Start
ÜbersichtOnline-KurseLive-Trainings & BootcampsISO 27001Penetration TestingSecurity AwarenessIT-Audit & Compliance
ÜbersichtSecurity-AuditsISO 27001Penetration TestingTeam-SchulungenBeratungReferenzen
ÜbersichtBlogGuidesGlossarRessourcenWebinare
ÜbersichtTeam & ExpertiseAkkreditierung & PartnerZertifizierungKarriere
Fortgeschritten · 15 Min. Lesezeit

ISO 27001 einführen: Roadmap und Stolpersteine

Ein realistischer Weg zur Zertifizierung eines Information Security Management Systems. Welche Phasen anstehen, wo Projekte typischerweise scheitern und wie Sie das vermeiden.

Was ISO 27001 wirklich verlangt

ISO 27001 ist der internationale Standard für Information Security Management Systeme, kurz ISMS. Der Standard schreibt keine konkreten Technologien vor, sondern einen Managementprozess: Risiken systematisch erfassen, behandeln und kontinuierlich verbessern.

Viele Projekte missverstehen das als reine Dokumentationsübung. Tatsächlich geht es darum, Informationssicherheit dauerhaft im Unternehmen zu verankern. Eine Zertifizierung bestätigt nur, dass dieser Prozess gelebt wird.

Phase 1: Vorbereitung und Geltungsbereich

Zu Beginn wird der Geltungsbereich festgelegt, also welche Teile des Unternehmens das ISMS abdeckt. Ein zu breiter Geltungsbereich überfordert das Projekt, ein zu enger entwertet die Zertifizierung. Hier ist Augenmass gefragt.

Ebenso wichtig ist die Rückendeckung der Leitung. Ohne sichtbares Engagement der Geschäftsführung versanden ISMS-Projekte regelmässig, weil ihnen Ressourcen und Autorität fehlen.

  • Definieren Sie den Geltungsbereich klar und begründet.
  • Sichern Sie sich ein verbindliches Bekenntnis der Leitung, auch zu Budget und Personal.
  • Benennen Sie eine verantwortliche Person für das ISMS mit ausreichend Zeit für die Aufgabe.

Phase 2: Risikobewertung

Das Herzstück von ISO 27001 ist die Risikobewertung. Hier identifizieren Sie, welche Werte schützenswert sind, welchen Bedrohungen sie ausgesetzt sind und wie wahrscheinlich und schwerwiegend ein Schaden wäre.

Auf Basis dieser Bewertung entscheiden Sie, wie Sie mit jedem Risiko umgehen: vermeiden, vermindern, übertragen oder bewusst akzeptieren. Diese Entscheidungen müssen nachvollziehbar dokumentiert sein.

  • Wählen Sie eine konsistente Methode zur Risikobewertung und wenden Sie sie einheitlich an.
  • Beziehen Sie die Fachbereiche ein, denn sie kennen die realen Abläufe und Risiken am besten.
  • Dokumentieren Sie die Entscheidung zu jedem Risiko und deren Begründung.

Phase 3: Massnahmen und Dokumentation

Aus der Risikobewertung leiten sich die Massnahmen ab. Der Standard liefert dafür im Anhang einen Katalog von Sicherheitsmassnahmen, aus dem Sie die für Ihre Risiken passenden auswählen und begründen, welche Sie weglassen.

Die geforderte Dokumentation sollte schlank und nutzbar sein. Richtlinien, die niemand liest, schaffen keine Sicherheit. Schreiben Sie so, dass die Inhalte im Alltag wirklich angewendet werden können.

  • Leiten Sie Massnahmen direkt aus den bewerteten Risiken ab, nicht aus dem Bauchgefühl.
  • Erstellen Sie eine Erklärung zur Anwendbarkeit, die die Auswahl der Massnahmen begründet.
  • Halten Sie Dokumente knapp und praxisnah, damit sie tatsächlich gelebt werden.

Phase 4: Betrieb und interne Audits

Bevor die externe Zertifizierung ansteht, muss das ISMS eine Weile gelebt haben. Interne Audits prüfen, ob die Massnahmen wirken und eingehalten werden. Eine Managementbewertung stellt sicher, dass die Leitung den Stand kennt und steuert.

Dieser Betrieb erzeugt Nachweise, etwa Protokolle, Auditberichte und Schulungsnachweise. Diese Aufzeichnungen sind später die Grundlage, auf der die externen Auditoren urteilen.

  • Führen Sie interne Audits durch und behandeln Sie festgestellte Abweichungen nachvollziehbar.
  • Halten Sie regelmässige Managementbewertungen ab und dokumentieren Sie die Ergebnisse.
  • Sammeln Sie Nachweise konsequent, statt sie kurz vor dem Audit zu rekonstruieren.

Phase 5: Zertifizierungsaudit

Das externe Audit erfolgt in zwei Stufen: einer Prüfung der Dokumentation und einer vertieften Prüfung der gelebten Praxis vor Ort. Werden Abweichungen festgestellt, erhalten Sie Gelegenheit, diese zu beheben.

Nach erfolgreicher Zertifizierung beginnt der eigentliche Daueraufwand: Überwachungsaudits in den Folgejahren und eine Rezertifizierung nach Ablauf der Geltungsdauer. ISO 27001 ist kein Endzustand, sondern ein dauerhafter Zyklus.

Die häufigsten Stolpersteine

Aus vielen Projekten lassen sich wiederkehrende Fehler ableiten. Wer sie kennt, kann sie umgehen.

  • Dokumentation als Selbstzweck: Ordner voller Richtlinien ohne gelebte Praxis überzeugen kein Audit.
  • Fehlende Rückendeckung der Leitung, wodurch dem Projekt Ressourcen und Verbindlichkeit entzogen werden.
  • Zu grosser Geltungsbereich zu Beginn, der das Team überfordert.
  • Risikobewertung ohne Einbindung der Fachbereiche, die an der Realität vorbeigeht.
  • Unterschätzter Daueraufwand nach der Zertifizierung.

Setzen Sie dieses Wissen in die Praxis um

Unsere Kurse begleiten Sie Schritt für Schritt — mit Praxisübungen und verifizierbarem Zertifikat.

Zu den KursenWeitere Guides