Was ist die ISO 27001 Zertifizierung?

ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Die Zertifizierung ist die von einer akkreditierten Zertifizierungsstelle nach einem Audit ausgestellte Anerkennung, dass die Organisation einen Anwendungsbereich (Scope) definiert, ihre Risiken bewertet, die anwendbaren Annex-A-Controls ausgewählt und umgesetzt hat und sie kontinuierlich steuert. Die aktuelle Fassung ist ISO/IEC 27001:2022.

Was ist der Unterschied zwischen Konformität und ISO 27001 Zertifizierung?

Konformität bedeutet, nach den Anforderungen des Standards zu arbeiten; die Zertifizierung ist die unabhängige Überprüfung durch eine akkreditierte dritte Stelle, die diese Konformität mit einem Zertifikat bestätigt. Man kann konform sein, ohne zertifiziert zu sein, aber es ist die Zertifizierung, die den verwertbaren Nachweis gegenüber Kunden, Ausschreibungen und Behörden liefert. In beiden Fällen ist die eigentliche Arbeit dieselbe: die Controls zu konzipieren und zum Laufen zu bringen.

Wie lange dauert die ISO 27001 Zertifizierung und wie läuft sie ab?

Der typische Weg ist: Gap-Analyse gegen den Standard, Definition von Scope und Risikobewertung, Erstellung des Statement of Applicability, Umsetzung der Controls, eine Betriebsphase des ISMS mit Sammlung von Nachweisen, dann das zweistufige Zertifizierungsaudit (Stage 1 dokumentarisch, Stage 2 vor Ort) und anschließend die jährlichen Überwachungsaudits. Die Dauer hängt von der Ausgangsreife ab: für eine bereits strukturierte Organisation sind es Monate, von null an dauert es länger.

Was kostet die ISO 27001 Zertifizierung?

Die Kosten hängen von objektiven Faktoren ab: Breite des Anwendungsbereichs, Anzahl der Standorte und Personen, Komplexität der Infrastruktur, Reife der bereits vorhandenen Controls und Anteil der noch umzusetzenden Arbeit. Zwei Posten sind zu unterscheiden: die Kosten der Zertifizierungsstelle (die das Zertifikat ausstellt) und die Kosten der technisch-organisatorischen Umsetzung, um audit-bereit zu sein. An letzterem arbeiten wir und bemessen es am realen Kontext des Unternehmens.

Stellt AtWorkStudio das ISO-27001-Zertifikat aus?

Nein. Das Zertifikat stellt eine akkreditierte, unabhängige Zertifizierungsstelle aus — nicht derjenige, der die Controls umsetzt, aus offensichtlichen Gründen der Unparteilichkeit. Wir sind der technische Umsetzer: Wir konzipieren und bauen das ISMS und die Controls auf, on-prem und in der Cloud, und bereiten die Nachweise für das Audit vor. AtWorkStudio ist selbst nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert (Stelle CSQA): Wir arbeiten auf einem Feld, das wir täglich praktizieren.

Reicht die ISO 27001 Zertifizierung für die NIS2-Konformität?

Nein: Sie ist eine solide Grundlage, aber nicht ausreichend. ISO 27001 deckt einen Großteil dessen ab, was NIS2 verlangt, aber mehrere Pflichten des italienischen Gesetzesdekrets 138/2024 bleiben ungedeckt — darunter die persönliche Haftung der Unternehmensleitung, die Fristen für die Vorfallmeldung an das CSIRT sowie die Registrierung und Kategorisierung auf der ACN-Plattform. Für bereits Zertifizierte ist der Vorteil real: Die organisatorische Maschine ist aufgebaut, sie muss neu ausgerichtet und vervollständigt werden.

Informationssicherheit. Im Ernst.

ISO 27001 Zertifizierung

ISO/IEC 27001 ist der internationale Standard für Informationssicherheit. Zertifiziert zu werden bedeutet nicht, Formulare zu unterschreiben: Es bedeutet, die richtigen Controls zu konzipieren und zum Laufen zu bringen. AtWorkStudio ist der technische Umsetzer, der das Managementsystem aufbaut — on-prem und in der Cloud —, an der Seite Ihrer Berater und bemessen am realen Kontext Ihres Unternehmens. Wir kennen es, weil wir selbst nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert sind.

Beratung anfragen

Zum Ablauf

Kostenloses Online-Assessment

Wo stehen Sie bei der Informationssicherheit?

