ISO 27001 ist der internationale ISMS-Standard. Eine Zertifizierung signalisiert Kunden und Partnern: Sie nehmen Informationssicherheit ernst. Dieser Leitfaden zeigt den realistischen Weg dorthin.

Phase 1: Gap-Analyse (Monat 1-2)

Bestandsaufnahme: Wo stehen Sie heute? Vergleichen Sie Ihren aktuellen Status mit ISO 27001:2022. Typische Findings: fehlende Risikobeurteilung, unvollstaendige Asset-Inventare, mangelnde Dokumentation. Output: priorisierter Massnahmenplan.

Phase 2: ISMS-Aufbau (Monat 2-5)

Kernelemente: Scope-Definition, Informationssicherheitsrichtlinie (von GF unterzeichnet), Risikobeurteilung, Statement of Applicability (SoA) fuer alle 93 Controls aus Annex A, dokumentierte Richtlinien fuer Zugriff, Incident Management, BCP und mehr.

Phase 3: Implementierung und Bewusstsein (Monat 4-7)

Dokumente allein reichen nicht. Controls muessen gelebt werden. Schulen Sie Mitarbeiter, implementieren Sie technische Massnahmen, fuehren Sie interne Audits durch.

Phase 4-5: Internes Audit, Management Review und Zertifizierungsaudit

Das Zertifizierungsaudit laeuft in zwei Stufen: Stage 1 prueft Dokumentation (oft remote), Stage 2 ist das Vor-Ort-Audit. Bei Nichtkonformitaeten haben Sie die Moeglichkeit zur Korrektur vor der finalen Entscheidung.