Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

ISO 27001 strukturiert erreichen.

Von der Gap-Analyse über das Statement of Applicability bis zur Auditbegleitung: Wir bringen Struktur in Ihre Zertifizierung.

ISMS Audit Risikomanagement ISO 27701
93
Annex Controls
4
Kategorien: Organisatorisch, Personen, Physisch, Technologisch
4 Schritte
Assessment, Design, Umsetzung, Zertifizierung
3 Jahre
Zertifikatslaufzeit
Was wir leisten

Von der Gap-Analyse zum Zertifikat.

ISO 27001:2022 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme. Ein Zertifikat öffnet Türen bei Enterprise-Kunden, Cloud-Anforderungen und regulatorischen Pflichten.

Wir kennen das Framework und alle 93 Annex-A-Controls aus der Praxis und bereiten Sie so vor, dass Sie optimal auf das Audit vorbereitet sind. Vom ersten Assessment bis zur Übergabe des Zertifikats.

ISO 27001:2022 Annex A Controls

37 organisatorische Controls : Policies, Rollen, Lieferanten
8 personenbezogene Controls : Schulung, Awareness, Screening
14 physische Controls : Zugang, Räume, Equipment
34 technologische Controls : Access, Crypto, Logging, Backup
Statement of Applicability (SoA) für alle Controls
Verzahnung mit Risikomanagement und ISMS-Dokumentation
Leistungsumfang

Was wir für Sie übernehmen.

Zertifizierungsvorbereitung

  • Gap-Analyse zum aktuellen ISMS-Stand
  • Scope & Geltungsbereich definieren
  • Statement of Applicability (SoA) erstellen
  • Risikokriterien, -bewertung und -behandlung

Dokumentation & Nachweise

  • ISMS-Richtlinie und Prozessbeschreibungen
  • Dokumentenlenkung: Policies, Logs, Reports
  • Audit-Checklisten und Nachweisverwaltung
  • Schulungsunterlagen und Zertifikate

Audit-Support

  • Internes Audit vor der Zertifizierung
  • Management-Review und Behandlungspläne
  • Auditor-Briefing und Vorbereitung auf Fragen
  • Begleitung während des Zertifizierungsaudits

Zertifizierung

  • Umsetzung von Audit-Findings
  • Vorbereitung auf Überwachungsaudits (jährlich)
  • Laufende ISMS-Pflege und Dokumentationsaktualisierung
  • Rezertifizierungsvorbereitung (nach 3 Jahren)
Vorgehensweise

Strukturiert zum Zertifikat.

01

Assessment

Gap-Analyse zum aktuellen ISMS-Standard.

02

Design

SoA, Risiken, Controls und Dokumentationsstruktur aufbauen.

03

Umsetzung

Maßnahmen implementieren, Nachweise aufbauen, internes Audit.

04

Zertifizierung

Auditbegleitung, Findings nachverfolgen, Zertifikat erhalten.

FAQ

Häufige Fragen zur ISO 27001 Zertifizierung.

Verwandte Themen

Ein ISMS ist das Managementsystem selbst: die Gesamtheit aller Richtlinien, Prozesse und Maßnahmen, mit denen ein Unternehmen seine Informationssicherheit steuert und kontinuierlich verbessert. Die ISO 27001 Zertifizierung ist der externe Nachweis durch eine akkreditierte Stelle, dass dieses ISMS den Normanforderungen entspricht. Beides ist voneinander unabhängig: Ein ISMS lässt sich aufbauen und betreiben, ohne eine Zertifizierung anzustreben.

Eine Zertifizierung ist sinnvoll, wenn ein unabhängiger Nachweis gefordert oder erwartet wird, etwa bei Enterprise-Kundenanforderungen, Cloud-Dienstleisterverträgen oder regulatorischen Vorgaben wie NIS2 und DORA. Viele Unternehmen zertifizieren sich aber auch, um ihre Position im Markt aktiv zu stärken: Ein Zertifikat signalisiert nach außen, dass Informationssicherheit kein Lippenbekenntnis ist. Eine gesetzliche Pflicht zur Zertifizierung gibt es in Deutschland nicht.

Die Dauer hängt von der Ausgangssituation ab. Bei einem Unternehmen ohne bestehendes ISMS rechnen wir typischerweise mit 12 bis 18 Monaten von der Gap-Analyse bis zur Zertifizierung, ISMS-Aufbau eingeschlossen. Wer bereits ein funktionierendes ISMS betreibt, kommt deutlich schneller ans Ziel.

Die Zertifizierung gliedert sich in zwei Auditstufen, deren Dauer in ISO 27006 normiert ist und mit der Unternehmensgröße skaliert. Stage 1 ist eine Dokumentenprüfung: Der Auditor der Zertifizierungsstelle prüft, ob die ISMS-Dokumentation die Normanforderungen vollständig abdeckt. Stage 2 ist das eigentliche Vor-Ort-Audit, bei dem die Umsetzung und Wirksamkeit des ISMS geprüft werden. Bei erfolgreichem Abschluss wird das Zertifikat ausgestellt.

Das Zertifikat hat eine Laufzeit von 3 Jahren. In dieser Zeit finden jährliche Überwachungsaudits statt, die die kontinuierliche Konformität prüfen. Nach 3 Jahren ist ein vollständiges Rezertifizierungsaudit erforderlich.

ISO 27001 ist die zertifizierbare Norm und legt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest. ISO 27002 ist ein ergänzender Leitfaden, der die 93 Annex-A-Controls mit Umsetzungshinweisen beschreibt. Zertifiziert wird ausschließlich nach ISO 27001. ISO 27002 dient als Implementierungshilfe.

Eine ISO 27001-Zertifizierung deckt wesentliche Teile der Anforderungen aus NIS2 und DORA ab, ersetzt diese aber nicht vollständig. NIS2 und DORA haben spezifische Meldepflichten, Drittanbieter-Anforderungen und Governance-Vorgaben, die über ISO 27001 hinausgehen. Ein zertifiziertes ISMS ist jedoch eine sehr gute Ausgangsbasis für beide Regulierungsrahmen.

Die Kosten hängen von der Unternehmensgröße, dem bestehenden Sicherheitsstand und dem Leistungsumfang ab. Nach einem kostenlosen Erstgespräch erstellen wir eine transparente Aufwandsschätzung.

ISO 27001 Zertifikat: strukturiert und sicher.

Lassen Sie uns besprechen, wie auch Sie systematisch zur Zertifizierung kommen.

Kostenloses Erstgespräch buchen