ISMS — ISO-Norm
ISO 27001 — Zertifizierung und Beratung
Von der Gap-Analyse bis zum erfolgreichen Zertifizierungsaudit — methodisch fundiert, normkonform und praxisbewährt.
Abschnitt 01
Warum ISO 27001 Beratung?
Kunden verlangen es, Versicherungen setzen es voraus, Regulierungen schreiben es vor: ISO 27001 ist für mittelständische Unternehmen längst kein optionaler Qualitätsbeweis mehr. Die Nachfrage kommt von mehreren Seiten gleichzeitig.
Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555, Art. 21) verpflichtet schätzungsweise 30.000 Unternehmen in Deutschland, Maßnahmen zum Risikomanagement und zur Informationssicherheit nachzuweisen. Ein dokumentiertes ISMS nach ISO 27001 gilt als anerkannter Beleg dafür.
Regulatorische Treiber
- NIS-2, Art. 21 (Risikomanagement)
- DORA, Art. 5 (IKT-Governance)
- BSIG §8a (KRITIS-Nachweis)
- TISAX (VDA-Lieferkette)
- Cyberversicherungen (ISMS-Pflicht)
- Auftraggeber-Anforderungen (B2B)
Annex A der ISO 27001:2022 umfasst 93 Controls in vier Themendomänen: organisatorische, personelle, physische und technologische Maßnahmen. Die Komplexität der Norm, kombiniert mit dem regulatorischen Druck, macht externe Begleitung für die meisten mittelständischen Unternehmen zur pragmatischen Wahl. Genau dort setzt die ISO 27001 Beratung von SECURAM an: systematisch, nicht checklistenbasiert.
Abschnitt 02
ISO 27001 Zertifizierung: Was das Audit wirklich prueft
Das Zertifizierungsaudit wird von einer akkreditierten Zertifizierungsstelle (nach ISO/IEC 17021-1) in zwei Stufen durchgeführt. Stage 1 ist eine Dokumentenprüfung: Die Auditoren bewerten, ob die Kerndokumentation (Informationssicherheitsleitlinie, Risikobeurteilung, Statement of Applicability) vollständig und normkonform ist.
Stage 2 geht tiefer: Die Auditoren prüfen die gelebte Implementierung. Existieren die Richtlinien nur auf dem Papier, oder sind die Maßnahmen tatsächlich umgesetzt? Wurden Mitarbeitende geschult? Gibt es Nachweise für interne Audits und Management-Reviews?
Das Zertifikat gilt drei Jahre. In den Zwischenjahren finden Überwachungsaudits statt, die die Aufrechterhaltung des ISMS und die Schließung offener Feststellungen prüfen. SECURAM begleitet nicht nur den Weg zur Erstzertifizierung, sondern auch die Überwachungsaudits, damit das Zertifikat langfristig stabil bleibt.
Abschnitt 03
Annex A und die 93 Controls
Die ISO 27001:2022 strukturiert ihren Annex A neu: Statt der 114 Controls in 14 Gruppen aus der 2013er-Fassung gibt es jetzt 93 Controls in vier Domänen.
Die vier Annex-A-Domänen (ISO 27001:2022)
- Organisatorische Controls (37)
- Personelle Controls (8)
- Physische Controls (14)
- Technologische Controls (34)
Nicht alle 93 Controls müssen implementiert werden. Das ist ein verbreitetes Missverständnis. Das Statement of Applicability (SoA) dokumentiert, welche Controls angewendet werden und, entscheidend, welche ausgeschlossen werden und warum. Diese Begründungen müssen risikobasiert und nachvollziehbar sein.
Neu in der 2022er-Revision sind u. a. Controls zu Threat Intelligence (Annex A.5.7), Cloud Security (Annex A.5.23) und Data Masking (Annex A.8.11). Unternehmen, die noch nach der 2013er-Norm zertifiziert waren, mussten bis Oktober 2025 auf die aktuelle Revision wechseln. SECURAM arbeitet ausschließlich nach der 2022er-Norm.
Abschnitt 04
ISO 27001 Berater: Worauf es bei der Auswahl ankommt
Ein ISO 27001 Berater sollte das ISMS in bestehende Prozesse einbetten, nicht darüber stülpen. Wer bei einem mittelständischen Unternehmen Konzernvorlagen einsetzt, produziert Dokumentation, die niemand liest und im Audit zu Feststellungen führt, weil die gelebte Praxis nicht dazu passt.
Relevante Kriterien bei der Beraterauswahl: Kenntnis der aktuellen 2022er-Norm, Sektorkompetenz (NIS-2-Branche, TISAX-Umfeld, KRITIS-Kontext), Erfahrung mit Zertifizierungsaudits auf beiden Seiten und die Fähigkeit, regulatorische Anforderungen zusammenzuführen statt nebeneinander zu stellen.
