ISO 27001: Informationssicherheit, die Vertrauen schafft
Baue ein ISMS, das Auditoren überzeugt – und Kunden gewinnt. Kopexa führt dich von Scope & Risiken bis zum Audit: klar, nachvollziehbar, auditready.
Warum ISO 27001?
Mehr als ein Zertifikat: ein System, das wirkt
ISO 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Er gibt dir einen strukturierten Rahmen, um Risiken zu steuern, Daten zu schützen und Compliance messbar zu machen – branchenübergreifend. Ergebnis: höhere Sicherheit, weniger Incidents, mehr Vertrauen bei Kunden und Partnern.
Scope & Kontext
ISMS-Geltungsbereich in Minuten definieren.
Risikomanagement nach ISO
Risiken bewerten, Maßnahmen ableiten, Restrisiko im Blick.
Controls & Annex A (mappingfähig)
ISO-Kontrollen strukturiert umsetzen.
Dokumentation & SoA
Nachweisbar statt nachträglich.
PDCA & kontinuierliche Verbesserung
Plan–Do–Check–Act als Rhythmus.
TISAX & weitere Standards im Blick
Automotive ready – und darüber hinaus.
So erreichst du ISO 27001 – Schritt für Schritt
Mit dieser Timeline führst du dein ISMS strukturiert zur Zertifizierung: vom Scope & Kontext über Risikoanalyse, SoA & Annex-A-Kontrollen bis zu internem Audit, Management-Review und Stage 1/2 des Zertifizierungsaudits. Danach hältst du das System über Surveillance-Audits und PDCA kontinuierlich auf Kurs.
typisch 2–4 Wochen
Readiness & Scope
Lege den Geltungsbereich (Scope) deines ISMS fest, verstehe Kontext & Stakeholder (Clause 4), sichere Management-Buy-in und starte eine Gap-Analyse. Ergebnis: klare Systemgrenzen, verantwortliche Rollen, erste Asset-Liste und ein realistischer Plan für die nächsten Phasen.
typisch 4–6 Wochen
Risikoanalyse & SoA
Definiere Methode & Kriterien für die Risikobewertung, bewerte Eintrittswahrscheinlichkeit & Auswirkung, wähle Behandlungsoptionen und erstelle die Statement of Applicability (SoA) nach Clause 6.1.3: Welche Annex-A-Kontrollen (ISO 27001:2022) sind anwendbar (oder nicht) – und warum.
Ergebnis: Risikobehandlungsplan mit priorisierten Maßnahmen, sauber begründete SoA.
typisch 4–8 Wochen
Kontrollen umsetzen & Nachweise
Setze Policies, Prozesse und Annex-A-Kontrollen um (93 Kontrollen in 4 Themenfeldern: organisatorisch, People, physisch, technologisch). Verknüpfe Nachweise direkt mit Risiken & Kontrollen (z. B. Schulungen, Zugriffskontrollen, Backup-Protokolle), aktualisiere fortlaufend die SoA. Ergebnis: operativ wirksames ISMS mit prüfbaren Evidenzen.
typisch 2–3 Wochen
Internes Audit & Management-Review (PDCA)
Führe ein internes Audit gegen die Norm durch, dokumentiere Abweichungen, leite Korrekturmaßnahmen ein und halte das Management-Review ab. So verankerst du kontinuierliche Verbesserung (Clause 10, PDCA) im Regelbetrieb – die Grundlage für belastbare Stage-Audits.
Stage 1/2, danach jährlich
Zertifizierung & Überwachung
Stage 1: Dokumenten- und Readiness-Check.
Stage 2: Wirksamkeits-Audit im Betrieb. Nach erfolgreichem Abschluss erhältst du das Zertifikat (3 Jahre Gültigkeit); Surveillance-Audits finden jährlich statt, die Rezertifizierung nach 3 Jahren.
Ergebnis: nachweisbare Konformität und dauerhaftes Vertrauen bei Kunden & Partnern
