einfachISO
ISO 27001

7 Schritte zum ISO 27001-Zertifikat: So gehen Sie sinnvoll vor

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
7 Schritte zum ISO 27001-Zertifikat

Wer vor einer ISO-27001-Zertifizierung steht, hat am Anfang oft denselben Gedanken: Wo fangen wir jetzt eigentlich sinnvoll an?

Genau hier machen viele Unternehmen den ersten Fehler. Sie denken zu früh an den Auditor, zu früh an Dokumente oder zu früh an einzelne Maßnahmen. Der bessere Weg ist, das Thema als Projekt mit klarem Ziel zu behandeln und die Schritte in eine sinnvolle Reihenfolge zu bringen. Denn ISO 27001 ist kein loses Bündel aus Richtlinien, sondern ein Managementsystem, das aufgebaut, umgesetzt, betrieben und verbessert werden muss. 

Die kurze Antwort

Wenn Sie es sauber und pragmatisch angehen wollen, dann denken Sie den Weg zum Zertifikat in diesen sieben Schritten:

  1. Ziel und Anlass klären;
  2. Projekt sauber aufsetzen;
  3. sehr wichtig: Scope festlegen;
  4. ISMS aufbauen und umsetzen;
  5. Zertifizierer auswählen und Termine planen;
  6. Internes Audit und Management Review durchführen
  7. Stage 1, Stage 2 und Zertifikat.

Genau diese Reihenfolge ist in der Praxis oft tragfähiger als der Reflex "erst mal einen Zertifizierer suchen und dann schauen wir weiter".

Schritt 1: Ziel und Anlass klären

Bevor Sie irgendetwas aufsetzen, sollten Sie die einfachste Frage zuerst beantworten: Warum wollen oder müssen wir ISO 27001 überhaupt machen?

Typische Gründe sind Kundenerwartungen, Ausschreibungen, wachsende Sicherheitsanforderungen oder der Wunsch, Informationssicherheit endlich systematischer zu steuern. Diese Klärung ist wichtig, weil sie später bestimmt, wie viel Druck auf dem Projekt liegt, wie eng der Zeitrahmen ist und welcher Scope überhaupt Sinn ergibt. Der aktuelle Artikel nennt bereits genau diese typischen Auslöser: Kundenanforderungen, Ausschreibungen und Branchenimpulse.

Schritt 2: Das Projekt sauber aufsetzen

ISO 27001 ist kein Einzelkämpfer-Thema. Der bestehende Artikel sagt das schon richtig: Ohne Projektteam und ohne echte Arbeitszeit läuft das Thema nicht. Genau das würde ich heute noch deutlicher machen.

Sie brauchen mindestens:

  • ein klares Ziel;
  • eine Projektleitung oder ISMS-Verantwortung;
  • Management-Rückendeckung;
  • definierte Mitwirkung aus den relevanten Bereichen;
  • und einen groben Zeitrahmen.

Wenn Sie das nicht sauber aufsetzen, wird ISO 27001 fast immer zum Nebenbei-Projekt. Und Nebenbei-Projekte dauern länger, kosten mehr Nerven und liefern am Ende keine Ergebnisse. Dass ISO 27001 ein Managementsystem verlangt und dass Rollen, Ressourcen und Verantwortlichkeiten geklärt sein müssen, passt genau dazu.

Schritt 3: Den Anwendungsbereich festlegen

Der Scope ist eine der wichtigsten Frühentscheidungen überhaupt. Er bestimmt, welcher Teil Ihres Unternehmens überhaupt vom ISMS und von der Zertifizierung erfasst wird.

Ein kleiner, sinnvoller und beherrschbarer Scope ist oft der bessere Start als ein zu großer Anspruch, der das Projekt unnötig schwer macht. Gerade weil das Stage-1-Audit später auch der Scoping- und Readiness-Bewertung dient, sollte dieser Punkt früh belastbar stehen.

Zum Thema Scope haben wir hier noch einen Extra-Artikel.

Schritt 4: Das ISMS aufbauen und umsetzen

Jetzt beginnt die eigentliche Arbeit. Hier geht es darum, die nötigen Bausteine Ihres ISMS aufzubauen:

  • Kontext und Anforderungen verstehen;
  • Rollen festlegen;
  • Risiken bewerten;
  • notwendige Maßnahmen auswählen;
  • dokumentierte Informationen sauber aufsetzen;
  • und dafür sorgen, dass das Ganze nicht nur geschrieben, sondern auch gelebt wird.

Genau hier entscheidet sich, ob aus ISO 27001 ein Papiersystem wird oder ein brauchbares Managementsystem.

