Risikoanalyse mit ISO 27001 Anhang A: Vorlage, Methode und SoA
Die Risikoanalyse ist Herzstück jedes ISMS nach ISO/IEC 27001:2022. Dieser Leitfaden zeigt, wie eine belastbare Vorlage aussieht, wie die 93 Controls aus Anhang A integriert werden und wie das Statement of Applicability (SoA) entsteht.
Die Risikoanalyse ist nach ISO/IEC 27001:2022 Abschnitt 6.1.2 die Grundlage jedes Informationssicherheits-Managementsystems (ISMS). Sie verlangt eine systematische Identifikation, Analyse und Bewertung von Informationssicherheitsrisiken sowie die anschließende Behandlung über das Statement of Applicability (SoA, Abschnitt 6.1.3). Die Neufassung der Norm vom Oktober 2022 bringt eine vollständige Restrukturierung des Anhangs A: 93 Controls in vier Themengruppen (organisatorisch, personell, physisch, technologisch) statt vorher 114 Controls in 14 Domänen. Wer die Risikoanalyse weiterhin nach der alten Struktur führt, verliert in der Übergangsfrist bis 31.10.2026 die Zertifizierungsfähigkeit und damit auch zentrale Vertragsvoraussetzungen in Ausschreibungen, Cyber-Versicherungen und Lieferantenaudits.
Dieser Beitrag beschreibt, wie eine audit-feste Vorlage für die Risikoanalyse aufgebaut ist, welche Felder verpflichtend sind, wie die 93 Controls aus Anhang A in die Behandlung einfließen und wie aus dem Ergebnis ein lückenfreies SoA entsteht. Er richtet sich an Informationssicherheitsbeauftragte (ISB), Verantwortliche im ISMS-Aufbau und Geschäftsführungen mittlerer und großer Unternehmen. Am Ende kennen Sie die Mindestbestandteile, häufige Fallstricke im Audit, die Verzahnung mit NIS-2 und DSGVO und wissen, wie eine Compliance-Plattform und Officer-as-a-Service wie CIVAC den Pflegeaufwand der Risikoanalyse senkt. Die Hinweise gelten gleichermaßen für Erstzertifizierung und Re-Zertifizierung.
Auf einen Blick
- Die Risikoanalyse muss nach Abschnitt 6.1.2 dokumentiert, wiederholbar und mit klaren Akzeptanzkriterien definiert sein, sonst kippt die Zertifizierungsfähigkeit.
- Anhang A enthält 93 Controls in vier Themengruppen, die im SoA mit Begründung für Einsatz oder Ausschluss zu belegen sind.
- Die Risikobehandlungsoptionen (vermeiden, vermindern, übertragen, akzeptieren) müssen je Risiko begründet und mit Maßnahmen unterlegt sein.
Was Abschnitt 6.1.2 wirklich verlangt: Risikoanalyse-Methodik
Abschnitt 6.1.2 der ISO/IEC 27001:2022 verlangt eine dokumentierte Methode zur Identifikation, Analyse und Bewertung von Informationssicherheitsrisiken. Die Methode muss konsistent, gültig und vergleichbar sein, sodass wiederholte Anwendungen zu vergleichbaren Ergebnissen führen. Drei Anforderungen sind zentral: definierte Risikokriterien (Wahrscheinlichkeit, Auswirkung, Schwellwerte), Identifikation der Risikoeigentümer und die Anwendung der Methode auf alle Informationswerte im Geltungsbereich (Scope) des ISMS. Die ergänzende ISO/IEC 27005:2022 bietet hierzu eine umfassende Anleitung, ist aber nicht verpflichtend anzuwenden.
