ISO 27001 Zertifizierungs-Readiness-Checkliste

Was bedeutet ISO 27001 Readiness?

ISO 27001 Readiness bedeutet, dass Ihr Informationssicherheitsmanagementsystem (ISMS) vollständig implementiert, dokumentiert und nachweislich in Betrieb ist — nicht nur auf dem Papier entworfen. Zertifizierungsreife erfordert, dass Ihre Richtlinien, der Risikobehandlungsplan, die ISO 27001 Maßnahmen sowie der interne Auditkreislauf sämtlich in Betrieb sind, bevor Sie einen externen Auditor zur Bewertung einladen.

Viele Organisationen verwechseln ISMS-Implementierung mit Zertifizierungsreife. Implementierung bedeutet, das System aufzubauen; Readiness bedeutet, dessen Wirksamkeit nachzuweisen. Auditoren prüfen beim Stufe-1-Audit und Stufe-2-Audit nach Belegen für den tatsächlichen Betrieb, nicht nach Absichtserklärungen. Eine vorhandene, aber nicht gelebte Richtlinie führt unabhängig von ihrer Formulierungsqualität zu einer Nichtkonformität.

Diese Checkliste umfasst die acht Bereiche, die externe Auditoren regelmäßig prüfen. Arbeiten Sie jeden Abschnitt durch, bewerten Sie Ihren aktuellen Status, weisen Sie offenen Punkten Verantwortliche zu und konsolidieren Sie Ihre Nachweise vor dem ersten Audittermin.

Vollständige ISO 27001 Readiness-Checkliste

Bewerten Sie jeden Punkt: abgeschlossen, teilweise oder nicht begonnen. Teilweise erledigte und fehlende Punkte bilden Ihren Sanierungsrückstand.

1 Anwendungsbereich und Kontext

Der ISMS-Geltungsbereich definiert organisatorische, geografische und systembezogene Grenzen
Die Analyse des internen und externen Kontexts (Abschnitt 4.1) ist dokumentiert
Interessierte Parteien und ihre relevanten Anforderungen (Abschnitt 4.2) sind ermittelt
Ausschlüsse vom Geltungsbereich sind begründet, dokumentiert und gegenüber Auditoren vertretbar

2 Führung und Governance

Das Engagement der obersten Leitung ist belegt — durch Sitzungsprotokolle, E-Mail-Genehmigungen oder Richtlinienfreigaben
Die Informationssicherheitsrichtlinie ist genehmigt, datiert und allen Mitarbeitenden kommuniziert
Sicherheitsrollen und -verantwortlichkeiten sind namentlich benannten Personen — nicht nur Stellenbezeichnungen — zugewiesen
Informationssicherheitsziele sind messbar und mit dem Risikokontext der Organisation verknüpft

3 Risikobewertung

Die Risikobewertungsmethodik ist mit definierten Kriterien für Eintrittswahrscheinlichkeit, Auswirkung und Akzeptanz dokumentiert
Das Risikoregister deckt alle Vermögenswerte, Prozesse oder Szenarien im ISMS-Geltungsbereich ab
Jedem identifizierten Risiko ist ein Risikoverantwortlicher zugewiesen
Der Risikobehandlungsplan wählt für jedes Risiko oberhalb der Akzeptanzschwelle eine Option (behandeln, akzeptieren, transferieren, beenden)
Der Risikobehandlungsplan wurde von der Geschäftsführung geprüft und formell genehmigt

4 Erklärung zur Anwendbarkeit

Alle 93 Annex-A-Maßnahmen wurden bewertet — keine wurde ohne dokumentierte Begründung übersprungen
Jede anwendbare Maßnahme zeigt ihren Umsetzungsstatus: umgesetzt, teilweise umgesetzt oder geplant
Ausgeschlossene Maßnahmen enthalten eine auditierfähige Begründung mit Bezug auf Geltungsbereich, Risiko oder rechtliche Grundlage
Die Erklärung zur Anwendbarkeit ist versioniert, datiert und von der autorisierten Geschäftsführung unterzeichnet
Die Erklärung zur Anwendbarkeit ist mit dem Risikobehandlungsplan abgestimmt — die gewählten Maßnahmen adressieren die identifizierten Risiken

5 Annex-A-Maßnahmen

Alle in der Erklärung zur Anwendbarkeit ausgewählten ISO 27001 Maßnahmen sind umgesetzt und durch Richtlinien oder Verfahren unterstützt
Technische Maßnahmen — Zugriffsverwaltung, Verschlüsselung, Protokollierung, Schwachstellenmanagement — sind in Betrieb
Sicherheitsanforderungen an Lieferanten und Dritte sind in Verträgen festgehalten und werden regelmäßig bewertet
Schulungen zur Informationssicherheit sind abgeschlossen und Nachweise werden aufbewahrt
Pläne zur Reaktion auf Sicherheitsvorfälle und zur Geschäftskontinuität wurden getestet und die Ergebnisse dokumentiert

