Start / Ratgeber / ISO 27001 Checkliste: in 8 Schritten zur Zertifizierung
Ratgeber

ISO 27001 Checkliste: in 8 Schritten zur Zertifizierung

Eine ISO-27001-Zertifizierung erreichen Sie nicht an einem Nachmittag, aber mit einer klaren Checkliste wird der Weg übersichtlich. Hier sind die acht Schritte vom Geltungsbereich bis zum Zertifikat — und wie Sie jeden Schritt mit privater AI beschleunigen.

1. Geltungsbereich und Kontext festlegen

Legen Sie fest, welche Prozesse, Standorte und Systeme unter Ihr Informationssicherheits-Managementsystem (ISMS) fallen. Erfassen Sie Stakeholder, gesetzliche Anforderungen und Ihren Risikokontext. Ein klarer Geltungsbereich vermeidet später unnötige Arbeit.

2. Risikobewertung durchführen

Identifizieren Sie Informationssicherheitsrisiken, bewerten Sie Auswirkung und Wahrscheinlichkeit und priorisieren Sie sie. Das ist der Kern von ISO 27001: Maßnahmen folgen aus Risiken, nicht umgekehrt.

3. Erklärung zur Anwendbarkeit (SoA) erstellen

Bestimmen Sie, welche der 93 Annex-A-Maßnahmen gelten, und begründen Sie Ein- oder Ausschluss. Die SoA ist ein zentrales Dokument für den Auditor.

4. Annex-A-Maßnahmen umsetzen

Setzen Sie die gewählten organisatorischen, personenbezogenen, physischen und technologischen Maßnahmen um. Weisen Sie Verantwortliche zu und planen Sie die Umsetzung mit klaren Fristen.

5. Richtlinien und Verfahren dokumentieren

Halten Sie Richtlinien, Rollen und Verfahren fest — von der Zugriffskontrolle bis zur Incident-Response. Dokumentation macht Ihre Steuerung für den Auditor nachweisbar.

6. Mitarbeitende schulen und Bewusstsein schaffen

Die meisten Vorfälle entstehen bei Menschen. Sorgen Sie für Awareness-Schulungen und klare Vereinbarungen zu sicherem Verhalten.

7. Internes Audit und Managementbewertung durchführen

Prüfen Sie Ihr ISMS intern auf Wirksamkeit und lassen Sie die Leitung die Ergebnisse bewerten. Beheben Sie Abweichungen vor dem externen Audit.

8. Das Zertifizierungsaudit (Stufe 1 und 2)

Eine akkreditierte Zertifizierungsstelle prüft zuerst Ihre Dokumentation (Stufe 1) und danach die Umsetzung in der Praxis (Stufe 2). Anschließend folgen jährliche Überwachungsaudits, um Ihr Zertifikat zu erhalten.

Schneller mit privater AI

SQwaire automatisiert die aufwendigsten Schritte: Die privaten AI-Agenten erstellen Risikobewertungen und Richtlinien, verknüpfen Maßnahmen mit Nachweisen und bereiten Audits vor — auf einem privaten LLM, sodass Ihre Daten Ihre Umgebung nie verlassen. Entdecken Sie die vollständige ISO-27001-Plattform oder buchen Sie eine Demo.