Finden Sie es in 15 Minuten heraus mit unserem Assessment auf Basis des NIST Cybersecurity Framework 2.0. Es ist ein konkreter Ausgangspunkt, um zu sehen, wie nah Sie an den Anforderungen eines ISO-27001-Managementsystems sind und wo die Lücken liegen.

106 Fragen · Sofortiger Bericht · Unverbindlich

Kostenloses Assessment starten

Was ISO 27001 ist

Der Standard, in klaren Worten

ISO/IEC 27001:2022 ist kein Produkt zum Kaufen und kein Zertifikat zum Aufhängen: Es ist die strukturierte Art, wie eine Organisation ihre Informationssicherheit steuert — auf Basis von Risiko, Controls und Nachweisen. Hier sind die Begriffe, die zur Orientierung nötig sind.

Ein Managementsystem (ISMS)

Das Herzstück der Norm ist das ISMS (Information Security Management System): Richtlinien, Rollen, Prozesse und Controls, die die Sicherheit mit einem Zyklus der kontinuierlichen Verbesserung steuern, nicht als einmalige Maßnahme.

Risiko, Scope und Annex A

Die Organisation definiert den Anwendungsbereich (Scope), bewertet die Risiken und erklärt im Statement of Applicability, welche Annex-A-Controls sie anwendet, und begründet Ausschlüsse. Ein maßgeschneiderter Ansatz, keine universelle Checkliste.

Konformität vs. Zertifizierung

Konform zu sein bedeutet, nach dem Standard zu arbeiten; die Zertifizierung ist die unabhängige Überprüfung durch eine akkreditierte Stelle, die dies bestätigt. Die technische Arbeit ist dieselbe: Die Zertifizierung ist der verwertbare Nachweis dafür.

Wer sie wirklich braucht

Wer Kundendaten verarbeitet, an Ausschreibungen teilnimmt, regulierte Stellen beliefert oder eine nachweisbare Sicherheitsposture will. Zunehmend ist sie eine vertragliche Anforderung, die von den strukturierteren Kunden herabkaskadiert.

Die Familie 27017 und 27018

Für Cloud-Betreiber erweitert sich ISO 27001 um die 27017 (Sicherheit von Cloud-Diensten) und die 27018 (Schutz personenbezogener Daten in der Cloud). AtWorkStudio ist auf allen dreien zertifiziert, zusätzlich zur ISO 9001.

Ein Asset, kein Kostenfaktor

Gut gemacht, reduziert die Zertifizierung Vorfälle, beschleunigt den Vertrieb an anspruchsvolle Kunden und schafft die Grundlage für weitere Pflichten — von NIS2 bis DSGVO — unter Wiederverwendung desselben Gerüsts.

Wie man sie erhält

Der Zertifizierungsablauf, Schritt für Schritt

Von der ersten Bestandsaufnahme bis zum Zertifikat ist der Weg vorhersehbar. Was die Ergebnisse verändert, ist die Qualität der technischen Umsetzung dazwischen: Genau dort arbeiten wir.

1. Gap-Analyse und Scope

Wir erfassen den Stand gegenüber dem Standard, definieren den zu zertifizierenden Anwendungsbereich und die Risikobewertung. Heraus kommt ein Plan mit Prioritäten, Fristen und einer realistischen Schätzung der zu leistenden Arbeit.

2. Umsetzung der Controls

Wir bauen die fehlenden Annex-A-Controls auf — technisch und organisatorisch — on-prem und in der Cloud: Identitäten und Zugriffe, Verschlüsselung, Backup, Logging, Hardening, Lieferantensteuerung, Verfahren. Hier wird gewonnen oder verloren.

3. ISMS im Betrieb und Nachweise

Das Statement of Applicability, die Richtlinien und Prozesse gehen in Betrieb und beginnen, die Nachweise (Aufzeichnungen, Reviews, interne Audits) zu erzeugen, die die Zertifizierungsstelle sehen will.

4. Audit Stage 1 und Stage 2

Die akkreditierte Stelle prüft zuerst die Dokumentation (Stage 1), dann die Umsetzung vor Ort (Stage 2). Wir bereiten Sie auf das Audit vor und begleiten Sie während der Prüfungen und beim Schließen etwaiger Feststellungen.

5. Zertifikat und Überwachung

Nach Erlangung des Zertifikats sieht der Standard jährliche Überwachungsaudits und die Erneuerung nach drei Jahren vor. Wir halten das ISMS über die Zeit lebendig, damit die Zertifizierung real bleibt und kein alterndes Dokument wird.

