Zum Inhalt gehen
ISO 27001

Wie erhalten Sie die ISO-27001-Zertifizierung?

·
12 Minuten Lesezeit
HR auf der einen Seite, IT auf der anderen?
Verwalten Sie Geräte, Lizenzen und Sicherheit an einem Ort. Synchronisiert mit den Ein- und Austritten Ihres Teams. Entdecken Sie Factorial IT
Verfasst von

Viele Unternehmen gehen davon aus, dass die Einführung des Informationssicherheitsmanagementsystems der schwierige Teil der ISO 27001 ist und die Zertifizierung selbst nur noch Papierkram. Die Überraschung kommt mit dem Audit. Die Zertifizierungsstelle bewertet weder Ihre guten Absichten noch die sprachliche Qualität Ihrer Richtlinien. Sie prüft, ob Sie mit echten Nachweisen belegen können, dass Ihr ISMS genau so funktioniert, wie es auf dem Papier steht.

In diesem Artikel erklären wir Ihnen, wie der Prozess der ISO-27001-Zertifizierung von Anfang bis Ende abläuft – von den Voraussetzungen bis hin zur Frage, wie Sie das Zertifikat behalten, sobald Sie es erreicht haben.

Wichtige Fakten

  • Was ist eine ISO-27001-Zertifizierung? Eine akkreditierte Zertifizierungsstelle prüft Ihr ISMS in einem zweistufigen Auditverfahren und bestätigt die Konformität mit ISO/IEC 27001:2022. Dies ist ab Oktober 2025 der einzige zertifizierungsfähige Standard.
  • Regulatorischer Druck in Deutschland: Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft und verpflichtet rund 29.500 Einrichtungen in 18 Sektoren zu Risikomanagementmaßnahmen, die in der Praxis ein ISMS voraussetzen – gemäß Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • Kosten und Dauer: Die Gesamtkosten einer ISO-27001-Zertifizierung liegen im Jahr 2026 bei kleinen Geltungsbereichen bei etwa 25.000 bis 50.000 Euro. Bei mittleren Geltungsbereichen sind es 50.000 bis 120.000 Euro. Die Dauer beträgt typischerweise 6 bis 18 Monate.
  • Nachweispflicht als Kernherausforderung: Ein ISMS nach ISO 27001 deckt nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) rund 70–80 % der NIS-2-Anforderungen ab – vorausgesetzt, die Maßnahmen sind nicht nur dokumentiert, sondern durch lückenlose Aufzeichnungen belegt.

Was bedeutet eine ISO-27001-Zertifizierung – und was prüft die Zertifizierungsstelle?

Nach ISO 27001 zertifiziert zu sein, bedeutet, dass eine akkreditierte Zertifizierungsstelle Ihr Informationssicherheitsmanagementsystem (ISMS) auditiert und bestätigt hat, dass es die Anforderungen der Norm erfüllt. Die Norm einzuführen und sich zertifizieren zu lassen, sind zwei verschiedene Dinge. Die Einführung ist die interne Arbeit: Richtlinien entwerfen, Risiken bewerten und Maßnahmen umsetzen. Die Zertifizierung ist die externe Anerkennung, die diese Arbeit bestätigt.

Das Zertifikat wird von einer unabhängigen, akkreditierten Stelle ausgestellt – in Deutschland sind das beispielsweise TÜV SÜD, TÜV Rheinland, DQS oder DEKRA –, niemals von der ISO selbst. Es ist drei Jahre lang gültig, vorbehaltlich jährlicher Überwachungsaudits. Seit dem 31. Oktober 2025 ist ausschließlich die Version ISO/IEC 27001:2022 zertifizierungsfähig. Zertifikate nach der Vorgängerversion von 2013 haben ihren Akkreditierungsstatus verloren. Ohne dieses Siegel können Sie Kunden, Partnern oder Behörden nicht nachweisen, dass Sie die Norm einhalten, so robust Ihr ISMS auch sein mag.

