Die internationale Norm, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt und die anerkannteste Sicherheitszertifizierung darstellt.
ISO/IEC 27001 legt die Anforderungen für Aufbau, Betrieb und Verbesserung eines ISMS fest. Sie ist risikobasiert: Organisationen bewerten ihre Informationssicherheitsrisiken und wählen Maßnahmen aus dem Annex-A-Katalog, um sie zu behandeln.
Eine Zertifizierung durch eine akkreditierte Stelle gilt drei Jahre, mit Überwachungsaudits dazwischen. Die aktuelle Fassung ist ISO/IEC 27001:2022, die den Anhang A auf vier Maßnahmenthemen umgestellt hat.
KaitoSec