Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022 gilt als zentraler Baustein moderner Unternehmensführung. Es schafft klare Strukturen, reduziert Risiken und macht Compliance zur gelebten Praxis. Doch zwischen Anspruch und Umsetzung liegt oft ein erheblicher Aufwand. Wie so oft stellt sich daher die Frage: Gibt es einen schnelleren Weg – oder widerspricht das der Logik wirksamer Informationssicherheit?
Eine fundierte Einordnung zeigt: Ein nachhaltiges ISMS nach ISO/IEC 27001:2022 entsteht nicht im Schnellverfahren, sondern erfordert Zeit, strukturiertes Vorgehen und organisatorische Verankerung.
ISO 27001 Audit: Reife, Kultur und Cyberrisiko im Blick
Ein erfolgreich implementiertes ISMS nach ISO/IEC 27001:2022 basiert auf der richtigen Kombination aus organisatorischer Reife, gelebter Sicherheitskultur und effektivem Risikomanagement, um Risiken frühzeitig zu erkennen und nachhaltig zu steuern.
Unabhängig davon, wie «schlank», «digital» oder «vorgefertigt» ein ISMS beworben wird:
Eine ISO/IEC 27001-Zertifizierung folgt immer einem klar definierten, zweistufigen Auditverfahren durch eine akkreditierte Zertifizierungsstelle.
Diese beiden Schritte lassen sich weder zusammenlegen noch sinnvoll abkürzen:
Stage-1-Audit: Anforderungen nach ISO 27001
In dieser Prüfung wird zunächst bewertet, ob die grundlegende Dokumentation des ISMS vorhanden ist und ob das Unternehmen die ausreichende Zertifizierungsreife für das Stage-2-Audit besitzt.
Geprüft werden dabei unter anderem:
- Die Klarheit und Angemessenheit des Geltungsbereichs (Scope)
- Das Vorhandensein der erforderlichen ISMS-Dokumentation, z. B. Policies, Risikomanagement-Methodik, Statement of Applicability (SoA)
- Nachweise zur Risikobewertung und Risikobehandlung
- Definierte Rollen, Verantwortlichkeiten und Informationssicherheitsziele
Dabei ist entscheidend: Das Stage-1-Audit kann nicht bestehen, wenn das ISMS nur «auf dem Papier» existiert oder kurz zuvor erstellt wurde. Schon allein deshalb, weil die Umsetzung der Ergebnisse eines Stage-1-Audits typischerweise Zeit benötigt, um das System weiter zu etablieren und zu stabilisieren.
Ausserdem gut zu wissen: Zwischen Stage 1 und Stage 2 liegen üblicherweise bereits mehrere Wochen bis Monate. Nicht aus Willkür, sondern weil Massnahmen umgesetzt werden, Prozesse sich im Alltag bewähren und Verbesserungen nachweisbar sein müssen. Ein «ASAP-ISMS» mag Dokumente liefern. Ein zertifizierungsfähiges ISMS braucht jedoch Reife.
Stage-2-Audit: Anforderungen nach ISO 27001
Erst im zweiten Schritt wird geprüft, ob das ISMS die Anforderungen der ISO/IEC 27001 tatsächlich wirksam erfüllt. Hierbei geht es nicht darum, perfekte Dokumente vorzuweisen, sondern nachvollziehbare Belege aus der Praxis. Dies erfolgt unter anderem durch Interviews mit Mitarbeitenden, Stichproben an Systemen sowie Prüfungen vorhandener Nachweise.
Bewertet werden insbesondere:
- Die tatsächliche Umsetzung der Prozesse und Kontrollen im operativen Betrieb
- Gelebte Prozesse, wie Incident Management, Change Management, Zugriffskontrollen etc.
- Die Wirksamkeit von Massnahmen aus der Risikobehandlung
- Schulungen und Awareness-Massnahmen, interne Audits sowie Management-Reviews
- Der Umgang mit Abweichungen und Verbesserungen
Üblicherweise zeigen sich im Stage-2-Audit die kritischsten und aufwendigsten Nicht-Konformitäten, die eine Zertifizierung verzögern oder verhindern können. Spätestens hier wird ein «ASAP-ISMS» oft als reines Papier-ISMS entlarvt – denn Wirksamkeit setzt Zeit voraus.
