ISO/IEC 27001 ist der international anerkannte Standard für ein Informationssicherheits-Managementsystem, kurz ISMS. Für mittelständische Unternehmen wird die Norm zunehmend zum Thema: Kunden fragen sie in Ausschreibungen ab, Lieferketten setzen sie voraus, und auch regulatorische Entwicklungen rücken Informationssicherheit stärker in den Fokus. Dieser Leitfaden zeigt Ihnen, wie eine Einführung in der Praxis abläuft – verständlich gegliedert in sechs Schritte.
Vorab: Was wir leisten – und was nicht
Damit von Anfang an Klarheit herrscht: Wir begleiten und beraten Sie bei der Einführung und machen Ihr ISMS auditfähig. Das eigentliche Zertifikat stellt jedoch ausschließlich eine akkreditierte Zertifizierungsstelle aus. Diese Trennung ist in der Norm so vorgesehen – eine Stelle, die Sie berät, darf Sie nicht auch zertifizieren. Wir bereiten Sie also auf das Audit vor, sind aber nicht die zertifizierende Instanz.
Was ISO 27001 im Kern verlangt
Die Norm fordert kein bestimmtes Werkzeug und keine bestimmte Software. Sie verlangt einen nachvollziehbaren, gelebten Prozess: Sie betrachten Ihre Informationswerte, bewerten Risiken, leiten passende Maßnahmen ab und verbessern das System kontinuierlich. Die aktuelle Fassung ISO/IEC 27001:2022 führt im Anhang A einen Katalog an Sicherheitsmaßnahmen auf, der Ihnen als Referenz dient. Welche davon für Sie relevant sind, entscheiden Sie risikobasiert – nicht pauschal.
In 6 Schritten zum auditfähigen ISMS
Schritt 1: Kontext klären und Geltungsbereich festlegen
Am Anfang steht die Frage, was überhaupt geschützt werden soll. Sie klären den Kontext Ihres Unternehmens, benennen interessierte Parteien wie Kunden, Partner und Behörden und legen den Geltungsbereich (Scope) fest. Der Scope grenzt ab, welche Standorte, Prozesse und Systeme das ISMS umfasst. Ein realistisch geschnittener Geltungsbereich ist entscheidend: zu weit gefasst wird das Projekt unhandlich, zu eng gefasst verliert das Zertifikat an Aussagekraft.
Schritt 2: Gap-Analyse – wo stehen Sie heute?
In der Gap-Analyse vergleichen wir den Ist-Zustand mit den Anforderungen der Norm. Vieles ist in der Praxis bereits vorhanden – etwa Backup-Routinen, Zugriffsregelungen oder Notfallkontakte –, aber oft nicht dokumentiert oder nicht einheitlich gelebt. Das Ergebnis ist eine strukturierte Übersicht der Lücken und eine erste Einschätzung des Aufwands. So wissen Sie früh, wo Sie aufbauen können und wo Handlungsbedarf besteht.
Schritt 3: Risikoanalyse
Den Kern bildet die Risikoanalyse. Sie identifizieren Ihre wichtigen Informationswerte, betrachten mögliche Bedrohungen und Schwachstellen und bewerten Eintrittswahrscheinlichkeit und Auswirkung. Daraus ergibt sich eine Priorisierung: Welche Risiken tragen Sie bewusst, welche reduzieren Sie, welche vermeiden oder verlagern Sie? Wichtig ist eine nachvollziehbare Methodik, die Sie auch in Folgejahren wiederholbar anwenden können.
Schritt 4: Maßnahmen festlegen und Erklärung zur Anwendbarkeit
Aus der Risikobewertung leiten Sie konkrete Maßnahmen ab. Die Norm verlangt dafür die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA). Darin dokumentieren Sie für jede Maßnahme aus dem Anhang A, ob sie anwendbar ist und mit welcher Begründung. Die SoA ist ein zentrales Dokument im Audit, weil sie zeigt, dass Ihre Entscheidungen begründet und nicht zufällig getroffen wurden. Technische, organisatorische und personelle Maßnahmen greifen dabei ineinander.
Schritt 5: Dokumentation und Schulung
Ein ISMS lebt von Menschen, nicht von Papier allein. Dennoch braucht es Richtlinien, Verfahrensanweisungen und Nachweise in angemessenem Umfang – so schlank wie möglich, so ausführlich wie nötig. Parallel sensibilisieren Sie Ihre Mitarbeitenden: Wer Risiken kennt und Abläufe versteht, setzt Sicherheitsmaßnahmen im Alltag um. Schulungen und klare Verantwortlichkeiten sorgen dafür, dass das System nicht nur auf dem Papier existiert.
Schritt 6: Internes Audit und Zertifizierungsaudit
Vor dem externen Audit prüfen Sie Ihr ISMS selbst. Im internen Audit kontrollieren Sie, ob die festgelegten Prozesse wirken und ob Aufzeichnungen vollständig sind. Festgestellte Abweichungen beheben Sie und dokumentieren die Korrekturen. Anschließend folgt das Zertifizierungsaudit durch eine akkreditierte Stelle, üblicherweise in zwei Stufen: Dokumentenprüfung und Vor-Ort-Bewertung. Danach beginnt der Regelbetrieb mit jährlichen Überwachungsaudits.
Wie viel Zeit sollten Sie einplanen?
Eine pauschale Dauer lässt sich seriös nicht nennen, weil sie von Größe, Scope und vorhandenem Reifegrad abhängt. Entscheidend ist weniger das Tempo als die Tragfähigkeit: Ein ISMS, das zu Ihren Abläufen passt, lässt sich dauerhaft betreiben. Wir empfehlen, früh mit der Gap-Analyse zu starten, um eine belastbare Aufwandsschätzung zu erhalten.
ISO 27001 und NIS2
Häufig kommt ISO 27001 im Zusammenhang mit der NIS2-Richtlinie zur Sprache. Ein etabliertes ISMS kann Ihnen helfen, sich auf erhöhte Sicherheitsanforderungen vorzubereiten. Ob und in welchem Umfang Sie von NIS2 betroffen sind, ist allerdings eine rechtliche Frage. Unsere Hinweise dienen der Orientierung und ersetzen keine Rechtsberatung – ziehen Sie hierfür bitte fachkundigen juristischen Rat hinzu. Mehr dazu finden Sie auf unserer Seite zur NIS2-Beratung.
So unterstützen wir Sie
Wir begleiten Sie von der ersten Einschätzung bis zur Auditreife und arbeiten dabei eng mit Ihrem Team zusammen. Einen Überblick erhalten Sie auf unseren Seiten zur ISO-27001-Beratung und zur IT-Sicherheit. Sprechen Sie uns gern an – telefonisch unter +49 6254 5420028, per E-Mail an mail@jabi-it.de oder über unser Kontaktformular.