ISO 27001 Zertifizierung: ISMS strukturiert aufbauen
Ein ISMS nach ISO 27001 ist der international anerkannte Nachweis, dass Ihr Unternehmen Informationssicherheit systematisch managt. Die SIKKER GmbH begleitet Sie vom Reifegrad-Assessment bis zum bestandenen Zertifizierungsaudit.
Was ist ein ISMS (Informationssicherheits-Managementsystem)?
Ein Informationssicherheits-Managementsystem (ISMS) ist ein dokumentierter Rahmen aus Richtlinien, Prozessen, Verantwortlichkeiten und Maßnahmen, der den Schutz von Informationswerten systematisch organisiert. ISO 27001 ist der weltweit verbreitetste Standard für diesen Rahmen und definiert, wie Unternehmen Risiken identifizieren, bewerten und behandeln.
Im Unterschied zu punktuellen IT-Sicherheitsmaßnahmen erfasst ein ISMS die gesamte Organisation, ihre Lieferkette und alle Informationswerte, unabhängig davon, ob sie digital oder analog vorliegen. Es verbindet technische, organisatorische und personelle Schutzmaßnahmen zu einem durchgängigen System, das regelmäßig überprüft und weiterentwickelt wird.
Ein ISMS bildet die Grundlage für die meisten regulatorischen Anforderungen in Deutschland. Die Verbindung zur Informationssicherheit als Gesamtkonzept und zum externen Informationssicherheitsbeauftragten als betreibender Rolle ist dabei zentral.
ISO 27001 auf einen Blick
- Standard: ISO/IEC 27001:2022
- Ausgabe: Novelliert Oktober 2022
- Kontrollen: 93 Controls in Annex A (4 Themenbereiche)
- Zertifizierer: Akkreditierte Stellen (z.B. TÜV, DEKRA, DQS)
- Laufzeit: 3 Jahre mit jährlichen Überwachungsaudits
- Synergien: NIS-2, DORA, DSGVO Art. 32, BSI-Grundschutz
Die ISO 27001 Anforderungen: Was der Standard verlangt
ISO 27001 ist in zwei Teile gegliedert: den normativen Hauptteil (Kapitel 4 bis 10) mit den Managementsystem-Anforderungen und den informativen Annex A mit 93 Kontrollen in vier Kategorien. Diese Struktur bildet die Grundlage jeder ISO 27001 Checkliste.
Managementsystem (Kap. 4 bis 10)
- Kontext: Interessierte Parteien, Anwendungsbereich
- Führung: Verpflichtung der Leitung, Informationssicherheitspolitik, Rollen
- Planung: Risikobeurteilung, Risikobehandlung, Statement of Applicability (SoA)
- Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Dokumentation
- Betrieb: Umsetzung der Risikobehandlungspläne
- Bewertung: Interne Audits, Management-Review
- Verbesserung: Korrekturmaßnahmen, kontinuierliche Verbesserung
Annex A: 93 Kontrollen in 4 Kategorien
- A.5: Organisatorische Kontrollen (37)
- A.6: Personenbezogene Kontrollen (8)
- A.7: Physische Kontrollen (14)
- A.8: Technologische Kontrollen (34)
Neu in 2022: Threat Intelligence, Cloud-Sicherheit, ICT-Readiness für Business Continuity, Datenmaskierung und Monitoring.
Nicht alle 93 Kontrollen müssen zwingend umgesetzt werden. Im Statement of Applicability (SoA) dokumentiert das Unternehmen, welche Kontrollen anwendbar sind und warum bestimmte ausgeschlossen wurden. Diese risikobasierte Auswahl ist charakteristisch für den ISO-27001-Ansatz.
ISO 27001 Zertifizierung: Ablauf und Zeitplan
Für mittelständische Unternehmen ohne bestehendes ISMS liegt der realistische Zeitrahmen bis zur Erstzertifizierung bei 9 bis 18 Monaten. Unternehmen mit bereits vorhandenen Sicherheitsmaßnahmen können die ISMS-Implementierung deutlich beschleunigen.
- 1
Reifegrad-Assessment und Scoping
Zu Beginn wird der Geltungsbereich des ISMS definiert: Welche Prozesse, Standorte und IT-Systeme sind eingeschlossen? Eine erste Reifegrad-Analyse zeigt, welche Anforderungen bereits erfüllt sind und wo Lücken bestehen. Das Ergebnis ist ein belastbarer Projektplan mit realistischem Zeitrahmen.