In der Praxis wählen die meisten Organisationen einen risikobasierten Ansatz mit qualitativer oder semi-quantitativer Skala (etwa 1 bis 5 für Wahrscheinlichkeit und Auswirkung, Risikowert als Produkt). Auch quantitative Methoden (FAIR, Value at Risk) sind zulässig, sofern die Methode dokumentiert und konsistent angewendet wird. Wichtig: Die Methode muss vor der ersten Anwendung festgelegt sein, eine nachträgliche Anpassung verlangt einen Management-Beschluss und ein neues Risikoregister.
Die Auswahl der Methode beeinflusst die Audit-Reife unmittelbar. Auditoren fragen, ob die Methode passt, ob sie wiederholbar ist und ob die Ergebnisse mit den Risikobehandlungsmaßnahmen in Einklang stehen. Eine reine Excel-Liste ohne dokumentierte Methodik wird nicht akzeptiert. Wer sich an der Verzahnung zwischen ISO 27001 und der BSI-Standardabsicherung orientiert, findet im Dokument ISO 27001:2022 Übergang Oktober 2026 eine kompakte Übersicht zu den Übergangspflichten. CIVAC liefert die Methodikbeschreibung und das Risikoregister als Vorlage. Die Vorlagen sind so gestaltet, dass sie sowohl für Erstzertifizierungen als auch für laufende Überwachungsaudits taugen und keine Methodenwechsel verlangen. Bestellurkunde, unterschrieben, abgelegt, belegbar.
Mindestbestandteile einer ISO-27001-Risikoanalyse-Vorlage
Eine audit-feste Vorlage für die Risikoanalyse umfasst zehn Pflichtspalten je Risiko-Eintrag. Diese Struktur erfüllt die Anforderungen der Abschnitte 6.1.2 und 6.1.3 vollständig und erlaubt eine direkte Verzahnung mit dem SoA und den 93 Controls aus Anhang A. Wer die Vorlage rollenweise vorfertigt (HR, IT, Vertrieb), spart in der Erstaufnahme erheblich Zeit und vermeidet inkonsistente Granularität zwischen Fachbereichen.
- Asset oder Prozess: konkrete Bezeichnung, eindeutig dem Scope zuordenbar.
- Risiko-Szenario: kurze Beschreibung der Bedrohung und ihres potenziellen Eintritts.
- Bedrohung: Quelle (intern, extern, technisch, menschlich).
- Schwachstelle: konkrete Lücke, die das Szenario ermöglicht.
- Vorhandene Maßnahmen: bestehende Controls inklusive Verweis auf Anhang A.
- Wahrscheinlichkeit: Skala 1 bis 5 mit Begründung.
- Auswirkung: Skala 1 bis 5 nach Schutzziel (Vertraulichkeit, Integrität, Verfügbarkeit).
- Risikowert: Produkt Wahrscheinlichkeit mal Auswirkung.
- Behandlungsoption: vermeiden, vermindern, übertragen, akzeptieren.
- Risikoeigentümer: namentlich, mit Datum der Akzeptanz.
Ergänzend sollten zwei Felder geführt werden: das Restrisiko nach Maßnahme (Residual Risk) und der Verweis auf die SoA-Zeile. Damit ist die Brücke zum Statement of Applicability geschlossen. Wer die Vorlage in Excel pflegt, erreicht in der Regel nach zwei Aktualisierungen Inkonsistenzen zwischen Risikoregister und SoA. In einem CIVAC-Workspace sind beide Dokumente technisch verknüpft, jede Änderung am Risiko triggert eine SoA-Anpassung. Damit ist ausgeschlossen, dass ein Auditor bei der Stichprobe abweichende Stände findet. Auch die Verzahnung mit dem Asset-Register, dem Vorfallsmanagement und der Lieferantenliste lässt sich im Workspace abbilden, ohne dass Datenduplikate entstehen. Audit-fest, dokumentiert, 6.1.3-fest.