Was die Kosten bestimmt

Anwendungsbereich, Anzahl der Standorte und Personen, Komplexität der Infrastruktur, Ausgangsreife. Wir trennen stets die Kosten der Zertifizierungsstelle von denen der Umsetzung und bemessen letztere an Ihrem realen Kontext.

Unsere Rolle

Technische, nicht bürokratische Compliance

Der Compliance-Berater sagt Ihnen das Was. Wir konzipieren und bauen das Wie: die Controls, die diese Anforderung sinnvoll und nachhaltig erfüllen, passend zu Ihrer Struktur, Ihren Prozessen, Ihrer Infrastruktur und Ihrem Budget — sowohl on-prem bei Ihnen als auch durch die Bereitstellung von Cloud-Diensten. Wir arbeiten an der Seite Ihrer Berater und übersetzen Anforderungen in Lösungen, die wirklich funktionieren.

Vom Requirement zur tragfähigen Lösung

Eine Sicherheitsanforderung kann gut oder schlecht erfüllt werden. „Es braucht starke Authentifizierung“ löst man nicht, indem man das tägliche Ändern des Passworts vorschreibt: Man löst es mit risikoangemessenem MFA und Conditional Access, das die Menschen nutzen, ohne gegen das Werkzeug zu kämpfen.

Backups, die wirklich wiederherstellen

„Es braucht Sicherungskopien“ ist keine in den Tresor getragene USB-Festplatte: Es ist ein unveränderliches Backup nach der 3-2-1-Regel, mit getesteter Wiederherstellung und gemessenen Wiederanlaufzeiten. Der Unterschied zeigt sich am Tag des Vorfalls, nicht auf dem Papier.

On-prem und Cloud, je nach Bedarf

Wir setzen die Controls dort um, wo es für Sie sinnvoll ist: bei Ihnen vor Ort, in der Cloud oder im Hybridmodell. Die technische Lösung folgt den Anforderungen und dem Kontext — nicht umgekehrt.

ISO 27001 und NIS2

Ein ausgezeichneter Ausgangspunkt, nicht das Ziel

Die ISO 27001 Zertifizierung deckt einen Großteil dessen ab, was NIS2 verlangt, aber nicht alles. Fällt Ihr Unternehmen in den Anwendungsbereich des italienischen Gesetzesdekrets 138/2024, ist die Zertifizierung die richtige organisatorische Maschine, von der aus man startet — sie muss jedoch neu ausgerichtet und an den spezifischen Pflichten der Richtlinie vervollständigt werden. Lesen Sie die Vertiefung zu den sieben Lücken zwischen ISO 27001 und NIS2.

Wo ISO 27001 abdeckt

Richtlinien, Risikomanagement, Vorfallmanagement, Lieferkettensicherheit, Betriebskontinuität, Kryptografie, Zugriffskontrolle, Schulung: Das ENISA-Mapping zeigt eine breite Überschneidung mit den NIS2-Anforderungen.

Wo NIS2 mehr verlangt

Persönliche Haftung der Unternehmensleitung, Vorfallmeldung an das CSIRT innerhalb von 24/72 Stunden, Registrierung und Kategorisierung auf der ACN-Plattform: Pflichten, die der Standard nicht vorsieht und die hinzukommen müssen.

Wie wir Sie begleiten

Wir richten das bestehende ISMS an den NIS2-Pflichten neu aus und vervollständigen es, ohne Doppelungen. Siehe auch unsere Seite zur NIS2-Beratung und -Anpassung.

Warum AtWorkStudio

Wir praktizieren, was wir umsetzen

AtWorkStudio ist nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert (Stelle CSQA). Wir lassen Sie keine Formulare unterschreiben: Wir bauen die Infrastruktur und die Nachweise auf, die die Zertifizierung verlangt — denn es ist dieselbe Arbeit, die wir täglich an uns selbst leisten.

Unsere Zertifizierungen

Häufige Fragen zur ISO 27001 Zertifizierung

Die Antworten auf die häufigsten Fragen dazu, was sie ist, wie man sie erhält und was es wirklich braucht.

Wollen Sie die ISO 27001 Zertifizierung? Wir starten bei den Fakten

Kontaktieren Sie uns für eine dedizierte Beratung: Gap-Analyse, Umsetzungsplan mit Prioritäten und Fristen sowie die im Feld aufgebauten Controls — on-prem und in der Cloud —, um audit-bereit anzukommen.

Kontaktieren Sie uns Unsere Zertifizierungen