- 2
ISMS aufbauen und dokumentieren
Der Kern des Projekts: Richtlinien formulieren, Prozesse etablieren, Verantwortlichkeiten klären. Risikobeurteilung und Risikobehandlungsplan werden erstellt, das Statement of Applicability (SoA) dokumentiert alle anwendbaren Kontrollen. Interne Schulungen sensibilisieren die Belegschaft.
- 3
Betrieb und Nachweis
Das ISMS muss nachweisbar betrieben werden, bevor ein Audit stattfinden kann. In dieser Phase werden Prozesse gelebt, Vorfälle dokumentiert, Management-Reviews durchgeführt und interne Audits absolviert. Dieser Betriebsnachweis dauert typischerweise drei bis sechs Monate.
- 4
Stage-1-Audit (Dokumentenprüfung)
Der akkreditierte Zertifizierer prüft die ISMS-Dokumentation auf Vollständigkeit und Normkonformität. Festgestellte Lücken werden als Nichtkonformitäten oder Beobachtungen erfasst und müssen vor dem Stage-2-Audit behoben werden.
- 5
Stage-2-Audit und Zertifizierung
Im Stage-2-Audit wird die Wirksamkeit des ISMS vor Ort geprüft. Mitarbeitende werden befragt, Prozesse nachverfolgt, Dokumentation im Betrieb verifiziert. Bei positivem Ausgang folgt die Ausstellung des ISO-27001-Zertifikats mit dreijähriger Gültigkeit. Jährliche Überwachungsaudits halten das Zertifikat aufrecht.
Hinweis: Das ISO 27001 Audit wird auf dieser Seite im Kontext des Zertifizierungsprozesses behandelt. Für eigenständige interne und externe Audits als Dienstleistung steht eine eigene Seite zur Verfügung.
Was kostet eine ISO 27001-Zertifizierung?
Die Gesamtkosten einer ISO 27001-Zertifizierung hängen von drei Faktoren ab: Unternehmensgröße, Ausgangslage und der Wahl des Zertifizierers. Eine pauschale Aussage ist nicht seriös möglich.
Interner Aufwand
Projektzeit der eigenen Mitarbeitenden ist häufig der größte Kostenblock. Richtlinien schreiben, Prozesse dokumentieren, Schulungen durchführen, Audits begleiten. Der tatsächliche Umfang hängt stark von Ausgangslage und Komplexität der IT-Landschaft ab.
Externe Beratung
ISMS-Beratung durch erfahrene Spezialisten beschleunigt den Aufbau und vermeidet kostspielige Fehler im Zertifizierungsprozess. Die Kosten variieren nach Umfang und Ausgangssituation. In einem Erstgespräch skizziert das SIKKER-Team den konkreten Aufwand.
Zertifizierungsaudit
Die Audit-Gebühren akkreditierter Stellen richten sich nach dem Scope und der Unternehmensgröße. Typisch für KMU: Stage-1- und Stage-2-Audit zuzüglich der Jahresgebühren für Überwachungsaudits über den dreijährigen Zertifizierungszyklus.
Wer die Investition in Relation zu möglichen Schäden durch Sicherheitsvorfälle, entgangene Aufträge oder Bußgelder nach NIS-2 betrachtet, kommt in der Regel zu einem klaren Ergebnis. Ein strukturiertes ISMS ist wirtschaftlicher als die Alternative.
Für wen ist ISO 27001 Pflicht?
Eine gesetzliche Zertifizierungspflicht nach ISO 27001 gibt es nicht. In der Praxis ist ein ISMS nach ISO 27001 jedoch in vielen Fällen faktisch unumgänglich.
Pflicht oder faktische Voraussetzung
NIS-2-betroffene Unternehmen
Ein ISMS nach ISO 27001 ist der effizienteste Weg zur Konformität mit den §30-BSIG-Anforderungen. Die meisten der zehn Pflichtmaßnahmen sind durch ISO-27001-Kontrollen bereits abgedeckt.
KRITIS-Betreiber
§8a BSIG fordert angemessene organisatorische und technische Vorkehrungen. ISO 27001 ist die gängigste Umsetzungsgrundlage und wird bei Nachweisverfahren als Stand der Technik akzeptiert.
