NORM ISO/IEC 27001:2022 - ISMS

Bereiten Sie Ihre ISO 27001-Zertifizierung
vor, ohne 6 Monate zu verlieren

ISO/IEC 27001 ist die internationale Referenznorm für ein Informationssicherheits-Managementsystem (ISMS). Sie wird zunehmend von Auftraggebern verlangt, in Ausschreibungen, von Cyber-Versicherern oder für den Zugang zu bestimmten Exportmärkten. SYAGA begleitet Sie vom Gap-Assessment bis zur Vorbereitung auf das Zertifizierungsaudit.

93
Massnahmen Anhang A (Ausg. 2022)
4
Sicherheitsthemen
7
Management-Kapitel (4 bis 10)
1
Erklärung zur Anwendbarkeit geliefert

Der Kontext

ISO 27001 ist keine allgemeine gesetzliche Pflicht, wird aber zu einer unumgänglichen kommerziellen Voraussetzung

📋

Eine freiwillige, aber zunehmend geforderte Zertifizierung

ISO/IEC 27001 bleibt ein freiwilliger Ansatz. Sie wird dennoch zunehmend in Ausschreibungen, von grossen Auftraggebern, von manchen Cyber-Versicherern oder als Voraussetzung für den Zugang zu bestimmten Exportmärkten verlangt.

🔒

Wenige KMU haben ihr ISMS formalisiert

Die Mehrheit der KMU und mittelständischen Unternehmen hat keinen strukturierten Ansatz für ein Informationssicherheits-Managementsystem eingeleitet. Das Thema wird als komplex, technisch und langwierig wahrgenommen.

💰

Lange und kostspielige Begleitungen

Klassische Zertifizierungsprojekte binden Ihre Teams über mehrere Monate und stellen eine erhebliche Investition dar, die für ein KMU oft ausser Reichweite liegt.

Ihre IT-Teams sind bereits überlastet

Den CIO oder Sicherheitsverantwortlichen über Monate für den Aufbau eines ISMS zu binden, ist in einem KMU, in dem jeder bereits mehrere Rollen trägt, nicht tragfähig.

Die ISO27001-Express-Methode

Ein strukturierter Ansatz in 3 Phasen, gestützt auf die gleiche Methodik, die SYAGA bereits bei PSSI-Express bewährt hat

1
Phase 1 - Gap-Assessment

Bewertung der 93 Massnahmen aus Anhang A

Abstimmungsgespräch mit der Geschäftsführung und dem IT-Verantwortlichen, danach systematische Bewertung jeder der 93 Sicherheitsmassnahmen aus Anhang A (Ausgabe 2022), verteilt auf die 4 Themen organisatorisch, personell, physisch und technologisch. Übergabe eines sachlichen Abweichungsberichts.

2
Phase 2 - ISMS-Dokumentation

Sicherheitsrichtlinie, SoA und Massnahmenplan

Erstellung oder Aktualisierung der Sicherheitsrichtlinie (ISMS), der Erklärung zur Anwendbarkeit (SoA), die die Anwendung oder den Ausschluss jeder der 93 Massnahmen begründet, sowie eines priorisierten Massnahmenplans zur Behebung der in Phase 1 festgestellten Abweichungen.

3
Phase 3 - Begleitung zur Zertifizierung

Vorbereitung auf das Audit der Zertifizierungsstelle

Begleitung der Umsetzung des Massnahmenplans, Dokumentenprüfung und Vorbereitung Ihres Teams auf das Audit durch eine unabhängige akkreditierte Zertifizierungsstelle. SYAGA bereitet Sie auf das Audit vor; die Zertifizierung selbst wird von dieser externen Stelle ausgestellt.

Was Sie erhalten

Die strukturgebenden Dokumente des ISO 27001-Zertifizierungsdossiers

📊

Gap-Assessment-Bericht

Sachliche Bewertung Ihres Konformitätsgrads gegenüber der Norm.

