Compliance-Lexikon · Praxis
ISMS – Praxis
Ein ISMS aufzubauen bedeutet nicht, 200 Dokumente zu erstellen. Es bedeutet, einen nachweisbaren Prozess zu etablieren, der systematisch mit Risiken umgeht. Was Auditoren sehen wollen, ist nicht Perfektion – sondern Konsequenz.
Was Auditoren konkret prüfen
ISO-27001-Auditoren prüfen anhand der Kapitelstruktur: Gibt es für jede Anforderung einen Nachweis? Nicht jedes Dokument muss ausgefeilt sein – aber jede Anforderung muss adressiert sein.
Häufige Fehler
- Management-Review existiert nicht oder ist nicht protokolliert
- Internes Audit wurde übersprungen
- Risikobeurteilung nicht datiert oder nicht mit Behandlungsplan verknüpft
Praxis-Tipp
Der Management-Review ist einer der häufigsten Schwachpunkte. Ein jährliches Meeting mit Protokoll genügt – wenn das Protokoll Datum, Teilnehmer, besprochene KPIs und Entscheidungen enthält. Ohne Protokoll gibt es keinen Nachweis.
ISMS minimal aufsetzen: Prioritätenreihenfolge
Für NIS-2 ohne ISO-Zertifizierung: Zuerst Scope und IS-Policy, dann Risikoregister mit Behandlungsplan, dann Control-Mapping auf NIS-2-Anforderungen. Für ISO-27001-Zertifizierung: Vollständiger PDCA-Zyklus mit internem Audit, Management-Review und Statement of Applicability. Das BAM-Objekt GOV-ISMS-01 gibt die Reihenfolge vor.
Evidence-Anforderungen im Audit
Vorzulegen sind: ISMS-Scope-Dokument mit Genehmigung, IS-Policy, Risikobeurteilung mit Datum, Statement of Applicability (für ISO 27001), Protokoll des letzten Management-Reviews und Bericht des letzten internen Audits.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – ISMS als Wettbewerbsvorteil und Steuerungsinstrument – findet sich auf Ebene 3.