Setzen Sie auf nachhaltige Informationssicherheit statt auf Abkürzungen. Unsere Expert:innen führen Sie sicher zur ISO-Zertifizierung.
Warum ein wirksames ISMS Zeit benötigt
Ein ISMS ist kein blosser Dokumentensatz, sondern ein Managementsystem, das Menschen, Prozesse und Technologien verbindet. ISO/IEC 27001:2022 fordert nicht nur formal vorhandene Verfahren, sondern deren Wirksamkeit und gelebte Umsetzung, und genau das benötigt Zeit. Drei zentrale Aspekte entscheiden über Aufwand und Wirksamkeit:
- Organisationskontext verstehen: Ein ISMS muss an Geschäftsmodell, Stakeholder, Werte und Risiken angepasst werden. Standardvorlagen reichen hier nicht aus.
- Risikomanagement als Fundament: Die Identifikation, Bewertung und Behandlung von Sicherheitsrisiken erfordert Abstimmung mit Fachbereichen, die oft wenig Erfahrung in Informationssicherheit haben.
- Kultur und Bewusstsein: Informationssicherheit wirkt nur, wenn Mitarbeitende sie im Arbeitsalltag leben. Kontinuierliche Sensibilisierung ist dafür unerlässlich.
Typische Stolperfallen in dieser Phase sind:
- Vorlagen werden übernommen, ohne sie anzupassen
- Zu viele Prozesse gleichzeitig statt schrittweise
- Fehlendes Management-Commitment, was zu Ressourcenengpässen führt
ISO 27001 Zertifizierung: Welche Nachweise sind entscheidend?
Auditoren prüfen nicht nur die formale Einrichtung eines ISMS, sondern auch seine Wirksamkeit. Dafür muss das Managementsystem über einen gewissen Zeitraum aktiv betrieben worden sein, in der Regel mindestens drei Monate. Zentrale Nachweise hierfür sind:
- Management Review: dokumentierte Bewertung der ISMS-Wirksamkeit durch die oberste Leitung
- Interne Audits: Überprüfung der Prozesse und Identifikation von Verbesserungspotenzialen
- Risikobewertungen: aktualisierte Bewertungen, die zeigen, dass Risiken tatsächlich bearbeitet werden
- Awareness-Massnahmen: Belege für Schulungen und Sensibilisierung
Diese Nachweise erfordern Reife und Betriebserfahrung; ein neues ISMS ohne durchlaufenen Plan–Do–Check–Act-Zyklus reicht meist nicht aus.
Was Audits regelmässig aufdecken – Praxisbeispiele
Auditoren erkennen schnell, wenn ein ISMS nur formal existiert. In Zertifizierungsaudits führen solche Lücken oft zu Nonconformities, die den Erfolg einer ISO/IEC 27001:2022-Zertifizierung gefährden.
Typische Audit-Fälle:
Unvollständige Risikoanalyse
Beispiel: Ein Unternehmen legte eine Risikoübersicht vor, die nur generische Risiken enthielt. Kritische SaaS-Dienste und veraltete Betriebssysteme fehlten.
Die Folge: Major Nonconformity, da die Analyse die tatsächliche Lage nicht abbildet.
Normbezug: ISO/IEC 27001:2022, 6.1.2 und 6.1.3
Unklare Rollen im Incident Management
Beispiel: Eskalationsstufen wurden zwar dokumentiert, jedoch keine Verantwortlichkeiten. Verschiedene Abteilungen hatten widersprüchliche Vorstellungen davon, wer die Verantwortung trägt und Entscheidungen trifft.
Die Folge: Minor Nonconformity aufgrund fehlender Prozessklarheit. Normbezug: ISO/IEC 27001:2022, 5.3: «Rollen, Verantwortlichkeiten und Befugnisse in der Organisation»
Fehlende Umsetzung interner Audits
Beispiel: Interne Audits sollten jährlich stattfinden, tatsächlich lag das letzte Audit über 18 Monate zurück. Berichte waren unvollständig, offene Punkte nicht nachverfolgt.
