Start
ÜbersichtOnline-KurseLive-Trainings & BootcampsISO 27001Penetration TestingSecurity AwarenessIT-Audit & Compliance
ÜbersichtSecurity-AuditsISO 27001Penetration TestingTeam-SchulungenBeratungReferenzen
ÜbersichtBlogGuidesGlossarRessourcenWebinare
ÜbersichtTeam & ExpertiseAkkreditierung & PartnerZertifizierungKarriere
Compliance

ISO 27001 — der Weg zur Zertifizierung in der Praxis

03.02.2026 · 11 Min. Lesezeit · Cyberphant Redaktion

Eine ISO-27001-Zertifizierung schafft Vertrauen und öffnet Türen. Wir erklären Schritt für Schritt, wie der Weg dorthin aussieht und wo die typischen Stolpersteine liegen.

Was ISO 27001 eigentlich verlangt

ISO 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme, kurz ISMS. Der Standard schreibt nicht im Detail vor, welche technischen Produkte Sie einsetzen müssen. Stattdessen verlangt er, dass Sie Informationssicherheit systematisch, risikobasiert und nachweisbar steuern. Das ist ein wichtiger Unterschied: Zertifiziert wird nicht ein einzelnes Tool, sondern die Art und Weise, wie Ihre Organisation Risiken erkennt, bewertet und behandelt.

Im Kern fordert der Standard einen kontinuierlichen Kreislauf aus Planen, Umsetzen, Prüfen und Verbessern. Dieser Gedanke zieht sich durch alle Anforderungen und unterscheidet ein gelebtes Managementsystem von einer reinen Dokumentensammlung.

Geltungsbereich und Unterstützung der Leitung

Am Anfang jedes erfolgreichen Projekts stehen zwei Entscheidungen. Erstens: die Festlegung des Geltungsbereichs, also welche Standorte, Prozesse und Systeme das ISMS umfasst. Ein zu breiter Geltungsbereich überfordert die Organisation, ein zu enger verliert an Glaubwürdigkeit. Zweitens: die sichtbare Unterstützung der Geschäftsleitung. Ohne klares Mandat, ausreichende Ressourcen und Rückhalt von oben scheitern ISMS-Projekte regelmässig.

Die Leitung muss nicht nur ein Budget freigeben, sondern Informationssicherheit als strategisches Thema verstehen und vorleben. In den Audits wird genau dieses Engagement geprüft.

Risikobewertung als Herzstück

Das zentrale Element von ISO 27001 ist die Risikobewertung. Sie identifizieren Ihre schützenswerten Informationswerte, bewerten Bedrohungen und Schwachstellen und legen fest, wie Sie mit den ermittelten Risiken umgehen. Auf dieser Grundlage wählen Sie geeignete Massnahmen aus dem Anhang A des Standards aus und begründen, warum bestimmte Massnahmen anwendbar sind oder nicht.

Dieses Vorgehen sorgt dafür, dass Ihre Investitionen dort ankommen, wo sie den grössten Nutzen stiften. Statt pauschal alle denkbaren Kontrollen umzusetzen, konzentrieren Sie sich auf das, was für Ihre spezifische Risikolage relevant ist.

  • Inventarisierung der relevanten Informationswerte und ihrer Verantwortlichen.
  • Bewertung von Eintrittswahrscheinlichkeit und möglichem Schaden je Risiko.
  • Entscheidung über Behandlung: vermeiden, vermindern, übertragen oder bewusst akzeptieren.
  • Dokumentation in einer nachvollziehbaren Anwendbarkeitserklärung.

Dokumentation und gelebte Prozesse

ISO 27001 verlangt eine Reihe dokumentierter Informationen: Leitlinien, Verfahren, Nachweise und Aufzeichnungen. Viele Organisationen unterschätzen diesen Aufwand und überschätzen gleichzeitig die Bedeutung perfekter Dokumente. Entscheidend ist nicht der Umfang der Ordner, sondern ob die beschriebenen Prozesse tatsächlich gelebt werden.

Ein Auditor erkennt schnell, ob eine Richtlinie nur für die Zertifizierung geschrieben wurde oder ob die Mitarbeitenden danach handeln. Halten Sie die Dokumentation deshalb so schlank wie möglich und so ausführlich wie nötig.

Interne Audits und Management-Review

Bevor eine externe Stelle Ihr ISMS prüft, müssen Sie es selbst auf den Prüfstand stellen. Interne Audits decken Lücken auf, solange noch Zeit zur Korrektur bleibt. Das anschliessende Management-Review bringt die Ergebnisse vor die Leitung und stellt sicher, dass notwendige Entscheidungen getroffen und Ressourcen bereitgestellt werden.

Diese internen Prüfungen sind keine lästige Pflicht, sondern eine wertvolle Generalprobe. Organisationen, die ihre internen Audits ernst nehmen, gehen deutlich gelassener in die Zertifizierung.

Der Ablauf der Zertifizierung

Die eigentliche Zertifizierung erfolgt durch eine akkreditierte Stelle in zwei Stufen. In Stufe eins prüft der Auditor die Dokumentation und die grundsätzliche Reife Ihres ISMS. In Stufe zwei wird vor Ort geprüft, ob die Prozesse in der Praxis funktionieren. Nach erfolgreichem Abschluss erhalten Sie ein Zertifikat, das in der Regel drei Jahre gültig ist und durch jährliche Überwachungsaudits begleitet wird.

Wichtig ist die Erkenntnis, dass die Zertifizierung kein Endpunkt ist. Das ISMS muss kontinuierlich gepflegt und verbessert werden. Genau diese Dauerhaftigkeit unterscheidet eine echte Sicherheitskultur von einem einmaligen Projekt.

  • Stufe eins: Prüfung der Dokumentation und der ISMS-Reife.
  • Stufe zwei: Vor-Ort-Prüfung der gelebten Prozesse.
  • Jährliche Überwachungsaudits während der Gültigkeit.
  • Rezertifizierung in der Regel nach drei Jahren.

Vertiefen Sie dieses Thema

Unsere Kurse machen aus Wissen nachweisbare Kompetenz — mit verifizierbarem Zertifikat.

Zu den KursenWeitere Artikel