Wer vor einer ISO-27001-Zertifizierung steht, hat am Anfang oft denselben Gedanken: Wo fangen wir jetzt eigentlich sinnvoll an?
Genau hier machen viele Unternehmen den ersten Fehler. Sie denken zu früh an den Auditor, zu früh an Dokumente oder zu früh an einzelne Maßnahmen. Der bessere Weg ist, das Thema als Projekt mit klarem Ziel zu behandeln und die Schritte in eine sinnvolle Reihenfolge zu bringen. Denn ISO 27001 ist kein loses Bündel aus Richtlinien, sondern ein Managementsystem, das aufgebaut, umgesetzt, betrieben und verbessert werden muss.
Die kurze Antwort
Wenn Sie es sauber und pragmatisch angehen wollen, dann denken Sie den Weg zum Zertifikat in diesen sieben Schritten:
- Ziel und Anlass klären;
- Projekt sauber aufsetzen;
- sehr wichtig: Scope festlegen;
- ISMS aufbauen und umsetzen;
- Zertifizierer auswählen und Termine planen;
- Internes Audit und Management Review durchführen
- Stage 1, Stage 2 und Zertifikat.
Genau diese Reihenfolge ist in der Praxis oft tragfähiger als der Reflex "erst mal einen Zertifizierer suchen und dann schauen wir weiter".
Schritt 1: Ziel und Anlass klären
Bevor Sie irgendetwas aufsetzen, sollten Sie die einfachste Frage zuerst beantworten: Warum wollen oder müssen wir ISO 27001 überhaupt machen?
Typische Gründe sind Kundenerwartungen, Ausschreibungen, wachsende Sicherheitsanforderungen oder der Wunsch, Informationssicherheit endlich systematischer zu steuern. Diese Klärung ist wichtig, weil sie später bestimmt, wie viel Druck auf dem Projekt liegt, wie eng der Zeitrahmen ist und welcher Scope überhaupt Sinn ergibt. Der aktuelle Artikel nennt bereits genau diese typischen Auslöser: Kundenanforderungen, Ausschreibungen und Branchenimpulse.
Schritt 2: Das Projekt sauber aufsetzen
ISO 27001 ist kein Einzelkämpfer-Thema. Der bestehende Artikel sagt das schon richtig: Ohne Projektteam und ohne echte Arbeitszeit läuft das Thema nicht. Genau das würde ich heute noch deutlicher machen.
Sie brauchen mindestens:
- ein klares Ziel;
- eine Projektleitung oder ISMS-Verantwortung;
- Management-Rückendeckung;
- definierte Mitwirkung aus den relevanten Bereichen;
- und einen groben Zeitrahmen.
Wenn Sie das nicht sauber aufsetzen, wird ISO 27001 fast immer zum Nebenbei-Projekt. Und Nebenbei-Projekte dauern länger, kosten mehr Nerven und liefern am Ende keine Ergebnisse. Dass ISO 27001 ein Managementsystem verlangt und dass Rollen, Ressourcen und Verantwortlichkeiten geklärt sein müssen, passt genau dazu.
Schritt 3: Den Anwendungsbereich festlegen
Der Scope ist eine der wichtigsten Frühentscheidungen überhaupt. Er bestimmt, welcher Teil Ihres Unternehmens überhaupt vom ISMS und von der Zertifizierung erfasst wird.
Ein kleiner, sinnvoller und beherrschbarer Scope ist oft der bessere Start als ein zu großer Anspruch, der das Projekt unnötig schwer macht. Gerade weil das Stage-1-Audit später auch der Scoping- und Readiness-Bewertung dient, sollte dieser Punkt früh belastbar stehen.
Zum Thema Scope haben wir hier noch einen Extra-Artikel.
Schritt 4: Das ISMS aufbauen und umsetzen
Jetzt beginnt die eigentliche Arbeit. Hier geht es darum, die nötigen Bausteine Ihres ISMS aufzubauen:
- Kontext und Anforderungen verstehen;
- Rollen festlegen;
- Risiken bewerten;
- notwendige Maßnahmen auswählen;
- dokumentierte Informationen sauber aufsetzen;
- und dafür sorgen, dass das Ganze nicht nur geschrieben, sondern auch gelebt wird.
Genau hier entscheidet sich, ob aus ISO 27001 ein Papiersystem wird oder ein brauchbares Managementsystem.
Schritt 5: Zertifizierer auswählen und Termine planen
Jetzt ist der richtige Zeitpunkt, das Zertifizierungsaudit konkret zu planen. Wie Sie einen guten Zertifizierer finden, dazu haben wir hier noch einen separaten Artikel.
