22. November 2020

7 Schritte zum ISO 27001-Zertifikat: So geht’s

Von Joachim Reinke

November 22, 2020

Projekt, Schritte, Weg

Sie haben gerade festgestellt, dass Sie um eine ISO 27001-Zertifizierung nicht länger drum herum kommen? Hier die wichtigsten 7 Schritte zum ISO 27001-Zertifikat: So geht's

Zu Anfang herrscht Unsicherheit - keine Sorge, das ist normal!

Üblicherweise "stolpern" Sie über die ISO 27001 aus einem von drei Gründen:

  1. Ihr Auftraggeber kündigt Ihnen an, dass er "demnächst ein Lieferantenaudit Thema Informationssicherheit bei Ihnen durchführen möchte". Dieses können Sie meist umgehen, indem Sie ein ISO 27001-Zertifikat vorweisen.
  2. Sie planen, an einer Ausschreibung teilzunehmen: in den Ausschreibungsunterlagen finden Sie eine Checkliste. Ein Punkt zum Ankreuzen ist "Wir haben ein ISO 27001-Zertifikat und fügen es bei."
  3. Sie bekommen von Ihrem Branchenverband entweder bei einem Treffen oder im Newsletter mitgeteilt: "Unsere Branche muss demnächst Informationssicherheit nach ISO 27001 betreiben".

Da ist guter Rat erstmal teuer. Was ist ISO 27001? Wie kommt man dorthin, wenn man mit diesen komischen ISO-Normen noch keinerlei Erfahrungen hat?

Diejenigen, die schon die ISO 9001 (Qualität) oder vielleicht die ISO 45001 (Arbeitsschutz) kennen, haben jetzt die Nase vorne: Im Grunde unterscheidet sich die ISO 27001 davon nur im Thema - aber nicht in den Anforderungen.

Aber nach welchem Plan geht man jetzt vor?

Hier unsere 7 Schritte zum ISO 27001-Zertifikat

Schritt 1: Zertifizierer suchen

Ihr ISO 27001-Zertifikat erhalten Sie von einem "Zertifizierer". Das ist ein Unternehmen, das bei der DAkkS akkreditiert dafür ist, ISO 27001-Zertifikate ausstellen zu können.

Falls Sie noch keine Idee haben, wer das für Sie sein könnte, fragen Sie uns einfach. Wir kennen einige und können Ihnen ein paar Tipps geben. Oder Sie schauen einfach online und unverbindlich auf dieser offiziellen Liste nach.

UNSER TIPP: Schieben Sie das Thema bitte frühzeitig an - Zertifizierer haben viel zu tun und es kann sein, dass Sie den frühesten Termin erst in 6-9 Monaten bekommen.

Schritt 2: Zertifizierungsprojekt aufsetzen

In Ihrer Organisation starten Sie ein Projekt mit dem Ziel, ISO 27001-"zertifizierungsreif" zu werden. Das können Sie ja gut tun, während Sie auf der Suche nach dem Zertifizierer sind.

Ganz wichtig: Sie können ein ISO 27001-Zertifikat nicht im EInzelkämpfer-Modus erreichen: Die ISO 27001 ist eine sog. "Managementsystem-Norm". Das bedeutet in Kürze: Es geht darum, dass Sie Ihre Zusammenarbeit im Unternehmen regeln.

Stellen Sie bitte ein Projektteam zusammen, das sich um das Thema kümmert und gestehen Sie diesem auch bitte Arbeitszeit zu. Ohne geht es nicht.

UNSER TIPP: Geben Sie diesem Projekt Zeit und Raum in Ihrer Organisation - es funktioniert nicht, das Thema ISO 27001-Zertifikat einfach nebenbei "on top" zu behandeln.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Schritt 3: Anwendungsbereich festlegen

Sie können sich in der ISO 27001 aussuchen, welche Teile Ihrer Organisation Sie zertifizieren möchten. Das steht dann später auf dem Zertifikat auch drauf. Überlegen Sie jetzt, welche Informationen denn in Ihrem Unternehmen schützenswert sind - und welche nicht.

UNSER TIPP: Es sind nie alle Informationen schützenswert! Schränken Sie sich so weit wie möglich ein. Wie das geht, haben wir hier noch einmal in einem separaten Beitrag beschrieben.

Schritt 4: Voraudit buchen (optional)

Zertifizierer bieten Ihnen sog. "Vor-Audits" an. Das sind Überprüfungen des "Ist-Stands" Ihres Unternehmens bzgl. der Informationssicherheit. Wenn Sie nicht wissen, wie gut Sie eigentlich schon sind und was ein Auditor sagen würde, wenn er heute und jetzt in Ihr Unternehmen käme, dann buchen Sie ein sog. Voraudit. Entweder beim Zertifizierer oder bei jemandem anders, dem Sie vertrauen.

Dann wissen Sie, wo Sie stehen.

UNSER TIPP: Sie müssen das Voraudit nicht buchen - wenn Sie nicht möchten, können Sie es auch weglassen. Wenn Sie sich sicherer fühlen mit Vor-Audit: sprechen Sie uns gerne an.

Schritt 5: Stage 1-Audit durchführen

Zum in Schritt 1 gebuchten Termin findet das sog. "Stage 1"-Audit statt. In diesem Audit überprüft Ihr Zertifizierungsauditor die Regelungen, die Sie innerhalb Ihres Zertifizierungsprojekts für Ihr Unternehmen getroffen haben. Das geschieht, indem Sie ihm hierzu schriftliche Informationen zusenden.

UNSER TIPP: ISO 27001-Zertifizierung bedeutet "Wer schreibt, der bleibt". Suchen Sie sich zu Anfang Ihres Projekts eine Stelle, an der Sie alle Regelungen, die Sie treffen, einvernehmlich ablegen können. Das macht Ihnen vieles leichter!

Schritt 6: Stage 2-Audit durchführen

Im Stage 2-Audit kommt das Auditorenteam bei Ihnen im Unternehmen vorbei. An allen Standorten, die in Ihrem Anwendungsbereich liegen. Dort wird überprüft, ob und wie Sie Ihre selbst getroffenenen Regelungen zur Informationssicherheit auch leben. Ob alle Kenntnis von wichtigen Regelungen und Dokumenten haben. Und natürlich, ob sich diese Kenntnis auch im Miteinander der Arbeit niederschlägt.

UNSER TIPP: Involvieren Sie alle Mitarbeiter und Mitarbeiterinnen im Anwendungsbereich frühzeitig und halten Sie sie auf dem Laufenden. Umso einfacher können Sie sie später zum Mitmachen bewegen!

Schritt 7: Zertifikat erhalten

Nehmen wir mal an, Schritt 5+6 sind gut gegangen. Dann erhalten Sie in diesem Schritt vom Zertifizierer Ihr ISO 27001-Zertifikat ausgestellt. Sie haben es geschafft! Herzlichen Glückwunsch!


Jetzt haben Sie bestimmt die folgenden zwei Fragen:

  1. "Wieviel kostet das denn?" und
  2. "Wie lange dauert das?"

Zu beidem haben wir hier und hier alles Relevante zusammengeschrieben.

Sie starten gerade selbst in eine ISO 27001-Zertifizierung? Kein Problem. Sie erreichen uns rechts unten im Chat und hier können Sie einen Termin vereinbaren für Ihre Fragen (unverbindlich und natürlich kostenfrei.

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}