SECURAM verbindet ISO-27001-Norm-Kompetenz mit Kenntnissen in NIS-2, DORA und dem BSI IT-Grundschutz. So entsteht ein ISMS, das regulatorisch breit aufgestellt ist, ohne parallel mehrere Managementsysteme zu betreiben.
SECURAM begleitet Sie von der Gap-Analyse bis zum erfolgreichen Zertifizierungsaudit. Sprechen Sie mit Nadine Eibel.
Leistungsumfang
SECURAM begleitet den gesamten Zertifizierungsweg — von der ersten Bestandsaufnahme bis zur Nachbereitung offener Auditfeststellungen.
-
—
GAP-Analyse und Reifegradmessung
Systematischer Abgleich des bestehenden Sicherheitsniveaus mit den Anforderungen der ISO/IEC 27001:2022. Das Ergebnis ist ein priorisierter Aktionsplan mit realistischen Zeitangaben, kein Foliensatz für die Ablage.
-
—
Scope-Definition und Anwendungsbereich
Festlegung des Geltungsbereichs des ISMS (ISO 27001:2022, Abschnitt 4.3) unter Berücksichtigung organisatorischer Grenzen, Schnittstellen und regulatorischer Anforderungen.
-
—
Risikobewertung nach ISO 27005
Identifikation, Bewertung und Priorisierung von Informationssicherheitsrisiken. Die Risikobeurteilung bildet die Grundlage für das Statement of Applicability und die Maßnahmenauswahl.
-
—
Maßnahmenauswahl aus Annex A
Ableitung und Dokumentation der relevanten Controls aus den 93 Maßnahmen des Annex A der ISO 27001:2022. Begründungen für Einschluss oder Ausschluss werden im Statement of Applicability festgehalten.
-
—
Dokumentation des ISMS
Erstellung und Strukturierung der erforderlichen Dokumentation: Informationssicherheitsleitlinie, Verfahrensanweisungen, Risikobewertung, Statement of Applicability und Nachweise. Dokumentation, die im Audit standhalt.
-
—
Interne Audits (ISO 19011)
Planung und Durchführung interner Audits nach ISO 19011, um die Konformität des ISMS vor dem Zertifizierungsaudit zu prüfen. Feststellungen werden nachverfolgt und in den Verbesserungsprozess übergeben.
-
—
Zertifizierungsbegleitung (Stage 1 und Stage 2)
Koordination der Zertifizierungsstelle, Vorbereitung der Dokumentation und Steuerung der internen Ansprechpartner während des zweistufigen Audits. SECURAM ist als begleitender Ansprechpartner verfügbar.
-
—
Nachaudit-Support und Maßnahmenbearbeitung
Offene Feststellungen nach dem Audit gefährden das Zertifikat. SECURAM unterstützt bei der fristgerechten Bearbeitung von Major- und Minor-Abweichungen sowie bei der Vorbereitung von Überwachungsaudits.
ISO 27001 Zertifizierung planen — jetzt Erstgespräch vereinbaren
Sie planen den Aufbau eines ISMS oder stehen vor der Zertifizierung? In einem kostenfreien Erstgespräch benötigen wir typischerweise 45 Minuten — und können danach eine belastbare Einschätzung des Aufwands, des sinnvollen Vorgehens und des realistischen Zeitrahmens geben.
Warum SECURAM für ISO 27001
Vier Gründe, warum mittelständische Unternehmen beim Aufbau ihres ISMS auf SECURAM setzen.
Norm-Kompetenz
ISO 27001 in der Praxis
SECURAM arbeitet direkt mit der Norm und dem Annex A. Die Beratung geht über Checklisten hinaus und verbindet normative Anforderungen mit der tatsächlichen Risikolage — nicht mit Idealvorstellungen.
Integration
Bestehendes nutzen, nicht doppeln
Ein ISMS wird in bestehende Prozesse eingebettet, nicht darüber gestülpt. SECURAM prüft vorhandene Strukturen und integriert das Managementsystem dort, wo es wirkt — ohne parallele Dokumentationswelten aufzubauen.
Regulatorik
NIS-2, DORA, CRA — ein ISMS als Basis
Wer ISO 27001 zertifiziert ist, deckt wesentliche Anforderungen aus NIS-2 (Art. 21), DORA und dem Cyber Resilience Act bereits ab. SECURAM richtet das ISMS von Beginn an regulatorisch breit aus.
Praxis
Audit-Erfahrung auf beiden Seiten
SECURAM kennt Zertifizierungsaudits aus der Perspektive des Beraters und des Auditoren. Die Vorbereitung adressiert nicht nur Dokumentation, sondern auch die Fragen, die Auditoren tatsächlich stellen.
Unternehmensflyer
Alle Leistungen auf einen Blick als PDF zum Weitergeben.
SECURAM Consulting
Unternehmensflyer mit Leistungsportfolio, Beratungsansatz und Kontaktdaten.