Die 93 Controls aus Anhang A: vier Themengruppen im Überblick
Die Revision der ISO/IEC 27001:2022 hat den Anhang A vollständig neu strukturiert. Statt 14 Domänen mit 114 Controls (alte Fassung) gibt es jetzt 93 Controls in vier Themengruppen. Diese neue Struktur erleichtert die Zuordnung zur Risikoanalyse erheblich und bildet die operative Realität besser ab. Auch die zugehörige ISO/IEC 27002:2022 wurde neu strukturiert und liefert für jedes Control nun Leitfäden, Attribute und Zwecke, was die Implementierung deutlich erleichtert.
- A.5 Organisatorische Controls (37 Controls): Richtlinien, Rollen, Asset-Management, Lieferantenmanagement, Hinweisgeber, Bedrohungs-Intelligence.
- A.6 Personenbezogene Controls (8 Controls): Screening, Vertraulichkeitserklärungen, Beendigung von Beschäftigungen, Disziplinarverfahren.
- A.7 Physische Controls (14 Controls): Zutrittssicherung, Sicherheitsbereiche, Schutz vor Naturgefahren, Wartung.
- A.8 Technologische Controls (34 Controls): Endgeräte, Zugriffskontrolle, Kryptografie, Backups, Logging, Schwachstellenmanagement, Secure Development.
Elf Controls sind in der Revision völlig neu, darunter A.5.7 Bedrohungs-Intelligence, A.5.30 ICT-Bereitschaft für Geschäftskontinuität, A.7.4 Überwachung physischer Sicherheit, A.8.9 Konfigurationsmanagement, A.8.10 Informationslöschung, A.8.11 Datenmaskierung, A.8.12 Data Leakage Prevention, A.8.16 Überwachungstätigkeiten, A.8.23 Webfilterung, A.8.28 Sichere Programmierung. Wer diese neuen Controls in der Risikoanalyse nicht adressiert, hat im Übergangsaudit ein Problem. CIVAC führt für alle 93 Controls eine Vorlage mit Standardmaßnahmen, sodass der ISB nur an unternehmensspezifische Stellen anpassen muss. Ergänzend zeigt eine Mapping-Tabelle, welche Controls aus der 2013er-Fassung welchen 2022er-Controls entsprechen, sodass bestehende Maßnahmen nicht neu erarbeitet werden müssen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.
Statement of Applicability (SoA): Pflichtdokument für die Zertifizierung
Abschnitt 6.1.3 lit. d ISO/IEC 27001:2022 verlangt das Statement of Applicability (SoA). Es ist das zentrale Brückendokument zwischen Risikoanalyse und Controls. Für jedes der 93 Controls muss begründet werden, ob es eingesetzt wird (Applicable) oder ausgeschlossen ist (Not Applicable) und welche Risiken oder Anforderungen diese Entscheidung tragen. Das SoA ist nicht nur intern relevant, sondern wird in vielen Lieferantenaudits und Cyber-Versicherungen explizit angefordert.
Eine vollständige SoA-Zeile enthält: Control-Nummer und -Titel, Status (eingesetzt, geplant, ausgeschlossen), Begründung mit Verweis auf Risiko-ID oder Compliance-Anforderung (DSGVO, NIS-2, sektorspezifisch), Maßnahmenverweis (interne Richtlinie, technische Lösung), Verantwortlicher und Datum der letzten Bewertung. Pauschale Aussagen wie nicht zutreffend ohne Begründung sind in der Auditpraxis nicht akzeptiert. Der Auditor wird in der Stage-2-Prüfung gezielt einzelne Controls aus dem SoA prüfen und die Wirksamkeit der Maßnahmen testen.
Wer das SoA von Hand in Word pflegt, riskiert Inkonsistenzen mit dem Risikoregister. Wer ein neues Risiko aufnimmt, muss möglicherweise zwei oder drei Controls aktivieren, das SoA aktualisieren und die zugehörigen Maßnahmen anpassen. In der CIVAC-Compliance-Plattform und im Officer-as-a-Service-Modell sind diese Querverweise technisch hinterlegt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Wer den ISB extern bestellt, erhält Risikoregister und SoA als laufende Dienstleistung mit zwei Werktagen SLA. Damit ist die Brücke zwischen Methodendokument und Auditfreigabe in einer Hand und der Aufwand für die jährliche Re-Bewertung sinkt deutlich.