ISO 27001 und NIS-2 in Deutschland

Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft und gilt ohne Übergangsfrist für rund 29.500 Einrichtungen in 18 Sektoren. Das ist eine fast siebenfache Ausweitung gegenüber dem bisherigen KRITIS-Regime mit rund 4.500 regulierten Organisationen. Gemäß Bundesamt für Sicherheit in der Informationstechnik (BSI) deckt ein ISMS nach ISO 27001 rund 70–80 % der NIS-2-Anforderungen ab und bildet damit die effizienteste Grundlage für die Compliance-Umsetzung. Bis zum 2. April 2026 hatten sich nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 15.477 Unternehmen im BSI-Portal registriert, davon 5.583 als besonders wichtige Einrichtungen. Für Organisationen, die unter das NIS2UmsuCG fallen, ist die ISO-27001-Zertifizierung damit faktisch keine freiwillige Kür mehr.

Welche Voraussetzungen müssen vor dem Audit erfüllt sein?

Bevor Sie eine Zertifizierungsstelle kontaktieren, muss Ihre Organisation eine Reihe von Mindestbedingungen erfüllen. Das Audit ohne diese Grundlagen anzufragen, führt fast immer zu Abweichungen, die den gesamten Prozess verzögern.

  • ISMS-Aufbau und in Betrieb: Es reicht nicht, die Richtlinien schriftlich vorliegen zu haben. Das System muss im Alltag laufen, mit Nachweisen, dass es tatsächlich gelebt wird.
  • Erklärung zur Anwendbarkeit (SoA) und Risikobehandlungsplan: Das sind die ersten Dokumente, die die auditierende Person prüft. Sie müssen aufzeigen, welche Maßnahmen aus Anhang A (Annex-A-Controls) Sie anwenden und warum.
  • Vorheriges internes Audit: Die Norm verlangt, dass Sie Ihr eigenes ISMS geprüft haben, bevor eine externe auditierende Person dies tut.
  • Managementbewertung: Die oberste Leitung muss die Leistung des ISMS formal bewertet und dies dokumentiert haben.
  • Ein Mindestbestand an Nachweisen: Die meisten Zertifizierungsstellen empfehlen mindestens drei Monate an Aufzeichnungen (Zugriffe, Vorfälle, Schulungen), um das System im realen Betrieb und nicht nur auf dem Papier auditieren zu können. Für die Zertifizierung auf Basis von IT-Grundschutz schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor, dass der vollständige Zertifizierungsantrag mindestens einen Monat vor Beginn des Audits vorliegen muss und der Auditbericht spätestens drei Monate nach Beginn der Sichtung der Referenzdokumente einzureichen ist.

Wie wählen Sie die richtige Zertifizierungsstelle aus?

Nicht jedes Unternehmen darf ein gültiges ISO-27001-Zertifikat ausstellen. Die Zertifizierungsstelle muss von einer nationalen Akkreditierungsstelle akkreditiert sein – in Deutschland von der Deutschen Akkreditierungsstelle (DAkkS) – oder von deren Entsprechung in anderen Ländern innerhalb des gegenseitigen Anerkennungsrahmens der IAF. Ein Zertifikat einer nicht akkreditierten Stelle hat vor Kunden und Behörden keinerlei Wert.

Über die Akkreditierung hinaus lohnt es sich, mehrere Kriterien zu vergleichen, bevor Sie einen Vertrag mit einer Zertifizierungsstelle abschließen.

  • Erfahrung in Ihrer Branche: Eine auditierende Person, die die typischen Risiken Ihrer Branche kennt, interpretiert Ihren Geltungsbereich und Ihre Maßnahmen besser.
  • Internationale Anerkennung: Wenn Sie mit Kunden außerhalb Deutschlands arbeiten, prüfen Sie, ob das Zertifikat auf diesen Märkten anerkannt wird.
  • Transparenz bei den Kosten: Fordern Sie eine Aufschlüsselung der Auditphasen an und nicht nur einen Pauschalpreis. So vermeiden Sie Überraschungen bei der jährlichen Überwachung.
  • Verfügbarkeit und Terminplanung: Stark nachgefragte Zertifizierungsstellen brauchen mitunter Wochen, um eine auditierende Person zuzuweisen. Das sollten Sie einplanen, wenn Sie eine geschäftliche Deadline haben.
  • Unabhängigkeit: Die auditierende Person darf nicht an der Beratung oder Einführung Ihres ISMS beteiligt gewesen sein. Die Norm verlangt eine Trennung zwischen der Stelle, die Sie bei der Einführung unterstützt, und der Stelle, die Sie zertifiziert.
  • Nachprüfbare Referenzen: Bitten Sie um Kontakt zu Unternehmen aus Ihrer Branche, die bereits von dieser Stelle zertifiziert wurden. Die konkrete Erfahrung anderer Kunden sagt mehr aus als ein Verkaufsprospekt.

