ISMS einführen: Fahrplan

Umsetzung & Praxis

Von der Theorie zur Umsetzung

Du kennst jetzt Aufbau, Klauseln und Maßnahmen. Aber wie führt man ein ISMS praktisch ein? Hier ein bewährter Fahrplan – kein Gesetz, aber eine gute Orientierung. Rechne für eine Erstzertifizierung je nach Größe mit 6 bis 18 Monaten.

Die Phasen im Überblick

Phase	Was passiert	Bezug
1. Mandat & Rollen	Leitung verpflichtet sich, ISB benennen, Budget	Klausel 5
2. Kontext & Scope	Stakeholder, Geltungsbereich festlegen	Klausel 4
3. Gap-Analyse	Ist-Zustand vs. Norm vergleichen	—
4. Risikobeurteilung	Werte, Risiken erfassen & bewerten	6.1.2
5. Risikobehandlung & SoA	Maßnahmen wählen, SoA erstellen	6.1.3
6. Umsetzen	Richtlinien & Maßnahmen einführen	Klausel 8
7. Betreiben & Schulen	ISMS leben, Awareness aufbauen	Klausel 7
8. Internes Audit	selbst prüfen, Lücken schließen	9.2
9. Management-Review	Leitung bewertet & steuert	9.3
10. Zertifizierung	Stage 1 & 2 mit externer Stelle	Audit

Die Gap-Analyse

Ein praktischer früher Schritt: Wo steht ihr heute schon? Vieles ist oft informell vorhanden (Backups, Virenschutz, Zugriffsregeln) – es fehlt nur Dokumentation und Systematik. Die Gap-Analyse macht Lücken sichtbar und priorisiert die Arbeit.

Häufige Pflichtdokumente

Anwendungsbereich (Scope) & Informationssicherheitspolitik
Risikobeurteilungs-Methodik, Risikoregister, Risikobehandlungsplan
SoA (Erklärung zur Anwendbarkeit)
themenspezifische Richtlinien (Zugang, Backup, Krypto, Clean Desk …)
Nachweise: Schulungen, Audits, Reviews, Vorfälle, Korrekturmaßnahmen

Typische Fehler beim ersten Mal

Scope zu groß – lieber klein & sauber starten und später ausweiten.
Dokumente von der Stange – gekaufte Vorlagen, die nicht zur Realität passen, fallen im Audit auf.
ISMS auf Papier – Richtlinien, die niemand kennt oder lebt.
Risikobeurteilung als Pflichtübung – ohne echten Bezug zu den gewählten Maßnahmen.

Was prüft eine „Gap-Analyse" zu Beginn eines ISMS-Projekts?