Schritt 6: Internes Audit und Management Review durchführen
Das ist einer der Punkte, die Unternehmen gern unterschätzen.
Bevor Sie in die Zertifizierung gehen, sollten Sie Ihr ISMS intern geprüft und durch die Leitung bewertet haben. Das ist nicht nur inhaltlich sinnvoll, sondern praktisch auch Teil dessen, was später im Zertifizierungsaudit vorausgesetzt wird. Gerade Stage 1 dient dazu, zu bewerten, ob die Organisation für Stage 2 bereit ist. In gängigen Zertifizierungsvorbereitungen und Auditbeschreibungen gehören internes Audit und Management Review deshalb klar zu den typischen Nachweisen vor der eigentlichen Zertifizierung.
Schritt 7: Stage 1, Stage 2 und Zertifikat
Das Zertifizierungsaudit läuft typischerweise in zwei Stufen.
Stage 1 dient vor allem dazu, die Organisation zu verstehen und zu prüfen, ob Sie für Stage 2 bereit sind. Es geht also noch nicht um die volle Praxisprüfung, sondern um Scoping, Planung und Reifegrad. Stage 2 prüft dann die tatsächliche Umsetzung des ISMS im Alltag. Wenn diese Phase erfolgreich verläuft und keine wesentlichen Hürden mehr offen sind, erfolgt die Zertifizierungsentscheidung und Sie erhalten das Zertifikat.
Was will der Auditor sehen?
Der Auditor will in der Regel nicht sehen, dass Sie besonders viele Dokumente geschrieben haben. Er will sehen, dass Ihr ISMS strukturiert aufgebaut, klar abgegrenzt, intern geprüft und durch das Management bewertet wurde. Gerade Stage 1 dient ausdrücklich dazu, Scope, Planung und Bereitschaft für Stage 2 zu bewerten. In Stage 2 wird dann sichtbar, ob Ihr Unternehmen die eigenen Regelungen tatsächlich lebt. Ein schlanker, sauber aufgebauter Ansatz ist dabei fast immer überzeugender als ein großer Dokumentenstapel ohne echte Verankerung.
FAQ
Sinnvoll ist meist diese Reihenfolge: Ziel klären, Projekt aufsetzen, Scope festlegen, ISMS aufbauen, Zertifizierer auswählen, internes Audit und Management Review durchführen, dann Stage 1 und Stage 2.
Nicht zwingend als allerersten Schritt. Früh planen ist sinnvoll, aber Projektziel, Scope und Grundlogik sollten zuerst klar sein. Der alte Artikel setzt hier früher an; heute würde ich die Projektlogik davor ziehen.
Stage 1 dient vor allem dazu, den Auditumfang und die Planung für Stage 2 festzulegen, die Organisation zu verstehen und ihre Bereitschaft für die eigentliche Zertifizierungsprüfung zu bewerten.
Stage 2 prüft die tatsächliche Umsetzung des ISMS in der Praxis. Hier wird sichtbar, ob die Organisation ihre eigenen Regelungen und Sicherheitssteuerung wirklich lebt.
Praktisch ja. Internes Audit und Management Review gehören typischerweise zu den Voraussetzungen, damit Stage 1 und Stage 2 sinnvoll und erfolgreich durchlaufen werden können.
Alle Akkreditierungsstellen haben Datenbanken, in denen Sie Zertifizierungsunternehmen finden können. Akkreditierungsstellen gibt es national und international. Sie müssen nicht die nationale Akkreditierungsstelle für Ihr Land nehmen. Zertifizierungsbusiness ist international.
Unser Tipp
Der Weg zum ISO 27001-Zertifikat ist kein Geheimwissen. Aber er wird unnötig schwer, wenn man ihn in der falschen Reihenfolge angeht.
Wer Ziel, Projektlogik und Scope zuerst sauber zieht, das ISMS dann ernsthaft aufbaut, intern prüft und erst danach strukturiert in Stage 1 und Stage 2 geht, kommt meist deutlich sauberer ans Ziel als jemand, der nur Dokumente sammelt und auf das Audit hofft. ISO 27001 ist eben kein Zufallsprodukt, sondern ein Projekt mit klarer Reihenfolge.
Interesse geweckt?
Wenn Sie Ihr ISO-27001-Projekt so aufsetzen wollen, dass aus den sieben Schritten kein zähes Nebenbei-Vorhaben wird, sondern ein sauber geführter Weg zum Zertifikat, sprechen Sie mit uns. oder schreiben Sie direkt hier rechts unten auf der Seite in den Chat.