ISMS-Integration: KI in ISO 27001
Erweitere dein ISMS um KI-spezifische Controls: ISO 27001 Annex A Mapping, ISO 42001 und die praktische Integration.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In Lektion 4 hast du konkrete technische und organisatorische Schutzmassnahmen kennengelernt — von Input-Validierung bis Data Governance. Jetzt integrierst du alles in dein ISMS.
Du hast die Massnahmen. Aber wie bringst du sie in dein bestehendes ISMS? Die gute Nachricht: Du musst nicht bei null anfangen. Viele ISO-27001-Controls lassen sich direkt auf KI erweitern.
ISO 27001 Annex A → KI-Mapping
Die wichtigsten ISO-27001-Controls und ihre KI-Erweiterung:
| Annex A Control | Originaler Scope | KI-Erweiterung |
|---|---|---|
| A.5.1 Informationssicherheitsrichtlinie | Allgemeine Richtlinie | + KI-Nutzungsrichtlinie, Shadow-AI-Policy |
| A.5.23 Cloud-Dienste | Cloud-Sicherheit | + KI-Cloud-Anbieter (OpenAI, Azure AI, Google AI) |
| A.8.3 Zugangsbeschraenkung | Datenzugriff | + Zugriff auf Trainingsdaten, Modelle, Inferenz-APIs |
| A.8.9 Konfigurationsmanagement | System-Konfiguration | + Modell-Versionierung, Hyperparameter-Dokumentation |
| A.8.12 Data Leakage Prevention | Datenabfluss | + KI-Output-Filterung, Shadow-AI-Erkennung |
| A.8.16 Monitoring | System-Ueberwachung | + KI-Anomalie-Erkennung, Drift-Monitoring |
| A.8.25 Secure Development | Entwicklungsprozess | + ML-Ops-Security, Pipeline-Haertung |
| A.8.28 Secure Coding | Eingabe-Validierung | + Prompt-Validierung, Output-Filterung |
Drei Kategorien deiner Gap-Analyse
Kategorie 1 — Direkt anwendbar (kein Aufwand):
- A.5.1 Richtlinie → deckt KI, wenn du sie erweiterst
- A.8.3 Zugriffsbeschraenkung → gilt auch fuer Trainingsdaten
- A.8.9 Konfigurationsmanagement → gilt auch fuer Modelle
Kategorie 2 — Erweiterung noetig (moderater Aufwand):
- A.5.23 Cloud-Dienste → spezifische Anforderungen fuer KI-Cloud-Anbieter
- A.8.16 Monitoring → KI-spezifische Metriken hinzufuegen
- A.8.28 Secure Coding → Prompt-Validierung als neue Dimension
Kategorie 3 — Neue Controls noetig (hoher Aufwand):
- KI-Modell-Inventar (kein Annex-A-Aequivalent)
- Bias-Monitoring (kein Annex-A-Aequivalent)
- Erklaerbarkeits-Anforderungen (kein Annex-A-Aequivalent)
- Trainings-Pipeline-Sicherheit (kein Annex-A-Aequivalent)
✅ Quick Check: Warum ist A.8.16 (Monitoring) besonders wichtig fuer KI? (Tipp: KI-Systeme veraendern sich ueber die Zeit — Model Drift, Daten-Drift, schleichende Bias-Verschiebung. Ohne KI-spezifisches Monitoring merkst du das erst, wenn es zu spaet ist.)
ISO 42001: KI-Management-System
ISO 42001 (erschienen Dezember 2023) ist der erste internationale Standard fuer KI-Managementsysteme — und er ergaenzt ISO 27001.
