ISMS Aufbau: ISO 27001 Schritt für Schritt implementieren

Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 ist das international anerkannte Framework für den systematischen Schutz von Informationswerten. Der Aufbau eines ISMS ist kein einmaliges Projekt, sondern die Implementierung eines kontinuierlichen Verbesserungsprozesses, der Informationssicherheit in der Unternehmenskultur verankert.

Was ist ein ISMS?

Ein ISMS ist ein Managementsystem, das Informationssicherheit durch definierte Richtlinien, Prozesse und technische Maßnahmen sicherstellt. Es folgt dem PDCA-Zyklus (Plan-Do-Check-Act) und umfasst: Risikobewertung, Maßnahmenimplementierung, Wirksamkeitsprüfung und kontinuierliche Verbesserung.

ISMS Aufbau in 8 Schritten

1. Gap-Analyse: Vergleich des aktuellen Sicherheitsstatus mit ISO 27001 Anforderungen. Identifikation der Lücken in Clauses 4-10 und Annex A Controls. Ergebnis: priorisierter Maßnahmenplan mit Aufwandsschätzung.
2. Scope Definition: Festlegung des ISMS-Geltungsbereichs: Welche Standorte, Abteilungen, Prozesse und Systeme sind eingeschlossen? Der Scope muss alle relevanten Informationswerte abdecken, ohne zu breit zu werden.
3. ISMS-Policy und Dokumentenstruktur: Erstellung der übergeordneten Informationssicherheitspolitik, unterzeichnet von der Geschäftsleitung. Aufbau der Dokumentenhierarchie: Policies → Standards → Verfahren → Arbeitsanweisungen.
4. Risikobewertung: Systematische Identifikation und Bewertung von Informationssicherheitsrisiken. Methodik festlegen (z.B. ISO 27005 oder BSI-Grundschutz), Assets identifizieren, Bedrohungen und Schwachstellen bewerten, Risikobehandlung entscheiden (vermeiden, mindern, übertragen, akzeptieren).
5. Statement of Applicability (SoA): Dokumentation aller 93 Annex-A-Controls und Begründung, welche angewendet werden und welche nicht. Die SoA ist das Herzstück des ISMS und wird bei jedem Audit geprüft.
6. Maßnahmen implementieren: Technische und organisatorische Controls gemäß SoA umsetzen. Typische Maßnahmen: Zugangskontrollen, Verschlüsselung, Backup-Strategie, Incident-Management, Awareness-Schulung, Lieferantenmanagement.
7. Internes Audit: Durchführung eines vollständigen internen Audits gegen ISO 27001. Prüfung aller Clauses und relevanter Controls. Dokumentation von Findings und Korrekturmaßnahmen. Mindestens einmal vor dem Zertifizierungsaudit.
8. Zertifizierungsaudit: Zweistufiges Audit durch eine akkreditierte Zertifizierungsstelle. Stufe 1: Dokumentenprüfung. Stufe 2: Vor-Ort-Audit mit Interviews, Nachweissichtung und Stichproben. Bei Erfolg: ISO 27001 Zertifikat, gültig für 3 Jahre.

Zeitplan und Kosten

Typischer Zeitplan für den ISMS-Aufbau:

• KMU (50-200 Mitarbeiter): 6-12 Monate bis zur Zertifizierung
• Mittelstand (200-1.000 Mitarbeiter): 9-15 Monate
• Großunternehmen (1.000+ Mitarbeiter): 12-24 Monate

Typische Kosten:

• Externe Beratung: 50.000-150.000 Euro (je nach Scope und Reifegrad)
• Interne Personalkosten: 0,5-2 FTE über die Implementierungsdauer
• Zertifizierungsaudit: 10.000-30.000 Euro (abhängig von Unternehmensgröße und Scope)
• Jährliche Überwachungsaudits: 5.000-15.000 Euro

Häufig gestellte Fragen zum ISMS Aufbau

Wie lange dauert der ISMS Aufbau?

Für ein mittelständisches Unternehmen sind 9-15 Monate realistisch. Die größten Zeitfaktoren sind die Risikobewertung, die Implementierung technischer Maßnahmen und die Durchführung von Awareness-Schulungen. Eine beschleunigte Implementierung in 6 Monaten ist möglich, erfordert aber dedizierte Ressourcen und ggf. externe Unterstützung.

Was ist der Unterschied zwischen ISO 27001:2013 und ISO 27001:2022?

ISO 27001:2022 aktualisiert den Annex A von 114 auf 93 Controls, reorganisiert sie in 4 Kategorien (statt 14) und fügt 11 neue Controls hinzu, darunter Threat Intelligence, Cloud Security und Data Masking. Die Clause-Struktur (4-10) bleibt weitgehend unverändert. Bestehende Zertifizierungen mussten bis Oktober 2025 auf die 2022-Version umgestellt werden.

Reicht ISO 27001 für NIS2?

ISO 27001 deckt circa 80% der NIS2-Anforderungen ab. Ergänzend benötigen Sie: 24h/72h Incident-Meldeprozess, BSI-Registrierung, dokumentierte Lieferketten-Risikobewertung und Einbindung der Geschäftsleitung. Eine ISO 27001-Zertifizierung ist ein starkes Fundament für NIS2 — aber kein Automatismus für vollständige Compliance.

Können wir das ISMS intern aufbauen oder brauchen wir externe Beratung?

Ein interner Aufbau ist möglich, wenn Sie Mitarbeiter mit ISO 27001 Lead Implementer oder vergleichbarer Qualifikation haben. In der Praxis nutzen die meisten Unternehmen externe Unterstützung für: initiale Gap-Analyse, Risikobewertungsmethodik, SoA-Erstellung und Audit-Vorbereitung. Der interne ISMS-Beauftragte bleibt aber für den laufenden Betrieb verantwortlich.

Was ist das Statement of Applicability?

Die SoA ist ein Dokument, das alle 93 Annex-A-Controls auflistet und für jedes Control dokumentiert: Ist es anwendbar? Ist es implementiert? Wie ist es umgesetzt? Warum ist es ggf. nicht anwendbar? Die SoA ist das Referenzdokument für jeden Auditor und wird bei jedem Zertifizierungsaudit zuerst geprüft.