Heimat der Akademie
Blogs
10 Dinge, die ich gerne gewusst hätte: Wie Sie Ihr ISO 27001-Projekt auf den richtigen Weg bringen
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

10 Dinge, die ich gerne gewusst hätte: Wie Sie Ihr ISO 27001-Projekt auf den richtigen Weg bringen

ISO 27001-Sammlung
10 Dinge, die ich gerne gewusst hätte: Wie Sie Ihr ISO 27001-Projekt auf den richtigen Weg bringen
NIS2-Sammlung
10 Dinge, die ich gerne gewusst hätte: Wie Sie Ihr ISO 27001-Projekt auf den richtigen Weg bringen
Cyberday Blog
10 Dinge, die ich gerne gewusst hätte: Wie Sie Ihr ISO 27001-Projekt auf den richtigen Weg bringen

Der Beginn einer ISO 27001-Zertifizierung kann sich überwältigend anfühlen. Norm, Anforderungen, Kontrollen, Auditoren, Zertifizierung... Lassen Sie sich von diesen hochtrabenden Worten nicht unterkriegen!

Letztlich ist die Zertifizierung nach ISO 27001 ein recht übersichtliches Projekt. Es gibt sogar ein fertiges Dokument, in dem alle Anforderungen beschrieben sind! Wenn das Projekt erfolgreich abgeschlossen ist, haben Sie ein ISMS-System und dessen Betrieb wird zu einem natürlichen Bestandteil Ihrer Organisation.

Cyberday ist seit 2021 nach ISO 27001 zertifiziert und hat Hunderten von Kunden (aller Größen und Branchen) geholfen, dasselbe Ziel zu erreichen.

Dadurch haben wir viele Erkenntnisse gewonnen, die hilfreich sein können - insbesondere für jeden ISMS-Administrator. Hier sind die zehn wichtigsten Dinge, die ich gerne gewusst hätte, bevor wir angefangen haben.

Einige Hintergrundinformationen von Cyberday Inc.

Für mich begann die Reise in die faszinierende Welt der Informationssicherheits-Frameworks im Jahr 2017. Damals gab es die GDPR, ISO 27001... und es wurden ständig neue Rahmenwerke geschaffen.

Wir begannen damit, uns eingehend mit der ISO 27001-Norm zu befassen und versuchten vor allem, die verschiedenen Möglichkeiten zu verstehen, die es gibt, um die Anforderungen zu erfüllen und Kontrollen durchzuführen.

Inzwischen haben wir die Abdeckung der Frameworks im Cyberday auf über 35 Sicherheits-Frameworks erweitert. Wir stellen immer wieder fest, dass die verschiedenen Sicherheitsrahmen denselben Kern haben. Sie alle sprechen über Backups, Personalbewusstsein, Risikomanagement, Asset Management usw. - mit leicht unterschiedlichen Prioritäten. Sie sollten die Einhaltung der verschiedenen Rahmenwerke nicht als getrennte Dinge betrachten, sondern als Prioritäten beim Aufbau eines eigenen Informationssicherheitsmanagements in Ihrem Unternehmen.

Das ist es, was wir heute mit dem Cyberday erreichen wollen. Cyberday - Ihnen dabei helfen, ein gutes Informationssicherheitsmanagement und die Einhaltung von Vorschriften zu vereinfachen und dabei Ihren Verstand zu retten.

1. ISO 27001 ist ein Projekt - wie jedes andere auch

Standards für die Informationssicherheit können ein wenig einschüchternd wirken. Vor allem für andere Personen in Ihrer Organisation, die Sie irgendwann in den Prozess einbinden sollten.

Dennoch sollten Sie ISO 27001 wie jedes andere Unternehmensprojekt angehen:

  • Verstehen Sie, was erforderlich ist.
  • Das Notwendige umsetzen.
  • Lagern Sie das Verständnis der Norm nicht aus - darin liegt ein großer Teil des wahren Werts.

Die ISO-Norm 27001 umfasst 22 Anforderungen und 93 Kontrollen, und es lohnt sich, diese in Ihrem Kontext zu verstehen. Kaufen Sie die Norm und verstehen Sie ihren Inhalt.

Sie sollten sich hohe Ziele setzen, aber auch immer praktisch bleiben. Und wenn Sie die Norm verstehen, können Sie einen Overkill vermeiden und sicherstellen, dass Sie ein ISMS schaffen, das relevant ist und das Sie auch nach der ersten Zertifizierung weiter betreiben und verbessern wollen.