Risikobehandlungsoptionen und Restrisiko-Akzeptanz
Abschnitt 6.1.3 ISO/IEC 27001:2022 nennt vier Risikobehandlungsoptionen: Vermeiden (Aktivität einstellen), Vermindern (Maßnahmen umsetzen), Übertragen (Versicherung, Outsourcing), Akzeptieren (Restrisiko hinnehmen). Jede Wahl muss begründet sein. Die häufigste Option ist Vermindern, die anspruchsvollste Akzeptieren, da hier die Geschäftsführung als Risikoeigentümer formal zustimmen muss. Auch Übertragen kennt klare Grenzen, denn nicht jedes Risiko ist versicherbar oder vollständig auf Dritte überwälzbar.
Restrisiken sind in der Regel unvermeidbar. Auditoren prüfen, ob die Akzeptanz im Akzeptanzrahmen liegt, der vorab in der Risikomethodik definiert wurde. Eine typische Festlegung: Risiken mit Risikowert 1 bis 5 werden ohne weitere Maßnahmen akzeptiert, 6 bis 10 mit Standardmaßnahmen vermindert, 11 bis 15 mit erweiterten Maßnahmen, 16 bis 25 erfordern Geschäftsleitungs-Beschluss zur Akzeptanz oder Vermeidung. Wer den Akzeptanzrahmen nicht dokumentiert, verliert die Konsistenzprüfung. Auch ein Quartalsbericht an die Geschäftsführung über veränderte Restrisiken hat sich in der Praxis bewährt und schafft Transparenz auf Ebene des Aufsichtsorgans.
Die Restrisiko-Akzeptanz ist nach Abschnitt 6.1.3 lit. f explizit durch die Verantwortlichen zu dokumentieren. In der Praxis ist das oft das Risk Board oder die Geschäftsführung. Die Unterschrift mit Datum gehört zu jedem akzeptierten Restrisiko. In CIVAC ist diese Mechanik als Workflow hinterlegt: Akzeptanz erforderlich, Erinnerung an Verantwortlichen, Eskalation bei Überschreitung der Frist. Frist läuft ab Kenntnis. Audit-fest, dokumentiert, 6.1.3-fest. Wer mehrere Standorte oder Tochtergesellschaften betreibt, sollte die Akzeptanzschwellen konsolidiert in einer Konzernrichtlinie ablegen. Damit bleibt die Risikohaltung im Konzern konsistent und einzelne Geschäftsbereiche können nicht eigenmächtig riskantere Maßstäbe ansetzen.
Verzahnung mit NIS-2, DSGVO und sektorspezifischen Anforderungen
Eine ISO-27001-Risikoanalyse steht nicht im luftleeren Raum. Die NIS-2-Richtlinie (Umsetzung BSIG-Novelle, in Deutschland 2026) verlangt für wesentliche und wichtige Einrichtungen explizit ein Risikomanagement nach Art. 21 NIS-2-RL mit zehn Mindestmaßnahmen, die zu rund 80 Prozent mit Controls aus Anhang A ISO/IEC 27001:2022 deckungsgleich sind. Wer ISO 27001 zertifiziert ist, hat einen erheblichen Vorsprung in der NIS-2-Umsetzung. Auch der 24/72-Stunden-Meldepfad für signifikante Vorfälle nach NIS-2 lässt sich an die ISO-Vorfallmechanik andocken.
