Kostenlose Beratung!
Recht & Compliance

ISO 27001

ISO/IEC 27001 ist die international anerkannte Norm für Managementsysteme für Informationssicherheit (ISMS). Sie definiert Anforderungen an Prozesse, Verantwortlichkeiten und technische Maßnahmen, mit denen Organisationen vertrauliche Informationen systematisch schützen, und wird von akkreditierten Zertifizierungsstellen geprüft und bestätigt.

Was ist ISO/IEC 27001?

ISO/IEC 27001 ist eine internationale Norm der International Organization for Standardization und der International Electrotechnical Commission, die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) definiert. Anders als technische Einzelstandards beschreibt sie kein bestimmtes Sicherheitsprodukt, sondern einen systematischen Managementansatz: Wie identifiziert eine Organisation Risiken für ihre Informationswerte, wie legt sie Schutzmaßnahmen fest, wie überprüft sie deren Wirksamkeit und wie verbessert sie den Prozess fortlaufend.

Die Norm ist branchen- und größenneutral anwendbar und richtet sich an Unternehmen jeder Art, die vertrauliche Informationen verarbeiten – von IT-Dienstleistern über Kanzleien bis zu Scandienstleistern, die im Auftrag Dritter Akten mit Mandanten-, Personal- oder Patientendaten digitalisieren.

Wie funktioniert der PDCA-Zyklus in der Praxis?

Das ISMS nach ISO 27001 folgt dem Managementansatz Plan-Do-Check-Act (PDCA), der einen kontinuierlichen Verbesserungsprozess statt einer einmaligen Maßnahme vorsieht:

  1. Plan: Informationswerte identifizieren, Risiken bewerten, Sicherheitsziele und Maßnahmen festlegen (Risikobehandlungsplan).
  2. Do: Festgelegte Maßnahmen umsetzen, Verantwortlichkeiten zuweisen, Mitarbeitende schulen.
  3. Check: Wirksamkeit der Maßnahmen durch interne Audits, Kennzahlen und Managementbewertungen überprüfen.
  4. Act: Abweichungen und Schwachstellen beheben, das ISMS an neue Risiken und Erkenntnisse anpassen.

Dieser Zyklus wiederholt sich fortlaufend, wodurch das Sicherheitsniveau nicht statisch bleibt, sondern regelmäßig an neue Bedrohungslagen angepasst wird – ein Unterschied zu einmaligen Sicherheitschecks oder Selbstauskünften.

Was regelt Anhang A der Norm?

Anhang A der ISO 27001 enthält einen Katalog von Referenzmaßnahmen (Controls), aus dem Organisationen abhängig von ihrer Risikobewertung die relevanten auswählen und umsetzen. Er ist keine erschöpfende Pflichtliste, sondern ein Baukasten, der typischerweise Themenfelder wie diese abdeckt:

  • Organisatorische Maßnahmen: Sicherheitsrichtlinien, Rollen und Verantwortlichkeiten, Lieferantenbeziehungen und Vertragsgestaltung mit Dienstleistern.
  • Personenbezogene Maßnahmen: Schulung, Vertraulichkeitsvereinbarungen, Verhalten bei Beendigung eines Arbeitsverhältnisses.
  • Physische Maßnahmen: Zutrittskontrolle zu Gebäuden und Serverräumen, Sicherung von Arbeitsplätzen, Entsorgung von Datenträgern.
  • Technologische Maßnahmen: Zugriffskontrolle, Verschlüsselung, Protokollierung, Schutz vor Schadsoftware, Sicherung und Wiederherstellung von Daten.

Für einen Scandienstleister sind insbesondere die physischen Maßnahmen (gesicherte Scanräume, Zutrittsprotokolle) und die Lieferantenmaßnahmen (Auftragsverarbeitungsverträge mit Subunternehmern) praxisrelevant, weil hier physische Originalakten und digitale Kopien gleichermaßen geschützt werden müssen.

Wie läuft die Zertifizierung ab?

Eine ISO-27001-Zertifizierung wird nicht von der ISO selbst vergeben, sondern von unabhängigen, akkreditierten Zertifizierungsstellen durchgeführt. Der Ablauf umfasst typischerweise:

  1. Voraudit (optional): Erste Einschätzung des Reifegrads des ISMS.
  2. Stufe-1-Audit: Prüfung der Dokumentation – ist das ISMS formal vollständig beschrieben?
  3. Stufe-2-Audit: Prüfung der tatsächlichen Umsetzung vor Ort, inklusive Stichproben und Interviews.
  4. Zertifikatserteilung: Bei erfolgreicher Prüfung wird das Zertifikat für in der Regel drei Jahre ausgestellt.
  5. Überwachungsaudits: Jährliche Kontrollen während der Gültigkeitsdauer, die prüfen, ob das ISMS weiter wirksam betrieben wird.
  6. Rezertifizierung: Nach Ablauf der drei Jahre ist ein vollständiges Audit für die Verlängerung nötig.

