+49 6201 8725124 info@suhling.biz
    ISO/IEC 27001 · Informationssicherheit · ISMS

    Vom Risiko zum
    Zertifikat.
    Wirksam.

    Hackerangriffe, Kundenanforderungen und regulatorischer Druck machen ein ISMS zur strategischen Notwendigkeit. Wir begleiten Sie von der ersten Gap-Analyse bis zum Zertifizierungsaudit – mit einem Auditor als Berater.

    ☎ Jetzt anrufen Angebot anfordern →
    Warum ISO 27001?
    +38%
    mehr Cyberangriffe auf KMU in 2023
    4,45M
    USD durchschnittlicher Schaden pro Datenpanne
    NIS2
    EU-Richtlinie fordert ISMS für Kritische Infrastrukturen
    93
    Controls in Anhang A der ISO/IEC 27001:2022
    Die ISO/IEC 27001:2022 wurde grundlegend überarbeitet. Neue Controls zu Cloud, Threat Intelligence und Datenmaskierung sind jetzt Pflicht.
    Handlungsbedarf

    Informationssicherheit ist keine Option mehr – sie ist Pflicht.

    Kunden, Partner und Behörden fordern zunehmend den Nachweis eines zertifizierten ISMS. Ohne ISO 27001 verlieren Unternehmen Ausschreibungen, Aufträge und das Vertrauen ihrer Stakeholder.

    Jetzt Beratung starten →
    Unser Vorgehen
    In drei Phasen zum
    ISO 27001-Zertifikat.
    01
    Berater auswählen
    Der entscheidende erste Schritt: Wählen Sie einen Berater, der selbst zertifizierter ISO 27001-Auditor ist. Er kennt den Auditablauf aus eigener Erfahrung und bereitet Ihr Unternehmen gezielt auf das Zertifizierungsaudit vor – nicht auf dem Papier, sondern in der Praxis.
    ⚠ Ein akkreditierter Auditor darf das Zertifizierungsaudit nicht selbst durchführen (Interessenkonflikt) – aber er weiß am besten, was Auditoren erwarten.
    02
    ISMS implementieren
    Gap-Analyse, Risikobeurteilung, Richtlinien, Controls aus Anhang A, internes Audit, Management Review – wir strukturieren den Aufbau Ihres ISMS als erfahrener Projektleiter. Schritt für Schritt, praxisnah und auditfähig.
    ★ Tipp: Denken Sie von Anfang an an Kombiaudits mit ISO 9001, ISO 14001 oder ISO 27701 – das spart Zeit und Kosten.
    03
    Zertifizierung & Betrieb
    Wir unterstützen bei der Auswahl der Zertifizierungsgesellschaft, klären Terminverfügbarkeiten für Stufe-1- und Stufe-2-Audits und begleiten Sie durch den Prozess. Nach der Zertifizierung gilt: Nach dem Audit ist vor dem Audit.
    ↻ Überwachungsaudits finden jährlich statt. Wir sorgen für kontinuierliche Verbesserung im laufenden Betrieb.
    Audit-Übersicht
    Welche Audits gibt es
    im ISO 27001-Prozess?
    Intern
    Internes Audit
    Pflichtbestandteil der Norm. Prüft die Wirksamkeit des ISMS aus interner Sicht. Verbesserungsvorschläge kommen oft von den Mitarbeitenden selbst.
    Zertifizierung
    Stufe-1-Audit
    Dokumentenprüfung durch den externen Auditor der Zertifizierungsgesellschaft. Prüft, ob das ISMS vollständig dokumentiert und auditbereit ist.
    Zertifizierung
    Stufe-2-Audit
    Vor-Ort-Audit. Prüft die tatsächliche Umsetzung und Wirksamkeit des ISMS im Unternehmen. Basis für die Zertifikatsentscheidung.
    Optional
    Voraudit
    Freiwillige Probeprüfung vor dem Zertifizierungsaudit. Deckt Lücken auf und reduziert das Risiko einer Nichtkonformität im echten Audit.
    Jährlich
    Überwachungsaudit
    Findet in den Jahren 2 und 3 nach der Erstzertifizierung statt. Prüft, ob das ISMS weiterhin aufrechterhalten und verbessert wird.
    Lieferkette
    Lieferantenaudit
    Prüft, ob Lieferanten und Dienstleister die Informationssicherheits-anforderungen Ihres ISMS erfüllen. ISO 27001 fordert explizit die Kontrolle von Lieferantenbeziehungen (Anhang A, Control 5.19–5.22).
    Unsere Philosophie
    Informationssicherheit als Chance, nicht als Verhinderer.

