ISO 27001 in 90 Tagen? Was realistisch ist — und was nicht

„ISO 27001 in 90 Tagen" liest sich gut auf einer Landingpage — in der Praxis ist es selten der ganze Weg. Was in 90 Tagen funktioniert, ist das Aufsetzen eines belastbaren ISMS-Gerüsts: Scope, Risikomethodik, Statement of Applicability, Kernpolicies, ein Awareness-Programm und ein internes Audit.

Was länger dauert Wirksamkeitsnachweise. Die Norm verlangt, dass Maßnahmen nicht nur existieren, sondern auch funktionieren — und das über einen Beobachtungszeitraum. Auditoren wollen Logs, Tickets, Übungsprotokolle. Drei Monate Betrieb sind realistisch das Minimum, sechs sind angenehmer.

Wo wir den Hebel ansetzen Wir bauen das ISMS so, dass es zu Ihrem Betrieb passt — nicht umgekehrt. Vorhandene Werkzeuge (Microsoft 365, Ticketsystem, MDM, Backup) werden integriert statt ersetzt. So sinkt der Pflegeaufwand nach dem Zertifikat erheblich, und die Auditoren sehen gelebte Prozesse statt PDF-Friedhöfe.

Unser Fazit Planen Sie realistisch sechs bis neun Monate bis zum Zertifikat — und investieren Sie diese Zeit in ein ISMS, das Sie auch danach noch wollen. Alles andere wird im ersten Überwachungsaudit teuer.

ISO 27001 in 90 Tagen? Was realistisch ist — und was nicht

Was länger dauert Wirksamkeitsnachweise. Die Norm verlangt, dass Maßnahmen nicht nur existieren, sondern auch funktionieren — und das über einen Beobachtungszeitraum. Auditoren wollen Logs, Tickets, Übungsprotokolle. Drei Monate Betrieb sind realistisch das Minimum, sechs sind angenehmer.

Unser Fazit Planen Sie realistisch sechs bis neun Monate bis zum Zertifikat — und investieren Sie diese Zeit in ein ISMS, das Sie auch danach noch wollen. Alles andere wird im ersten Überwachungsaudit teuer.

Weitere Insights

NIS2 für den Mittelstand: Was Sie jetzt wirklich tun müssen

Phishing per Deepfake: Wenn der Chef plötzlich anruft

Fragen zu diesem Thema?