  • Bewertung der 93 Massnahmen aus Anhang A
  • Status je Massnahme: konform / teilweise / nicht konform
  • Zusammenfassung je Thema (organisatorisch, personell, physisch, technologisch)
  • Sachliche Feststellungen, ohne Werturteil
🔐

Erklärung zur Anwendbarkeit (SoA)

Zentrales normatives Dokument des ISO 27001-Zertifizierungsdossiers.

  • Status anwendbar/ausgeschlossen für jede der 93 Massnahmen
  • Begründung jedes Ausschlusses
  • Verweis auf die ISMS-Dokumente
  • Bereit zur Vorlage bei der Zertifizierungsstelle
📝

Sicherheitsrichtlinie (ISMS)

Das von den Kapiteln 4 bis 10 der Norm geforderte Governance-Dokument.

  • Geltungsbereich und Kontext des ISMS
  • Rollen und Verantwortlichkeiten im Sicherheitsbereich
  • Risikomanagementprozess
  • Kontinuierlicher Verbesserungszyklus (PDCA)
🎯

Priorisierter Massnahmenplan

Der Fahrplan zur Behebung der festgestellten Abweichungen.

  • Nach Priorität geordnete Massnahmen
  • Organisatorische und technische Massnahmen
  • Fortschrittsverfolgung
  • Schrittweise Vorbereitung auf das Audit
📄

Betriebsverfahren

Von Ihren Teams direkt anwendbare Dokumente.

  • Management von Sicherheitsvorfällen
  • Zugriffs- und Identitätsverwaltung
  • Änderungsmanagement
  • IT-Nutzungsrichtlinie
💻

Editierbare Dateien

Alle Dokumente in Formaten, die Sie weiterentwickeln können.

  • Eigenständiges HTML (in jedem Browser öffenbar)
  • Hochwertiges PDF (A4-Druck)
  • Editierbares DOCX (Microsoft Word)
  • Aktualisierung bei jeder Jahresüberprüfung

Eine bündelbare Dokumentationsgrundlage

Das ISO 27001-ISMS überschneidet sich naturgemäss mit mehreren Regelwerken

ISO

ISO/IEC 27001:2022

Zentrales Regelwerk: Kapitel 4 bis 10 (Management-Anforderungen) und Anhang A (93 Sicherheitsmassnahmen in 4 Themen).

N2

Brücke zu NIS2

Die von der NIS2-Richtlinie geforderten Cyber-Risikomanagementmassnahmen überschneiden sich weitgehend mit den Massnahmen aus Anhang A der ISO 27001. Ein ISO 27001-ISMS erleichtert betroffenen Einrichtungen die NIS2-Konformität.

AN

ANSSI-Leitfaden - IT-Grundhygiene (Frankreich)

Die Massnahmen des IT-Grundhygiene-Leitfadens der ANSSI (der französischen Cybersicherheitsbehörde) überschneiden sich erheblich mit den Massnahmen aus Anhang A der ISO 27001. Zuordnung im Massnahmenplan dokumentiert.

RG

DSGVO (Art. 32)

Die von Artikel 32 der DSGVO geforderten geeigneten technischen und organisatorischen Massnahmen stützen sich auf dieselben bewährten Verfahren wie Anhang A der ISO 27001 (Zugriffskontrolle, Verschlüsselung, Vorfallmanagement).

Auf Ihren Kontext zugeschnittene Angebote

Jedes ISO 27001-Projekt wird nach Ihrem Geltungsbereich und Ihrer aktuellen Reife dimensioniert. Immer ein individuelles Angebot.

