einfachISO
ISO 27001

ISO 27001 womit anfangen? Der erste sinnvolle Schritt

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
ISO 27001 - womit anfangen? Das hier ist der erste Schritt

Wer vor einem ISO-27001-Projekt steht, stellt fast immer sehr früh dieselbe Frage:
Womit fangen wir eigentlich am besten an?

Die ehrliche Antwort lautet: Nicht mit Vorlagen. Nicht mit einer Tool-Auswahl. Und auch nicht mit einer endlosen Maßnahmenliste.

Der erste sinnvolle Schritt ist, den Rahmen klarzuziehen, in dem Ihr ISMS überhaupt entstehen soll. Solange dieser Rahmen nicht sauber ist, wird fast alles andere unnötig zäh.

Der erste Schritt ist nicht Technik, sondern Klarheit

Viele Unternehmen denken bei ISO 27001 zuerst an Dokumente, Risiken und Audits. Das ist verständlich, aber als Startpunkt oft unpraktisch.

Am Anfang brauchen Sie vor allem Klarheit zu vier Punkten:

  • Wofür steht Ihre Organisation?
  • Wer stellt Anforderungen an Ihre Informationssicherheit?
  • Welche Ziele leiten Sie daraus ab?
  • Welcher Teil Ihres Unternehmens gehört überhaupt in den Anwendungsbereich?

Wenn diese vier Punkte nicht sauber geklärt sind, wird das Projekt schnell unscharf. Dann reden alle über ISO 27001, aber nicht über dasselbe.

Warum viele Unternehmen am Anfang unnötig Zeit verlieren

Der häufigste Fehler ist nicht mangelnde Motivation. Der häufigste Fehler ist ein schlechter Einstieg.

Dann passiert oft Folgendes:

  • Es werden sofort Dokumente gesammelt.
  • Man diskutiert schon über Maßnahmen, obwohl der Scope noch unklar ist.
  • Verschiedene Beteiligte haben unterschiedliche Vorstellungen vom Ziel.
  • Es wird zu viel auf einmal in das Projekt gezogen.

Genau deshalb lohnt sich ein sauberer erster Schritt. Er spart später deutlich mehr Zeit, als er am Anfang kostet.

Frage 1: In welchem Umfeld bewegt sich Ihre Organisation?

Bevor Sie über Informationssicherheit sprechen, sollten Sie klar benennen, was Ihre Organisation eigentlich tut, wofür sie steht und in welchem Umfeld sie arbeitet.

Dabei geht es nicht um Marketing-Sprache, sondern um Orientierung:

  • Welche Leistungen erbringen Sie schwerpunktmäßig?
  • In welchem Markt oder Umfeld bewegen Sie sich?
  • Was ist für Ihr Unternehmen besonders wichtig?
  • Wodurch entsteht Ihr geschäftlicher Wert?

Diese Klärung hilft später bei fast allem: bei Zielen, Risiken, Prioritäten und beim Scope.

Frage 2: Wer hat Anforderungen an Ihre Informationssicherheit?

Im zweiten Schritt geht es um die Personen und Gruppen, die konkrete Erwartungen an Sie haben.

Typischerweise sind das zum Beispiel:

  • Kunden;
  • potenzielle Neukunden;
  • Mitarbeiter;
  • Gesetzgeber und Behörden;
  • Partner und Dienstleister;
  • Eigentümer oder Geschäftsführung.

Wichtig ist hier nicht nur, wer Anforderungen stellt, sondern auch welche. Geht es vor allem um Vertraulichkeit? Um Verfügbarkeit? Um Integrität? Oder um alles zusammen?

Frage 3: Welche Informationssicherheitsziele geben Sie sich selbst?

Jetzt wird aus äußeren Anforderungen eine eigene Entscheidung.

Denn nicht jeder Wunsch von außen wird automatisch zu Ihrem verbindlichen Ziel. Der entscheidende Schritt ist: Welche Anforderungen machen Sie sich zu eigen?

Genau daraus entstehen Ihre Informationssicherheitsziele.

Das ist ein wichtiger Punkt, weil hier aus allgemeiner Erwartung eine konkrete Steuerungsgröße wird. Erst ab diesem Moment wird das Thema wirklich führbar.

Frage 4: Welcher Anwendungsbereich ergibt sich daraus?

Erst jetzt kommt die Frage, welche Teile Ihrer Organisation überhaupt im ISMS betrachtet werden sollen.

Das ist der Anwendungsbereich, also der Scope.

Viele Unternehmen machen hier den Fehler, zu früh oder zu breit zu starten. Sinnvoller ist meistens ein Scope, der:

  • geschäftlich relevant ist,
  • organisatorisch beherrschbar bleibt,
  • und zu den vorher festgelegten Zielen passt.