Lieferanten großer Unternehmen
Viele Konzerne und öffentliche Auftraggeber verlangen eine ISO-27001-Zertifizierung ihrer Zulieferer als Vergabevoraussetzung. Ohne Zertifikat werden Angebote nicht berücksichtigt.
Finanzsektor (DORA)
Für IKT-Drittanbieter von Finanzinstituten ist ein ISMS nach anerkannten Standards faktisch erforderlich. DORA fordert ein umfassendes IKT-Risikomanagement, das ISO 27001 systematisch adressiert.
Sinnvoll auch ohne Pflicht
- Unternehmen mit hohem Datenvolumen oder sensiblen Kundendaten
- Wachsende Unternehmen, die Informationssicherheit skalierbar strukturieren wollen
- Unternehmen, die internationale Märkte erschließen oder Ausschreibungen gewinnen wollen
ISO 9001 und ISO 27001: Gemeinsamkeiten und Unterschiede
Beide Normen folgen der High Level Structure (HLS) der ISO und sind deshalb gut integrierbar. Ihr Gegenstand ist jedoch grundverschieden.
ISO 9001
- Gegenstand: Qualitätsmanagementsystem
- Schutzziel: Produkt- und Dienstleistungsqualität, Kundenzufriedenheit
- Fokus: Prozesssteuerung, Fehlerprävention, kontinuierliche Verbesserung
- Verbreitung: Weltweit häufigste Managementnorm, über 1 Mio. Zertifikate
ISO 27001
- Gegenstand: Informationssicherheits-Managementsystem (ISMS)
- Schutzziel: Vertraulichkeit, Integrität, Verfügbarkeit von Informationen
- Fokus: Risikomanagement für Informationswerte, 93 Sicherheitskontrollen
- Verbreitung: Führende Norm für Informationssicherheit, starkes Wachstum
Unternehmen mit ISO-9001-Zertifikat können viele Grundlagen direkt wiederverwenden: Dokumentenmanagement, Audit-Prozesse, Managementbewertung und das Prinzip der kontinuierlichen Verbesserung. Ein integriertes Managementsystem spart Aufwand in Aufbau und Betrieb.
Was die SIKKER GmbH übernimmt
Den Zertifizierungsablauf oben bringt jedes Projekt mit sich. Welche Aufgaben davon in unserer Verantwortung liegen und wo wir Ihr Team entlasten, zeigt die folgende Übersicht.
Projektstart: Ist-Aufnahme und Projektplan
Wir führen die Gap-Analyse durch, definieren gemeinsam mit Ihnen den Scope und übersetzen das Ergebnis in einen belastbaren Projektplan mit Meilensteinen und Ressourcenbedarf.
Umsetzung: Richtlinien, Risiken, Controls
Wir schreiben die Richtlinien, moderieren die Risikobeurteilung, erstellen das Statement of Applicability und begleiten die Einführung der Controls in Ihre Prozesse. Ihr Team bleibt beteiligt, übernimmt aber keine Dokumentationslast.
Audit-Begleitung und Zertifizierer-Vorbereitung
Wir führen das interne Audit durch, dokumentieren Nichtkonformitäten und steuern die Behebung. Bei Stage-1- und Stage-2-Audit sind wir vor Ort und moderieren den Dialog mit dem Zertifizierer.
Dauerbetrieb und Überwachungsaudits
Nach der Zertifizierung halten wir das ISMS lebendig: als Projektpartner für einzelne Aufgaben oder als externer Informationssicherheitsbeauftragter mit dauerhafter Verantwortung.
Häufig gestellte Fragen
Was kostet eine ISO 27001-Zertifizierung?
Eine seriöse Kostenschätzung ist erst nach einer Gap-Analyse möglich, da die Ausgangssituation den Aufwand maßgeblich beeinflusst. Ausschlaggebend sind Unternehmensgröße, Geltungsbereich und gewählter Zertifizierer. Wir skizzieren den konkreten Rahmen in einem Erstgespräch.
Für wen ist ISO 27001 Pflicht?
Eine gesetzliche Zertifizierungspflicht nach ISO 27001 gibt es im strengen Sinne nicht. Faktisch ist sie jedoch in vielen Fällen unumgänglich: NIS-2-betroffene Unternehmen, KRITIS-Betreiber und IKT-Dienstleister von Finanzinstituten (DORA) müssen ein ISMS nachweisen, das anerkannten Standards entspricht. Hinzu kommen vertragliche Anforderungen von Auftraggebern, die eine Zertifizierung als Vergabevoraussetzung fordern.