6 Internes Audit

Ein internes Auditprogramm deckt den gesamten ISMS-Geltungsbereich und alle anwendbaren ISO 27001 Maßnahmen ab
Mindestens ein vollständiger interner Auditkreislauf ist vor dem Stufe-1-Audit abgeschlossen
Auditbefunde und Nichtkonformitäten sind formell in einem Bericht festgehalten
Das Audit wurde von einer Person durchgeführt, die unabhängig vom auditierten Bereich ist

7 Managementbewertung

Eine Managementbewertungssitzung wurde abgehalten und formell protokolliert
Die Tagesordnung umfasste interne Auditergebnisse, Risikostatus, Leistung der Sicherheitsziele und Verbesserungsmöglichkeiten
Die Bewertungsergebnisse dokumentieren Entscheidungen zu ISMS-Änderungen, Ressourcenbedarf und Verbesserungsmaßnahmen
Protokolle werden als dokumentierte Information aufbewahrt und stehen Auditoren zur Einsicht zur Verfügung

8 Korrektivmaßnahmen

Alle Nichtkonformitäten aus internen Audits haben eine dokumentierte Ursachenanalyse und eine eingetragene Korrektivmaßnahme
Jede Korrektivmaßnahme hat einen namentlich benannten Verantwortlichen und einen Zieltermin für die Schließung
Abgeschlossene Maßnahmen werden vor der Schließung auf ihre Wirksamkeit überprüft
Das Korrektivmaßnahmenregister ist aktuell und steht Auditoren zur Einsicht zur Verfügung

Häufige Fehler bei der Readiness-Vorbereitung

Dies sind die Lücken, die bei der ISO 27001 Auditvorbereitung am häufigsten als Nichtkonformitäten festgestellt werden.

Die Erklärung zur Anwendbarkeit als reine Formalität behandeln

Die Erklärung zur Anwendbarkeit muss den tatsächlichen Stand Ihrer ISO 27001 Maßnahmen widerspiegeln. Auditoren gleichen sie mit realen Umsetzungen ab und erheben eine Nichtkonformität, wenn als umgesetzt gekennzeichnete Maßnahmen nicht nachgewiesen werden können.

Kein abgeschlossenes Internes Audit oder keine Managementbewertung vor dem Stufe-1-Audit

Beides sind Pflichtanforderungen. Wenn beim Stufe-1-Audit keine abgeschlossenen Nachweise vorliegen, kann der Auditor nicht bestätigen, dass Ihr ISMS in Betrieb ist, und die Zertifizierung verzögert sich.

Maßnahmen in Richtlinien beschrieben, aber in der Praxis nicht angewendet

Dies ist der häufigste Befund beim Stufe-2-Audit. Eine Richtlinie, die besagt „Zugriffsrechte werden vierteljährlich überprüft", muss durch datierte Zugriffsüberprüfungsnachweise belegt werden. Absicht ohne Nachweis ist eine Nichtkonformität.

Risikobehandlungsplan nicht formell von der Geschäftsführung genehmigt

Die Durchführung einer Risikobewertung allein reicht nicht aus. ISO 27001 verlangt, dass die Geschäftsführung das Restrisiko formell akzeptiert und den Risikobehandlungsplan genehmigt. Ohne eine unterzeichnete oder protokollierte Genehmigung ist Abschnitt 6.1 unvollständig.

Nichtkonformitäten aus dem Internen Audit beim Stufe-2-Audit noch offen

Offene Korrektivmaßnahmen signalisieren, dass der ISMS-Verbesserungskreislauf nicht funktioniert. Auditoren prüfen, ob Befunde geschlossen und verifiziert wurden — nicht nur, ob sie erfasst sind.

ISMS-Geltungsbereich zu weit für die verfügbaren Nachweise

Organisationen definieren mitunter einen breiten Geltungsbereich, um umfassend zu wirken, haben dann aber Schwierigkeiten, konsistente Nachweise in allen Bereichen zu erbringen. Ein eng definierter, gut belegter Geltungsbereich lässt sich zuverlässiger zertifizieren als ein breiter Geltungsbereich mit Nachweislücken.

Vorbereitung auf Stufe-1-Audit und Stufe-2-Audit

Die ISO 27001 Zertifizierung verwendet ein zweistufiges Auditverfahren. Wer versteht, was jede Stufe prüft, kann die Vorbereitung in der richtigen Reihenfolge ausrichten.

Stufe 1 — Dokumentenprüfung

Das Stufe-1-Audit wird in der Regel remote durchgeführt und bestätigt, dass Ihre ISMS-Dokumentation vollständig ist und Ihre Organisation bereit ist, mit dem Wirksamkeitsaudit fortzufahren. Befunde aus dem Stufe-1-Audit müssen behoben sein, bevor das Stufe-2-Audit angesetzt wird.

