ISO 27001 und ISMS-Aufbau — von der Gap-Analyse zur Zertifizierung
Ein Informationssicherheitsmanagementsystem nach ISO 27001 ist mehr als ein Zertifikat — es ist die Grundlage für NIS2, TISAX und eine strukturierte Sicherheitsorganisation. Ich begleite Sie vom ersten Audit bis zur erfolgreichen Zertifizierung.
ISMS als Grundlage — nicht als Selbstzweck
ISO 27001 ist der internationale Standard für Informationssicherheitsmanagementsysteme. Was das bedeutet: nicht eine Liste von Maßnahmen, sondern ein systematischer Prozess — Risiken identifizieren, bewerten, behandeln, überwachen. Ein ISMS, das funktioniert, passt sich an neue Bedrohungen an. Eines, das nur für die Zertifizierung gebaut wurde, tut das nicht.
Für Industrieunternehmen ist ISO 27001 in mehrfacher Hinsicht relevant: als Basis für NIS2-Konformität, als Voraussetzung für TISAX-Assessments in der Automotive-Lieferkette, als Nachweis gegenüber Kunden und Versicherungen. Und seit dem NIS2UmsuCG: als effizientester Weg, die § 30 BSIG-Anforderungen strukturiert zu erfüllen.
ISO 27001 — mein Beratungsangebot
ISO 27001 Gap-Analyse
Strukturierter Abgleich Ihres aktuellen Sicherheitsstands mit den ISO 27001:2022-Anforderungen. Scope-Definition, Risikobeurteilung, priorisierter Maßnahmenplan. Grundlage für die Projektplanung.
ISMS-Aufbau
Aufbau des Informationssicherheitsmanagementsystems von Grund auf: Informationssicherheitsleitlinie, Risikobeurteilungsrahmen, Statement of Applicability, Maßnahmenplan nach Annex A.
Zertifizierungsvorbereitung
Interne Audits, Management-Review, Dokumentationsprüfung — Vorbereitung auf Stage 1 und Stage 2 Audit durch die Zertifizierungsstelle. Begleitung während des Zertifizierungsaudits.
Externer ISB
Übernahme der Funktion des Informationssicherheitsbeauftragten auf Zeit oder dauerhaft — für Unternehmen, die keinen eigenen ISB aufbauen wollen oder können.
BSI IT-Grundschutz
ISMS-Aufbau nach BSI IT-Grundschutz — Basis-Absicherung, Standard-Absicherung oder Kern-Absicherung. Geeignet für Unternehmen, die eine detaillierte deutsche Methode bevorzugen.
ISO 27001 + NIS2 kombiniert
Koordinierter Aufbau: ISO 27001 ISMS als Grundlage, NIS2-spezifische Anforderungen (Meldeprozesse, Lieferkette, Managementhaftung) ergänzend adressiert. Einmal analysieren — beide Anforderungen erfüllen.
Von der Gap-Analyse zur Zertifizierung
Scope-Definition & Gap-Analyse
Was soll zertifiziert werden? Welche Systeme, Standorte, Prozesse sind im Scope? Abgleich mit ISO 27001:2022 — Stärken, Lücken, priorisierter Handlungsbedarf.
Risikobeurteilung
Systematische Identifikation und Bewertung von Informationssicherheitsrisiken. Risikobehandlungsplan, Statement of Applicability für Annex A-Maßnahmen.
ISMS-Implementierung
Richtlinien, Prozesse, technische Maßnahmen — nach Priorisierung umgesetzt. Schulung der Mitarbeiter, Einbindung der Geschäftsführung.
Interne Audits & Management-Review
Internes Audit nach ISO 19011, Management-Review nach ISO 27001 Kapitel 9 — Vorbereitung auf das externe Zertifizierungsaudit.
Zertifizierungsaudit
Stage 1 (Dokumentenprüfung) und Stage 2 (Implementierungsaudit) durch die Zertifizierungsstelle. Ich begleite als Ansprechpartner während des gesamten Audits.
ISO 27001 & ISMS — was Unternehmen fragen
Wie lange dauert eine ISO 27001-Erstzertifizierung?
Für ein mittelständisches Unternehmen ohne vorhandenes ISMS rechne ich mit 9 bis 18 Monaten — von der initialen Gap-Analyse bis zum Zertifizierungsaudit. Entscheidend ist der Ausgangszustand: Unternehmen mit bereits gelebten Sicherheitsprozessen kommen deutlich schneller durch. Ein realistischer Projektplan entsteht nach der ersten Gap-Analyse.
Brauche ich ISO 27001 für NIS2?
ISO 27001 ist keine NIS2-Pflicht, aber ein sehr guter Ausgangspunkt. Die Norm deckt viele NIS2-Anforderungen nach § 30 BSIG ab. Für Unternehmen, die sowohl NIS2-konform werden als auch ein belastbares ISMS aufbauen wollen, empfehle ich eine koordinierte Umsetzung — einmal analysieren, beide Anforderungen adressieren.
Was kostet ein ISO 27001 ISMS-Aufbau?
Das hängt stark vom Scope und Ausgangszustand ab. Für einen fokussierten ISMS-Aufbau in einem mittelständischen Unternehmen (bis 200 Mitarbeiter, definierter Scope) liegt der externe Beratungsaufwand erfahrungsgemäß bei 40 bis 100 Tagen. Hinzu kommen Zertifizierungskosten der Zertifizierungsstelle. Ein genauer Kostenrahmen entsteht nach der Gap-Analyse.
Was ist der Unterschied zwischen ISO 27001 und BSI IT-Grundschutz?
ISO 27001 ist ein internationaler Standard — flexibel, risikobasiert, weltweit anerkannt. BSI IT-Grundschutz ist eine deutsche Methode des Bundesamts für Sicherheit in der Informationstechnik — detaillierter, mit konkreten Bausteinen und Maßnahmen. Bundesbehörden sind an IT-Grundschutz gebunden. Unternehmen können beide Ansätze kombinieren — ISO 27001 als Rahmen, IT-Grundschutz als Methodengrundlage.
Wie ist das ISMS nach der Zertifizierung zu pflegen?
ISO 27001 erfordert regelmäßige interne Audits, Management-Reviews und Überwachungsaudits durch die Zertifizierungsstelle (jährlich). Das ISMS muss gelebt werden — Risikobeurteilungen aktuell halten, Vorfälle auswerten, Maßnahmen nachverfolgen. Ich unterstütze auf Wunsch auch nach der Zertifizierung als externer ISB oder bei der Audit-Vorbereitung.