ISO 27001 & TISAX® – Wir implementieren Informationssicherheit, die Audits besteht und im Alltag funktioniert.

Kontakt
FÜR SCHWEIZER KMU

ISO 27001 kompakt erklärt

ISO 27001 schafft einen international anerkannten Rahmen für Informationssicherheit. Wir helfen, Scope, Risiken, Controls und Nachweise so aufzubauen, dass Zertifizierung und Alltag zusammenpassen.
ISO 27001 einordnen
Tel. +41 76 272 6847
Screenshot 2026 06 06 101207
FÜR SCHWEIZER KMU

ISO 27001 kompakt erklärt

ISO 27001 schafft einen international anerkannten Rahmen für Informationssicherheit. Wir helfen, Scope, Risiken, Controls und Nachweise so aufzubauen, dass Zertifizierung und Alltag zusammenpassen.

ISO 27001 einordnen
Quick-Check (10 Min)

ISO-27001-Lead-Auditoren · 40+ KMU-Mandate · TISAX® & NIS2-Erfahrung · seit 2018

ISO 27001 in 3 Punkten

1

Geschäftsdruck klären

Kunden, Ausschreibungen, Regulierung und Risiken bestimmen, ob ein Zertifikat sinnvoll ist.

2

ISMS strukturiert aufbauen

Rollen, Risikologik, Controls und Nachweise nachvollziehbar dokumentieren.

3

Zertifizierung vorbereiten

Stage 1/2, interne Audits und Management-Review in eine realistische Roadmap bringen.

Scope · Risiko · SoA · Controls · Nachweise

WARUM JETZT

Kundenanforderungen, Regulatorik, Cyberrisiken — Sicherheit gehört auf die GL-Agenda.

Informationssicherheit ist vom IT-internen Thema zum Geschäftsleitungs-Thema geworden. Drei Treiber stehen dahinter.
TREIBER 1

Kunden und Ausschreibungen

Auftraggeber verlangen immer häufiger Sicherheitsnachweise — oft ISO 27001 oder gleichwertig. Wer den Nachweis nicht erbringt, fällt aus der Vorauswahl und wird von Ausschreibungen ausgeschlossen.
TREIBER 2

Regulatorische Rahmen­bedingungen

revDSG (Art. 24), DSGVO, NIS2-Lieferkette: Meldepflicht bei Datenpannen, dokumentiertes Risikomanagement, Nachweise gegenüber Aufsichtsbehörden — Erklärungsnot ist teuer.
TREIBER 3

Cyberrisiken

Ransomware, Betriebsspionage und Schwachstellen in der Lieferkette treffen heute auch KMU — oft mit existenzbedrohenden Folgen.
„ISO 27001 ist selten Pflicht — aber zunehmend Voraussetzung für Aufträge und Vertrauen.”
IN 30 SEKUNDEN EINSCHÄTZEN

Ist ISO 27001 für Sie sinnvoll?

Drei Fragen — beantworten Sie sie ehrlich für Ihr Unternehmen.

1

MARKTDRUCK

Kunden- oder Konzern-Druck

Verlangen Kunden, OEMs oder Konzernmütter Sicherheitsnachweise oder ein Informationssicherheits-Zertifikat?

2

SCHUTZBEDARF

Schützenswerte Daten

Verarbeiten Sie sensible Daten (Kunden, Produkte, Finanzen, Personal) oder sind IT-Ausfälle existenzkritisch?

3

STEUERUNG

Steuerbar statt reaktiv

Wollen Sie Informationssicherheit strukturiert steuern — statt punktuell auf Vorfälle zu reagieren?

Schon eine Frage mit „Ja" genügt: Dann lohnt sich ein genauerer Blick auf ISO 27001. 

Alle Nein? ISMS-Light reicht — oder Sie warten ab.

WAS IST ISO 27001

Der internationale Standard für Informationssicherheit.

