Was ist ISO/IEC 27001?
ISO/IEC 27001 ist eine internationale Norm der International Organization for Standardization und der International Electrotechnical Commission, die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) definiert. Anders als technische Einzelstandards beschreibt sie kein bestimmtes Sicherheitsprodukt, sondern einen systematischen Managementansatz: Wie identifiziert eine Organisation Risiken für ihre Informationswerte, wie legt sie Schutzmaßnahmen fest, wie überprüft sie deren Wirksamkeit und wie verbessert sie den Prozess fortlaufend.
Die Norm ist branchen- und größenneutral anwendbar und richtet sich an Unternehmen jeder Art, die vertrauliche Informationen verarbeiten – von IT-Dienstleistern über Kanzleien bis zu Scandienstleistern, die im Auftrag Dritter Akten mit Mandanten-, Personal- oder Patientendaten digitalisieren.
Wie funktioniert der PDCA-Zyklus in der Praxis?
Das ISMS nach ISO 27001 folgt dem Managementansatz Plan-Do-Check-Act (PDCA), der einen kontinuierlichen Verbesserungsprozess statt einer einmaligen Maßnahme vorsieht:
- Plan: Informationswerte identifizieren, Risiken bewerten, Sicherheitsziele und Maßnahmen festlegen (Risikobehandlungsplan).
- Do: Festgelegte Maßnahmen umsetzen, Verantwortlichkeiten zuweisen, Mitarbeitende schulen.
- Check: Wirksamkeit der Maßnahmen durch interne Audits, Kennzahlen und Managementbewertungen überprüfen.
- Act: Abweichungen und Schwachstellen beheben, das ISMS an neue Risiken und Erkenntnisse anpassen.
Dieser Zyklus wiederholt sich fortlaufend, wodurch das Sicherheitsniveau nicht statisch bleibt, sondern regelmäßig an neue Bedrohungslagen angepasst wird – ein Unterschied zu einmaligen Sicherheitschecks oder Selbstauskünften.
Was regelt Anhang A der Norm?
Anhang A der ISO 27001 enthält einen Katalog von Referenzmaßnahmen (Controls), aus dem Organisationen abhängig von ihrer Risikobewertung die relevanten auswählen und umsetzen. Er ist keine erschöpfende Pflichtliste, sondern ein Baukasten, der typischerweise Themenfelder wie diese abdeckt:
- Organisatorische Maßnahmen: Sicherheitsrichtlinien, Rollen und Verantwortlichkeiten, Lieferantenbeziehungen und Vertragsgestaltung mit Dienstleistern.
- Personenbezogene Maßnahmen: Schulung, Vertraulichkeitsvereinbarungen, Verhalten bei Beendigung eines Arbeitsverhältnisses.
- Physische Maßnahmen: Zutrittskontrolle zu Gebäuden und Serverräumen, Sicherung von Arbeitsplätzen, Entsorgung von Datenträgern.
- Technologische Maßnahmen: Zugriffskontrolle, Verschlüsselung, Protokollierung, Schutz vor Schadsoftware, Sicherung und Wiederherstellung von Daten.
Für einen Scandienstleister sind insbesondere die physischen Maßnahmen (gesicherte Scanräume, Zutrittsprotokolle) und die Lieferantenmaßnahmen (Auftragsverarbeitungsverträge mit Subunternehmern) praxisrelevant, weil hier physische Originalakten und digitale Kopien gleichermaßen geschützt werden müssen.
Wie läuft die Zertifizierung ab?
Eine ISO-27001-Zertifizierung wird nicht von der ISO selbst vergeben, sondern von unabhängigen, akkreditierten Zertifizierungsstellen durchgeführt. Der Ablauf umfasst typischerweise:
- Voraudit (optional): Erste Einschätzung des Reifegrads des ISMS.
- Stufe-1-Audit: Prüfung der Dokumentation – ist das ISMS formal vollständig beschrieben?
- Stufe-2-Audit: Prüfung der tatsächlichen Umsetzung vor Ort, inklusive Stichproben und Interviews.
- Zertifikatserteilung: Bei erfolgreicher Prüfung wird das Zertifikat für in der Regel drei Jahre ausgestellt.
- Überwachungsaudits: Jährliche Kontrollen während der Gültigkeitsdauer, die prüfen, ob das ISMS weiter wirksam betrieben wird.
- Rezertifizierung: Nach Ablauf der drei Jahre ist ein vollständiges Audit für die Verlängerung nötig.
Zertifizierungsstellen sind in Deutschland bei der Deutschen Akkreditierungsstelle (DAkkS) gelistet; nur akkreditierte Stellen stellen international anerkannte Zertifikate aus.
Wie unterscheidet sich ISO 27001 vom BSI IT-Grundschutz?