Wie lange dauert der Aufbau eines ISMS nach ISO 27001?
Für ein mittelständisches Unternehmen ohne bestehendes ISMS sind 9 bis 18 Monate bis zur Erstzertifizierung realistisch. Wesentliche Einflussfaktoren sind die Komplexität der IT-Landschaft, die Unternehmensgröße und die internen Ressourcen für das Projekt. Unternehmen mit bereits etablierten Sicherheitsprozessen können den Zeitrahmen deutlich verkürzen.
Was ist der Unterschied zwischen ISO 27001 und BSI-Grundschutz?
ISO 27001 ist ein internationaler Standard mit risikobasiertem Ansatz. Das Unternehmen wählt selbst, welche der 93 Controls anwendbar sind, und begründet die Auswahl im Statement of Applicability. Der BSI-Grundschutz ist ein deutsches Rahmenwerk mit detaillierten Bausteinbeschreibungen und konkreten Umsetzungsempfehlungen. Viele Unternehmen nutzen den Grundschutz als methodische Hilfe bei der Risikoanalyse, streben aber eine ISO-27001-Zertifizierung an, da diese international anerkannt ist.
Muss das gesamte Unternehmen in den ISO-27001-Scope?
Nein. Der Geltungsbereich (Scope) des ISMS kann auf bestimmte Prozesse, Standorte oder Geschäftsbereiche beschränkt werden. Eine sorgfältige Scope-Definition ist eine der ersten und wichtigsten Entscheidungen im Zertifizierungsprojekt. Ein zu eng gefasster Scope kann die Aussagekraft des Zertifikats einschränken, ein zu weit gefasster Scope erhöht den Aufwand erheblich.
Hilft ein bestehendes ISO-27001-ISMS bei der NIS-2-Umsetzung?
Erheblich. Die Kontrollen der ISO 27001:2022 decken den überwiegenden Teil der zehn Pflichtmaßnahmen nach §30 BSIG ab. Risikoanalyse, Business Continuity, Zugriffskontrollen, Kryptografie und Incident-Management sind in beiden Regelwerken verankert. Eine gezielte Gap-Analyse zeigt den verbleibenden Anpassungsbedarf, etwa die BSI-Registrierung oder die 24-Stunden-Meldepflicht, die ISO 27001 nicht direkt adressiert.
Verwandte Leistungen
Ein ISMS steht selten allein. Diese Leistungen ergänzen den ISO-27001-Aufbau sinnvoll.
Informationssicherheit
Grundlagen, Schutzziele und regulatorische Anforderungen. Die Übersichtsseite zur Informationssicherheit für den Mittelstand.
Mehr erfahrenInterne und externe Audits
ISO-27001-Audits, Lieferantenaudits und IT-Sicherheitsaudits. Wir prüfen, dokumentieren und bereiten auf Zertifizierungsaudits vor.
Mehr erfahrenExterner Informationssicherheitsbeauftragter
Den ISMS-Betrieb langfristig absichern: Wir übernehmen die ISB-Rolle als externer Dienstleister, ISO-27001-konform und praxiserprobt.
Mehr erfahrenIhr Partner für ISMS-Beratung und ISO 27001 Zertifizierung
Die SIKKER GmbH berät mittelständische Unternehmen in ganz Deutschland beim Aufbau und der Zertifizierung von Informationssicherheits-Managementsystemen nach ISO 27001. Unser Team verbindet normatives Fachwissen mit Praxiserfahrung aus Projekten unterschiedlicher Branchen und Unternehmensgrößen.
Von der Gap-Analyse über den ISMS-Aufbau bis zur Audit-Vorbereitung: Wir begleiten den gesamten Zertifizierungsprozess und bleiben als Partner für Überwachungsaudits und kontinuierliche Verbesserung an Ihrer Seite. Mehr über unser Team erfahren.
SIKKER GmbH
Informationssicherheit, Datenschutz & Compliance
ISO 27001 Zertifizierung strukturiert angehen
Wir analysieren Ihre Ausgangssituation, definieren einen realistischen Projektplan und begleiten Sie bis zum Zertifizierungsaudit. Sprechen Sie mit unserem Team.
Jetzt Kontakt aufnehmen