ISO 27001 Kontext der Organisation: Was ist das?
Der "Kontext der Organisation" ist einer der Punkte in ISO 27001, der für viele zu Anfang sehr abstrakt ist und deswegen Kopfschmerzen bereitet.
Dabei ist die Grundidee eigentlich sehr einfach: Sie zoomen weit heraus und schauen, welche Kräfte in Sachen Informationssicherheit auf Ihr Unternehmen einwirken.
Also: Aus welchen Richtungen kommt da etwas auf Sie zu? ISO 27001 verlangt in Abschnitt 4.1, dass die Organisation interne und externe Themen bestimmt, die für die beabsichtigten Ergebnisse des ISMS relevant sind. Das ist kein Selbstzweck, sondern die Grundlage dafür, das Managementsystem strategisch so auszurichten wie es benötigt wird: Ein Unternehmen, das professionell Blumen gießt hat andere Herausforderungen als der Betreiber eines Kraftwerks.
Genau dieser Einstieg ist für die Herleitung eines passgenauen ISMS sehr brauchbar.
Die kurze Antwort
Der Kontext der Organisation ist die grobe Landkarte, auf der Sie erkennen, welche Impulse für Informationssicherheit überhaupt auf Ihr Unternehmen einwirken. Noch nicht im Detail, noch nicht als Stakeholderliste (dazu haben wir hier noch einen eigenen Artikel), noch nicht als genau definierter Anwendungsbereich. Sondern erst einmal als Übersicht. Ist dieser Schritt erledigt, geht es weiter zu den interessierten Parteien und zum Anwendungsbereich.
Welche Richtungen sollten Sie typischerweise anschauen?
Praktisch lohnt es sich, den Kontext nicht als Freitext zu behandeln, sondern sich einmal systematisch zu fragen, aus welchen Richtungen Impulse kommen.
Von außen sind das typischerweise rechtliche und regulatorische Themen, technologische Entwicklungen, Kunden- und Marktanforderungen, Wettbewerb, gesellschaftliche Erwartungen oder wirtschaftliche Rahmenbedingungen.
Von innen sind es bspw. Ihre Werte (eher in Richtung "Haltung" als in Richtung Asset Management gedacht), Kultur, Wissen, Organisationsstruktur oder Entscheidungswege.
Auch das ist kein exotischer Zusatzgedanke, sondern Teil der offiziellen Kontext-Logik.
Was heißt das für Informationssicherheit ganz praktisch?
Hier wird es nützlich. Sie müssen sich nicht fragen: "Was könnte theoretisch irgendwann irgendwo relevant sein?" Sondern: Welche Themen wirken konkret auf unsere Informationssicherheit ein?
Gesetzlich oder regulatorisch kann das zum Beispiel Datenschutz sein. Die DSGVO schützt personenbezogene Daten und das BDSG ergänzt sie im deutschen Recht. Für viele Unternehmen ist das ein sehr unmittelbarer Impuls für Informationssicherheit, etwa bei Mitarbeiterdaten, Bewerberdaten oder Kundendaten. Und seit Dezember 2025 ist in Deutschland außerdem das NIS-2-Umsetzungsgesetz in Kraft; das BSI weist darauf hin, dass dadurch für deutlich mehr Unternehmen gesetzliche Pflichten entstehen.
Markt- und kundenseitig können Sicherheitsfragebögen, Vertraulichkeitsanforderungen, geforderte TOMs, Auditklauseln oder Hosting-Vorgaben auf Ihr Unternehmen einwirken.
Technologisch können Cloud-Nutzung, Remote-Arbeit, KI-Werkzeuge, SaaS-Abhängigkeiten oder neue Angriffsmuster ein Thema sein.
Und intern können wieder ganz andere Dinge drücken: etwa die Erwartung der Mitarbeiter, dass ihre Personaldaten vertraulich bleiben, eine stark gewachsene Organisation mit uneinheitlichen Prozessen oder eine Kultur, in der Geschwindigkeit immer Vorrang vor sauberer Rechtevergabe hat.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Kontext der Organisation" sei ein hübscher Einmal-Workshop mit ein paar Schlagworten auf Moderationskarten.
ISO 27001 fordert nicht nur das Bestimmen, sondern auch das Beobachten relevanter interner und externer Themen. Der Kontext ist also keine Tapete, sondern ein Arbeitsstand, den Sie von Zeit zu Zeit (spätestens im Management-Review) nachziehen müssen. Wenn heute ein Unternehmen stark in Kundenprojekten ohne besondere Regulierung arbeitet und morgen unter NIS-2-relevante Pflichten fällt oder große Enterprise-Kunden mit Sicherheitsparanoia gewinnt, dann hat sich der Kontext geändert.
Der zweite Denkfehler ist, Kontext und interessierte Parteien zu vermischen. Beim Kontext schauen Sie erst einmal aus welchen Richtungen Anforderungen kommen. Bei den interessierten Parteien schauen Sie anschließend, an welchen konkreten Akteuren sich diese Anforderungen festmachen. Genau diese Reihenfolge ist in Abschnitt 4 der ISO 27001 angelegt.
So kommen Sie pragmatisch zu einem brauchbaren Ergebnis
Praktisch reicht dafür oft schon eine einfache Denkübung. Gehen Sie die typischen Richtungen einmal durch und notieren Sie, was für Informationssicherheit relevant ist.
Fragen Sie sich zum Beispiel:
- Welche gesetzlichen oder regulatorischen Themen drücken auf unsere Informationssicherheit?
- Welche Kunden- oder Marktanforderungen kommen immer wieder?
- Wo verändertn sich Risiken durch technologischen Entwicklungen?
- Welche internen kulturellen oder organisatorischen Eigenheiten beeinflussen den Umgang mit Informationen?
Das Ergebnis muss am Anfang kein Kunstwerk sein. Eine Seite mit einigen klaren Punkten ist oft wertvoller als ein 20-seitiges Papier, das niemand mehr liest.
Und was kommt danach?
Der nächste sinnvolle Schritt sind die interessierten Parteien. Dann fragen Sie nicht mehr nur, aus welcher Richtung Anforderungen kommen, sondern: Wer bringt diese Anforderungen konkret ein?
ISO 27001 Abschnitt 4 baut genau in dieser Reihenfolge einen "Zoom" auf Ihr Unternehmen auf: Kontext, interessierte Parteien, Scope.
FAQ
Unser Tipp
Machen Sie den Kontext der Organisation nicht unnötig akademisch. Fragen Sie sich lieber ganz nüchtern: Aus welchen Richtungen kommt auf unser Unternehmen beim Thema Informationssicherheit gerade wirklich etwas zu? Wenn Sie diese Richtungen sauber benennen, wird der nächste Schritt mit den interessierten Parteien fast von allein deutlich.
Interesse geweckt?
Wenn Sie den Kontext Ihrer Organisation im Rahmen einer ISO 27001-Einführung sauber herausarbeiten wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!