Wissen aus der Praxis · ISO 27001

ISO 27001 Quick-Start-Checkliste: 20 Schritte zur Zertifizierungsreife

Sie wollen ein ISMS nach ISO 27001 aufbauen und fragen sich, wo Sie anfangen sollen? Diese Checkliste führt Sie in 20 priorisierten Schritten durch den gesamten Weg.

Kostenloses Erstgespräch

ISO 27001 ist der internationale Standard für ein Informationssicherheits-Managementsystem (ISMS). Die folgende Checkliste bündelt die 20 wichtigsten Schritte von der Vorbereitung bis zum Zertifizierungsaudit, priorisiert und in der Reihenfolge, die sich in der Praxis bewährt hat. Sie eignet sich besonders für kleine und mittlere Organisationen, die pragmatisch starten wollen.

Phase 1: Fundament legen

  1. Geltungsbereich (Scope) festlegen: Welche Standorte, Bereiche und Systeme deckt das ISMS ab?
  2. Geschäftsleitung einbinden: Verantwortung, Budget und Sicherheitsziele schriftlich verankern.
  3. Informationswerte erfassen: Daten, Systeme und Prozesse inventarisieren und Eigentümer benennen.
  4. Anforderungen sammeln: Rechtliche, vertragliche und regulatorische Pflichten (z. B. DSGVO, Kundenvorgaben) zusammentragen.

Phase 2: Risiken bewerten

  1. Risikomethodik definieren: Bewertungskriterien für Eintritt und Schaden festlegen.
  2. Risiken identifizieren und bewerten: Bedrohungen und Schwachstellen je Informationswert einschätzen.
  3. Risikobehandlungsplan erstellen: Pro Risiko entscheiden: reduzieren, akzeptieren, übertragen oder vermeiden.
  4. Statement of Applicability (SoA): Maßnahmen aus Anhang A auswählen und Begründungen dokumentieren.

Phase 3: Maßnahmen und Dokumentation

  1. Informationssicherheitsleitlinie verabschieden und kommunizieren.
  2. Rollen- und Berechtigungskonzept nach dem Prinzip der minimalen Rechte aufbauen.
  3. Klassifizierung von Informationen (z. B. öffentlich, intern, vertraulich) einführen.
  4. Zugriffskontrolle mit starken Passwörtern und Mehr-Faktor-Authentifizierung absichern.
  5. Lieferanten- und Dienstleistersicherheit regeln (Verträge, Cloud, Auftragsverarbeitung).
  6. Backup und Notfallwiederherstellung einrichten und regelmäßig testen.
  7. Technische Maßnahmen umsetzen: Patch-Management, Logging, Verschlüsselung, Schutz vor Schadsoftware.
  8. Awareness-Schulung für alle Mitarbeitenden durchführen.

Phase 4: Betreiben und prüfen

  1. Incident-Management-Prozess etablieren: erkennen, melden, reagieren, lernen.
  2. Internes Audit durchführen und Abweichungen beheben.
  3. Management-Review ansetzen: Wirksamkeit bewerten, Ziele nachschärfen.
  4. Zertifizierungsaudit vorbereiten: Stufe 1 (Dokumentenprüfung) und Stufe 2 (Vor-Ort-Audit) mit einer akkreditierten Stelle planen.

Häufige Fragen

Wie lange dauert der Weg zur ISO-27001-Zertifizierung?

Für kleine und mittlere Organisationen sind je nach Ausgangslage und Ressourcen meist sechs bis zwölf Monate realistisch. Mit klarer Priorisierung lässt sich der Aufwand deutlich straffen.

Brauche ich externe Unterstützung?

Nicht zwingend, aber sie spart Zeit und Fehlversuche. Häufig übernimmt ein Berater den Aufbau von Risikoanalyse, SoA und Dokumentation und befähigt das interne Team für den laufenden Betrieb.

Was ist das Statement of Applicability (SoA)?

Das SoA listet alle Maßnahmen aus Anhang A der ISO 27001 auf und begründet, welche anwendbar sind und welche nicht. Es ist ein zentrales Prüfdokument im Zertifizierungsaudit.

Hinweis: Dieser Leitfaden ist eine allgemeine Orientierung und ersetzt keine individuelle Rechts- oder Fachberatung. Für Ihren konkreten Fall sprechen wir das am besten persönlich durch.