8. April 2026 • ISO 27001
ISO 27001 und ISO 27002 werden oft im Zusammenhang genannt, sind jedoch nicht dasselbe. Die eine ist eine Zertifizierungsnorm, die andere ein praktischer Leitfaden. Wer es mit der Informationssicherheit ernst meint, profitiert von beiden – allerdings auf unterschiedliche Weise.
Was ist ISO 27001?
ISO 27001 ist die internationale Norm für Informationssicherheit. Sie definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS): ein kohärentes System aus Richtlinien, Prozessen und Maßnahmen zum Schutz von Informationen. Organisationen können sich nach ISO 27001 zertifizieren lassen, was bedeutet, dass ein unabhängiger Auditor die Einhaltung der Anforderungen überprüft.
Die Norm legt fest, was Sie umsetzen müssen, nicht wie. Denken Sie dabei an: Risikobewertungen, interne Audits, Einbindung der Geschäftsleitung und Schulungen der Mitarbeiter zum Thema Sicherheitsbewusstsein. Letzteres ist ausdrücklich in Anhang A der Norm aufgeführt.
Was ist ISO 27002?
ISO 27002 ist die praktische Ausarbeitung der in ISO 27001 geforderten Sicherheitskontrollen. Während 27001 vorschreibt, dass Maßnahmen ergriffen werden müssen, erläutert 27002, wie diese umzusetzen sind. Eine Zertifizierung nach ISO 27002 ist nicht möglich: Es handelt sich um einen Leitfaden, nicht um eine Zertifizierungsnorm.
Im Jahr 2022 wurde die Norm ISO 27002 grundlegend überarbeitet. Die Anzahl der Kontrollmaßnahmen wurde von 114 auf 93 reduziert und in vier Kategorien unterteilt: organisatorische, personelle, physische und technologische Maßnahmen. Schulungen zur Sensibilisierung für Sicherheitsfragen fallen unter die Kategorie „personelle Maßnahmen“.
Der Unterschied auf einen Blick
| ISO 27001 | ISO 27002 | |
|---|---|---|
| Typ | Zertifizierungsstandard | Leitfaden |
| Zweck | Anforderungen an ein ISMS | Leitfaden zur Umsetzung von Kontrollmaßnahmen |
| Ist eine Zertifizierung möglich? | Ja | Nein |
| Anzahl der Kontrollen | 93 (gemäß Anhang A) | 93 (aufgeschlüsselt nach Kontrollgruppe) |
| Obligatorisch? | Für die Zertifizierung: ja | Als Nachschlagewerk empfohlen |
| Zielgruppe | Geschäftsführung, Wirtschaftsprüfer | Sicherheitsteams, Implementierer |
Welchen Standard benötigen Sie?
Wenn Sie Ihren Kunden, Partnern oder Aufsichtsbehörden zeigen möchten, dass Sie die Informationssicherheit ernst nehmen, ist die Zertifizierung nach ISO 27001 das Ziel. Die Norm ISO 27002 dient dabei als Orientierungshilfe bei der Umsetzung: Sie hilft Ihnen zu verstehen, welche Kontrollmaßnahmen sinnvoll sind und wie Sie diese in die Praxis umsetzen können.
Die beiden Normen ergänzen sich gegenseitig. ISO 27001 ohne ISO 27002 ist wie Bauen ohne Bauplan. ISO 27002 ohne ISO 27001 ist, als wüsste man zwar, wie es geht, aber nicht, warum.
Die Rolle von Security Awareness Training
Sowohl ISO 27001 als auch ISO 27002 verlangen, dass Mitarbeiter in Informationssicherheit geschult werden. ISO 27001 legt dies als Anforderung fest (Anhang A, Kontrollmaßnahme 6.3), während ISO 27002 erläutert, wie diese Schulungen wirksam gestaltet werden können: regelmäßig, rollenspezifisch und messbar.
Einmalige E-Learning-Kurse oder jährliche Workshops erfüllen diese Anforderungen in der Praxis selten. Guardey unterstützt Unternehmen dabei, die Anforderungen der ISO 27001 an die Sicherheitssensibilisierung zu erfüllen – mit wöchentlichen Mikro-Schulungen, Phishing-Simulationen und auditfähigen Berichten.
Schulungen zur Sensibilisierung für Sicherheitsfragen gemäß ISO 27001
Guardey unterstützt Unternehmen dabei, die Schulungsanforderungen der ISO 27001 mühelos zu erfüllen. Fordern Sie eine Demo an und überzeugen Sie sich selbst davon, was die Plattform für Ihr Unternehmen leisten kann.
Demo planen