Glossary term
ISO 27001
Also: ISO/IEC 27001, Information Security Management System (ISMS)
Internationaler Standard für Informationssicherheits-Management-Systeme. Aktuelle Fassung ISO/IEC 27001:2022. Zertifizierbar durch akkreditierte Stellen. Kernrahmen für ISMS-Aufbau, Risikobehandlung und kontinuierliche Verbesserung.
ISO 27001 definiert Anforderungen an Aufbau, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS. Anhang A listet 93 Kontrollen in vier Themen: Organisatorische, Personenbezogene, Physische und Technologische Kontrollen.
Zertifizierung erfolgt durch akkreditierte Zertifizierungsstellen, Geltungsdauer 3 Jahre mit Überwachungs-Audits jährlich. Re-Zertifizierung im dritten Jahr.
Verhältnis zu NIS2/DORA: ISO 27001 ist eine starke Grundlage und deckt viele Mindestmaßnahmen ab. Aber: NIS2 und DORA verlangen zusätzlich explizit Lieferkettensicherheit, konkrete Meldefristen, persönliche Geschäftsleitungs-Verantwortung und sektor-spezifische Pflichten. ISO 27001 ist Hilfe, kein Ersatz.
Related terms
SOC 2 Type 2
Prüfbericht eines US-Wirtschaftsprüfers nach AICPA-Standard SSAE 18, der die Wirksamkeit der Kontrol…
NIS2
EU-Richtlinie 2022/2555 zur Netz- und Informationssicherheit. Löst NIS1 ab, erweitert den Anwendungs…
ISO 27002
Begleitstandard zu ISO 27001, der die 93 Kontrollen aus Anhang A inhaltlich ausarbeitet. Nicht zerti…
ICT Third-Party Risk
Sammelbegriff für Risiken aus dem Einsatz externer ICT-Lieferanten: Cloud-Provider, SaaS-Anbieter, M…
ICT-Konzentrationsrisiko
Risiko aus der Abhängigkeit von wenigen oder einzelnen ICT-Drittanbietern. DORA Art. 29 verlangt von…
IGA
Software-Kategorie für Identitäts-Governance: Lifecycle-Management, Rollenmodell, Berechtigungs-Reze…
AI Act Konformitätsbewertung
Verfahren zur Feststellung, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Act erfüllt, b…
AI Act Risikoklassen
Vier-stufige Klassifikation nach EU AI Act: verboten (Art. 5), Hochrisiko (Anhang I/III), begrenztes…