ISO 27001 und ISMS-Aufbau — von der Gap-Analyse zur Zertifizierung
Ein Informationssicherheitsmanagementsystem nach ISO 27001 ist kein Selbstzweck und kein Dokumentenstapel für das Regal. Richtig aufgebaut wird es zur belastbaren Arbeitsgrundlage für NIS2, Kundennachweise, Audits und interne Steuerung. Ich begleite Sie von der Gap-Analyse bis zur Zertifizierung.
ISMS als Grundlage — nicht als Selbstzweck
ISO 27001 ist der internationale Standard für Informationssicherheitsmanagementsysteme. Gemeint ist damit kein Maßnahmenkatalog zum Abhaken, sondern ein Steuerungssystem: Risiken identifizieren, bewerten, behandeln und laufend nachführen. Ein ISMS, das im Alltag funktioniert, hilft Entscheidungen zu treffen. Eines, das nur für ein Audit gebaut wurde, fällt nach dem Zertifikat in sich zusammen.
Für Industrieunternehmen ist ISO 27001 deshalb oft wirtschaftlich sinnvoll: als Struktur für NIS2, als Nachweis gegenüber Kunden, als Grundlage für TISAX-nahe Anforderungen in der Lieferkette und als Leitplanke für interne Verantwortlichkeiten. Vor allem dann, wenn Sicherheit nicht mehr von Einzelpersonen abhängen soll.
ISO 27001 — mein Beratungsangebot
ISO 27001 Gap-Analyse
Strukturierter Abgleich Ihres aktuellen Sicherheitsstands mit den ISO 27001:2022-Anforderungen. Scope-Definition, Risikobeurteilung, priorisierter Maßnahmenplan. Grundlage für die Projektplanung.
ISMS-Aufbau
Aufbau des Informationssicherheitsmanagementsystems von Grund auf: Informationssicherheitsleitlinie, Risikobeurteilungsrahmen, Statement of Applicability, Maßnahmenplan nach Annex A.
Zertifizierungsvorbereitung
Interne Audits, Management-Review, Dokumentationsprüfung — Vorbereitung auf Stage 1 und Stage 2 Audit durch die Zertifizierungsstelle. Begleitung während des Zertifizierungsaudits.
Externer ISB
Übernahme der Funktion des Informationssicherheitsbeauftragten auf Zeit oder dauerhaft — für Unternehmen, die keinen eigenen ISB aufbauen wollen oder können.
BSI IT-Grundschutz
ISMS-Aufbau nach BSI IT-Grundschutz — Basis-Absicherung, Standard-Absicherung oder Kern-Absicherung. Geeignet für Unternehmen, die eine detaillierte deutsche Methode bevorzugen.
ISO 27001 + NIS2 kombiniert
Koordinierter Aufbau: ISO 27001 ISMS als Grundlage, NIS2-spezifische Anforderungen (Meldeprozesse, Lieferkette, Managementhaftung) ergänzend adressiert. Einmal analysieren — beide Anforderungen erfüllen.
Wann sich ISO 27001 wirtschaftlich wirklich lohnt
Kunden fordern belastbare Nachweise
Wenn Ausschreibungen, Lieferantenbewertungen oder Versicherer nach strukturierter Informationssicherheit fragen, reicht ein loses Maßnahmenpaket meist nicht mehr.
NIS2 soll nicht improvisiert werden
Viele Pflichten lassen sich mit einem gelebten ISMS sauberer steuern als mit Einzelmaßnahmen, die in verschiedenen Teams und Dokumenten verstreut sind.
Mehrere Standorte oder Teams müssen sauber zusammenspielen
Spätestens wenn Verantwortung über mehrere Bereiche läuft, braucht Sicherheit einen gemeinsamen Rahmen statt persönlicher Gewohnheiten.
Sicherheit soll steuerbar statt reaktiv werden
Ein gutes ISMS verschiebt die Perspektive: weg von Einzelreaktionen nach Vorfällen, hin zu nachvollziehbaren Entscheidungen, klaren Rollen und belastbaren Nachweisen.
