Kostenlos testen

ISO 27001 Zertifizierung Schritt für Schritt: praktischer Leitfaden für Unternehmen

ISO/IEC 27001 ist die weltweit anerkannteste Norm für das Management der Informationssicherheit. Das Zertifikat wird immer häufiger von Kunden in Ausschreibungen, von Versicherern sowie durch Regulierungen wie NIS2 oder DORA verlangt. Hier ist ein realistischer Blick darauf, wie die Zertifizierung abläuft — ohne Beratermarketing.

Phase 1: Geltungsbereich und Kontext (1–2 Wochen)

Definieren Sie, was das Managementsystem für Informationssicherheit (ISMS) abdecken soll: welche Prozesse, Standorte und Systeme. Ein kleinerer Geltungsbereich bedeutet eine schnellere Zertifizierung — die meisten Unternehmen beginnen mit der gesamten Organisation oder einer Kernleistung. Das Ergebnis ist ein Dokument zum Geltungsbereich des ISMS und eine Analyse des Kontexts der Organisation (Kapitel 4 der Norm).

Phase 2: Risikoanalyse und SoA (2–4 Wochen)

Der Kern der gesamten Norm. Sie identifizieren Informationswerte (Daten, Systeme, Personen), bewerten die Risiken nach Eintrittswahrscheinlichkeit und Auswirkung und entscheiden über deren Behandlung. Auf die Risiken folgt die Erklärung zur Anwendbarkeit (SoA) — ein Dokument, das für alle 93 Controls des Anhangs A angibt, ob sie anwendbar sind und warum. Die SoA ist das Erste, was der Auditor aufschlägt.

Phase 3: Dokumentation (traditionell 2–4 Monate, mit Automatisierung Tage)

Die Norm verlangt ein dokumentiertes System: Informationssicherheitsrichtlinie, Zugriffsmanagement, Incident-Management, Betriebskontinuität, Lieferanten, Schulungen und mehr. Traditionell ist dies die arbeitsintensivste Phase — ein Berater verlangt dafür 10.000 € und mehr, Vorlagen-Toolkits liefern Ihnen generische englische Muster zum manuellen Ausfüllen.

Genau diese Phase kann ISOForge heute automatisieren: Auf Basis eines kurzen Fragebogens zu Ihrem Unternehmen generiert es die komplette, auf Ihre Organisation zugeschnittene Dokumentation, auf Deutsch und mit konsistenten Querverweisen. Laden Sie ein Musterdokument herunter und beurteilen Sie die Qualität selbst.

Phase 4: Umsetzung und Betrieb (2–3 Monate)

Die Dokumente müssen leben: Führen Sie die Maßnahmen ein, schulen Sie die Mitarbeitenden (verpflichtende jährliche Awareness-Schulung), starten Sie das Vorfallsverzeichnis und sammeln Sie Aufzeichnungen — Nachweise, dass das System funktioniert. Der Auditor wird mindestens 2–3 Monate Betrieb sehen wollen.

Phase 5: Internes Audit und Managementbewertung

Vor dem Zertifizierungsaudit müssen Sie verpflichtend ein internes Audit (Kapitel 9.2) und eine Managementbewertung (Kapitel 9.3) durchführen. Feststellungen aus dem internen Audit behandeln Sie über Korrekturmaßnahmen. Ohne diese beiden Schritte schickt Sie die Zertifizierungsstelle wieder nach Hause.

Phase 6: Zertifizierungsaudit

Es läuft in zwei Stufen ab: Stage 1 ist die Prüfung der Dokumentation und der Bereitschaft, Stage 2 ist das tiefgehende Audit der Systemfunktion vor Ort. Der Auditor klassifiziert die Feststellungen als große Nichtkonformitäten (blockieren das Zertifikat), kleine Nichtkonformitäten (bis zum vereinbarten Termin zu beheben) und Empfehlungen. Die Zertifizierungsstelle wählen Sie selbst — sie muss akkreditiert sein (in Deutschland durch die DAkkS).

Nach der Zertifizierung: hier endet nichts

Das Zertifikat gilt 3 Jahre, aber jedes Jahr absolvieren Sie ein Überwachungsaudit und nach drei Jahren die Rezertifizierung. Dokumente erfordern jährliche Überprüfungen, Risiken eine regelmäßige Neubewertung, Schulungen wiederholen sich. Die meisten Unternehmen unterschätzen gerade die Pflege — und sammeln im Überwachungsaudit Nichtkonformitäten wegen abgelaufener Dokumente und fehlender Aufzeichnungen. Der Compliance-Kalender mit Erinnerungen, das lebende Risikoregister und die Verfolgung von Dokumentenrevisionen in ISOForge lösen genau das.

Kosten: ein realistisches Budget

Die häufigsten Fehler

  1. Ein zu breiter Geltungsbereich des ISMS beim ersten Anlauf.
  2. Dokumentation, die von der Realität des Unternehmens losgelöst ist — Auditoren erkennen das sofort.
  3. Keine Aufzeichnungen — ein System „auf dem Papier" ohne Nachweise der Funktion.
  4. Vergessenes internes Audit und vergessene Managementbewertung.
  5. Unterschätzte Pflege nach der Zertifizierung.
Benötigen Sie ISO-Dokumentation?

ISOForge erstellt audit-fähige Dokumentation, zugeschnitten auf Ihr Unternehmen — auf Deutsch, zu einem Bruchteil der Beraterkosten.

Mehr erfahren