Welche Schritte umfasst der ISO-27001-Zertifizierungsprozess?

Der Weg zur ISO 27001-Zertifizierung folgt einer klaren Abfolge von Schritten, die sich in zwei Phasen gliedern: den Aufbau und Betrieb des Informationssicherheits-Managementsystems (ISMS) sowie das anschließende externe Zertifizierungsaudit. Die Norm schreibt das Ergebnis vor, nicht jeden einzelnen Projektschritt. In der Praxis hat sich jedoch ein bewährter Ablauf etabliert, der die Anforderungen zuverlässig erfüllt.

Die Schritte im Überblick

Schritt Inhalt
1. Umfang festlegen (Scope) Bestimmen, welche Bereiche, Standorte, Systeme und Informationen das ISMS abdeckt.
2. Unterstützung der Leitung sichern Verantwortlichkeiten, Ressourcen und eine Informationssicherheitsleitlinie festlegen.
3. Gap-Analyse Den Ist-Zustand mit den Anforderungen der Norm abgleichen und Lücken identifizieren.
4. Risikobewertung und -behandlung Risiken identifizieren, bewerten und passende Maßnahmen auswählen.
5. Erklärung zur Anwendbarkeit (SoA) Dokumentieren, welche Anhang-A-Maßnahmen anwendbar sind und warum.
6. Richtlinien und Maßnahmen umsetzen Die ausgewählten Maßnahmen in den täglichen Betrieb überführen.
7. Schulung und Sensibilisierung Mitarbeitende auf ihre Rolle in der Informationssicherheit vorbereiten.
8. Internes Audit Die Wirksamkeit des ISMS intern prüfen und Abweichungen erfassen.
9. Managementbewertung Die Leitung bewertet Leistung, Ziele und Verbesserungsbedarf des ISMS.
10. Zertifizierungsaudit (Stufe 1 und 2) Externe Prüfung durch eine akkreditierte Zertifizierungsstelle, gefolgt von der Ausstellung des Zertifikats.

Die zwei Phasen des externen Audits

Das Zertifizierungsaudit selbst läuft in zwei Stufen ab:

  • Stufe 1 (Dokumentenprüfung): Die Zertifizierungsstelle prüft, ob das ISMS dokumentiert und grundsätzlich bereit ist. Sie identifiziert Bereiche, die vor Stufe 2 nachgebessert werden müssen.
  • Stufe 2 (Implementierungsaudit): Die Auditoren prüfen über mehrere Tage hinweg vor Ort oder remote, ob das ISMS wirksam gelebt wird und die Maßnahmen tatsächlich greifen. Bei Erfolg wird das Zertifikat ausgestellt, das drei Jahre gültig ist.

Wichtiger Hinweis: Das ISMS muss vor dem Stufe-2-Audit bereits nachweislich einige Wochen bis Monate in Betrieb gewesen sein. Internes Audit und Managementbewertung sind verpflichtende Voraussetzungen und müssen vor dem externen Audit abgeschlossen sein.

Wie Kertos den Prozess strukturiert und beschleunigt

Kertos führt Sie Schritt für Schritt durch den gesamten Zertifizierungsprozess und automatisiert die aufwändigsten Teile. Kertos verbindet eine agentische Compliance-Plattform (KAIA) mit akkreditierten internen Expertinnen und Experten, die Seite an Seite mit Ihrem Team arbeiten:

  • Geführter Projektplan: Die Plattform übersetzt die Schritte in konkrete Aufgaben mit Verantwortlichkeiten und Fristen.
  • Automatisierte Gap-Analyse und Risikobewertung: Lücken werden früh sichtbar, Risiken direkt mit Maßnahmen verknüpft.
  • Vorlagen und Nachweissammlung: Richtlinien, SoA und Nachweise werden vorbereitet und kontinuierlich zugeordnet.
  • Audit-Begleitung durch Experten: Kertos unterstützt internes Audit, Managementbewertung sowie Stufe 1 und Stufe 2.

Das Ergebnis spiegelt sich in der Bilanz von Kertos wider: eine 100%ige Audit-Erfolgsquote, rund 80% weniger manueller Compliance-Aufwand und Kunden wie AskUI, die die ISO 27001-Zertifizierung in nur 2,5 Monaten erreicht haben. Aus einem komplexen Prozess wird ein planbarer, nachvollziehbarer Weg.

WISSEN

Entdecke unsere Ressourcen

Finde nützliche Whitepapers, Videos und praxisorientierte Tools, die dir helfen, deine Compliance-Ziele effizient zu erreichen.

ISO 27001: Der komplette Guide zur Zertifizierung 2026
Guide
Informationssicherheit
ISO 27001: Der komplette Guide zur Zertifizierung 2026

Was die Norm verlangt, wie das Audit wirklich abläuft und wie Sie zertifiziert werden, ohne in Tabellen zu versinken.

Jetz lesen
EU-Datensouveränität: Warum Ihre Anbieterwahl jetzt eine Compliance-Entscheidung ist
Artikel
Compliance
EU-Datensouveränität: Warum Ihre Anbieterwahl jetzt eine Compliance-Entscheidung ist

Europäische Datenresidenz reicht nicht mehr aus. Eine neue Welle von EU-Souveränitätsgesetzen verschiebt die Frage: Nicht mehr, wo Ihre Daten liegen, sondern wer das Unternehmen kontrolliert, das sie hält.

Jetz lesen
ISO-27001-Zertifizierung: Der vollständige Leitfaden für Start-ups und Scale-ups
Artilkel
Informationssicherheit
ISO-27001-Zertifizierung: Der vollständige Leitfaden für Start-ups und Scale-ups

Alles, was Sie über die Zertifizierung wissen müssen: von der ISMS-Einführung und den Anhang-A-Controls bis zu Kosten, Zeitplänen und den Neuerungen der 2022er-Revision.

Jetz lesen
No items found.
No items found.

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check