Auch die DSGVO greift in die Risikoanalyse ein. Art. 32 DSGVO verlangt Sicherheit der Verarbeitung, Art. 35 DSGVO eine Datenschutz-Folgenabschätzung bei hohem Risiko. Beide Pflichten lassen sich mit der ISO-27001-Risikoanalyse verzahnen, sofern die Vorlage eine Spalte für betroffene personenbezogene Daten und eine DSFA-Verweis-Spalte enthält. Sektorspezifisch ergänzen Anforderungen aus TISAX (Automobil), C5 (Cloud), PCI DSS (Kartenzahlung) oder branchenspezifische BSI-Grundschutzbausteine.
Wer alle diese Standards in separaten Excel-Tabellen pflegt, verliert schnell die Übersicht. CIVAC bietet eine Mapping-Funktion: Eine Maßnahme im Risikoregister wird automatisch den relevanten Anforderungen (ISO 27001 A.x.y, NIS-2 Art. 21 Nr. z, DSGVO Art. 32) zugeordnet. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Eine breitere Übersicht zur NIS-2-Lage liefert NIS-2-Umsetzung Deutschland 2026. Wer wesentliche oder wichtige Einrichtung im Sinne der NIS-2 ist, sollte das Mapping spätestens vor dem Audit-Termin geprüft haben. Der Prüfer ruft an, der Nachweis liegt bereit.
Häufige Audit-Befunde bei der Risikoanalyse
Aus Stage-2-Audits lassen sich sechs Befunde ableiten, die in nahezu jeder Erstzertifizierung auftauchen. Wer sie vor dem Audit beseitigt, reduziert den Aufwand für Nachweise und Folgemaßnahmen erheblich. Diese Schwachstellen sind dokumentiert in den Tätigkeitsberichten der nationalen Akkreditierungsstellen (DAkkS für Deutschland). Auch erfahrene ISB-Teams unterschätzen diese Punkte häufig in der Erstaufnahme, weil sie auf operativen Detailfragen liegen statt auf strukturellen Lücken.
Erstens: Methodik dokumentiert, aber nicht durchgängig angewendet. Risiken sind teils nach alter, teils nach neuer Skala bewertet. Zweitens: Risikoeigentümer fehlen oder sind nicht namentlich benannt. Dritte: Restrisiko-Akzeptanz ohne Unterschrift oder ohne Datum. Viertens: SoA-Begründungen sind pauschal (etwa nicht zutreffend ohne Bezug). Fünftens: Neue Anhang-A-Controls (A.5.7 Bedrohungs-Intelligence, A.5.30 ICT-Bereitschaft) sind im SoA nicht adressiert. Sechstens: Risikoanalyse und Verfahrensverzeichnis nach Art. 30 DSGVO sind nicht verzahnt.
Jeder dieser Befunde ist konkret abstellbar. CIVAC liefert dafür 490 Audit-Vorlagen, davon zwölf rund um Informationssicherheit: Risikoregister, SoA-Vorlage, Methodikbeschreibung, Akzeptanzrahmen, Bedrohungs-Intelligence-Prozess, ICT-Bereitschaftsplan, Schwachstellenmanagement-Vorlage, Asset-Register, Klassifikation, Logging-Anforderungen, Krypto-Policy, sichere Softwareentwicklung. Die Vorlagen sind mit § und ISO-Verweisen versehen. Wer die Risikoanalyse in einem Workspace führt, vermeidet die typischen Inkonsistenzen schon im Pflegealltag. Audit-fest, dokumentiert, 6.1.3-fest. Ein vorgelagerter Selbst-Check entlang dieser sechs Felder dauert mit der Plattform etwa 6 Stunden und liefert eine klare Priorisierung für das Audit. Damit lässt sich die Vorbereitung von Stage-1 und Stage-2 strukturiert planen und das Risiko ungeplanter Verlängerungen reduzieren.