Schwerpunkte der Auditoren

ISMS-Geltungsbereich ist klar definiert und angemessen
Erklärung zur Anwendbarkeit ist abgeschlossen und unterzeichnet
Risikobewertung und Risikobehandlungsplan sind dokumentiert
Internes Audit und Managementbewertung wurden durchgeführt
Alle nach ISO 27001 vorgeschriebenen dokumentierten Informationen sind vorhanden

Stufe 2 — Wirksamkeit der Maßnahmen

Das Stufe-2-Audit prüft durch Mitarbeitergespräche, Prozessdurchläufe und Stichprobenerhebungen, ob die ISO 27001 Maßnahmen wie vorgesehen funktionieren. Hier wird die Zertifizierung erteilt oder es werden wesentliche Nichtkonformitäten erhoben.

Schwerpunkte der Auditoren

ISO 27001 Maßnahmen funktionieren wie in Richtlinien und der Erklärung zur Anwendbarkeit beschrieben
Nachweise sind aktuell, konsistent und den Maßnahmen rückverfolgbar
Mitarbeitende demonstrieren Bewusstsein für ihre ISMS-Verantwortlichkeiten
Nichtkonformitäten aus dem Stufe-1-Audit sind vollständig geschlossen
Das Korrektivmaßnahmenregister belegt einen wirksamen Verbesserungskreislauf

FAQ

Was ist ein Informationssicherheitsmanagementsystem (ISMS)?

Ein Informationssicherheitsmanagementsystem ist die Gesamtheit von Richtlinien, Verfahren und Maßnahmen, die Informationssicherheitsrisiken in einer Organisation systematisch steuern. ISO 27001 ist die internationale Norm, die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS definiert. Die Zertifizierung zeigt Kunden und Aufsichtsbehörden, dass Ihr Informationssicherheitsmanagementsystem diesen Standard erfüllt.

Wie lange dauert die ISMS-Implementierung?

Die meisten ISMS-Implementierungsprogramme benötigen 8 bis 20 Wochen vom Kick-off bis zur Stufe-1-Audit-Reife, abhängig von der Komplexität des Geltungsbereichs, dem Reifegrad vorhandener Dokumentation und der verfügbaren Ressourcen. Planen Sie zusätzlich vier bis acht Wochen zwischen Stufe-1-Audit und Stufe-2-Audit für die Konsolidierung von Nachweisen und die Behebung von Stufe-1-Befunden ein.

Was ist die Erklärung zur Anwendbarkeit und warum ist sie wichtig?

Die Erklärung zur Anwendbarkeit ist das Dokument, das alle 93 Annex-A-Maßnahmen auf Ihre Organisation abbildet und festhält, welche anwendbar und umgesetzt sind und warum etwaige Maßnahmen ausgeschlossen wurden. Sie gehört zu den ersten Dokumenten, die beim Stufe-1-Audit angefordert werden, da sie dem Auditor einen Überblick über Ihre ISO 27001 Maßnahmenlandschaft verschafft. Sie muss versioniert, aktuell und von der Geschäftsführung unterzeichnet sein.

Müssen wir alle 93 Annex-A-Maßnahmen umsetzen?

Nein, aber Sie müssen alle 93 ISO 27001 Maßnahmen bewerten und für ausgeschlossene Maßnahmen eine Begründung dokumentieren. Die Auswahl der Maßnahmen basiert auf den Risiken Ihrer Bewertung, Ihren gesetzlichen und vertraglichen Verpflichtungen sowie Ihrem betrieblichen Kontext. Nicht begründete Ausschlüsse sind ein häufiger Befund beim Stufe-1-Audit.

Was passiert, wenn wir das Stufe-1-Audit nicht bestehen?

Ein nicht bestandenes Stufe-1-Audit bedeutet, dass der Auditor Befunde erhoben hat, die vor dem Stufe-2-Audit behoben werden müssen. Befunde können geringfügige Beobachtungen, Verbesserungsmöglichkeiten oder wesentliche Nichtkonformitäten sein. Geringfügige Punkte werden in der Zeit zwischen Stufe-1-Audit und Stufe-2-Audit geschlossen; wesentliche Nichtkonformitäten können ein vollständiges Nachaudit des betroffenen Bereichs erfordern und verzögern Ihren Zertifizierungszeitplan.

Kann die ISO 27001 ISMS-Implementierung die DORA-Konformität unterstützen?

Ja. Richtlinien-Governance, Risikobehandlung, Lieferantenüberwachung und Vorfallmanagement-Nachweise, die während der ISMS-Implementierung aufgebaut werden, können DORA-Verpflichtungen direkt unterstützen. Die Rahmenwerke ergänzen sich: ISO 27001 legt die Baseline Ihrer Informationssicherheitsmaßnahmen fest, während DORA digitale Betriebsresilienzanforderungen, IKT-Vorfallmeldung und drittparteiliche Überwachung speziell für Finanzunternehmen hinzufügt.

ISO 27001 Readiness-Checkliste