Informationssicherheit · ISO/IEC 27001:2022
Ich baue Ihr Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022 auf und mache es audit-ready, von der Gap-Analyse über Statement of Applicability und Risikobehandlung nach Annex A (2022) bis zum internen Audit nach ISO 19011. Ein belastbares ISMS ist das Fundament jeder seriösen KI-Governance und die Antwort auf NIS2, Lieferketten- und Kundenaudits. Die akkreditierte Zertifizierung spricht die Zertifizierungsstelle aus, ich bringe Sie ohne Überraschungen dorthin.
NIS2, Lieferketten-Anforderungen, Kundenaudits und Ausschreibungen machen Informationssicherheit zur Geschäftsbedingung. Ein ISMS nach ISO/IEC 27001 ist sinnvoll, wenn Sie:
Zur Einordnung: Die offizielle Zertifizierung vergibt nur eine akkreditierte Zertifizierungsstelle. Ich übernehme die Vorbereitung und Readiness, damit Ihr ISMS trägt und das externe Audit zur Bestätigung wird, nicht zur Überraschung.
Als ISO/IEC 27001 Lead Auditor und ISO/IEC 42001 Senior Lead Auditor (PECB), der selbst eine Fertigung führt, baue ich ein ISMS, das im realen Betrieb funktioniert, statt eines Aktenordners für die Zertifizierungsstelle. Die Senior-Stufe vergibt PECB erst ab 1.000+ nachgewiesenen Audit-Stunden und mindestens sieben Jahren Fachpraxis. Ich kenne beide Seiten des Audittischs und übersetze die Norm in die Sprache Ihres Unternehmens.
Doppel-Qualifikation
Ablauf
Bestandsaufnahme gegen ISO/IEC 27001:2022, wo stehen Sie, was fehlt. Ergebnis ist ein priorisierter Befund, kein Pflichtenheft von der Stange.
Risiken bewerten, Maßnahmen nach Annex A (2022) auswählen und in der Statement of Applicability begründet festhalten. Das ISMS bekommt Substanz.
Prüfung des ISMS nach ISO 19011 mit klassifizierten Findings, die Generalprobe vor dem Zertifizierungsaudit der akkreditierten Stelle.
Ich habe die zentralen Fragen rund um ISO/IEC 27001 ausführlich aufbereitet, von NIS2 im Mittelstand über die Statement of Applicability bis zur Abgrenzung gegenüber ISO 42001:
Ich bereite Ihr ISMS bis zur Zertifizierungsreife vor: Gap-Analyse, Risikobehandlung, Statement of Applicability und internes Audit. Das offizielle ISO/IEC 27001-Zertifikat stellt ausschließlich eine akkreditierte Zertifizierungsstelle aus, nach deren eigenem Zertifizierungsaudit. Ich arbeite dabei neutral, ohne Bindung an eine bestimmte Zertifizierungsstelle, und vertrete im Audit ausschließlich Ihre Interessen.
Ein ISMS (Informationssicherheits-Managementsystem) ist der systematische Rahmen, mit dem Sie Informationssicherheit steuern: Risiken erkennen, geeignete Maßnahmen festlegen und ihre Wirksamkeit nachweisen. ISO/IEC 27001:2022 ist die international anerkannte Norm dafür, das Fundament, auf dem auch jede seriöse KI-Governance aufsetzt.
Die Statement of Applicability (Erklärung zur Anwendbarkeit) ist das zentrale Steuerungsdokument des ISMS. Darin dokumentieren Sie für jede der Maßnahmen aus Annex A (2022), ob sie anwendbar ist, ob sie umgesetzt wurde und mit welcher Begründung. Ich baue die SoA so auf, dass sie aus Ihrer Risikobehandlung ableitbar und im Zertifizierungsaudit nachvollziehbar ist.
Weil immer mehr Auftraggeber Informationssicherheit zur Bedingung machen. NIS2 verschärft die Pflichten für viele Unternehmen und ihre Lieferketten, Kundenaudits und Ausschreibungen verlangen zunehmend einen Nachweis. Ein belastbares ISMS, idealerweise nach ISO/IEC 27001, ist die Antwort, mit der Sie diese Anforderungen erfüllen und im Wettbewerb anschlussfähig bleiben.
Eng. Ein KI-Managementsystem (AIMS) nach ISO/IEC 42001 setzt auf einem funktionierenden ISMS auf, viele Kontrollen (Zugriffe, Lieferanten, Vorfälle, Protokollierung) teilen sich beide Normen. Wer ISO 27001 bereits umgesetzt hat, kommt schneller zur ISO-42001-Reife und kann den AI Act sauberer nachweisen. Ich baue beide Systeme so, dass sie ineinandergreifen statt nebeneinanderher zu laufen.
ISO 19011 ist der Leitfaden für das Auditieren von Managementsystemen. Ich führe das interne Audit Ihres ISMS nach dieser Methodik durch, mit Auditplan, Nachweisen, klassifizierten Findings und Bericht. So gehen Sie ins externe Audit, ohne von der Zertifizierungsstelle überrascht zu werden.
Ich begleite Sie bei der Auswahl einer akkreditierten Zertifizierungsstelle und koordiniere den Ablauf, Stufe-1- und Stufe-2-Audit, Termine und Unterlagen. Die Stelle rechnet ihre Gebühr separat ab; für einen kleinen Betrieb liegt sie als Orientierung bei rund 3.000 bis 4.500 € für die Erstzertifizierung plus etwa 1.400 bis 2.000 € je jährlichem Überwachungsaudit (reale Angebote vergleichbarer akkreditierter Audits, Stand 2026). Weil ich an keine Zertifizierungsstelle gebunden bin, bleibt die Wahl neutral und in Ihrem Interesse.
Nein. Die offizielle Zertifizierung spricht ausschließlich eine akkreditierte Zertifizierungsstelle aus. Ich bereite Sie darauf vor, Gap-Analyse, ISMS-Aufbau, Risikobehandlung, internes Audit und begleite Sie ins Zertifizierungsaudit. Ich arbeite neutral, ohne Bindung an eine bestimmte Zertifizierungsstelle.