Zwei Zertifizierungsrouten in Deutschland

In Deutschland existieren zwei praxisrelevante Wege zur ISO-27001-Zertifizierung: die native Zertifizierung nach ISO/IEC 27001:2022 durch eine DAkkS-akkreditierte Stelle sowie die Zertifizierung auf Basis von IT-Grundschutz, bei der das Bundesamt für Sicherheit in der Informationstechnik (BSI) selbst das Zertifikat ausstellt. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge prüft dabei eine vom BSI zertifizierte auditierende Person die Referenzdokumente, führt eine Vor-Ort-Prüfung durch und legt den Auditbericht dem BSI zur abschließenden Entscheidung vor. Die native Route ist für die meisten privatwirtschaftlichen Organisationen flexibler. Die IT-Grundschutz-Route ist für Bundesbehörden, KRITIS-Betreiber und Organisationen mit Bundesaufträgen häufig die bevorzugte oder vorgeschriebene Variante.

Terminplanung 2026: Frühzeitig buchen

Die Nachfrage nach Zertifizierungsaudits ist im Jahr 2026 durch NIS-2 und DORA erheblich gestiegen. Termine für Stufe-2-Audits bei den großen deutschen Zertifizierungsstellen waren im dritten Quartal 2025 vielerorts bereits auf 2026 ausgebucht. Wer 2026 eine Zertifizierung anstrebt, sollte die Zertifizierungsstelle spätestens vier bis sechs Monate vor dem gewünschten Stage-2-Termin buchen. Dieser Termin bestimmt faktisch das Projektenddatum.

Die Phasen des Zertifizierungsaudits

Das ISO-27001-Zertifizierungsaudit ist keine einzelne Prüfung, sondern ein zweistufiger Prozess, der zunächst die Konzeption Ihres ISMS und anschließend dessen tatsächliche Funktionsweise bewertet. Wer versteht, was die auditierende Person in jeder Stufe prüft, kommt vorbereitet an und verwechselt nicht „die Dokumentation ist fertig“ mit „wir sind bereit für Stufe 2“.

Audit Stufe 1: die Dokumentenprüfung

In dieser ersten Stufe prüft die auditierende Person die Dokumentation Ihres ISMS, ohne bereits zu bewerten, wie sie im Alltag angewendet wird. Ziel ist, festzustellen, ob das System normkonform konzipiert ist, bevor es in den operativen Teil geht.

Am häufigsten geprüft werden in dieser Phase die Erklärung zur Anwendbarkeit, der Risikobehandlungsplan, die Informationssicherheitsrichtlinie und der für das ISMS definierte Geltungsbereich. Gibt Ihre Erklärung zur Anwendbarkeit zum Beispiel an, dass Sie die Maßnahme A.8.10 zur sicheren Löschung von Informationen anwenden, sucht die auditierende Person die dokumentierte Verfahrensbeschreibung, wie diese Maßnahme umgesetzt wird. Sie prüft in dieser Phase noch nicht, ob sie in der Praxis befolgt wird.

Deckt Stufe 1 gravierende Lücken auf, etwa einen schlecht definierten Geltungsbereich oder Dokumente, die die tatsächlichen Maßnahmen der Organisation nicht widerspiegeln, kann die auditierende Person deren Korrektur verlangen, bevor ein Termin für Stufe 2 festgelegt wird. Diese Prüfung durch ein eigenes internes Audit vorwegzunehmen, senkt das Risiko von Überraschungen an dieser Stelle.

Audit Stufe 2: das Vor-Ort-Audit

Hier wird bewertet, ob das, was in der Dokumentation steht, in der Praxis auch eingehalten wird. Die auditierende Person befragt Mitarbeitende aus verschiedenen Bereichen, nicht nur das IT-Team oder die Sicherheitsverantwortlichen, und sichtet Zugriffs-, Vorfalls- und Schulungsaufzeichnungen, um Theorie und tatsächlichen Betrieb abzugleichen.