2. Die Zeitachse ist zunächst ein Rätsel

Wie lange wird die Zertifizierung dauern? Das kommt darauf an. Für manche sind es zwei Wochen. Andere brauchen zwei Jahre - oder schaffen es nie. Die meisten können es in ein paar Monaten schaffen.

Der Zeitplan hängt davon ab:

  • Der Tätigkeitsbereich der Organisation: Wie umfassend sind Ihre Aktivitäten?
  • Beginn des Reifegrads der Informationssicherheit: Wurden die Dinge zuvor schriftlich festgehalten? Haben Sie einige bewährte Verfahren verwendet, um Ihre Maßnahmen daran zu messen?
  • Ressourcen: Wie klar Sie das benötigte Team für das Projekt definieren können
  • Werkzeuge: Verwenden Sie ein intelligentes ISMS-System oder führen Sie es eher manuell ein?

Wenn Sie zunächst die Norm verstehen und dann ISO 27001 mit Ihren derzeitigen Maßnahmen vergleichen, bekommen Sie ein gutes Gefühl für den vor Ihnen liegenden Weg.

Auf diese Weise können Sie das Verständnis für die erforderlichen Arbeiten und den Zeitplan in Ihrer Organisation schaffen.

3. Versäumen Sie nicht, Ihre Ziele zu definieren

Vergewissern Sie sich, dass insbesondere Sie und Ihre oberste Führungsebene ein gemeinsames Verständnis davon haben, warum Sie ISO 27001 einführen. Ist es...

  • um die Informationssicherheit zu verbessern?
  • um die Anforderungen der Kunden zu erfüllen?
  • um sich von der Konkurrenz abzuheben?
  • oder alle diese Punkte?

Dies sind keine kleinen Ziele, aber in der Regel sind dies die Ziele, die mit der ISO 27001-Zertifizierung verfolgt werden.

Wenn die Ziele groß sind, muss der Aufwand auch entsprechend groß sein. ISO 27001 kann schwierig werden, wenn man erwartet, dass es einfach ist.

Vergewissern Sie sich, dass insbesondere Ihre oberste Führungsebene und das benötigte ISMS-Team sich über die Ziele einig sind, damit Sie auch ein realistisches Verständnis für den erforderlichen Aufwand entwickeln können.

Ihre oberste Führungsebene ist ein wichtiger Akteur bei der Sicherstellung von Ressourcen zur Erreichung dieser Ziele. Ohne sie kann das Projekt an Schwung verlieren, wenn die Dinge nicht einfach sind.

Und denken Sie daran: Ganz gleich, wie viele Stunden Sie in Ihr ISMS investieren, die anderen Mitarbeiter Ihrer Organisation werden nicht plötzlich anfangen, sich für ISO 27001 zu interessieren. Sie müssen die Ziele verstehen und die Relevanz erkennen, um sich zu engagieren.

4. Sie können 3 oder 30 Policen haben - es ist Ihre Entscheidung.

In der Informationssicherheit ist die Dokumentation unerlässlich, aber es gibt keinen Grund, sie zu erdrückend zu gestalten.

In der Regel lassen sich Dinge einfach besser umsetzen, wenn man sie klar definiert und aufschreibt. Dadurch wird auch sichergestellt, dass Sie die Dinge auditieren, überprüfen und verbessern können. Einige Schlüsseldokumente (z. B. SoA, Risikomanagementverfahren, ISMS-Beschreibung) sind obligatorische Anforderungen in ISO 27001, aber es gibt nicht viele davon.

Bei der Dokumentation der Informationssicherheit sollten Sie sich immer auf Klarheit und Zweckmäßigkeit konzentrieren und nicht auf die Länge.

  • Halten Sie die Dokumentation praktisch und wartbar.
  • Verwenden Sie intelligente Formate (z. B. Aufgaben) - es muss nicht alles eine 10-seitige Word-Policy sein.
  • Vermeiden Sie übermäßig komplexe oder kopierte Sicherheitsrichtlinien - sie schrecken die Menschen ab und machen das ISMS für Ihr Unternehmen irrelevant.

Der ISMS-Administrator sollte immer als Filter fungieren, um die Dinge einfach und relevant zu halten.

5. Niemand bekommt eine Medaille für die perfekte Umsetzung der Kontrolle

Ja, die meisten Kontrollen in ISO 27001 sind relevant. Die Norm wurde von sehr klugen Leuten entwickelt und im Laufe der Jahre von Hunderttausenden von Organisationen erprobt. Nehmen Sie die Kontrollen also ernst.