Zertifizierungsstellen sind in Deutschland bei der Deutschen Akkreditierungsstelle (DAkkS) gelistet; nur akkreditierte Stellen stellen international anerkannte Zertifikate aus.

Wie unterscheidet sich ISO 27001 vom BSI IT-Grundschutz?

Der BSI IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik ist das deutsche Pendant zur ISO 27001 und verfolgt denselben Grundgedanken eines systematischen ISMS, arbeitet aber mit deutlich konkreteren, kleinteiligeren Bausteinen und Umsetzungshinweisen. Während ISO 27001 international einheitlich, aber vergleichsweise offen formuliert ist, gibt IT-Grundschutz detailliertere Handlungsanweisungen vor, die insbesondere für deutsche Behörden verbindlich oder empfohlen sind. Eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz verbindet beide Ansätze und wird ebenfalls von der DAkkS akkreditiert vergeben.

Warum ist ISO 27001 bei der Wahl eines Scan- oder DMS-Anbieters relevant?

Beim Outsourcing der Aktendigitalisierung verlassen Originalunterlagen und in der Folge digitale Kopien den eigenen Verantwortungsbereich. Eine ISO-27001-Zertifizierung des beauftragten Dienstleisters ist ein extern geprüfter Beleg dafür, dass Zugriffskontrollen, physische Sicherung, Mitarbeiterschulung und Umgang mit Vorfällen nicht nur zugesichert, sondern regelmäßig auditiert werden. Das ist besonders relevant beim Scannen von Mandantenakten, Personalakten und Patientenakten, wo hoher Schutzbedarf gilt.

In Ausschreibungen von Behörden und Verwaltungseinrichtungen im Rahmen von Digitalisierungsprojekten wird eine ISO-27001-Zertifizierung des Anbieters häufig als Eignungskriterium vorausgesetzt. Wichtig für die Einordnung: Die Zertifizierung ist kein automatischer Nachweis der DSGVO-Konformität im Sinne von Art. 32 – sie deckt einen anderen, breiteren Rahmen der Informationssicherheit ab –, gilt aber als starkes Indiz für ein wirksames Sicherheitsniveau bei der Auswahl technischer und organisatorischer Maßnahmen.

Worauf sollten Auftraggeber bei der Prüfung eines Zertifikats achten, und wie fügt sich ISO 27001 in andere Normen ein?

Ein Zertifikat allein sagt wenig aus, wenn Geltungsbereich und Aktualität nicht geprüft werden. Bei der Bewertung eines potenziellen Scan- oder DMS-Dienstleisters lohnt sich ein Blick auf folgende Punkte:

  1. Geltungsbereich (Scope): Umfasst das Zertifikat tatsächlich den relevanten Standort und die relevanten Prozesse, etwa den konkreten Scanbetrieb, oder nur einen Teilbereich des Unternehmens?
  2. Ausstellende Stelle: Ist die Zertifizierungsstelle bei einer nationalen Akkreditierungsstelle wie der DAkkS gelistet?
  3. Gültigkeitsdauer: Liegt das letzte Überwachungsaudit innerhalb der üblichen Jahresfrist, oder ist das Zertifikat formal zwar noch gültig, aber das Audit überfällig?
  4. Ergänzende Nachweise: Liegt zusätzlich ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor, der die konkrete Verarbeitung der Akten regelt?

Ein Zertifikat mit engem Geltungsbereich, das etwa nur die Verwaltung, nicht aber den eigentlichen Scan- und Lagerbetrieb abdeckt, hat für die Auswahl eines Aktendienstleisters wenig Aussagekraft. Auftraggeber sollten sich den genauen Scope nennen lassen, statt sich auf das Vorhandensein eines Zertifikats allein zu verlassen.

