Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
ISMS

ISO-27001-Zertifizierung in 6 Phasen: die strukturierte Roadmap mit Wizard

SecTepe Redaktion
|
|
7 Min. Lesezeit

ISO 27001 ist 2026 längst vom Nice-to-have zum Pflicht-Nachweis geworden – Cyber-Versicherer, große Auftraggeber und zunehmend auch das Handelsregister von B2B-Lieferanten verlangen sie. Der Weg zur Zertifizierung ist erprobt, aber lang: typisch 12–18 Monate, fünf-stellige Beratungskosten, viele Iterationen.

SecTepe.Core liefert dafür eine strukturierte 6-Phasen-Roadmap mit Phase-Gating, Templates und einem geführten Wizard.

Die sechs Phasen im Überblick

  1. Scope & Stakeholder – Geltungsbereich, Schnittstellen, interessierte Parteien, Top-Management-Commitment.
  2. Risiko-Assessment & Risiko-Behandlung – Asset-Inventar, Threat-Modelling, Risiko-Bewertung, Behandlungsentscheidungen.
  3. Statement of Applicability (SoA) – Auswahl der Annex-A-Controls, Begründung Inklusion/Exklusion.
  4. Implementierung & Dokumentation – Policies, Verfahren, technische Maßnahmen, Awareness-Programme.
  5. Internes Audit & Management-Review – Wirksamkeits-Prüfung, Nichtkonformitäten, korrekturmaßnahmen.
  6. Zertifizierungs-Audit (Stage 1 + Stage 2) – Vorbereitung, Begleitung, Behebung von Findings.

Was Phase-Gating konkret bedeutet

Jede Phase hat definierte Eingangs- und Ausgangs-Kriterien. Phase 3 (SoA) lässt sich erst abschließen, wenn die Risiko-Bewertung aus Phase 2 abgeschlossen ist – sonst fehlt die Begründung für jede Control-Auswahl. Die Plattform erzwingt diese Reihenfolge nicht stur, aber sie macht das Skipping sichtbar und warnt im Audit-Report.

Templates, die Wochen sparen

Erfahrungsgemäß verbringt ein Erst-ISMS-Team 20–30 % der Projektzeit mit dem Schreiben von Standard-Dokumenten:

  • ISMS-Politik, Anwendbarkeitserklärung, Kontextanalyse.
  • Risiko-Methodik, Risiko-Akzeptanz-Kriterien, Eskalations-Pfade.
  • Asset-Klassifizierung, Information-Handling-Guidelines.
  • Lieferanten-Sicherheits-Anforderungen, BCDR-Plan-Templates, Meldepfade.

SecTepe.Core liefert für all diese Dokumente DSGVO- und BSI-kompatible Templates auf Deutsch und Englisch, die per Wizard auf das eigene Unternehmen angepasst werden – statt einer leeren Word-Vorlage.

ISO 27002:2022 ist im SoA-Schritt vorgepflegt

Die 93 Controls aus ISO 27002:2022 sind im SoA-Modul als interaktive Liste hinterlegt – mit Standard-Begründungen für die häufigsten Inklusion/Exklusion-Entscheidungen. Wer keinen Cloud-Service betreibt, kann z. B. A.5.23 (Cloud-Sicherheit) mit einem Klick und vorgepflegtem Begründungstext exkludieren.

Audit-Vorbereitung: aus Phase 5 fließen Beweise direkt in den Stage-2-Reportordner

Statt 200 Dokumente händisch in einen Auditor-Ordner zu kopieren, generiert SecTepe.Core einen strukturierten Export, der dem typischen Auditor-Schema folgt: Kapitel, Querverweise auf SoA-Controls, Belege je Maßnahme. Externe ISBs erkennen den Aufbau sofort wieder – das beschleunigt die Audit-Begleitung deutlich.

Wo die Plattform nicht magisch ist

Eine Roadmap macht nicht das Top-Management-Commitment. Sie macht nicht die Awareness-Schulung. Sie macht nicht die Tests des BCDR-Plans. Aber sie macht alles drumherum so reibungsarm, dass diese inhaltlichen Themen die volle Aufmerksamkeit bekommen, die sie verdienen – statt im Dokumentations-Backlog zu ertrinken.

Fazit

ISO-27001-Zertifizierung ist 2026 ein berechenbares Projekt, wenn man Struktur, Templates und Phase-Gating bekommt. Eine Plattform wie SecTepe.Core bringt das mit – statt der typischen Mischung aus Beratungshandbuch, Excel und SharePoint. Die Folge: kürzere Time-to-Cert, geringere Beratungskosten, höhere Audit-Sicherheit.

Alle Artikel ansehen Mehr aus dieser Kategorie