Eine Methode, wie eine Organisation Informationssicherheit managt — branchenneutral, prüfbar, weltweit anerkannt. Aktuelle Version: ISO/IEC 27001:2022.
INTERNATIONAL

Weltweit anerkannt

Von ISO/IEC herausgegebener Standard — branchen-neutral und unabhängig von Ländern. Akzeptiert von Kunden, Versicherern und Aufsichtsbehörden weltweit.
METHODE

Management-System

Kein IT-Tool, keine Software, keine Checkliste — sondern ein Rahmen, wie eine Organisation Informationssicherheit systematisch managt. Logik analog zu ISO 9001 (Qualität) oder ISO 14001 (Umwelt).
PRÜFBAR

Zertifizierbar

Externes Audit durch akkreditierte Zertifizierungsstellen (in der Schweiz z.B. SQS, SGS; international DNV, TÜV). Zwei Audit-Stufen, Zertifikat 3 Jahre gültig, jährliche Überwachung.
WAS ES NICHT IST : Keine IT-Software, kein Tool, keine Checkliste — sondern eine Methode für strukturiertes Management.

Aktuelle VERSION : ISO 27001:2022 i— sie ersetzt ISO 27001:2013 seit Oktober 2022 mit konsolidierten 93 Sicherheits-Massnahmen in 4 Themenbereichen.

WAS SIE DAVON HABEN

Vertrauen, Compliance, Risikokontrolle — drei greifbare Vorteile.

Was ISO 27001 für Ihr KMU konkret bewirkt — mit indikativen Grössenordnungen aus der Praxis. Werte streuen je nach Reife, Branche und Komplexität.
ANTWORT AUF TREIBER 1

Vertrauen schaffen

Kunden, OEMs, Versicherer und Investoren akzeptieren ein international anerkanntes Zertifikat — Sie wandern in die Vorauswahl, statt aus der Ausschreibung zu fallen.
Marktzugang sichern
ANTWORT AUF TREIBER 2

Pflichten erfüllen

revDSG (Art. 24), DSGVO, NIS2-Lieferkette und branchenspezifische Vorgaben — ein ISMS deckt mehrere Compliance-Anforderungen mit einem methodischen Rahmen ab.
3–5 Pflichten abgedeckt
ANTWORT AUF TREIBER 3

Risiken kontrollieren

Systematische Risikobewertung statt punktueller Reaktion — Sie sehen, wo es brennt, bevor es brennt. Reduzierte Ausfallzeiten, weniger Versicherungsprämien.
30 bis 60 % weniger Vorfälle
KERN-AUSSAGE : ISO 27001 zahlt sich nicht durch das Zertifikat selbst aus — sondern durch das gelebte Informationssicherheits-Management-System dahinter.
WAS ISO 27001 VERLANGT

Acht zentrale Anforderungen — verdichtet.

Pragmatische Verdichtung aus beiden Norm-Teilen: Management-System (Kap. 4–10) und Anhang A. Die Struktur dahinter zeigt die nächste Folie.

Top-Management-Verantwortung

GL definiert Leitlinie, stellt Ressourcen, überprüft regelmässig (Kap. 5).

Risikomanagement

Systematisch erfassen, was schützenswert ist und welche Massnahmen Priorität haben (Kap. 6.1).

Schutz-Massnahmen

Zugriff, MFA, Verschlüsselung, Backup, Logging, Netzwerkschutz (Anhang A.8).

Incident-Management

Strukturierter Ablauf: erkennen, bewerten, bewältigen, auswerten (A.5.24–5.28).

Lieferketten-Kontrolle

IT-Dienstleister und kritische Lieferanten vertraglich absichern (A.5.19–5.23).

Business Continuity

Notfallpläne und Wiederanlaufverfahren — getestet und wirksam (A.5.29, A.5.30).

Awareness und Schulungen

Mitarbeitende regelmässig zu Cyberrisiken und Phishing schulen (A.6.3).

Kontinuierliche Verbesserung

Dokumentieren, messen, schrittweise verbessern (Kap. 7, 9, 10).

RAHMEN : Norm-Klauseln (Kap. 4–10) und 93 Sicherheits-Massnahmen im Anhang A — risikobasiert ausgewählt, nachvollziehbar dokumentiert.

WIE ISO 27001 AUFGEBAUT IST

Zwei Säulen — Management-System und Anhang A.