Pflegezyklus: Risikoanalyse ist kein Einmal-Projekt
Abschnitt 8.2 ISO/IEC 27001:2022 verlangt eine planmäßige Bewertung der Informationssicherheitsrisiken in regelmäßigen Abständen sowie bei wesentlichen Änderungen. Der Marktstandard ist ein jährlicher Vollreview plus anlassbezogene Updates. Ein ad-hoc-Update ist erforderlich bei neuen Geschäftsprozessen, Standortverlagerung, Vendor-Wechsel, größeren technologischen Veränderungen (Cloud-Migration, M&A) oder neuen rechtlichen Anforderungen. Auch nach einem signifikanten Sicherheitsvorfall ist eine außerordentliche Bewertung Pflicht, da sich die Bedrohungslage und die Wirksamkeit der Maßnahmen neu beurteilen lassen.
Der Pflegezyklus umfasst sechs Schritte: Sichtung der seit dem letzten Review aufgetretenen Vorfälle und Audit-Befunde, Aktualisierung des Asset-Registers, Überprüfung der Bedrohungslage (Threat Intelligence, BSI-Lagebericht), Anpassung der Risikoeinschätzung, Aktualisierung des Risikobehandlungsplans und SoA, formelle Freigabe durch die Risk-Funktion. Jeder Schritt ist nachweispflichtig, Audit-Logs müssen revisionssicher sein.
In der Praxis scheitert dieser Zyklus an drei Punkten: fehlende Ressourcen im ISB-Team, fehlende Verbindung zum Vorfallsmanagement, fehlende technische Versionierung. Genau hier greift die CIVAC-Plattform: Der Workspace verbindet Risikoanalyse, Vorfallsregister, Asset-Register und SoA in einer EU-Datenresidenz unter einem ISO/IEC 27001:2022 ISMS. Eine Änderung am Asset löst eine Review-Aufgabe für das Risiko aus. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen dieselbe Audit-Spur und liefern identische Nachweisqualität. Wer mehrere Beauftragtenrollen (ISB, DSB, ESG) im selben Workspace betreibt, profitiert zusätzlich von geteilter Governance. Damit wird die jährliche Risiko-Review von einem Mehrwochen-Projekt zu einem strukturierten Mehrtages-Ablauf mit klaren Verantwortlichkeiten.
Vom Lesen zum Handeln: Risikoanalyse mit CIVAC operationalisieren
Die Risikoanalyse nach ISO/IEC 27001:2022 ist das Rückgrat jedes ISMS. Wer sie als statisches Excel führt, riskiert Inkonsistenzen, Befunde und im Übergangsaudit die Zertifizierung. CIVAC versteht sich als Compliance-Plattform und Officer-as-a-Service: Der Workspace bündelt Risikoregister, SoA, Asset-Register, Vorfallsmanagement und 490 Audit-Vorlagen in einer EU-Datenresidenz unter einem ISO/IEC 27001:2022 ISMS. 93 Controls aus Anhang A sind in der Plattform mit Standardmaßnahmen hinterlegt, sodass der ISB nur an unternehmensspezifische Stellen anpassen muss.
Zwei Bezugsmodelle stehen zur Wahl. Lizenzieren Sie den Workspace für Ihre internen Beauftragten und führen die ISMS-Funktion selbst, oder lassen Sie unsere Beauftragten bestellen und übergeben die Funktion vollständig. In beiden Fällen erhalten Sie 490 Audit-Vorlagen, 25 Beauftragten-Rollen-Profile und eine Berichtslinie, die in DAkkS-Audits Bestand hat. SLA: 2 Werktage statt 2 bis 6 Wochen. Wer mehrere Beauftragtenrollen (ISB, DSB, ESG, IMB) bündelt, reduziert den Gesamtaufwand der Compliance-Funktion spürbar.
Wenn Sie eine bestehende Risikoanalyse auditieren oder neu aufsetzen möchten, ist der nächste Schritt ein Strukturgespräch. Wir sichten Ihr aktuelles Risikoregister und SoA, identifizieren die Lücken nach den 93 Controls und liefern einen Umsetzungsplan mit konkreten Fristen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular unter civac.de/faq. Der Prüfer ruft an, der Nachweis liegt bereit. Sie entscheiden anschließend, ob Sie die Funktion intern führen oder vollständig an CIVAC übergeben. Ein typisches Strukturgespräch dauert 45 Minuten, die Lückenanalyse liegt nach 5 Werktagen vor.
