ISO 27001:2022 bei Pond Security

Informationssicherheit ist bei uns kein Projekt, sondern gelebter Alltag. Mit der ISO 27001:2022 Zertifizierung weisen wir nach, dass unser Informationssicherheitsmanagementsystem zuverlässig funktioniert, regelmäßig geprüft wird und sich kontinuierlich verbessert.

Was hinter ISO 27001:2022 steckt

ISO/IEC 27001 ist der weltweit anerkannte Standard für ISMS. Er beschreibt Anforderungen, wie Informationen systematisch geschützt, Risiken bewertet und beherrscht sowie Abläufe laufend verbessert werden. Für Sicherheitsunternehmen ist das entscheidend, weil Daten, Prozesse und Infrastrukturen unserer Kundinnen und Kunden besonders sensibel sind. Annex A des Standards liefert die dazugehörige Maßnahmenbibliothek, die in ISO/IEC 27002 detailliert erläutert wird.

Was an der Version 2022 neu ist

Die 2022er Fassung ordnet Annex A neu. Statt 14 Domänen gibt es vier Themen: Organisational, People, Physical, Technological. Die Zahl der Maßnahmen wurde von 114 auf 93 konsolidiert. Gleichzeitig kamen elf neue Controls hinzu. Zudem wurden mehrere Kontrollen zusammengeführt und mit Attributen sowie einem Purpose versehen. So lassen sie sich moderneren Bedrohungen wie Cloud- oder Lieferkettenrisiken zuordnen.

Die vier Themen auf einem Blick

Organisational: Governance, Richtlinien, Asset-Management, Lieferantensteuerung, Business Continuity
People: Schulungen, Sicherheitsbewusstsein, geregelte Zugriffsrechte für Personen
Physical: Zutrittskontrollen, Schutz von Gebäuden und Arbeitsplätzen
Technological: Kryptografie, Netzwerksicherheit, Protokollierung, Monitoring und Härtung

Diese Struktur mit 93 Kontrollen bildet die Basis unserer technischen und organisatorischen Maßnahmen.

Unser Scope bei Pond Security

Unsere Zertifizierung bezieht sich auf das definierte ISMS-Geltungsfeld von Pond Security. Dazu gehören die relevanten Geschäftsbereiche, Standorte und Kernprozesse. Der Scope legt fest, welche Services, Schnittstellen und Abhängigkeiten erfasst sind, und schafft damit Klarheit für Kundinnen und Kunden in Ausschreibungen und Audits.

So funktioniert unser ISMS im Alltag

Wir steuern Informationssicherheit im PDCA-Zyklus: Plan, Do, Check, Act. Mit klaren Rollen, Richtlinien, Verfahren und Nachweisen. Zentrale Elemente sind das Risikomanagement, die Statement of Applicability (SoA) für die Auswahl der Kontrollen sowie interne Audits und Management-Reviews. Diese Mechanik entspricht dem Kern von ISO 27001, während Annex A die konkreten Maßnahmen liefert.

Annex A in der Praxis. Beispiele aus den vier Themen

Organisational: Lieferantensteuerung und Informationsklassifizierung, zum Beispiel Vertragsvorgaben, Risiko- und Performance-Kontrollen entlang der Supply Chain.

People: Sicherheitsbewusstsein, Schulungsquoten, Berechtigungen entlang des Employee Lifecycles.

Physical: Mehrstufige Zutrittskonzepte für Standorte, technische und organisatorische Schutzvorkehrungen.

Technological: Netzsegmentierung, Verschlüsselung, Protokollierung, kontinuierliches Monitoring, Vulnerability- und Patch-Management.

Das bringt Ihnen die Zertifizierung

Nachweisbare Sicherheit: Ein unabhängiger Auditor prüft Einführung, Umsetzung und Wirksamkeit unseres ISMS.

Verlässlichkeit in Ausschreibungen: Klarer Scope, nachvollziehbare Kontrollen, anerkannte Prüfzyklen.

Risikotransparenz: Systematische Identifikation, Bewertung und Behandlung von Risiken.

Wie ein ISO-27001-Audit abläuft

Die Zertifizierung erfolgt in zwei Stufen. In Stage 1 prüft der Auditor Dokumentation und Reifegrad. In Stage 2 bewertet er die praktische Wirksamkeit. Nach erfolgreicher Zertifizierung gilt das Zertifikat typischerweise drei Jahre. Dazwischen finden jährliche Überwachungsaudits statt. Am Ende steht die Rezertifizierung.

Governance und kontinuierliche Verbesserung

Wir messen und verbessern fortlaufend, zum Beispiel über Kennzahlen zu Vorfällen, Schulungsquoten und Audit-Findings. Abweichungen werden mit Korrekturmaßnahmen behandelt. Stakeholderfeedback aus Projekten, Lieferantenbewertungen und Kundenrückmeldungen fließt direkt in den PDCA-Zyklus ein. Das sichert Qualität und Reife unseres ISMS.

Verzahnung mit anderen Anforderungen

Unser ISMS lässt sich effizient mit anderen Managementsystemen kombinieren, etwa Qualitätsmanagement nach ISO 9001 oder Notfall- und Kontinuitätsmanagement. Die 2022er Überarbeitung fördert diese Harmonisierung. Auch Anforderungen aus Datenschutz und branchenspezifischen Regelwerken werden strukturiert adressiert.

Send us your request today!

Häufige Fragen zur ISO 27001:2022

Gilt die Zertifizierung für alle Standorte und Services von Pond Security?

Sie gilt für das im Zertifikat definierte Geltungsfeld. Den konkreten Scope nennen wir in Angeboten und auf Anfrage.

Was genau hat sich in Annex A geändert?

Annex A umfasst nun 93 statt 114 Kontrollen, gebündelt in vier Themen. Hintergrund sind Konsolidierungen, neue Kontrollen und modernisierte Beschreibungen.

Wie unterscheiden sich Stage 1 und Stage 2?

Stage 1 bewertet Dokumentation und Reifegrad. Stage 2 prüft Umsetzung und Wirksamkeit in der Praxis. Danach folgen jährliche Überwachungsaudits und eine Rezertifizierung nach drei Jahren.

Worin unterscheidet sich ISO 27001 von ISO 27002?

ISO 27001 enthält die Anforderungen an das Managementsystem, ISO 27002 liefert die Umsetzungshilfen und Erläuterungen zu den Kontrollen.

If you have any further questions, please do not hesitate to contact us.

Your trusted security partner.

Leading companies and institutions rely on Pond Security. Our security solutions protect well-known organizations in industry, commerce and the public sector nationwide.

Your trusted security partner.

Leading companies and institutions rely on Pond Security. Our security solutions protect well-known organizations in industry, commerce and the public sector nationwide.