeit prüfen und kontinuierlich verbessern. Entscheidend ist nicht Papier – sondern gelebte, nachweisbare Steuerung.
Was Auditoren typischerweise erwarten
Scope & Kontext
Geltungsbereich, Schnittstellen, externe/ interne Themen und Stakeholder-Anforderungen.
Risikomanagement
Methodik, Risikoakzeptanz, Treatment-Plan, Nachweise für Umsetzung und Wirksamkeit.
Kontrollen & Evidenzen
Annex-A-Kontrollen, Policies, Prozesse, technische Nachweise, Monitoring, Schulungen.
Wichtig: Ein ISMS ist nur so gut wie seine Nachweise. Ohne belastbare Evidenzen wird ein Audit schnell „teuer“ – in Zeit und in Findings.