FAQ
Welche Risikoanalyse-Methodik ist nach ISO/IEC 27001:2022 zulässig?
Die Norm gibt keine bestimmte Methode vor, fordert aber Konsistenz, Wiederholbarkeit und Vergleichbarkeit. Üblich sind qualitative Skalen (1 bis 5 für Wahrscheinlichkeit und Auswirkung) sowie quantitative Verfahren wie FAIR. Die Methodik muss dokumentiert sein und vor der ersten Anwendung festgelegt werden, eine spätere Anpassung verlangt einen Management-Beschluss. Auditoren prüfen, ob die Methode passt und durchgängig angewendet wird.
Wie viele Controls aus Anhang A müssen umgesetzt sein?
Nicht alle 93 Controls sind verpflichtend. Für jeden Control entscheidet die Risikoanalyse, ob er anwendbar ist. Das SoA dokumentiert die Begründung. Ein Ausschluss ist möglich, wenn keine Risiken oder gesetzlichen Anforderungen den Einsatz erfordern. Pauschale Ausschlüsse ohne Begründung führen jedoch zu Audit-Befunden, daher ist eine sorgfältige Bewertung jedes einzelnen Controls Pflicht.
Wie oft muss die Risikoanalyse aktualisiert werden?
Mindestens jährlich (Marktstandard) sowie bei wesentlichen Änderungen (neuer Standort, Cloud-Migration, M&A, neue rechtliche Anforderungen). Die Aktualisierung umfasst Asset-Register, Bedrohungslage, Risikoeinschätzung und SoA. Jeder Schritt ist nachweispflichtig. Wer die Pflegeintervalle nicht einhält, riskiert in Überwachungsaudits Befunde mit potenziellem Zertifikatsverlust und Folgekosten in der Behebung sowie Vertragsrisiken bei zertifizierungsabhängigen Geschäftsbeziehungen.
Wer ist der Risikoeigentümer in einer ISO-27001-Risikoanalyse?
Der Risikoeigentümer ist die Person, die für die Behandlung und Akzeptanz eines konkreten Risikos zuständig ist. In der Regel ist das ein Fachbereichsleiter oder die Geschäftsführung. Der ISB selbst ist nicht Risikoeigentümer, sondern Methodengeber und Berater. Die namentliche Benennung mit Datum der Akzeptanz ist im Risikoregister verpflichtend einzutragen und vom Auditor regelmäßig stichprobenartig zu prüfen.
Welche Übergangsfristen gelten für ISO/IEC 27001:2022?
Die Übergangsfrist endet am 31.10.2026. Bestandszertifikate nach ISO/IEC 27001:2013 verlieren danach ihre Gültigkeit. Bis dahin müssen alle ISMS auf die 2022er-Fassung umgestellt sein, das schließt die Risikoanalyse und das SoA mit den 93 Controls ein. Ein Transition-Audit ist erforderlich, der Aufwand richtet sich nach der Lücke zwischen alter und neuer Struktur.
Brauche ich einen externen ISB für die Risikoanalyse?
Gesetzlich vorgeschrieben ist die Rolle nicht in allen Sektoren, NIS-2 fordert aber faktisch eine dedizierte ISB-Verantwortlichkeit für wesentliche und wichtige Einrichtungen. Ein externer ISB über CIVAC bringt Audit-Erfahrung, Vorlagen und Mandant-übergreifende Bedrohungs-Intelligence mit. Für mittelständische Unternehmen ist das wirtschaftlich attraktiver als der interne Aufbau einer dedizierten Funktion mit Stellvertretung.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.