Es gibt jedoch verschiedene Stufen der Umsetzung der Kontrollen. Die ISO 27001-Normen bieten zahlreiche Anleitungen für die Umsetzung, und diese sollten als Beispiele für bewährte Verfahren betrachtet werden. Nicht alles muss vom ersten Tag an wie aus dem Lehrbuch sein , und Sie sollten risikoorientiertes Denken anwenden, um die für Sie geeignete Stufe zu finden.

  • Eine risikobasierte , leichtgewichtige Implementierung kann vertretbarer sein als der völlige Verzicht auf grundlegende Kontrollen.
  • Vermeiden Sie den übermäßigen Gebrauch von "Nicht zutreffend" - es braucht immer eine solide Begründung.
  • Im Laufe der Zeit werden Sie ganz natürlich Verbesserungen bei der Umsetzung Ihrer Kontrollen feststellen.

Prüfen Sie Ihre ISO 27001-Bereitschaft

Nehmen Sie an unserer kostenlosen Bewertung teil und erhalten Sie einen schnellen Überblick darüber, wie Ihr Unternehmen mit ISO 27001 übereinstimmt - und worauf Sie sich als nächstes konzentrieren sollten.

Nehmen Sie die Bewertung vor

6. Die Rolle des ISMS-Administrators kann sich einsam anfühlen

Da ISO 27001 ein wenig beängstigend sein kann, hat der ISMS-Administrator vielleicht das Gefühl, dass er damit allein dasteht. Andere Personen sind vielleicht nicht so sehr daran interessiert, sich mit Sicherheitsstandards zu befassen - vor allem, wenn sie die Relevanz aus Sicht Ihrer Organisation nicht sehen.

Es gibt jedoch ein paar wichtige Dinge, die Ihnen sehr helfen werden. Konzentrieren Sie sich zu Beginn auf gute Rollendefinitionen - dies ist ein entscheidender Teil des Aufbaus eines ISMS.

Festlegung klarer Rollen, damit verbundener Befugnisse und Zuständigkeiten, zumindest für:

  • ISMS-Administrator (wahrscheinlich Sie)
  • CISO (kann auch Sie selbst sein, oder in größeren Organisationen eine separate Rolle)
  • HR/Personalbewusstsein verantwortlich
  • Risikomanager
  • Verantwortlich für die technische Sicherheit
  • Verantwortlich für die physische Sicherheit

Diese Personen werden Sie unterstützen und mit Ihnen zusammenarbeiten. Und wenn Sie nur Ihren eigenen Namen für all diese Rollen finden, ist dies eine Botschaft für Ihre Organisation, wahrscheinlich mehr Leute für einige Aspekte zu verpflichten - zumindest in naher Zukunft.

Und vergessen Sie nicht die aktive Rolle des Topmanagements (ISO 27001 Klausel 5). Sie müssen den Fortschritt unterstützen, die Dinge aus ihrer Sicht überprüfen, Ziele und entsprechende Ressourcen festlegen usw.

Bei ISO 27001 geht es um den Aufbau einer Kultur, es ist nicht "nur eine IT-Sache". Und eine Kultur wird durch Menschen aufgebaut. Sie brauchen die Menschen, und ein relevantes ISMS hilft Ihnen, sie dazu zu bringen.

In einem intelligenten ISMS-Tool (z. B. Cyberday) können Sie auf einfache Weise Rollen erstellen und Verantwortlichkeiten zuweisen.

7. Prüfer sind auch (beschäftigte) Menschen

Wenn Sie sich zertifizieren lassen wollen, sollten Sie Ihren Prüfer frühzeitig buchen. Ihre Terminkalender sind oft schon Monate vorher voll.

Wenn Sie die Prüfung durchführen:

  • Streben Sie nicht nach Perfektion. Perfektion wird nicht erwartet.
  • Seien Sie transparent, klar und ehrlich, um das Beste aus den Audits herauszuholen.
  • Konzentrieren Sie sich auf das Lernen und die Verbesserung - Audits sind am wertvollsten, wenn sie als Instrumente für den Fortschritt genutzt werden.

Eine gute Zusammenarbeit mit den Prüfern (bei internen und externen Audits) kann sehr wertvoll sein, wenn es darum geht, die wichtigsten verbesserungswürdigen Bereiche in Ihrem ISMS zu finden.

8. Das Schlimmste ist, unnötige Arbeit zu machen

Um dies zu vermeiden, sollte Ihr Risikomanagementprozess das Schiff in die richtige Richtung lenken.