Die Folge: Major Nonconformity aufgrund nicht eingehaltenem Auditzyklus. Normbezug: ISO/IEC 27001:2022, 9.2
Abweichungen zwischen Richtlinien und Praxis
Beispiel: Eine Richtlinie forderte die Verschlüsselung aller mobilen Endgeräte. Stichproben ergaben jedoch unverschlüsselte Laptops und fehlende technische Kontrollen.
Die Folge: Minor Nonconformity, da Richtlinien nicht wirksam umgesetzt wurden. Normbezug: Annex A.5.1 «Richtlinien für Informationssicherheit»
Geringe Mitarbeitersensibilisierung
Beispiel: Awareness-Kampagne geplant, aber nie durchgeführt. Mitarbeitende kannten grundlegende Sicherheitsanforderungen nicht.
Die Folge: Minor Nonconformity wegen unzureichender Schulung. Normbezug: Annex A.6.3: «Sensibilisierung, Schulung und Training»
ISO 27001 & ISMS: Warum sich die schnelle Umsetzung nicht lohnt
Unternehmen, die ihr ISMS schnell implementieren oder zügig zertifizieren lassen wollen, zahlen oft einen hohen Preis: Verzögerungen, erhöhter Aufwand zur Behebung von Nonconformities, zusätzliche Auditkosten und Belastung interner Ressourcen.
Das vermeintlich schnelle Managementsystem verursacht so meist mehr Zeit- und Kostenaufwand als eine sorgfältige ISO 27001-Implementierung und Zertifizierung nach ISO/IEC 27001:2022-konformes ISMS.
Nach der Zertifizierung ist vor der Zertifizierung
Mit dem Erhalt des ISO-Zertifikats ist ein ISMS nicht abgeschlossen – es tritt in den kontinuierlichen Verbesserungsprozess ein. Informationssicherheit muss laufend überprüft, angepasst und weiterentwickelt werden.
Dazu gehören insbesondere:
- Regelmässige interne Audits (Kapitel 9.2)
- Kontinuierliche Verbesserung (Kapitel 10)
- Laufende Sensibilisierung der Mitarbeitenden (Annex A.6.3)
- Aktualisierte Risikobewertungen bei neuen Bedrohungen oder Geschäftsveränderungen
Ein ISMS ist kein Projekt mit Enddatum, sondern ein dauerhaftes Managementsystem.
Fazit: Wieso ein ISMS nach ISO 27001 Zeit benötigt
Der Wunsch nach einer schnellen Zertifizierung ist verständlich – nachhaltige Informationssicherheit lässt sich jedoch nicht beschleunigen.
Informationssicherheit braucht Reife statt Geschwindigkeit. Der Aufbau eines Managementsystems nach ISO/IEC 27001:2022 ist ein strategisches Projekt, das Zeit, Ressourcen und Managementunterstützung erfordert. Abkürzungen wie ein «ASAP-ISMS» führen oft zu Verzögerungen, Mehrkosten und Risiken im Zertifizierungsprozess.
Unsere Empfehlungen für Unternehmen:
- Planen Sie realistische Projektlaufzeiten von 6–12 Monaten, abhängig von Grösse und Komplexität
- Binden Sie frühzeitig alle relevanten Stakeholder ein: IT, Compliance, HR, Datenschutz etc.
- Denken Sie über die Zertifizierung hinaus: Ziel ist ein wirksames Sicherheitsniveau, nicht nur ein Zertifikat.
Ein «ASAP-ISMS» mag verlockend klingen, doch nachhaltige Informationssicherheit lässt sich nicht abkürzen.
InfoGuard AG
Lindenstrasse 10
CH6340 Baar
Telefon: +41 (41) 7491900
https://www.infoguard.ch
Marketing Manager
Telefon: +41 (41) 74919-00
E-Mail: estelle.ouhassi@infoguard.ch