Das Offboarding ist ein typisches Beispiel. Sieht Ihre Richtlinie vor, dass Zugänge am selben Tag entzogen werden, an dem ein Mitarbeitender das Unternehmen verlässt, kann die auditierende Person die Aufzeichnung eines kürzlichen Austritts anfordern und Datum und Uhrzeit prüfen, zu der die Konten deaktiviert wurden. Die Geräteverwaltung ist ein weiterer Klassiker. Die auditierende Person kann das Inventar der Firmengeräte anfordern, um zu prüfen, ob es mit den physisch vorhandenen Geräten übereinstimmt, oder eine zufällig ausgewählte Person fragen, wie sie die Verschlüsselung ihres Laptops handhabt.

Diese Phase beruht in der Regel auf Stichproben. Die auditierende Person prüft nicht 100 % der Fälle, sondern eine repräsentative Auswahl. Deshalb zählt Beständigkeit mehr als ein einzelner, gut gelöster Fall. Funktioniert ein Prozess nur, wenn ihn jemand eigens fürs Audit vorbereitet, bringt die Stichprobe das schnell ans Licht.

Der Umgang mit Abweichungen

Stellt die auditierende Person Abweichungen zwischen dem Dokumentierten und dem tatsächlich Umgesetzten fest, stuft sie diese nach ihrer Schwere ein.

  • Geringfügige Abweichung: ein punktueller oder isolierter Mangel, etwa ein unvollständiger Schulungsnachweis für eine Person. Er lässt sich meist mit einem Maßnahmenplan innerhalb weniger Wochen beheben, ohne das Audit zu wiederholen.
  • Schwerwiegende Abweichung: ein systematischer Mangel oder einer, der die Wirksamkeit des ISMS beeinträchtigt, etwa eine völlig fehlende Schlüsselmaßnahme aus Anhang A oder das vollständige Fehlen von Nachweisen zu einem verpflichtenden Prozess. Ein solcher Befund kann einen zusätzlichen Besuch der auditierenden Person erforderlich machen, bevor das Zertifikat ausgestellt wird.
  • Verbesserungspotenzial: keine Abweichung, sondern eine Empfehlung der auditierenden Person, um das System in den nächsten Zyklen zu stärken.

Geringfügige Abweichungen können in der Regel innerhalb von 90 Tagen behoben werden, ohne das Audit zu wiederholen. Bei schwerwiegenden Abweichungen ist ein Nachaudit erforderlich, das üblicherweise innerhalb von sechs Monaten stattfinden muss.

Die Ausstellung des Zertifikats

Sobald die festgestellten Abweichungen geschlossen sind, stellt die Zertifizierungsstelle das ISO-27001-Zertifikat mit einer Gültigkeit von drei Jahren aus. Diese Gültigkeit ist an jährliche Überwachungsaudits gebunden, in denen geprüft wird, ob das ISMS weiterhin aktiv ist und ob frühere Abweichungen wirksam behoben wurden.

Das Zertifikat nennt in der Regel den genauen auditierten Geltungsbereich. Deshalb sollten Sie ihn sorgfältig prüfen, bevor Sie ihn Kunden mitteilen oder in eine Ausschreibung aufnehmen. Ein unsauber formulierter Geltungsbereich kann in einem Einkaufsprozess unangenehme Fragen aufwerfen.

Wie lange dauert die ISO-27001-Zertifizierung?

Es gibt keine Standarddauer. Kleine und mittlere Organisationen, die eine ISMS-Plattform einsetzen, schaffen die Zertifizierung in drei bis sechs Monaten. Mit klassischer Beratung sind sechs bis zwölf Monate realistisch. Mittelständische Organisationen benötigen sechs bis fünfzehn Monate, Großunternehmen neun bis achtzehn Monate. Deutsche Projekte laufen erfahrungsgemäß ein bis zwei Monate länger als vergleichbare internationale Vorhaben, da die Dokumentationsanforderungen und die Verfügbarkeit von auditierenden Personen in Deutschland anspruchsvoller sind.