Das Risikomanagement für die Informationssicherheit ist ein Schlüsselprozess der ISO 27001. Sie sollten ihn jedoch auf die richtige Weise angehen:

  • Machen Sie es nicht zu kompliziert, aber vermeiden Sie generische Risikolisten.
  • Nutzen Sie das Risikomanagement, um Ihrem Unternehmen die Frage zu stellen: Sind wir mit dem aktuellen Sicherheitsniveau zufrieden und wo sehen wir die größten Bedrohungen?
  • Setzen Sie zu Beginn auf Klarheit, und vertiefen Sie Ihren Ansatz im Laufe der Zeit.

Das Risikomanagement entwickelt sich mit Ihrem ISMS weiter und wird sogar noch wichtiger, wenn Ihr ISMS ausgereift ist - es ist definitiv keine einmalige Übung in Excel.

9. Die Zertifizierung ist nur der Anfang

Die eigentliche Arbeit beginnt, nachdem Sie zertifiziert sind.

  • Das ISMS auf dem neuesten Stand halten
  • Durchführung von Managementprüfungen und internen Audits
  • Schulung Ihrer Mitarbeiter
  • Kontinuierliche Verbesserung Ihrer Informationssicherheit

Richtig gemacht, wird ISO 27001 zu einem wichtigen Teil der DNA Ihrer Organisation - und sorgt für ausgereifte Sicherheitspraktiken, anstatt nur Kästchen zu markieren.

Ein wichtiger Tipp: Denken Sie daran, sich auch nach Ihrer Erstzertifizierung auf die Kernklauseln von ISO 27001 (4-10) zu konzentrieren. Ganz gleich, wie ausgeklügelt Sie die Erkennung von Anomalien oder andere technologische Dinge entwickelt haben, Ihr ISO 27001-Auditor wird diesen obligatorischen Anforderungen der Norm immer die größte Aufmerksamkeit schenken.

10. Ein gutes Werkzeug kann Ihren Verstand retten

Alles manuell zu machen, ist auf Dauer mühsam. Es wird sehr schwierig, Ihr ISMS anhand statischer Dokumente zu überwachen oder zu verbessern.

Ein modernes ISMS-Tool wird Ihnen dabei helfen:

  • Klären, was erforderlich ist
  • Unterstützung der Zusammenarbeit im Team
  • Automatisierung der Dokumentation und Berichterstattung
  • Sie helfen Ihnen zu zeigen, dass Ihr System gewartet und verbessert wird.

Dennoch ist das Tool nur ein Hilfsmittel. Sie müssen immer noch sicherstellen, dass Sie Dinge tun, die für Ihre Organisation relevant und zweckmäßig sind.

Bonus: Sie möchten mehr über ISO 27001 erfahren?

Wir hoffen, dass diese Erkenntnisse Ihnen helfen können, mit ISO 27001 auf dem richtigen Weg zu sein.

Wenn Sie mehr aus verschiedenen Blickwinkeln erfahren möchten, haben wir eine Reihe von hilfreichen Ressourcen für Sie zusammengestellt:

📚 Sa mmlung von ISO 27001-Ressourcen

🔗 Checkliste für die Einhaltung von ISO 27001 und die Zertifizierung

Oder nehmen Sie direkt Kontakt mit uns auf - wir würden gerne mehr über unsere Erfahrungen berichten und Sie auf Ihrem Weg unterstützen.

Geschrieben von
Aleksi Pulkkanen
23.4.2025
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Andere ähnliche Inhalte von Academy

Blogs

Was ist ein vCISO? Die Rolle des virtuellen CISO verstehen

Was ein vCISO ist, was er tut und warum das Modell des virtuellen CISOs bei Unternehmen und Cybersecurity-Beratern schnell wächst.
12.6.2025

Was ist ein modularer Cybersicherheitsrahmen und warum er für Berater unerlässlich ist?

Modulare Cybersicherheits-Frameworks erleichtern das Compliance-Management und helfen Beratern, schneller zu skalieren, mehr Aufträge zu gewinnen und wiederkehrende Umsätze zu erzielen.
12.6.2025

Ausfall der Cyberday am Dienstag, den 6.10.2025: Erläuterung und Nachbereitung

In dieser Nachricht werden die Einzelheiten des jüngsten Vorfalls erläutert, der am 10.6.2025 zu einem Ausfall von Cyberday führte, sowie die damit verbundenen ersten Abhilfemaßnahmen.
11.6.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekNewsletterCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit