Warum ISMS-Einführungen ohne Expertenbegleitung scheitern
Die ISO 27001:2022 verlangt ein dokumentiertes Managementsystem mit 93 Kontrollen aus vier Kategorien: organisatorisch, personell, physisch und technologisch. Viele Organisationen beginnen die Einführung intern und stellen erst beim Stage-1-Zertifizierungsaudit fest, dass Pflichtdokumente unvollständig sind, Entscheidungen zur Risikobehandlung nicht formal begründet wurden oder sich die Statement of Applicability nicht durch Nachweise belegen lässt.
Ein erfahrener externer Implementierungspartner verhindert solche Schwachstellen:
- Pflichtdokumente, die erst bei der Auditvorbereitung als fehlend erkannt werden,
- Risikobeurteilungen, die den Anforderungen von ISO 27005 nicht entsprechen,
- Sensibilisierungsprogramme ohne Nachweis der Teilnahme sowie
- Management-Review-Zyklen, die vor der Stage-2-Beurteilung nicht abgeschlossen wurden.
Leistungen
Über ISO 27001 hinaus: regulatorische Abstimmung
Für Organisationen, die in regulierten Schweizer Branchen tätig sind, berücksichtigt unsere ISMS-Einführung zusätzlich zum ISO-27001-Standard die jeweils relevanten regulatorischen Rahmenwerke.
Revidiertes Datenschutzgesetz
Abstimmung der Informationssicherheitskontrollen mit den Anforderungen des revidierten Bundesgesetzes über den Datenschutz.
DORA
Abstimmung für Finanzunternehmen im Geltungsbereich des EU Digital Operational Resilience Act mit Schwerpunkt auf den Anforderungen an das IKT-Risikomanagement und die Betriebskontinuität.
FINMA
Verknüpfung der ISO-27001-Kontrollen mit den IKT-Risikovorgaben der FINMA für FINMA-regulierte Finanzinstitute zur Unterstützung der Aufsichtsbereitschaft.
Vorgehen
Sieben Schritte von der GAP-Analyse zum zertifizierten ISMS
1 Reifegrad- und GAP-Analyse
Eine strukturierte Beurteilung Ihrer aktuellen Lage anhand der Anforderungen von ISO 27001:2022 identifiziert Lücken in der Pflichtdokumentation, fehlende Kontrollen und Faktoren der organisatorischen Bereitschaft. Ergebnis: ein GAP-Bericht mit priorisiertem Umsetzungsplan.
2 Projektplanung und Eingrenzung
Festlegung des ISMS-Geltungsbereichs, des organisatorischen Umfangs, des relevanten regulatorischen Kontexts sowie der Projekt-Governance einschliesslich Rollen, Verantwortlichkeiten, Meilensteinen und Entscheidungsbefugnissen.
3 Risikobeurteilung
Durchführung einer dokumentierten, ISO 27001-konformen Informationssicherheits-Risikobeurteilung, die das Verzeichnis der Informationswerte, die Analyse von Bedrohungen und Schwachstellen, das Risikoregister sowie einen formalen Risikobehandlungsplan ergibt.
4 Erarbeitung der Dokumentation
Erstellung aller Pflichtdokumente gemäß ISO 27001: Statement of Applicability (SOA), PESTEL-Analyse, Richtlinien und Verfahren zur Informationssicherheit, Dokumentation der technischen und physischen Kontrollen sowie operative Leitfäden, die alle 93 Kontrollen abdecken.
5 ISMS-Sensibilisierung
Durchführung strukturierter Schulungen zur Sensibilisierung der Mitarbeitenden, damit die Anforderungen des ISMS verstanden und in der gesamten Organisation aktiv getragen werden. Die Sensibilisierung ist ein direktes Beurteilungskriterium im ISO-27001-Zertifizierungsaudit.
6 Internes Audit und Management Review
Unterstützung des internen Auditprozesses und des Management-Review-Zyklus, damit der vollständige Plan-Do-Check-Act-Zyklus vor der Stage-2-Beurteilung abgeschlossen ist.
7 Begleitung des Zertifizierungsaudits
Vorbereitung der Organisation auf das Stage-1-Audit und die Dokumentenprüfung sowie auf das Stage-2-Audit und die Beurteilung vor Ort einschliesslich Unterstützung bei der Beantwortung von Auditfeststellungen und der formalen Verwaltung von Korrekturmaßnahmen.
Deliverables
Ergebnisse der Einführung
- GAP- und Reifegradbericht mit priorisierten Feststellungen und Umsetzungsplan
- Ein vollständiges Set der ISO-27001-Pflichtdokumente, bestehend aus SOA, PESTEL-Analyse, Richtlinien, Verfahren und operativen Leitfäden.
- Dokumentation der Risikobeurteilung bestehend aus Methodik, Verzeichnis der Informationswerte, Risikoregister und Risikobehandlungsplan
- Schulungsunterlagen zur ISMS-Sensibilisierung sowie Teilnahmenachweise
- Bericht zum internen Audit und Protokoll des Management Reviews
- Ein revisionssicheres Nachweispaket für das Stage-1- und Stage-2-Zertifizierungsaudit.
Zertifizierte Implementierende, bewährte Methodik
Unsere ISMS-Einführungen werden von unserem Expertenberaterteam geleitet. Unsere Berater sind CISSP-, CISA- und PECB-zertifizierte ISO/IEC-27001-Senior-Lead-Implementer mit über 25 Jahren Erfahrung in Governance. Die Implementierungsmethodik folgt den vollständigen Anforderungen von ISO/IEC 27001:2022 und ist in ein Projektmanagement-Framework eingebettet. Dieses gewährleistet eine durchgehende Nachvollziehbarkeit – von der ersten Identifikation der Lücken bis zum zertifizierten Managementsystem.
Nächster Schrit
Starten Sie mit einem ISMS-Scoping-Gespräch
Der Weg zur ISO-27001-Zertifizierung beginnt mit einem klaren Bild Ihrer aktuellen Lage und einem realistischen Projektplan. Wir bieten ein erstes ISMS-Scoping-Gespräch an, um Ihren Ausgangspunkt zu beurteilen, den Geltungsbereich der Zertifizierung festzulegen und einen dokumentierten Projektplan mit Meilensteinen zu erstellen.