Die Faktoren mit dem größten Einfluss auf die Dauer sind der bereits erreichte Reifegrad in der Informationssicherheit, der Umfang des für das ISMS definierten Geltungsbereichs, die Verfügbarkeit bereits zentralisierter Nachweise gegenüber solchen, die manuell rekonstruiert werden müssen, sowie der Terminkalender der gewählten Zertifizierungsstelle. Der häufigste Rat von Menschen, die den Prozess bereits durchlaufen haben, lautet: Behandeln Sie ihn von Anfang an als Projekt mit eigenen Ressourcen und nicht als Zusatzaufgabe im IT-Alltag.

Typische Projektphasen im Überblick

  1. Gap-Analyse (2–10 Wochen): Ist-Aufnahme gegen die 93 Controls des Annex A der ISO/IEC 27001:2022 und die Hauptteilanforderungen (Kapitel 4–10). Ergebnis ist ein priorisierter Maßnahmenplan.
  2. ISMS-Aufbau (3–15 Monate): Geltungsbereich, Kontextanalyse, Risikomanagement, Erklärung zur Anwendbarkeit, Richtlinien, Rollen und Sensibilisierungsprogramm. Dieser Block nimmt den größten Zeitanteil ein.
  3. Internes Audit und Managementbewertung (3–10 Wochen): Pflichtvoraussetzungen gemäß Kapitel 9.2 und 9.3 der Norm vor Stage 1. Häufigste Quelle für schwerwiegende Abweichungen, wenn sie nur oberflächlich durchgeführt werden.
  4. Stage-1-Audit: Dokumentenprüfung durch die Zertifizierungsstelle.
  5. Stage-2-Audit: Vor-Ort-Prüfung der tatsächlichen Umsetzung.
  6. Zertifikatserteilung: nach Schließung aller Abweichungen.

Was kostet die ISO-27001-Zertifizierung 2026?

Die Gesamtkosten setzen sich aus vier Blöcken zusammen: Auditkosten, ISMS-Aufbau, interne Personalkosten und laufender Betrieb. Bei kleinen, klar abgegrenzten Geltungsbereichen liegen die Gesamtkosten 2026 bei etwa 25.000 bis 50.000 Euro. Mittlere Geltungsbereiche erfordern 50.000 bis 120.000 Euro. Größere Geltungsbereiche mit mehreren Standorten oder Cloud-Abhängigkeiten können darüber liegen. Für die Zertifizierung auf Basis von IT-Grundschutz nennt die amtliche Gebührenordnung des Bundesministeriums des Innern und für Heimat (BMI) 2.978 Euro für die Erstzertifizierung und 2.658 Euro für die Rezertifizierung. Hinzu kommen Auditkosten, Reisekosten und interner Umsetzungsaufwand. Planen Sie das Budget als Dreijahresplan, nicht als einmalige Auditrechnung.

Wie behalten Sie die ISO-27001-Zertifizierung dauerhaft?

Das Zertifikat zu erhalten, fühlt sich oft wie das Ziel an, ist in Wirklichkeit aber der Startpunkt eines Dreijahreszyklus. Die Zertifizierungsstelle verschwindet nicht, nachdem sie Ihnen das Siegel überreicht hat. Sie kommt in regelmäßigen Abständen zurück, um zu prüfen, ob Ihr ISMS noch lebt und nicht in dem Zustand eingefroren ist, in dem es auditiert wurde.

  • Die jährlichen Überwachungsaudits: kürzere Besuche als die Erstzertifizierung, meist auf eine Stichprobe von Maßnahmen statt auf das gesamte System ausgerichtet. Die auditierende Person prüft, ob die bei der Zertifizierung festgestellten Abweichungen wirklich behoben wurden und nicht nur auf dem Papier. Die geprüften Bereiche werden oft von Jahr zu Jahr gewechselt, um nicht immer dasselbe zu auditieren.
  • Das Rezertifizierungsaudit: findet vor Ablauf der dreijährigen Gültigkeit statt und hat einen Umfang, der eher der ursprünglichen Stufe 2 gleicht. Blieb das ISMS bei den jährlichen Überwachungen aktiv, ist dieses Audit eher eine Bestätigung als eine Überraschung. Haben sich ungelöste Notlösungen angesammelt, kommen jetzt alle ans Licht.
  • Die kontinuierliche Verbesserung des ISMS: Die Norm erlaubt es nicht, das System so zu belassen, wie es zertifiziert wurde. Jeder Sicherheitsvorfall, jedes neu eingeführte Tool und jede Veränderung in der Organisation sollte sich in einer Überprüfung von Risiken und Maßnahmen niederschlagen. Ein ISMS, das nicht aktualisiert wird, ist eine der häufigsten Ursachen für Abweichungen bei den Überwachungen.
  • Kontinuität bei den Nachweisen: Die Zertifizierung zu behalten, hängt davon ab, jederzeit und nicht nur vor einem Besuch belegen zu können, dass die Maßnahmen weiterhin funktionieren. Zugriffs-, Vorfalls- und Schulungsaufzeichnungen müssen fortlaufend entstehen, um dasselbe Last-Minute-Problem zu vermeiden, das schon die Erstzertifizierung erschwert.