Die acht Anforderungen verdichten beide Norm-Teile. Beide werden im Audit geprüft — verknüpft über das Statement of Applicability.
SÄULE 1

Management-System

Klauseln Kap. 4–10 · Wie die Organisation IS managt
  • Kap. 4 · Kontext der Organisation
  • Kap. 5 · Führung und Top-Management
  • Kap. 6 · Planung und Risikomanagement
  • Kap. 7 · Unterstützung (Ressourcen, Awareness)
  • Kap. 8 · Betrieb
  • Kap. 9 · Bewertung (Audits, Reviews)
  • Kap. 10 · Verbesserung
SÄULE 2

Anhang A · 93 Controls

Welche Sicherheits-Massnahmen umgesetzt werden
  • A.5 · Organizational  ·  37 Controls
  • A.6 · People  ·  8 Controls
  • A.7 · Physical  ·  14 Controls
  • A.8 · Technological  ·  34 Controls

VERBINDUNG

Das Statement of Applicability (SoA) verknüpft beide Säulen — es bestätigt, welche der 93 Controls für Ihre Organisation gelten.
WAS IM AUDIT GEPRÜFT WIRD

Anhang A im Detail — vier Themenbereiche.

ISO 27001:2022 strukturiert die Controls aus Säule 2 in vier Themenbereiche. Welche tatsächlich gelten, definiert das Statement of Applicability.
A.5

Organizational

37 Controls
Policies, Rollen, Risikomanagement, Lieferanten, Compliance, Incident Management.
A.6

People

8 Controls
Hintergrundprüfung, Schulung, Sensibilisierung, Geheimhaltungs­verpflichtungen, Austritt.
A.7

Physical

14 Controls
Zutrittskontrolle, Sicherheitszonen, Verkabelung, Entsorgung, Clean-Desk.
A.8

Technological

34 Controls
Zugriff, Kryptografie, Netzwerk, Logging, Schwachstellen, Backups, Schadcode.

SCOPE

Statement of Applicability dokumentiert, welche der 93 Controls für Ihre Organisation gelten — und welche begründet ausgeschlossen sind.
WEG ZUR ZERTIFIZIERUNG

ISO 27001 in fünf Phasen — typisch ca. 6 Monate für KMU.

Der Pfad von der ersten Standortbestimmung bis zum Zertifikat. Aufwand abhängig von Reifegrad, Scope und Mitarbeiterzahl — die Phasen-Logik bleibt gleich.

1

PHASE

Scope & Analyse

Anwendungsbereich definieren. Ist-Stand erheben. Lücken zur Norm identifizieren.
4–6 Wochen

2

PHASE

Risiko-Logik

Assets erfassen. Bedrohungen bewerten. Anwendbarkeits-Erklärung (SoA) erstellen.
4–8 4–8 Wochen

3

PHASE

Massnahmen

93 Sicherheits-Massnahmen bewerten und einführen. Dokumentation aufbauen.
6–12 Wochen

4

PHASE

ISMS leben

Schulungen, Awareness, internes Audit, Management-Review — Norm-Kap. 7/9/10.
4–6 Wochen

5

PHASE

Audit

Externes Audit in zwei Stufen (Dokumente, vor Ort) durch akkreditierte Stelle.
2–4 Wochen
INVESTITION

Intern 25–100 PT (Personentage) · Beratung 15 – 50 PT · Auditgebühren CHF 8'000–25'000 — bei KMU 25–250 Mitarbeitenden, abhängig von Scope, Reife, Komplexität und Vielfalt.

AUDIT-ZYKLUS

Stage 1, Stage 2 und der 3-Jahres-Zyklus.

Erst-Zertifizierung in zwei Stufen — danach jährliche Überwachung. Akkreditierte Zertifizierungsstellen in der Schweiz: SQS, SGS; international DNV, TÜV und andere.
PHASE A

Erst-Zertifizierung

Zwei Stufen — typisch über 4–6 Wochen verteilt

Stage 1  ·  Dokumentenprüfung
1 Tag (remote oder vor Ort). Prüfung der ISMS-Dokumentation, SoA, Risikoeinschätzung. Vor­bereitung auf Stage 2.

Stage 2  ·  Vor-Ort-Audit
2–4 Tage vor Ort. Prüfung der gelebten Umsetzung — Interviews, Stichproben, Nachweise. Abschluss mit Audit-Bericht und Zertifikats-Empfehlung.

PHASE B

3-Jahres-Zyklus

Nach Erst-Zertifizierung — jährliche Überwachung

Jahr 1  ·  Überwachungs-Audit
1–2 Tage. Stichprobenartige Prüfung. Fokus auf Veränderungen und Korrektur­massnahmen aus Stage 2.

