6. Oktober 2020

Diese 4 Faktoren bestimmen wie lange ihr ISO 27001 Projekt dauert

Von Joachim Reinke

Oktober 6, 2020

Dauer, ISO 27001, Zertifizierungsprojekt

Die Frage nach der Dauer bis zur erfolgreichen ISO 27001-Zertifizierung ist meist eine der ersten:

"Wie lange brauchen wir, bis wir ein Zertifikat in den Händen halten?"

Nach unseren Erfahrungen erreichen Organisationen typischerweise innerhalb von 6-24 Monaten die Zertifizierungsreife, so dass das Zertifizierungsaudit durchgeführt werden kann.

Erfahren Sie im weiteren Text, von welchen 4 wichtigen Stellschrauben die Dauer einer ISO 27001-Zertifizierung abhängt - und wie sie Ihr Zertifizierungsprojekt verkürzen können:

1. Wieviel Arbeitszeit geben Sie dem ISO 27001-Projekt?

Auf den ersten Blick scheint die Frage unsinnig - Sie werden sagen "Naja, wir starten das Projekt ja, also wird es uns auch wichtig sein!"

Aber bitte bedenken Sie: Wie viele andere Projekte, weitere Vorhaben und sonstige Aufgaben haben Sie wegen des ISO 27001-Projekts gestoppt oder erst einmal in die "Warteschleife" geschickt?

Die Dauer (und natürlich auch die Kosten) Ihres ISO 27001-Projektes und damit die Dauer der ISO 27001-Zertifizierung hängt ganz entscheidend davon ab, ob Sie es "on top" zu all Ihren anderen Dingen erledigen müssen, oder ob Zeit da ist, es konzentriert anzugehen.

UNSER TIPP: Nehmen Sie sich explizit Zeit und geben Sie der ISO 27001 Priorität - wenn die ISO 27001 noch "on top" kommt und sowieso alles "Prio eins" ist, wird es länger dauern.

2. Wieviel Engagement zeigt die Geschäftsführung?

Wenn neue Themen in eine Organisation kommen, versuchen Mitarbeiter und Mitarbeiterinnen als erstes, ihren inneren Kompass neu zu justieren:

  • Wie dringend ist das, was da neu reinkommt?
  • Wie wichtig ist es?

Häufig schauen Mitarbeiter dann zur Orientierung Richtung Geschäftsführung: was gehen von dort für Signale aus? Zeigt die Geschäftsführung Engagement? Macht sie die Dringlichkeit des Themas deutlich? Wenn nicht, kann schnell der Eindruck entstehen, dass da mal wieder "eine Sau durchs Dorf getrieben wird" und Mitarbeiter reagieren nach dem Prinzip Bambus: Zurücklehnen - warten, bis der Sturm vorüber ist - wieder nach vorne lehnen und weiterarbeiten.

UNSER TIPP: Sie können die Dauer einer ISO 27001-Zertifizierung deutlich reduzieren, wenn die Geschäftsführung authentisch vermittelt, dass sie hinter dem ISO 27001-Projekt steht. Das muss sie spätestens im Audit-Interview sowieso.

3. Wie groß wird das alles?

In der ISO 27001 haben Sie die Möglichkeit, den Anwendungsbereich - also den Teil des Unternehmens, der "unter die ISO 27001 fällt" selbst zu wählen. Je größer Ihr Anwendungsbereich ist, desto länger wird Ihr Projekt dauern. Zwar können Sie vieles parallelisieren, es entsteht aber Abstimmungsaufwand, der Sie bremsen wird.

UNSER TIPP: Starten Sie so klein wie nur irgend möglich.

4. Haben Sie Lust auf das Thema?

Wenn das ISO 27001-Projekt bei ihnen eher Frust und Unmut erzeugt, wird es auf jeden Fall länger dauern. Jeder wird versuchen, seine Arbeiten erst dann zu erledigen, wenn wirklich gar nichts anderes mehr auf dem Schreibtisch liegt. Eine Situation, die naturgemäß selten vorkommt.

Aber wie können Sie dem ISO 27001-Thema aus dem Schattendasein helfen?

Beispielsweise, weil die ISO 27001 Ihnen die Chance gibt, endlich mal an manchen Stellen "aufräumen" zu dürfen. An Stellen, die Sie immer schon mal angehen wollten, für die Sie aber nie Zeit hatten: Beschreibungen von Standard-Abläufen, Konsolidieren aller User Ihrer IT-Systeme, Festlegen von Zuständigkeiten u.v.m.

UNSER TIPP: Schauen Sie nicht nur auf die Arbeit, die ISO 27001 Ihnen vielleicht macht, sondern auf die Chancen, die sie Ihnen bringt.

Wenn Sie wissen möchten, wie Sie die Dauer einer ISO 27001-Zertifizierung verringern können, vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Und wenn Sie noch Fragen haben: einfach rechts unten in den Chat hier auf der Seite schreiben.

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.


Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}