Die häufigsten Fehler im ISO-27001-Zertifizierungsprozess

Die meisten Zertifizierungsprozesse scheitern nicht an fehlendem technischem Wissen. Sie scheitern an Managemententscheidungen, die im Moment nebensächlich wirken und später Wochen an Verzögerung kosten. Das sind die häufigsten Fehler.

  • Die Zertifizierung als einmalige Formalität behandeln: Wenn das Ziel nur das Siegel ist, wird das ISMS dokumentiert, um das Audit zu bestehen, nicht um im Alltag zu funktionieren. Das Ergebnis ist ein System, das Stufe 2 mit Ach und Krach besteht und schon bei der ersten jährlichen Überwachung anfängt, Abweichungen anzuhäufen.
  • Die Nachweise bis zum Schluss aufschieben: Zugriffs-, Vorfalls- und Schulungsaufzeichnungen lassen sich zwei Wochen vor dem Audit nicht aus dem Gedächtnis rekonstruieren. Entstehen sie nicht fortlaufend, tun sich Lücken auf, die die auditierende Person sofort erkennt und die weit schwerer zu rechtfertigen sind als eine bloß schlecht umgesetzte Maßnahme.
  • Zeit und Ressourcen falsch einschätzen: Eine Zertifizierung ist keine Aufgabe, die sich nebenbei zwischen den übrigen Aufgaben des IT-Teams erledigen lässt. Ohne dedizierte Zeit und ohne ausdrückliche Rückendeckung der Leitung zieht sich das Projekt in die Länge, verliert gegenüber dem dringenden Tagesgeschäft an Priorität und kommt schlechter vorbereitet ins Audit als geplant.
  • Die Zertifizierungsstelle nur nach dem Preis auswählen: Ein niedrigerer Tarif ohne Branchenerfahrung oder gute Terminverfügbarkeit wird oft auf andere Weise teuer. Das zeigen längere Fristen oder ein Audit, das intern aufwendiger zu handhaben ist.
  • Dieselbe Abweichung bei jedem Audit wiederholen: Ein einmaliger Befund gefährdet die Zertifizierung nicht. Eine Abweichung, die Audit für Audit wiederkehrt, schon. Sie zeigt, dass die Maßnahme nie grundlegend korrigiert, sondern nur für den nächsten Besuch überdeckt wurde.
  • Die Beschäftigten außerhalb der IT nicht einbeziehen: Stufe 2 umfasst Gespräche mit Mitarbeitenden aus verschiedenen Bereichen, nicht nur mit dem technischen Team. Wenn niemand sonst in der Organisation die ISMS-Richtlinien kennt, tritt genau in diesem Moment die Kluft zwischen dem Dokumentierten und dem, was die Leute wirklich wissen, zutage.

Ein weiterer struktureller Fehler ist die Unterschätzung des Buchungsvorlaufs. Wer die Zertifizierungsstelle erst kurz vor dem gewünschten Auditdatum kontaktiert, riskiert Wartezeiten von mehreren Monaten und damit eine Verschiebung des gesamten Projekts. Planen Sie den Stage-2-Termin als fixen Meilenstein und buchen Sie die Zertifizierungsstelle spätestens vier bis sechs Monate im Voraus.

Wie unterstützt Sie Factorial IT?