Genau deshalb baue ich ISMS-Strukturen nicht als Dokumentenarchiv auf, sondern als Arbeitsmodell, das im Alltag benutzt wird. Für kleinere Unternehmen kann davor ein CyberRisikoCheck sinnvoll sein. Wenn NIS2 bereits drückt, lässt sich der Aufbau mit einer NIS2-Gap-Analyse koordinieren.
Von der Gap-Analyse zur Zertifizierung
Scope-Definition & Gap-Analyse
Was soll zertifiziert werden? Welche Systeme, Standorte, Prozesse sind im Scope? Abgleich mit ISO 27001:2022 — Stärken, Lücken, priorisierter Handlungsbedarf.
Risikobeurteilung
Systematische Identifikation und Bewertung von Informationssicherheitsrisiken. Risikobehandlungsplan, Statement of Applicability für Annex A-Maßnahmen.
ISMS-Implementierung
Richtlinien, Prozesse, technische Maßnahmen — nach Priorisierung umgesetzt. Schulung der Mitarbeiter, Einbindung der Geschäftsführung.
Interne Audits & Management-Review
Internes Audit nach ISO 19011, Management-Review nach ISO 27001 Kapitel 9 — Vorbereitung auf das externe Zertifizierungsaudit.
Zertifizierungsaudit
Stage 1 (Dokumentenprüfung) und Stage 2 (Implementierungsaudit) durch die Zertifizierungsstelle. Ich begleite als Ansprechpartner während des gesamten Audits.
ISO 27001 & ISMS — was Unternehmen fragen
Wie lange dauert eine ISO 27001-Erstzertifizierung?
Für ein mittelständisches Unternehmen ohne vorhandenes ISMS rechne ich mit 9 bis 18 Monaten — von der initialen Gap-Analyse bis zum Zertifizierungsaudit. Entscheidend ist der Ausgangszustand: Unternehmen mit bereits gelebten Sicherheitsprozessen kommen deutlich schneller durch. Ein realistischer Projektplan entsteht nach der ersten Gap-Analyse.
Brauche ich ISO 27001 für NIS2?
ISO 27001 ist keine NIS2-Pflicht, aber ein sehr guter Ausgangspunkt. Die Norm deckt viele NIS2-Anforderungen nach § 30 BSIG ab. Für Unternehmen, die sowohl NIS2-konform werden als auch ein belastbares ISMS aufbauen wollen, empfehle ich eine koordinierte Umsetzung — einmal analysieren, beide Anforderungen adressieren.
Was kostet ein ISO 27001 ISMS-Aufbau?
Das hängt stark vom Scope und Ausgangszustand ab. Für einen fokussierten ISMS-Aufbau in einem mittelständischen Unternehmen (bis 200 Mitarbeiter, definierter Scope) liegt der externe Beratungsaufwand erfahrungsgemäß bei 40 bis 100 Tagen. Hinzu kommen Zertifizierungskosten der Zertifizierungsstelle. Ein genauer Kostenrahmen entsteht nach der Gap-Analyse.
Was ist der Unterschied zwischen ISO 27001 und BSI IT-Grundschutz?
ISO 27001 ist ein internationaler Standard — flexibel, risikobasiert, weltweit anerkannt. BSI IT-Grundschutz ist eine deutsche Methode des Bundesamts für Sicherheit in der Informationstechnik — detaillierter, mit konkreten Bausteinen und Maßnahmen. Bundesbehörden sind an IT-Grundschutz gebunden. Unternehmen können beide Ansätze kombinieren — ISO 27001 als Rahmen, IT-Grundschutz als Methodengrundlage.
Wie ist das ISMS nach der Zertifizierung zu pflegen?
ISO 27001 erfordert regelmäßige interne Audits, Management-Reviews und Überwachungsaudits durch die Zertifizierungsstelle (jährlich). Das ISMS muss gelebt werden — Risikobeurteilungen aktuell halten, Vorfälle auswerten, Maßnahmen nachverfolgen. Ich unterstütze auf Wunsch auch nach der Zertifizierung als externer ISB oder bei der Audit-Vorbereitung.