Wenn Sie diese Reihenfolge einhalten, ergibt sich der Scope nicht aus Bauchgefühl, sondern aus Logik.

Was Sie mit diesen vier Fragen am Ende in der Hand haben

Wenn Sie diese vier Fragen sauber beantworten, haben Sie mehr erreicht, als es auf den ersten Blick wirkt.

Sie haben dann bereits eine belastbare Grundlage für:

  • Ihre Informationssicherheitsleitlinie;
  • den Kontext Ihrer Organisation;
  • relevante interessierte Parteien;
  • erste Informationssicherheitsziele;
  • den Anwendungsbereich des ISMS.

Genau deshalb ist das kein theoretischer Einstieg, sondern ein sehr praktischer.

Warum das der bessere Start ist als ein Vorlagenpaket

Viele Unternehmen suchen am Anfang nach einer Abkürzung. Sie laden Vorlagen herunter, kaufen Dokumentensätze oder springen direkt in Maßnahmen.

Das Problem daran: Ohne klaren Rahmen bleibt unklar, wofür diese Unterlagen überhaupt gedacht sind.

Ein sauberes Vorlagenset kann ist außerordentlich hilfreich. Daher bietet einfachISO es auch kostenfrei an. Aber als erster Schritt ist es oft die falsche Reihenfolge.

Womit Sie ausdrücklich nicht anfangen sollten

Diese Dinge sollten Sie am Anfang nicht zum Hauptthema machen:

Endlose Dokumentenlisten

Die Frage "Welche Dokumente brauchen wir?" ist wichtig, aber nicht als allererstes.

Nicht mit einer Riesensammlung von Risiken

Risiken lassen sich erst sinnvoll bewerten, wenn klar ist, was überhaupt betrachtet wird.

Nicht mit Tool-Diskussionen

Ein Tool ersetzt keine inhaltliche Klarheit.

Nicht mit einem zu großen Scope

Wer gleich das ganze Unternehmen in das Projekt zieht, macht sich den Start oft unnötig schwer. (Wie Sie den sauber festlegen könne, haben wir hier beschrieben.)

Ein pragmatischer Start für kleine und mittlere Unternehmen

Wenn Sie das Thema pragmatisch angehen wollen, reicht für den Anfang oft schon ein kurzer Workshop mit den richtigen Personen.

Ziel dieses Termins ist nicht, alles zu lösen. Ziel ist nur, diese vier Fragen sauber zu beantworten:

  1. Wofür steht unsere Organisation?
  2. Wer stellt Anforderungen an unsere Informationssicherheit?
  3. Welche Ziele leiten wir daraus ab?
  4. Welcher Scope ergibt sich daraus?

Wenn das sauber steht, können Sie den Rest des Projekts viel klarer und schneller aufsetzen.

Wenn Sie sauber klären wollen, wie Ihr ISO-27001-Projekt sinnvoll startet und welcher Scope für Sie wirklich passt, vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns!

Häufig gestellte Fragen

Womit sollte man bei ISO 27001 zuerst anfangen?
Am sinnvollsten ist ein klarer Einstieg über Kontext, Anforderungen, Ziele und Anwendungsbereich. Das schafft die Grundlage für alles Weitere.
Sollte man direkt mit Risiken anfangen?
Meistens nicht. Risiken lassen sich erst sinnvoll bewerten, wenn klar ist, welcher Bereich betrachtet wird und welche Informationen genau wovor geschützt werden muss.
Braucht man am Anfang schon viele Dokumente?
Nein. Zu Beginn ist vor allem wichtig, den Rahmen des Projekts sauber zu klären. Umfangreiche Dokumentation kommt später.
Ist die Informationssicherheitsleitlinie ein guter Startpunkt?
Ja, wenn sie nicht isoliert geschrieben wird, sondern aus Kontext, Anforderungen, Zielen und Scope logisch abgeleitet wird.
Wer sollte am Anfang beteiligt sein?
Mindestens die Geschäftsführung und die Personen, die den betroffenen Geschäftsbereich fachlich überblicken. Ohne diese Perspektiven bleibt der Einstieg oft zu vage.
Was ist der häufigste Fehler beim Start?
Zu früh in Maßnahmen, Tools oder Dokumente einzusteigen, obwohl noch nicht klar ist, worauf sich das ISMS überhaupt beziehen soll.

Dieser Artikel gehört zum Thema ISO 27001 Zertifizierung — erfahren Sie mehr über die Zertifizierung.

Zurück zum Blog

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Wir schicken Ihnen das PDF und gelegentlich praxisnahe Tipps. Abmeldung jederzeit per Klick. Keine Weitergabe an Dritte.