Der zeitaufwendigste Teil des Prozesses ist meist nicht, die Richtlinien zu entwerfen, sondern nachzuweisen, dass sie eingehalten werden. Factorial IT zentralisiert die Verwaltung von Geräten, Zugriffen und Sicherheit Ihrer Organisation und macht aus dieser Verwaltung auditfertige Nachweise.

Factorial IT unterstützt Organisationen dabei, die Nachweispflichten zu erfüllen, die sowohl für die ISO-27001-Zertifizierung als auch für die NIS-2-Compliance nach dem NIS2UmsuCG erforderlich sind – insbesondere die lückenlose Dokumentation von Zugriffskontrollen, Geräteverwaltung und Sicherheitsvorfällen, die nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu den Kernpflichten regulierter Einrichtungen zählen.

Factorial-IT-Plattform

  • Echtzeit-Inventar der Assets. Das MDM führt ein aktuelles Verzeichnis aller Firmengeräte. Dies ist eines der ersten Elemente, das jede auditierende Person in Stufe 1 prüft.
  • Zentrale Verwaltung der SaaS-Zugriffe. Jede Einrichtung, Entfernung und Rechteänderung wird protokolliert, was den Nachweis der Zugriffskontrolle in Stufe 2 erleichtert.
  • Automatisiertes und dokumentiertes Offboarding. Verlässt ein Mitarbeitender das Unternehmen, werden seine Zugänge automatisch entzogen und sein Gerät gesperrt – mit Datum und Uhrzeit, eine Maßnahme, die auditierende Personen häufig prüfen.
  • Endpoint Detection and Response (EDR). Liefert den Nachweis, dass die Geräte geschützt, überwacht und nicht bloß inventarisiert sind.
  • Jederzeit exportierbare Logs. Statt Nachweise vor jedem Audit manuell zu rekonstruieren, stehen Aktivitäts-, Zugriffs- und Vorfallsprotokolle fortlaufend zur Verfügung. Das verringert den Vorbereitungsaufwand sowohl bei der Erstzertifizierung als auch bei den jährlichen Überwachungen.

Auf dieser Grundlage kommt Ihr Team mit echten, nachprüfbaren Nachweisen ins Audit, statt sie in den Wochen vor dem Auditbesuch hektisch zusammenzusuchen.

FAQ

Was bringt eine ISO-27001-Zertifizierung?

Eine ISO-27001-Zertifizierung bestätigt, dass ein Unternehmen Informationssicherheitsrisiken systematisch managt und senkt. Sie dient als externer Nachweis gegenüber Kunden und Behörden, fördert eine Sicherheitskultur und hilft, gesetzliche Vorschriften zuverlässig zu erfüllen.

Was ist erforderlich, um die ISO-27001-Zertifizierung zu erhalten?

Voraussetzungen sind ein eingeführtes Informationssicherheits-Managementsystem (ISMS), ein internes Audit und eine Managementbewertung. Der Zertifizierungsprozess selbst besteht aus einem zweistufigen externen Audit, das zuerst die Dokumentation (Stufe 1) und dann die praktische Umsetzung (Stufe 2) prüft.

Wie lange dauert die ISO-27001-Zertifizierung?

Die Dauer hängt von der Unternehmensgröße und dem Geltungsbereich ab. Kleine Unternehmen können die Zertifizierung in wenigen Monaten erreichen, während größere Organisationen oft sechs Monate bis über ein Jahr benötigen. Der Einsatz von Tools wie Factorial IT kann den Prozess durch automatisierte Nachweise erheblich beschleunigen.

Was kostet eine ISO-27001-Zertifizierung?

Die Kosten variieren stark je nach Unternehmensgröße, Komplexität und dem Bedarf an externer Beratung. Sie setzen sich aus internen Ressourcen, eventuellen Beratungsgebühren und den Kosten für die Zertifizierungsstelle zusammen, die die Audits durchführt. Ein detailliertes Angebot ist unerlässlich.

Wie lange gilt ein ISO-27001-Zertifikat?

Ein ISO-27001-Zertifikat ist drei Jahre lang gültig. Um die Gültigkeit aufrechtzuerhalten, muss das Unternehmen jährliche Überwachungsaudits erfolgreich bestehen. Nach Ablauf der drei Jahre ist ein umfassenderes Rezertifizierungsaudit erforderlich, um das Zertifikat zu erneuern.