Was ISO 42001 abdeckt, was ISO 27001 nicht abdeckt
| Dimension | ISO 27001 | ISO 42001 |
|---|---|---|
| Sicherheit | ✅ Kernfokus | ✅ Integriert |
| Datenschutz | Teilweise (A.5.34) | ✅ Vertieft (KI-spezifisch) |
| Fairness/Bias | ❌ | ✅ Bias-Monitoring, Fairness-Metriken |
| Transparenz | ❌ | ✅ Erklaerbarkeit, Dokumentation |
| Menschliche Aufsicht | ❌ | ✅ Human-in-the-Loop, Override |
| Lebenszyklus | Teilweise | ✅ Von Entwicklung bis Ausserbetriebnahme |
| Risikobewertung | CIA-Fokus | ✅ KI-Impact-Assessment |
Muss ich ISO 42001 zertifizieren lassen?
Kurze Antwort: Noch nicht Pflicht. Aber:
- EU AI Act verlangt ein Qualitaetsmanagementsystem fuer Hochrisiko-KI (Art. 17) — ISO 42001 ist der naechstliegende Standard
- Harmonisierte Normen fuer den EU AI Act werden voraussichtlich auf ISO 42001 basieren
- Wettbewerbsvorteil: ISO-42001-Zertifizierung signalisiert verantwortungsvolle KI-Nutzung
Praktische ISMS-Erweiterung: 5-Schritte-Plan
Schritt 1: KI-Inventar erstellen
Was hast du? Welche KI-Systeme laufen — offiziell und inoffiziell?
| Feld | Beispiel |
|---|---|
| System-Name | Recruiting-KI |
| Anbieter | Azure AI |
| Risikoklasse (EU AI Act) | Hochrisiko |
| Verantwortlicher | HR-Leitung |
| Daten | Bewerberdaten (personenbezogen) |
| Schutzbedarf | Hoch |
Schritt 2: Gap-Analyse durchfuehren
Fuer jedes KI-System: Welche Annex-A-Controls greifen, welche muessen erweitert werden, welche fehlen?
Schritt 3: KI-Controls definieren
Neue Controls fuer die Luecken:
| Neuer Control | Beschreibung | Mapping |
|---|---|---|
| KI-C1 KI-Inventar | Vollstaendige Liste aller KI-Systeme | EU AI Act Art. 49 |
| KI-C2 Trainings-Pipeline-Sicherheit | Integritaet der Daten-Pipeline | ISO 42001, OWASP LLM |
| KI-C3 Modell-Integritaet | Versionierung, Hashing, Signierung | ISO 42001 |
| KI-C4 Bias-Monitoring | Regelmaessige Fairness-Pruefung | ISO 42001, EU AI Act Art. 10 |
| KI-C5 Erklaerbarkeit | Modellentscheidungen nachvollziehbar machen | EU AI Act Art. 13 |
| KI-C6 Menschliche Aufsicht | Human-in-the-Loop, Override-Mechanismen | EU AI Act Art. 14 |
Schritt 4: Statement of Applicability erweitern
Dein SoA (Statement of Applicability) bekommt einen KI-Abschnitt: Die neuen KI-Controls mit Begruendung, warum sie anwendbar sind.
Schritt 5: Audit-Programm anpassen
Bestehende Audits erweitern:
- Interne Audits: KI-spezifische Prueffragen aufnehmen
- Management-Review: KI-KPIs in die Agenda aufnehmen
- Kontinuierliche Verbesserung: KI-Vorfaelle als Input fuer den PDCA-Zyklus
Key Takeaways
- ISO 27001 Annex A deckt viele KI-Risiken ab — du musst nur den Scope erweitern
- Gap-Analyse zeigt drei Kategorien: direkt anwendbar, erweiterbar, fehlend
- ISO 42001 ergaenzt ISO 27001 um Fairness, Transparenz, Erklaerbarkeit und menschliche Aufsicht
- Der EU AI Act wird voraussichtlich auf ISO 42001 als harmonisierte Norm verweisen
- Fuenf Schritte zur ISMS-Erweiterung: Inventar → Gap-Analyse → KI-Controls → SoA → Audits
Up Next
In der naechsten Lektion geht es um den Ernstfall: Was tun, wenn ein KI-Sicherheitsvorfall eintritt? Vorfallmanagement fuer KI-Systeme.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!