Jahr 2  ·  Überwachungs-Audit
1–2 Tage. Tieferer Fokus auf andere Bereiche des ISMS.

Jahr 3  ·  Re-Zertifizierungs-Audit
Vollständige Wiederholung — neuer 3-Jahres-Zyklus.

AUDITOREN-TIPP

Der Aufwand-Schwerpunkt liegt im Erstjahr. Ab Jahr 2 wird der Zyklus zur Routine — wenn das ISMS lebt, nicht nur dokumentiert ist.

HÄUFIGE FRAGEN

FAQ zu ISO 27001: Kosten, Dauer und Abgrenzung

Sechs Fragen, die im Erstgespräch immer wieder auftauchen — kompakt beantwortet, ohne Beratungsfloskeln.

Wie lange dauert eine ISO 27001-Zertifizierung für KMU?

Typisch 6 Monate von Scope-Definition bis externes Audit — abhängig von Reifegrad und Mitarbeitenden-Zahl. Reine Beratungs-Zeit ca. 30–50 Personentage intern.

Was kostet eine ISO 27001-Zertifizierung?

Typische Aufwände: Interner Aufwand: 25 bis 100 PT (Personentage) im Jahr 1, danach deutlich weniger, Beratung Erst-Zertifizierung: 15 –50 PT bei KMU 25–250 Mitarbeitenden . 25’000–60’000, Auditgebühren CHF 8’000–25’000. Streuung je nach Scope, Reife, Komplexität und Vielfalt.

Ist ISO 27001 Pflicht?

Eher selten. Aber zunehmend Voraussetzung in Ausschreibungen, in industrie-, Dienstleistung-und rund um IT/ IT-Consulting und für NIS2-betroffene EU-Geschäfte.

Was ist der Unterschied zwischen ISO 27001 und TISAX®?

ISO 27001 ist branchenneutral, TISAX® ist der Automotive-Standard. Beide bauen auf demselben ISMS-Prinzip — ISA-Katalog folgt ISO 27001 Annex A.

Reicht ISO 27001 für NIS2-Compliance?

Die Art.-21-Anforderungen (technisch-organisatorisch) sind weitgehend abgedeckt. Regulatorische Pflichten (Registrierung, Meldepflichten) kommen zusätzlich.

Brauchen wir externe Beratung oder schaffen wir das alleine?

Theoretisch alleine machbar, praktisch selten effizient. Erfahrung mit Audit-Prozessen spart typisch 30–40 % der internen Zeit — besonders bei Gap-Analyse und Anwendbarkeits-Erklärung (SoA).

ISO 27001 – Ihr strukturierter Weg zu verlässlicher Informationssicherheit

Was Entscheider und Verantwortliche wissen müssen – kompakt, pragmatisch, für den Schweizer Mittelstand.
ISO 27001 – Ihr strukturierter Weg zu verlässlicher Informationssicherheit

Warum ISO 27001 – und warum jetzt?

ISO 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Für Schweizer KMU stellt sich immer häufiger nicht mehr die Frage ob, sondern wann – weil Kunden, Partner und der Gesetzgeber den Druck erhöhen.

Die kurze Antwort: ISO 27001 ist selten Pflicht – aber immer häufiger Voraussetzung, um Aufträge zu gewinnen und Risiken im Griff zu behalten.

Die Ausgangslage: Sicherheit ist kein Kür-Thema mehr

Informationssicherheit ist in der Schweiz in den letzten Jahren vom IT-internen Thema zum Geschäftsführungs-Thema geworden. Dafür gibt es drei Treiber:

  • Kunden und Ausschreibungen: Immer mehr Schweizer und internationale Auftraggeber verlangen Sicherheitsnachweise – oft ISO 27001 oder gleichwertig.
  • revDSG und branchenspezifische Regulierungen: Datenschutz-Vorfälle können meldepflichtig sein (Art. 24 revDSG), insbesondere wenn ein hohes Risiko für betroffene Personen besteht. Ohne strukturiertes Risikomanagement geraten Unternehmen schnell in die Defensive.
  • Cyberrisiken: Ransomware, Betriebsspionage und Schwachstellen in der Lieferkette treffen heute auch mittelständische Unternehmen – oft mit existenzbedrohenden Folgen.
Die Eckdaten zur Einordnung

Anwendungsbereich: Jedes Unternehmen, das schützenswerte Informationen verarbeitet – unabhängig von Branche oder Grösse. 

Umsetzungsdauer: Bei einem typischen Schweizer KMU (ca. 100 Mitarbeitende) realistisch ca. 6 Monate bis zum Zertifizierungs-Audit – bei klarer  Projektführung und Management-Unterstützung.

Zertifikatsgültigkeit: 3 Jahre, mit jährlichen Überwachungs-Audits.

Die praktische Konsequenz: was ISO

ISO 27001 ist mehr als ein Stück Papier für den Empfang. Ein gelebtes ISMS verändert drei Dinge spürbar:

  • Aufträge bleiben erreichbar: Sicherheitsnachweise werden nicht mehr zum Engpass in Ausschreibungen. Sie antworten auf Kundenfragebögen mit einem Zertifikat, nicht mit einer Excel-Liste.
  • Risiken werden steuerbar: Sie wissen, welche Systeme und Daten wirklich kritisch sind – und welche Massnahmen Priorität haben. Das Management trifft fundierte Entscheidungen statt Bauchentscheidungen.
  • Im Ernstfall bleibt das Unternehmen handlungsfähig: Notfallpläne, Wiederanlaufverfahren und Eskalationswege sind definiert und getestet. Ein Incident wird zur Übung, nicht zur Existenzfrage.
Die praktische Konsequenz was ISO
In 30 Sekunden einschätzen, ob ISO 27001 für Sie sinnvoll ist:
  1. Verlangen Kunden, Partner oder Konzernmütter Sicherheitsnachweise oder ein Informationssicherheits-Zertifikat?
  2. Verarbeiten Sie sensible Daten (Kunden, Produkte, Finanzen, Personal) oder sind IT-Ausfälle existenzkritisch?
  3. Wollen Sie Informationssicherheit strukturiert steuern – statt punktuell auf Vorfälle zu reagieren?

 

👉 Zweimal oder dreimal Ja: Dann ist ISO 27001 für Sie nicht Pflicht, aber die wirtschaftlich sinnvollste Antwort.

Was verlangt ISO 27001
Aus Auditorensicht

Das Zertifikat kommt nicht vom schönsten Ordner, sondern davon, dass die Prozesse gelebt werden. Viele Projekte scheitern nicht an der Norm, sondern an der Umsetzung im Alltag. Deshalb fokussieren wir auf wenige, wirksame Massnahmen statt auf vollständige Dokumentation ohne Wirkung.

Was verlangt ISO 27001 – in der Praxis relevant für KMU

ISO 27001 fordert keine Übertechnisierung, sondern einen systematischen, nachvollziehbaren Umgang mit Informationsrisiken. Die Norm gliedert sich in den Management-Rahmen (Kapitel 4–10) und 93 Sicherheits-Controls im Anhang A.

Die zentralen Anforderungen – auf das Wesentliche verdichtet:

  • Top-Management-Verantwortung – Die Geschäftsleitung definiert die Informationssicherheits-Leitlinie, stellt Ressourcen bereit und überprüft das ISMS regelmässig (Kapitel 5).
  • Risikomanagement – Systematisch erfassen, welche Systeme und Daten schützenswert sind, welche Bedrohungen bestehen und welche Massnahmen zu priorisieren sind (Kapitel 6.1).
  • Sicherheits-Controls – Ein praxistaugliches Mass an Technik und Organisation: Zugriffskontrolle, Multi-Faktor-Authentifizierung, Verschlüsselung, Backup, Logging, Netzwerkschutz (Anhang A.8).
  • Incident-Management – Ein strukturierter Ablauf, wie Vorfälle erkannt, bewertet, bewältigt und ausgewertet werden (A.5.24–5.28).
  • Lieferketten- und Dienstleisterkontrolle – Prüfen, welche IT-Dienstleister und kritischen Lieferanten Sicherheitsanforderungen erfüllen müssen – und dies vertraglich absichern (A.5.19–5.23).
  • Business Continuity – Notfallpläne und Wiederanlaufverfahren für den IT-Betrieb, getestet und wirksam (A.5.29, A.5.30).
  • Awareness & Schulungen – Mitarbeitende regelmässig zu Cyberrisiken, Phishing und sicheren Arbeitsweisen sensibilisieren (A.6.3).
  • Dokumentation & kontinuierliche Verbesserung – Beschreiben, was existiert, es messen und schrittweise verbessern (Kapitel 7, 9, 10).
Roadmap

Das Ziel ist die erfolgreiche ISO-27001-Zertifizierung – eingebettet in ein ISMS, das im Alltag funktioniert und Ihnen wirklich hilft. Für ein typisches KMU (ca. 100 Mitarbeitende) ist hierfür ein Zeitraum von  ca. 6 Monate realistisch.

Die folgende Grafik visualisiert die 5 zentralen Phasen unseres Vorgehens – von der initialen Standortbestimmung bis zur finalen Zertifizierung.

Ihr Nutzen: Vom Pflichtprogramm zum Wettbewerbsvorteil

Diese strukturierte Vorgehensweise macht Sicherheit steuerbar. Sie reduzieren nicht nur regulatorische Risiken, sondern erhöhen die betriebliche Stabilität und vermeiden konkrete operative Schäden wie Betriebsunterbrüche, Datenverluste oder Reputationsschäden.

Gleichzeitig öffnet Ihnen das Zertifikat Türen: in Ausschreibungen, bei Konzernkunden und gegenüber Partnern, die vertrauenswürdige Lieferanten suchen.

Roadmap
So läuft das Audit ab
So läuft das Audit ab – von der Beauftragung bis zum Jahreszyklus

Die ISO-27001-Zertifizierung gliedert sich in die einmalige 

Erstzertifizierung und den darauffolgenden 3-Jahres-Zyklus.

Erstzertifizierung

  • Beauftragung: Auswahl einer unabhängigen, akkreditierten Zertifizierungsstelle (z. B. SQS, SGS, TÜV, DNV). Vertrag 4–6 Monate vor Stage 1.
  • Stage 1 – Dokumentenprüfung: 1–2 Tage. Prüfung, ob die ISMS-Dokumentation zertifizierungsreif ist. Lücken vor Stage 2 schliessen.
  • Stage 2 – Praxis-Audit: 2–5 Tage vor Ort, 4–8 Wochen nach Stage 1. Interviews, Begehungen, Stichproben. Bei Erfolg: Zertifikat über 3 Jahre.

3-Jahres-Zyklus zur Aufrechterhaltung

  • Jahr 1: Überwachungs-Audit (1–2 Tage), Stichproben eines Teils der Controls.
  • Jahr 2: Zweites Überwachungs-Audit mit anderen Schwerpunkten.
  • Jahr 3: Vollständiges Re-Zertifizierungsaudit (2–4 Tage) – ohne erneutes Stage 1. Bei Erfolg neue 3-Jahres-Periode. Wichtig: muss vor Zertifikatsablauf abgeschlossen sein.
  • Stage 1 und 2 erfolgen nur einmalig zur Erstzertifizierung. Danach wechseln sich jährliche Überwachungs-Audits und das dreijährige Re-Zertifizierungsaudit ab.
Fragezeichen

Häufig gestellte Fragen zu ISO 27001

FAQ

Nein. Es gibt keine gesetzliche Pflicht zur ISO-27001-Zertifizierung. Relevant wird die Norm dann, wenn Kunden, Partner oder Konzernmütter Sicherheitsnachweise verlangen – oder wenn Sie Ihr Informationssicherheits-Niveau professionell aufstellen und nachweisen wollen.

Die Einführung eines ISMS kann teilweise ausgelagert werden – Verantwortung und Steuerung verbleiben bei der Geschäftsleitung.

Auslagerbar (Aufbau):

Vorlagen, Methodik und Moderation der Risikoanalyse

Erstellung von Richtlinien und Prozessen

Unterstützung bei SoA und Dokumentation

Projektmanagement bis Zertifizierung
→ Vorteil: strukturierter, schneller Aufbau

Intern (Betrieb – verpflichtend):

Führung & Verantwortung (5.1, 5.3): Geschäftsleitung steuert das ISMS, benennt Rollen (z. B. ISB/CISO, Risk Owner) und gibt Risiken/Restrisiken frei

Risikomanagement (6.1.2/6.1.3): Bewertung aller relevanten Änderungen (Lieferanten, Software, Projekte) nach definierter Methode und Kriterien

Kontrollen & SoA (6.1.3 d): Auswahl, Betrieb und Nachweis der Massnahmen gemäss SoA

Lieferantensteuerung (A.5.19–22): Sicherheitsanforderungen, Verträge, Überwachung

Incident Management (A.5.24–28): Erkennung, Behandlung, Lessons Learned

Wirksamkeit & Nachweise (9.x, 7.5): KPIs, interne Audits, Management-Reviews, dokumentierte Evidenzen (Records/Logs)

Awareness (7.3): Regelmässige Schulungen und überprüfbare Einhaltung

Fazit:
Outsourcing beschleunigt den Aufbau
Umsetzung, Betrieb, Nachweise und Verantwortung sind nicht delegierbar. 

Ohne interne Verankerung kein zertifizierungsfähiges ISMS.

Hier lohnt sich die Unterscheidung zwischen der Einführungsphase und dem laufenden Betrieb:

In der Einführungsphase: Ein ISO-27001-Projekt bindet ohne externe Hilfe oft 20 bis 40 % der Arbeitszeit einer internen Schlüsselperson. Durch gezielte Auslagerung von Methodik und Dokumentation an uns lässt sich dieser Aufwand auf ca. 10 bis 20 %reduzieren.

Im laufenden Betrieb: Nach der Zertifizierung fordert das ISMS dauerhaft etwa 10 bis 20 % einer Vollzeitstelle (oft aufgeteilt auf einen Verantwortlichen und Zuarbeit aus Fachbereichen).

Wie sich dieser Aufwand konkret nach oben oder unten verschiebt, hängt von mehreren Faktoren ab:

Grösse und Komplexität der Organisation: Mehr Standorte, Fachbereiche oder IT-Systeme bedeuten mehr Schnittstellen, die koordiniert werden wollen.

Reifegrad Ihrer bestehenden Prozesse: Wer bereits strukturiert arbeitet (z. B. mit ISO 9001 oder einem etablierten Change-Management), startet deutlich leichter und schneller als ein Betrieb, der seine Prozesse erstmals formal aufsetzt.

Branchen- und Regulierungsdruck: Finanzdienstleister, Unternehmen im Gesundheitswesen oder sicherheitskritische Zulieferer haben von Haus aus höhere Anforderungen an Nachweise und Prüftiefe.

Umgang mit Pflicht-Themen im Alltag: Aufgaben wie Risikobewertungen, Schulungen, Vorfallsbearbeitung oder interne Audits gehören selten zu den beliebten Tätigkeiten. Wo sie diszipliniert eingeplant werden, bleibt der Aufwand berechenbar und gering. Wo sie liegen bleiben, stauen sich Arbeit und Risiken – und das kostet vor dem nächsten Audit massiv Zeit und Nerven.

Outsourcing-Grad: Je mehr methodische und dokumentarische Arbeit (oder die Rolle des ISB) extern vergeben wird, desto fokussierter bleibt Ihr Kernteam auf Geschäftsentscheidungen und die operative Umsetzung.

Ja. Für viele KMU ist das der klügere Startpunkt. Mit ISMS-Light etablieren Sie die wesentlichen Strukturen und Sicherheitsmassnahmen auf Basis von ISO 27001 – ohne formelles Zertifizierungs-Audit.

Das Ergebnis:

strukturierte Sicherheitsorganisation

belastbare Nachweise gegenüber Kunden

solide Grundlage für eine spätere Vollzertifizierung

👉 Wird ein Zertifikat später erforderlich, ist das Fundament bereits gelegt und der Aufwand deutlich reduziert. → https://wollconsulting.ch/isms-light-informationssicherheit/

5. Wie startet unser KMU am sinnvollsten?

Erst Scope festlegen, dann kompakte Gap-Analyse. Sie bewertet Ihren aktuellen Stand gegenüber ISO 27001 und liefert eine klare Entscheidungsgrundlage:

Was ist bereits vorhanden?

Was fehlt wirklich?

Was hat Priorität?

👉 Das schützt Sie vor Fehlinvestitionen und sorgt für einen strukturierten, effizienten Start.

Hinweis zu Kosten und Nutzen: Die Frage, ob sich eine ISO-27001-Zertifizierung für Ihr KMU wirtschaftlich lohnt, behandeln wir ausführlich in unserem Blogartikel → ISO 27001 Zertifikat – lohnt sich das für KMU? Nutzen & Kosten. Dort finden Sie Richtwerte, Kostentreiber und konkrete Rechenbeispiele.

Weitere Fragen?
 Wir sind für Sie da