Schritt 5: Zertifizierer auswählen und Termine planen

Jetzt ist der richtige Zeitpunkt, das Zertifizierungsaudit konkret zu planen. Wie Sie einen guten Zertifizierer finden, dazu haben wir hier noch einen separaten Artikel.

Schritt 6: Internes Audit und Management Review durchführen

Das ist einer der Punkte, die Unternehmen gern unterschätzen.

Bevor Sie in die Zertifizierung gehen, sollten Sie Ihr ISMS intern geprüft und durch die Leitung bewertet haben. Das ist nicht nur inhaltlich sinnvoll, sondern praktisch auch Teil dessen, was später im Zertifizierungsaudit vorausgesetzt wird. Gerade Stage 1 dient dazu, zu bewerten, ob die Organisation für Stage 2 bereit ist. In gängigen Zertifizierungsvorbereitungen und Auditbeschreibungen gehören internes Audit und Management Review deshalb klar zu den typischen Nachweisen vor der eigentlichen Zertifizierung.

Schritt 7: Stage 1, Stage 2 und Zertifikat

Das Zertifizierungsaudit läuft typischerweise in zwei Stufen.

Stage 1 dient vor allem dazu, die Organisation zu verstehen und zu prüfen, ob Sie für Stage 2 bereit sind. Es geht also noch nicht um die volle Praxisprüfung, sondern um Scoping, Planung und Reifegrad. Stage 2 prüft dann die tatsächliche Umsetzung des ISMS im Alltag. Wenn diese Phase erfolgreich verläuft und keine wesentlichen Hürden mehr offen sind, erfolgt die Zertifizierungsentscheidung und Sie erhalten das Zertifikat.

Was will der Auditor sehen?

Der Auditor will in der Regel nicht sehen, dass Sie besonders viele Dokumente geschrieben haben. Er will sehen, dass Ihr ISMS strukturiert aufgebaut, klar abgegrenzt, intern geprüft und durch das Management bewertet wurde. Gerade Stage 1 dient ausdrücklich dazu, Scope, Planung und Bereitschaft für Stage 2 zu bewerten. In Stage 2 wird dann sichtbar, ob Ihr Unternehmen die eigenen Regelungen tatsächlich lebt. Ein schlanker, sauber aufgebauter Ansatz ist dabei fast immer überzeugender als ein großer Dokumentenstapel ohne echte Verankerung.

Interesse geweckt?

Wenn Sie Ihr ISO-27001-Projekt so aufsetzen wollen, dass aus den sieben Schritten kein zähes Nebenbei-Vorhaben wird, sondern ein sauber geführter Weg zum Zertifikat, sprechen Sie mit uns.

Häufig gestellte Fragen

Wie komme ich in 7 Schritten zum ISO-27001-Zertifikat?
Sinnvoll ist meist diese Reihenfolge: Ziel klären, Projekt aufsetzen, Scope festlegen, ISMS aufbauen, Zertifizierer auswählen, internes Audit und Management Review durchführen, dann Stage 1 und Stage 2.
Muss ich zuerst den Zertifizierer suchen?
Nicht zwingend als allerersten Schritt. Früh planen ist sinnvoll, aber Projektziel, Scope und Grundlogik sollten zuerst klar sein. Der alte Artikel setzt hier früher an; heute würde ich die Projektlogik davor ziehen.
Was passiert in Stage 1?
Stage 1 dient vor allem dazu, den Auditumfang und die Planung für Stage 2 festzulegen, die Organisation zu verstehen und ihre Bereitschaft für die eigentliche Zertifizierungsprüfung zu bewerten.
Was passiert in Stage 2?
Stage 2 prüft die tatsächliche Umsetzung des ISMS in der Praxis. Hier wird sichtbar, ob die Organisation ihre eigenen Regelungen und Sicherheitssteuerung wirklich lebt.
Brauche ich vor dem Zertifizierungsaudit ein internes Audit?
Praktisch ja. Internes Audit und Management Review gehören typischerweise zu den Voraussetzungen, damit Stage 1 und Stage 2 sinnvoll und erfolgreich durchlaufen werden können.
Wo finde ich akkreditierte ISO 27001-Zertifizierer?
Alle Akkreditierungsstellen haben Datenbanken, in denen Sie Zertifizierungsunternehmen finden können. Akkreditierungsstellen gibt es national und international. Sie müssen nicht die nationale Akkreditierungsstelle für Ihr Land nehmen. Zertifizierungsbusiness ist international.

Dieser Artikel gehört zum Thema ISO 27001 Zertifizierung — erfahren Sie mehr über die Zertifizierung.

Zurück zum Blog

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Wir schicken Ihnen das PDF und gelegentlich praxisnahe Tipps. Abmeldung jederzeit per Klick. Keine Weitergabe an Dritte.