ISO 27001 steht zudem nicht isoliert, sondern ergänzt andere Normen und Vorschriften, die beim Scannen und Archivieren von Akten greifen. Die Verfahrensdokumentation nach GoBD beschreibt den fachlichen Ablauf der Digitalisierung, während das ISMS nach ISO 27001 den übergeordneten Rahmen für den Schutz aller Informationswerte im Unternehmen bildet – inklusive, aber nicht beschränkt auf die gescannten Akten. Bei besonders beweiswerterhaltenden Anforderungen, etwa im Behördenumfeld, kommt zusätzlich die technische Richtlinie BSI TR-RESISCAN ins Spiel, die ein geprüftes Scanverfahren beschreibt und sich ebenfalls auf ein funktionierendes ISMS stützen kann. Für die physische Vernichtung von Papieroriginalen nach dem Scan ist wiederum die DIN 66399 maßgeblich. In der Summe ergibt sich ein Zusammenspiel mehrerer Normen, bei dem ISO 27001 die organisatorische Klammer für Informationssicherheit im Gesamtunternehmen bildet.

Für kleinere Dienstleister, die eine vollständige Zertifizierung als zu aufwendig einschätzen, kann eine Orientierung an den Controls aus Anhang A auch ohne formales Zertifikat sinnvoll sein – etwa als interner Maßnahmenkatalog für Zutrittskontrolle im Scanbetrieb oder Verschlüsselung bei der Datenübertragung. Das ersetzt zwar nicht den externen Prüfnachweis, verbessert aber die tatsächliche Sicherheitslage und erleichtert eine spätere Zertifizierung, sollte sie etwa durch eine Ausschreibung erforderlich werden.

Fragen zur Zertifizierung unserer eigenen Prozesse beantworten wir über die Kontaktseite.

Häufige Fragen zu ISO 27001

Ist eine ISO-27001-Zertifizierung Pflicht für Scandienstleister?+

Gesetzlich vorgeschrieben ist sie nicht. In Ausschreibungen von Behörden, Kliniken und größeren Kanzleien wird sie aber häufig als Auswahlkriterium oder Mindestanforderung gefordert, weil sie ein extern geprüftes Sicherheitsniveau nachweist.

Ersetzt eine ISO-27001-Zertifizierung die DSGVO-Konformität?+

Nein. Die Zertifizierung bestätigt ein wirksames Informationssicherheits-Managementsystem, ist aber kein rechtsverbindlicher Nachweis der DSGVO-Konformität. Sie liefert jedoch ein starkes Indiz dafür, dass die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO systematisch umgesetzt werden.

Wie lange ist ein ISO-27001-Zertifikat gültig?+

Ein Zertifikat gilt in der Regel drei Jahre. In diesem Zeitraum finden jährliche Überwachungsaudits statt, die prüfen, ob das ISMS weiterhin wirksam betrieben wird. Nach Ablauf ist eine Rezertifizierung mit vollständigem Audit nötig.

Was ist der Unterschied zwischen ISO 27001 und BSI IT-Grundschutz?+

ISO 27001 ist eine internationale Norm mit relativ offenem Rahmen für die Umsetzung. BSI IT-Grundschutz ist das deutsche Pendant des Bundesamts für Sicherheit in der Informationstechnik mit konkreteren, kleinteiligeren Bausteinen und Maßnahmenkatalogen. Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist in Deutschland ebenfalls möglich.

Woran erkenne ich, ob ein Zertifikat echt ist?+

Seriöse Zertifizierungsstellen sind bei einer nationalen Akkreditierungsstelle gelistet, in Deutschland bei der DAkkS. Das Zertifikat sollte Geltungsbereich, Ausstellungs- und Ablaufdatum sowie die ausstellende Stelle klar benennen; im Zweifel lässt sich die Gültigkeit direkt bei der Zertifizierungsstelle nachfragen.

Warum ist ISO 27001 bei der Wahl eines Scandienstleisters relevant?+

Beim Scannen von Akten verlassen sensible Mandanten-, Personal- oder Patientendaten das eigene Haus. Eine ISO-27001-Zertifizierung des Dienstleisters zeigt, dass Zugriffskontrolle, physische Sicherheit und Prozesse zur Informationssicherheit extern geprüft und nicht nur behauptet werden.

Rechtssicher digitalisieren?

Wir digitalisieren GoBD- und TR-RESISCAN-konform – inklusive Verfahrensdokumentation.

Zertifizierte Sicherheit für Ihre Daten

Unsere Zertifizierungen und Standards garantieren höchste Sicherheit bei der Digitalisierung Ihrer sensiblen Dokumente.

Über 15 Jahre Erfahrung
Lokaler Service in Augsburg
Vertrauenswürdige Referenzen