Der BSI IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik ist das deutsche Pendant zur ISO 27001 und verfolgt denselben Grundgedanken eines systematischen ISMS, arbeitet aber mit deutlich konkreteren, kleinteiligeren Bausteinen und Umsetzungshinweisen. Während ISO 27001 international einheitlich, aber vergleichsweise offen formuliert ist, gibt IT-Grundschutz detailliertere Handlungsanweisungen vor, die insbesondere für deutsche Behörden verbindlich oder empfohlen sind. Eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz verbindet beide Ansätze und wird ebenfalls von der DAkkS akkreditiert vergeben.
Warum ist ISO 27001 bei der Wahl eines Scan- oder DMS-Anbieters relevant?
Beim Outsourcing der Aktendigitalisierung verlassen Originalunterlagen und in der Folge digitale Kopien den eigenen Verantwortungsbereich. Eine ISO-27001-Zertifizierung des beauftragten Dienstleisters ist ein extern geprüfter Beleg dafür, dass Zugriffskontrollen, physische Sicherung, Mitarbeiterschulung und Umgang mit Vorfällen nicht nur zugesichert, sondern regelmäßig auditiert werden. Das ist besonders relevant beim Scannen von Mandantenakten, Personalakten und Patientenakten, wo hoher Schutzbedarf gilt.
In Ausschreibungen von Behörden und Verwaltungseinrichtungen im Rahmen von Digitalisierungsprojekten wird eine ISO-27001-Zertifizierung des Anbieters häufig als Eignungskriterium vorausgesetzt. Wichtig für die Einordnung: Die Zertifizierung ist kein automatischer Nachweis der DSGVO-Konformität im Sinne von Art. 32 – sie deckt einen anderen, breiteren Rahmen der Informationssicherheit ab –, gilt aber als starkes Indiz für ein wirksames Sicherheitsniveau bei der Auswahl technischer und organisatorischer Maßnahmen.
Worauf sollten Auftraggeber bei der Prüfung eines Zertifikats achten, und wie fügt sich ISO 27001 in andere Normen ein?
Ein Zertifikat allein sagt wenig aus, wenn Geltungsbereich und Aktualität nicht geprüft werden. Bei der Bewertung eines potenziellen Scan- oder DMS-Dienstleisters lohnt sich ein Blick auf folgende Punkte:
- Geltungsbereich (Scope): Umfasst das Zertifikat tatsächlich den relevanten Standort und die relevanten Prozesse, etwa den konkreten Scanbetrieb, oder nur einen Teilbereich des Unternehmens?
- Ausstellende Stelle: Ist die Zertifizierungsstelle bei einer nationalen Akkreditierungsstelle wie der DAkkS gelistet?
- Gültigkeitsdauer: Liegt das letzte Überwachungsaudit innerhalb der üblichen Jahresfrist, oder ist das Zertifikat formal zwar noch gültig, aber das Audit überfällig?
- Ergänzende Nachweise: Liegt zusätzlich ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor, der die konkrete Verarbeitung der Akten regelt?
Ein Zertifikat mit engem Geltungsbereich, das etwa nur die Verwaltung, nicht aber den eigentlichen Scan- und Lagerbetrieb abdeckt, hat für die Auswahl eines Aktendienstleisters wenig Aussagekraft. Auftraggeber sollten sich den genauen Scope nennen lassen, statt sich auf das Vorhandensein eines Zertifikats allein zu verlassen.
ISO 27001 steht zudem nicht isoliert, sondern ergänzt andere Normen und Vorschriften, die beim Scannen und Archivieren von Akten greifen. Die Verfahrensdokumentation nach GoBD beschreibt den fachlichen Ablauf der Digitalisierung, während das ISMS nach ISO 27001 den übergeordneten Rahmen für den Schutz aller Informationswerte im Unternehmen bildet – inklusive, aber nicht beschränkt auf die gescannten Akten. Bei besonders beweiswerterhaltenden Anforderungen, etwa im Behördenumfeld, kommt zusätzlich die technische Richtlinie BSI TR-RESISCAN ins Spiel, die ein geprüftes Scanverfahren beschreibt und sich ebenfalls auf ein funktionierendes ISMS stützen kann. Für die physische Vernichtung von Papieroriginalen nach dem Scan ist wiederum die DIN 66399 maßgeblich. In der Summe ergibt sich ein Zusammenspiel mehrerer Normen, bei dem ISO 27001 die organisatorische Klammer für Informationssicherheit im Gesamtunternehmen bildet.
Für kleinere Dienstleister, die eine vollständige Zertifizierung als zu aufwendig einschätzen, kann eine Orientierung an den Controls aus Anhang A auch ohne formales Zertifikat sinnvoll sein – etwa als interner Maßnahmenkatalog für Zutrittskontrolle im Scanbetrieb oder Verschlüsselung bei der Datenübertragung. Das ersetzt zwar nicht den externen Prüfnachweis, verbessert aber die tatsächliche Sicherheitslage und erleichtert eine spätere Zertifizierung, sollte sie etwa durch eine Ausschreibung erforderlich werden.
Fragen zur Zertifizierung unserer eigenen Prozesse beantworten wir über die Kontaktseite.