Gap-Assessment

Momentaufnahme Ihrer Abweichungen

Auf Anfrage
je nach Geltungsbereich und Mitarbeiterzahl
  • Bewertung der 93 Massnahmen aus Anhang A
  • Sachlicher Feststellungsbericht
  • Zusammenfassung je Sicherheitsthema
  • Präsentation vor der Geschäftsführung
  • Formate HTML + PDF + DOCX
Angebot anfordern

Jährliche Wartung

Nach der Zertifizierung oder fortlaufend

Auf Anfrage
je nach Geltungsbereich und Mitarbeiterzahl
  • Jährliche ISMS-Überprüfung
  • Aktualisierung der SoA
  • Aktualisierung des Massnahmenplans
  • Vorbereitung auf Überwachungsaudits
Angebot anfordern

Häufig gestellte Fragen

Was ist die Norm ISO/IEC 27001?
ISO/IEC 27001 ist die internationale Referenznorm für die Einführung eines Informationssicherheits-Managementsystems (ISMS). In ihrer Ausgabe 2022 ist sie in die Kapitel 4 bis 10 (Management-Anforderungen: Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung) und einen Anhang A mit 93 Sicherheitsmassnahmen gegliedert, verteilt auf 4 Themen: organisatorisch, personell, physisch und technologisch.
Ist ISO 27001 für mein Unternehmen verpflichtend?
Nein, ISO 27001 ist eine freiwillige Zertifizierung, im Gegensatz zu regulatorischen Texten wie NIS2. Sie wird jedoch de facto zunehmend verlangt: in Ausschreibungen, durch Anforderungen grosser Auftraggeber, Bedingungen von Cyber-Versicherungen oder den Zugang zu bestimmten Exportmärkten. Es ist eher eine strategische Entscheidung als eine allgemeine gesetzliche Pflicht.
Stellt SYAGA die Zertifizierung aus?
Nein. Die ISO 27001-Zertifizierung wird ausschliesslich von einer unabhängigen akkreditierten Zertifizierungsstelle nach einem externen Audit ausgestellt. SYAGA begleitet Sie bei der Vorbereitung (Gap-Assessment, ISMS-Dokumentation, Massnahmenplan, Vorbereitung Ihrer Teams), stellt das Zertifikat selbst aber nicht aus.
Was ist die Erklärung zur Anwendbarkeit (SoA)?
Die SoA ist ein verpflichtendes normatives Dokument des Zertifizierungsdossiers. Sie listet jede der 93 Massnahmen aus Anhang A auf und gibt an, ob sie angewendet oder ausgeschlossen wird, mit entsprechender Begründung. Sie ist eines der am genauesten geprüften Dokumente beim Zertifizierungsaudit.
Wie viel Zeit müssen meine Teams aufwenden?
Der Grossteil der Arbeit (Bewertung, Dokumentenerstellung, Massnahmenplan) wird von unseren Auditoren durchgeführt. Ihre Teams werden vor allem beim anfänglichen Abstimmungsgespräch und bei den Präsentationsterminen einbezogen. Die Gesamtdauer eines Zertifizierungsprojekts hängt stark von Ihrem Geltungsbereich und Ihrer Ausgangsreife ab; sie wird von Fall zu Fall im Angebot geschätzt.
Warum ist SYAGA legitimiert, mich zu begleiten?
SYAGA Consulting führt seit 2009 Sicherheitsaudits von Informationssystemen durch. Unsere Auditoren betreuen Kunden unterschiedlicher Grösse in mehreren Branchen. Die für ISO27001-Express verwendete Methodik zur Gap-Bewertung und Dokumentenerstellung stützt sich auf dieselbe Engine, die bereits bei unseren anderen Compliance-Begleitungen (PSSI-Express) eingesetzt wird.
SYAGA begleitet Sie bei der Vorbereitung Ihres ISMS und Ihres Zertifizierungsdossiers. Die ISO/IEC 27001-Zertifizierung selbst wird von einer unabhängigen akkreditierten Zertifizierungsstelle ausgestellt, die nicht mit SYAGA verbunden ist. Dieser Inhalt ist ein Begleitwerkzeug und stellt keine Rechtsberatung dar.

Bereit, Ihr ISO 27001-Projekt zu strukturieren?

Kontaktieren Sie uns für ein individuelles Angebot entsprechend Ihrem Geltungsbereich und Ihrer aktuellen Reife.