Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
ISO 27001 Beratung und Zertifizierung | SECURAM Hamburg

ISMS · ISO/IEC 27001:2022

ISO 27001 Beratung für den Mittelstand

Die ISO/IEC 27001:2022 ist der international anerkannte Standard für Informationssicherheitsmanagementsysteme. SECURAM begleitet mittelständische Unternehmen von der GAP-Analyse über die Implementierung der 93 Annex-A-Controls bis zum bestandenen Zertifizierungsaudit — mit der Erfahrung aus mehr als 30 abgeschlossenen ISMS-Projekten.

Erstgespräch vereinbaren Leistungsumfang ↓
27001 Information Security

Ausgangslage

Warum ISO 27001 für den Mittelstand relevant ist

Informationssicherheit ist keine Frage der Unternehmensgröße, sondern der Verantwortung gegenüber Kunden, Partnern und Aufsichtsbehörden.

Weltweit sind mehr als 70.000 Organisationen nach ISO/IEC 27001 zertifiziert (ISO Survey 2023). Im deutschsprachigen Raum steigt die Zahl insbesondere im Mittelstand, weil Auftraggeber, Branchenstandards und regulatorische Vorgaben den Nachweis eines systematischen Informationssicherheitsmanagements verlangen. Mit der NIS-2-Richtlinie hat die EU den Kreis der betroffenen Unternehmen auf rund 30.000 Organisationen in Deutschland erweitert — und fordert den „Stand der Technik", für den ein zertifiziertes ISMS der anerkannte Nachweis ist.

In unseren Projekten sehen wir regelmäßig, dass Unternehmen zwischen 100 und 5.000 Beschäftigten die Zertifizierung nicht aus Eigenmotivation anstreben, sondern weil Kunden, Ausschreibungen oder Regulierer sie voraussetzen. Gleichzeitig fehlt intern häufig die Kapazität, ein ISMS nach den Anforderungen der Abschnitte 4 bis 10 aufzubauen und die 93 Controls des Annex A systematisch umzusetzen. Genau hier setzt SECURAM an: Wir übernehmen die Konzeption, begleiten die Implementierung und bereiten auf das Zertifizierungsaudit vor — bei Bedarf auch als externer Informationssicherheitsbeauftragter im laufenden Betrieb.

Der Aufbau eines ISMS ist dabei kein Selbstzweck. Wer mit ISO 27001 beginnt, schafft die Grundlage für weiterführende Anforderungen wie DORA, KRITIS oder branchenspezifische Standards wie TISAX. Die Investition in ein ISMS zahlt sich durch Wiederverwendbarkeit bei Mehrfachzertifizierungen aus.

Leistungsumfang

ISO 27001: Von der Analyse bis zur Zertifizierung

Acht aufeinander abgestimmte Leistungsbausteine, die den gesamten Zertifizierungsprozess abdecken.

01

GAP-Analyse und Reifegradmessung

Systematischer Abgleich des Ist-Zustands mit den Anforderungen der ISO 27001 (Abschnitte 4–10) und den 93 Annex-A-Controls. Ergebnis ist ein priorisierter Maßnahmenplan.

02

Scope-Definition und Risikoanalyse

Festlegung des ISMS-Geltungsbereichs nach Abschnitt 4.3 und Durchführung der Risikobewertung nach Abschnitt 6.1, einschließlich Bedrohungs- und Schwachstellenanalyse gemäß ISO 27005.

03

Statement of Applicability (SoA)

Erstellung des Pflichtdokuments nach Abschnitt 6.1.3 d: Dokumentation aller 93 Controls mit Begründung für Anwendung oder Ausschluss, abgestimmt auf die Risikoanalyse.

04

Controls-Implementierung

Umsetzung der ausgewählten Annex-A-Controls in den vier Kategorien: organisatorisch, personell, physisch und technologisch. Pragmatisch, mit Fokus auf bereits vorhandene Strukturen.

05

ISMS-Dokumentation

Erstellung der geforderten dokumentierten Informationen: Informationssicherheitsleitlinie, Risikobehandlungsplan, Verfahrensanweisungen und Nachweisdokumente nach Abschnitt 7.5.

06

Awareness und Schulung

Aufbau eines Schulungsprogramms nach Abschnitt 7.2 und 7.3 für Management und Mitarbeitende. Ziel: Verankerung der Informationssicherheit in der Unternehmenskultur.

07

Internes Audit und Management Review

Durchführung des internen Audits nach Abschnitt 9.2 und Vorbereitung des Management Reviews nach Abschnitt 9.3. SECURAM agiert dabei als unabhängige Prüfinstanz vor dem Zertifizierungsaudit.

08

Zertifizierungsbegleitung

Vorbereitung auf das Stage-1-Audit (Dokumentenprüfung) und Stage-2-Audit (Vor-Ort-Prüfung). Begleitung während des gesamten Audit-Prozesses und Nachbereitung etwaiger Abweichungen.

Ablauf

Von der Analyse zur Zertifizierung in 6 Phasen

GAP-Analyse und Reifegradmessung

Woche 1–3

Erfassung des Ist-Zustands gegen die Anforderungen der Abschnitte 4–10 und die 93 Annex-A-Controls. Identifikation von Lücken, Priorisierung der Handlungsfelder und Schätzung des Gesamtaufwands.

Ergebnis: GAP-Report mit priorisiertem Maßnahmenplan und Aufwandsschätzung

Scope-Definition und Risikobewertung

Woche 3–7

Festlegung des ISMS-Geltungsbereichs nach Abschnitt 4.3, Erstellung des Risikoregisters und Durchführung der Risikobewertung nach Abschnitt 6.1 unter Berücksichtigung der ISO 27005.

Ergebnis: Scope-Dokument, Risikoregister, Risikobewertungsmatrix

Maßnahmenauswahl und SoA

Woche 6–12

Auswahl der anwendbaren Controls aus Annex A auf Basis der Risikoanalyse. Erstellung des Statement of Applicability (SoA) mit Begründung für jeden Einschluss und Ausschluss.

Ergebnis: Statement of Applicability, Risikobehandlungsplan

Dokumentation und Implementierung

Woche 8–20

Erstellung der ISMS-Dokumentation (Leitlinie, Verfahren, Nachweise) und operative Umsetzung der Controls. Schulung der Mitarbeitenden und Integration in bestehende Prozesse.

Ergebnis: ISMS-Dokumentationspaket, geschulte Organisation, implementierte Controls

Internes Audit und Management Review

Woche 20–23

Durchführung des internen Audits nach Abschnitt 9.2 durch SECURAM als unabhängige Prüfinstanz. Aufbereitung der Ergebnisse für das Management Review nach Abschnitt 9.3.

Ergebnis: Interner Auditbericht, Management-Review-Protokoll, Korrekturmaßnahmen

Zertifizierungsbegleitung

Woche 24–30

Vorbereitung auf das Stage-1-Audit (Dokumentenprüfung) und das Stage-2-Audit (Vor-Ort-Prüfung). Begleitung während der Audittage und Nachbereitung etwaiger Abweichungen bis zur Zertifikatserteilung.

Ergebnis: ISO-27001-Zertifikat, Abweichungsdokumentation, Übergabe an laufenden Betrieb

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter). Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Einmal aufbauen, mehrfach zertifizieren

Ein ISMS nach ISO 27001 ist die Basis für weiterführende Anforderungen. Wer strukturiert aufbaut, spart bei jeder Erweiterung 20 bis 40 Prozent des Aufwands.

Organisationen, die mit CISIS12 einsteigen, können bestehende Dokumentation und Prozesse beim Aufstieg auf ISO 27001 wiederverwenden. Von ISO 27001 zur NIS-2-Konformität sind die Überschneidungen noch größer.

Weitere Standards in der ISMS-Säule
TISAX BSI IT-Grundschutz DORA KRITIS CRA

Laufender Betrieb

ISBaaS — Externer Informationssicherheitsbeauftragter

Nach der Zertifizierung beginnt der laufende Betrieb des ISMS: Überwachungsaudits, Risikoaktualisierung, Maßnahmenverfolgung und Management Reviews. Nicht jedes Unternehmen kann oder will diese Aufgaben dauerhaft intern besetzen.

Mit ISBaaS stellt SECURAM einen externen Informationssicherheitsbeauftragten, der die Rolle nach Abschnitt 5.3 der ISO 27001 übernimmt. Das Modell eignet sich besonders für Organisationen, die die Zertifizierung erreicht haben und den PDCA-Zyklus ohne zusätzliche Festanstellung fortführen wollen.

  • Wahrnehmung der ISB-Rolle nach ISO 27001 Abschnitt 5.3
  • Planung und Durchführung interner Audits nach Abschnitt 9.2
  • Vorbereitung der jährlichen Überwachungsaudits
  • Fortlaufende Risikoaktualisierung und Maßnahmenverfolgung
  • Berichterstattung an die Geschäftsleitung (Management Review)

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — ISO 27001

ISO/IEC 27001:2022 ist der international anerkannte Standard für Informationssicherheitsmanagementsysteme (ISMS). Er definiert Anforderungen an den Aufbau, die Implementierung und die kontinuierliche Verbesserung eines ISMS. Ziel ist der Schutz der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Die aktuelle Fassung von 2022 enthält im Annex A insgesamt 93 Controls, gegliedert in vier Kategorien: organisatorisch, personell, physisch und technologisch.
Eine gesetzliche Pflicht zur ISO-27001-Zertifizierung besteht nicht. In der Praxis ist sie jedoch für viele Unternehmen faktisch verpflichtend: NIS-2-betroffene Organisationen müssen den Stand der Technik nachweisen, und ein zertifiziertes ISMS ist dafür der anerkannte Nachweis. Auch in regulierten Branchen wie Automotive (TISAX), Finanzwesen (DORA) oder kritischen Infrastrukturen (KRITIS) wird ISO 27001 als Basis vorausgesetzt. Im Mittelstand kommt der Druck häufig über Lieferkettenanforderungen.
In unseren Projekten im Mittelstand dauert die Implementierung von der GAP-Analyse bis zum bestandenen Zertifizierungsaudit zwischen 9 und 14 Monaten. Organisationen mit bestehendem Managementsystem oder hohem Reifegrad können den Zeitraum auf 6 bis 9 Monate verkürzen. Die Dauer hängt vom Scope, der Unternehmensgröße und den vorhandenen Ressourcen ab.
Die Kosten richten sich nach dem Umfang des ISMS-Scopes, der Unternehmensgröße und dem bestehenden Reifegrad. Pauschalpreise wären unseriös. Eine GAP-Analyse liefert innerhalb von zwei bis drei Wochen eine belastbare Aufwandsschätzung in Personentagen. SECURAM arbeitet auf Tagessatzbasis, sodass der Aufwand transparent bleibt und Sie die Steuerung behalten.
SECURAM berät nicht nur bei der Implementierung, sondern führt auch interne Audits als unabhängige Prüfinstanz durch. Diese Doppelperspektive aus Berater- und Auditorensicht sorgt dafür, dass Schwachstellen vor dem Zertifizierungsaudit erkannt werden. Zudem integriert SECURAM ISO 27001 mit NIS-2, DORA und ISO 22301, sodass Mehrfachzertifizierungen ohne redundanten Aufwand möglich sind.
Der Annex A ist ein normativer Anhang der ISO 27001 und enthält 93 Referenzmaßnahmen (Controls), gegliedert in vier Kategorien: organisatorisch (37), personell (8), physisch (14) und technologisch (34). Unternehmen müssen im Statement of Applicability (SoA) dokumentieren, welche Controls anwendbar sind und welche nicht. Die Auswahl basiert auf der Risikoanalyse nach Abschnitt 6.1.3.
ISO 27001 deckt erfahrungsgemäß 40 bis 60 Prozent der NIS-2-Anforderungen ab. Das ISMS bildet eine stabile Grundlage, doch NIS-2 fordert darüber hinaus Meldepflichten (24-Stunden-Frist), Lieferkettenprüfung, Geschäftsleitungshaftung und behördliche Registrierung nach §33 BSIG. Wer bereits ISO 27001 zertifiziert ist, verkürzt den NIS-2-Umsetzungsaufwand erheblich.
Das Statement of Applicability ist ein Pflichtdokument der ISO 27001 (Abschnitt 6.1.3 d). Es listet alle 93 Controls des Annex A auf und dokumentiert für jede Maßnahme, ob sie angewendet wird oder nicht — jeweils mit Begründung. Das SoA ist eines der ersten Dokumente, die ein externer Auditor im Stage-1-Audit prüft, und muss lückenlos zur Risikoanalyse passen.
Das Zertifizierungsaudit besteht aus zwei Stufen. Im Stage-1-Audit prüft die Zertifizierungsstelle die ISMS-Dokumentation, das SoA und die Risikoanalyse auf Vollständigkeit. Im Stage-2-Audit folgt eine Vor-Ort-Prüfung, bei der die Wirksamkeit der implementierten Controls im laufenden Betrieb bewertet wird. Zwischen Stage 1 und Stage 2 liegen in der Regel vier bis sechs Wochen.
Ja, die Überschneidung liegt bei 60 bis 70 Prozent. TISAX basiert auf dem VDA ISA-Katalog, der seinerseits auf ISO 27001 aufbaut. Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, können die bestehenden Controls und Dokumentation für das TISAX-Assessment nutzen. SECURAM berät bei der Erweiterung des Scopes, sodass beide Anforderungen parallel erfüllt werden.
Nach der Erstzertifizierung folgen jährliche Überwachungsaudits durch die Zertifizierungsstelle. Nach drei Jahren steht eine vollständige Rezertifizierung an. Zwischen den Audits muss das ISMS im PDCA-Zyklus weiterentwickelt werden: interne Audits, Management Reviews, Risikoaktualisierung und Maßnahmenverfolgung. Viele Organisationen lagern diesen laufenden Betrieb an einen externen ISB aus.
Beide Standards verfolgen dasselbe Ziel, unterscheiden sich aber im Ansatz. ISO 27001 ist risikobasiert: Unternehmen identifizieren ihre spezifischen Risiken und wählen passende Controls. Der BSI IT-Grundschutz arbeitet maßnahmenbasiert mit einem vordefinierten Katalog von Bausteinen. ISO 27001 bietet mehr Flexibilität und ist international anerkannt. Der BSI IT-Grundschutz ist in deutschen Behörden und bei KRITIS-Betreibern verbreitet.

Bereit für die ISO-27001-Zertifizierung?

In einem 45-minütigen Erstgespräch klären wir Ihren Reifegrad, den Scope und die nächsten Schritte.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die ISO 27001

GAP-Analyse

ISO 27001 GAP-Analyse

Wo steht Ihre Organisation heute? Die GAP-Analyse liefert in zwei bis drei Wochen einen belastbaren Überblick über den Handlungsbedarf und den geschätzten Aufwand.

GAP-Analyse anfragen →
Internes Audit

Internes Audit nach ISO 27001

SECURAM prüft Ihr ISMS als unabhängige Prüfinstanz nach Abschnitt 9.2, gestützt auf die Erfahrung aus mehr als 50 durchgeführten internen Audits.

Audit anfragen →
Implementierung

ISO 27001 implementieren

Von der Risikoanalyse über die Controls-Umsetzung bis zur Zertifizierungsbegleitung: SECURAM übernimmt die Konzeption und begleitet die Umsetzung.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen