ISO 27001 - ISMS (SoA, Policies, Evidence) sauber aufbauen

Marcel Rieger

Managing Director, Cyber Risk

Viele ISO-27001-Projekte scheitern nicht am Audit – sondern an den Monaten davor. An zu vielen Dokumenten, die niemand liest. An Controls, die auf dem Papier existieren, aber nicht gelebt werden. An einer Statement of Applicability, die jemand in einer Nacht zusammengeschrieben hat, um das Dokument abhaken zu können. Auditoren merken das. Wir bauen ISMS anders.

Statement of Applicability: Strategisch, nicht formalistisch

Die SoA ist das Herzstück jedes ISO-27001-ISMS. Sie legt fest, welche der 93 Controls aus Anhang A angewendet werden, welche nicht – und warum. Richtig gemacht, ist die SoA kein bürokratisches Formulardokument, sondern ein strategisches Steuerungsinstrument, das zeigt: Dieses Unternehmen hat seine Risikolage verstanden und bewusste Entscheidungen getroffen. Falsch gemacht – nämlich als Massenauswahl ohne Begründung – ist dies eine red Flag für jeden erfahrenen Auditor.

Policies: Lebendig statt archiviert

Policies müssen drei Anforderungen erfüllen: Sie müssen verständlich sein, sie müssen gelebt werden, und sie müssen regelmäßig überprüft und aktualisiert werden. Wir liefern keine generischen Word-Vorlagen, die Sie dann an Ihre Situation anpassen müssen. Wir entwickeln mit Ihnen Policies, die zu Ihrem Unternehmen passen – in der Sprache Ihres Unternehmens, mit Regelungen, die in Ihrer Praxis umsetzbar sind.

Evidence: Aktuell und auditresistent

Jede Control braucht einen Nachweis. Dieser Nachweis muss aktuell sein – nicht aus dem letzten Jahr. Und er muss so strukturiert sein, dass ein externer Auditor in kurzer Zeit nachvollziehen kann: Dieser Control wird wirklich gelebt. Wir helfen Ihnen, Evidence-Strukturen aufzubauen, die mit vertretbarem Aufwand aktuell gehalten werden können – und die einem Audit standhalten.

Was wir mitbringen

Erfahrung aus einer Vielzahl an ISO-27001-Projekten im Mittelstand. Auditfähige Vorlagen, die auf Ihrer Ausgangssituation aufbauen. Und den pragmatischen Blick: Was ist für Ihr ISMS wirklich notwendig – und was kostet Sie nur unnötig Zeit und Geld.

Unser Versprechen: Wir bauen kein ISMS auf dem Papier, das den ersten Auditor nicht übersteht. Wir bauen eines, das tatsächlich gelebt wird – weil es zu Ihrem Unternehmen passt, weil es verständlich ist, und weil die Evidences aktuell und nachvollziehbar sind. Ein gutes ISMS ist ein Werkzeug, kein Selbstzweck.