Flyer herunterladenTypische Ausgangssituationen
Drei Szenarien führen Unternehmen besonders häufig zur ISO 27001 Zertifizierung:
Kundenanforderung oder Lieferkettendruck
Ein Auftraggeber fordert den Nachweis eines zertifizierten ISMS. Ohne ISO 27001 droht der Verlust des Auftrags oder die Nichtberücksichtigung bei Ausschreibungen. SECURAM bringt das ISMS zielgerichtet zur Zertifizierungsreife — im Zeitrahmen, den der Auftraggeber setzt. Ein Erstgespräch klärt den Scope.
Sicherheitsvorfall oder Beinahe-Vorfall
Ein Ransomware-Angriff, ein Datenverlust oder ein knapp abgewendeter Vorfall hat die Geschäftsleitung aufgerüttelt. Die Reaktion: ein strukturiertes ISMS aufbauen, bevor der nächste Vorfall eintritt. SECURAM hilft, die richtigen Lehren zu ziehen und ein belastbares System zu implementieren.
Regulatorische Pflicht (NIS-2, DORA, KRITIS)
Die Organisation fällt unter NIS-2, DORA oder ist KRITIS-Betreiber. Ein ISMS nach ISO 27001 ist der regulatorisch anerkannte Weg, die Anforderungen nachweisbar zu erfüllen. SECURAM bereitet auf Audits vor — pragmatisch und anforderungsgerecht. Ein Erstgespräch klärt den konkreten Scope.
Häufige Fragen
Ihre Fragen zur ISO 27001 Zertifizierung
Praxisnahe Antworten zu Kosten, Zeitrahmen, Normanforderungen und dem Einstieg in die ISO-27001-Beratung.
Die Gesamtkosten setzen sich aus drei Teilen zusammen: Beratungsaufwand, interne Ressourcen und das eigentliche Zertifizierungsaudit durch eine akkreditierte Zertifizierungsstelle. Für Unternehmen mit 100 bis 500 Mitarbeitenden bewegen sich die Gesamtaufwände erfahrungsgemäß im mittleren fünfstelligen Bereich.
Der größte Einflussfaktor ist der Reifegrad des Ausgangszustands — wer bereits Richtlinien, eine Risikoanalyse und dokumentierte Prozesse hat, ist deutlich schneller und günstiger. Eine GAP-Analyse liefert bereits in wenigen Wochen eine belastbare Schätzung.
Ein realistischer Zeitrahmen liegt bei sechs bis zwölf Monaten. In der Praxis existieren bei KMU 40 bis 60 Prozent der erforderlichen Controls ohnehin bereits — sie sind jedoch nicht dokumentiert oder nicht formal in das ISMS eingebettet.
Wer bereits strukturiert mit Risiken arbeitet und eine ISB-Rolle besetzt hat, kann den ISMS-Aufbau deutlich straffen. Die Phase-1-GAP-Analyse zeigt in zwei bis drei Wochen, was realistisch ist.
ISO 27001:2022 schreibt in Abschnitt 5.3 vor, dass Rollen, Verantwortlichkeiten und Befugnisse für die Informationssicherheit klar zugewiesen sein müssen. Die Norm fordert allerdings keinen Vollzeit-ISB.
Für KMU bewährt sich der externe Interim ISB als Modell: Er bringt die fachliche Qualifikation mit, ist unabhängig von internen Hierarchien und kann sofort starten.
Die Übertragungsfrist für Zertifikate nach ISO/IEC 27001:2013 endete im Oktober 2025. Seither sind ausschließlich Zertifikate nach ISO/IEC 27001:2022 gültig.
Die wesentlichen Änderungen betreffen die Neustrukturierung von Annex A: von 114 Controls in 14 Gruppen auf 93 Controls in vier Domänen. Neue Themenbereiche wie Threat Intelligence (Annex A.5.7) und Cloud Security (Annex A.5.23) wurden hinzugefügt.
Teilweise — aber nicht vollständig. Die NIS-2-Richtlinie (Art. 21 Abs. 2) fordert risikoadäquate Maßnahmen in zehn Bereichen. Ein zertifiziertes ISMS nach ISO 27001 deckt die meisten dieser Bereiche strukturell ab.
ISO 27001 ersetzt jedoch nicht die Meldepflichten (Art. 23 NIS-2) und die Registrierungspflicht beim BSI. Eine GAP-Analyse klärt, welche spezifischen NIS-2-Anforderungen noch offen sind.
Sprechen Sie direkt mit unseren ISMS-Experten. Wir klären Ihren konkreten Bedarf im kostenfreien Erstgespräch.
Kontakt
Wir freuen uns auf Ihre Nachricht.
Kontaktdaten
20354 Hamburg
Direkter Kontakt
- Vertrieb: sales@securam-consulting.com
- Bewerbung: bewerbung@securam-consulting.com
Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.