ISO 27001 Zertifizierungs-Checkliste: 80 Schritte zur Zertifizierung
Einführung
Die Vorbereitung auf die ISO 27001-Zertifizierung ist ein mehrmonatiges Unterfangen. Diese Checkliste ist in sechs Phasen gegliedert und hilft Ihnen, kritische Lücken zu vermeiden.
Phase 1: Grundlagen & Scoping (Wochen 1–4)
Top-Management-Commitment einholen. ISMS-Umfang definieren. ISMS-Projektleiter ernennen. Interessierte Parteien identifizieren. Hochrangige Gap-Analyse durchführen. Projektplan erstellen. Zertifizierungsstelle frühzeitig auswählen.
Phase 2: Risikobewertung & -behandlung (Wochen 4–10)
Risikobewertungsmethodik definieren. Informations-Asset-Inventar erstellen. Bedrohungen und Schwachstellen identifizieren. Risikoniveaus berechnen. Risikobehandlungsoptionen auswählen. Kontrollen aus Annex A zuordnen. Risikobehandlungsplan erstellen. Erklärung zur Anwendbarkeit (SoA) erstellen.
Phase 3: Richtlinien & Dokumentation (Wochen 8–16)
Informationssicherheitsrichtlinie verfassen. ISMS-Umfang formal dokumentieren. Obligatorische Dokumente erstellen: Risikobewertungsergebnisse, Risikobehandlungsplan, SoA, ISMS-Ziele, Kompetenz- und Schulungsnachweise. Operative Richtlinien entwickeln. Dokumentenkontrollprozess etablieren.
Phase 4: Kontrollimplementierung (Wochen 12–24)
Zugangskontrollen implementieren: RBAC, geringste Privilegien, PAM, regelmäßige Zugriffsüberprüfungen. Technische Sicherheitskontrollen einrichten: MFA, Endpoint-Schutz, Patch-Management, Schwachstellenscanning. Sicherheitsbewusstseinstraining für alle Mitarbeiter durchführen. Lieferantensicherheitsmanagement etablieren. Vorfallsmanagement-Verfahren implementieren. Logging und Monitoring einrichten.
Phase 5: Internes Audit & Management-Review (Wochen 20–28)
Internes ISMS-Audit planen und durchführen. Auditbefunde dokumentieren. Korrekturmaßnahmen für alle Nichtkonformitäten implementieren. Wirksamkeit der Korrekturmaßnahmen verifizieren. Management-Review mit Führungskräften durchführen. Auditbereitschaft bestätigen.
Phase 6: Zertifizierungsaudit & danach (Wochen 24–36)
Stage 1 Audit (Dokumentenprüfung): Prüfung Ihrer ISMS-Dokumentation. Stage 2 Audit (Implementierungsaudit): Vor-Ort-Bewertung der Kontrollimplementierung. Nichtkonformitäten innerhalb der vereinbarten Frist beheben. Zertifikat erhalten: 3 Jahre gültig, jährliche Überwachungsaudits. Laufenden ISMS-Betrieb etablieren.
Wichtige Erkenntnisse
Die ISO 27001-Zertifizierung ist für jede Organisation erreichbar, die die richtigen Ressourcen bereitstellt. Die häufigsten Schwachstellen: unzureichende Risikobewertung, Dokumentationslücken und ungelöste Nichtkonformitäten vor dem Audit.
Bereit, Ihre ISO 27001-Kosten zu schätzen?
Nutzen Sie unseren kostenlosen Rechner für eine maßgeschneiderte Kosten-, Aufwands- und Zeitplanschätzung basierend auf Ihrem Unternehmensprofil.