    Ein ISMS, das nur auf dem Papier existiert, schützt nicht. Wir setzen auf gelebte Informationssicherheit: verständlich für alle Mitarbeitenden, nachhaltig im Betrieb und auditfähig von Tag eins.

    Unterschiedliche Meinungen beim Einführungsprozess sind normal. Entscheidend ist, dass Geschäftsleitung und Projektteam die Dringlichkeit gemeinsam tragen. Wir moderieren diesen Prozess.

    Gespräch vereinbaren →
    Worauf Sie bei der Zertifizierungsstelle achten sollten
    • Freie Audit-Termine für Stufe 1 und Stufe 2 vorab klären
    • Möglichkeit von Kombiaudits (z.B. ISO 27001 + ISO 9001 + ISO 27701) prüfen
    • Akkreditierung der Zertifizierungsgesellschaft (DAkkS oder gleichwertig) sicherstellen
    • Branchenerfahrung des zugewiesenen Auditors erfragen
    • Nicht nur den Preis vergleichen – Qualität und Terminflexibilität zählen mehr
    • Verfügbarkeit für Überwachungsaudits in Jahren 2 und 3 einplanen
    Häufige Fragen
    Was unsere Kunden zur
    ISO 27001 fragen.
    Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt – also Hardware und Software, die mit Netzwerken oder anderen Geräten verbunden sind. Hersteller, Importeure und Händler solcher Produkte sind direkt betroffen. Der CRA ist seit Dezember 2024 in Kraft und wird schrittweise bis 2027 vollständig anwendbar. Ein bestehendes ISO 27001-ISMS schafft eine solide Grundlage, um die CRA-Anforderungen systematisch zu erfüllen – insbesondere bei Risikoanalyse, Schwachstellenmanagement und Sicherheitsupdates über den gesamten Produktlebenszyklus.
    Die EU-NIS2-Richtlinie verpflichtet Unternehmen in kritischen und wichtigen Sektoren zu umfangreichen Cybersicherheitsmaßnahmen. Eine ISO 27001-Zertifizierung deckt viele dieser Anforderungen bereits ab und gilt als anerkannter Nachweis gegenüber Behörden. Unternehmen, die unter NIS2 fallen, profitieren erheblich von einem bestehenden ISMS.
    Je nach Unternehmensgröße und Ausgangssituation dauert eine vollständige Implementierung bis zur Erstzertifizierung zwischen 6 und 18 Monaten. Kleinere Unternehmen mit klaren Prozessen können schneller zertifiziert werden. Entscheidend ist ein strukturierter Projektplan mit erfahrenem Projektleiter – und die aktive Unterstützung der Geschäftsleitung.
    Ja – und das ist ausdrücklich empfehlenswert. Kombiaudits mit ISO 9001 (Qualität), ISO 14001 (Umwelt), ISO 27701 (Datenschutz) oder ISO 45001 (Arbeitsschutz) sparen Zeit, Kosten und reduzieren den internen Aufwand erheblich. Alle genannten Normen basieren auf der gemeinsamen High Level Structure (HLS), was eine integrierte Implementierung erleichtert.
    Die Risikobeurteilung ist das Herzstück der ISO 27001. Sie identifiziert systematisch Bedrohungen und Schwachstellen für Ihre Informationswerte, bewertet die Eintrittswahrscheinlichkeit und mögliche Auswirkungen und leitet daraus konkrete Maßnahmen ab. Ohne eine fundierte Risikobeurteilung ist kein Audit bestandsfähig – sie bildet die Grundlage für alle Controls aus Annex A.
    ISO 27001 ist kein einmaliges Projekt, das nach der Zertifizierung abgeschlossen ist. Überwachungsaudits finden jährlich statt, das Wiederholungsaudit alle drei Jahre. Verbesserungsvorschläge aus Audits müssen konsequent umgesetzt werden – von internen wie externen Auditoren. Wer das ISMS nach der Zertifizierung vernachlässigt, riskiert beim nächsten Audit eine Nichtkonformität.
    Kundenstimmen
    Was andere sagen.
    „Ich hatte das Privileg, mit Herrn Suhling in einem ISO 27001-Implementierungsprojekt zu arbeiten. Von Natur aus ist er Pionier, professionell und stets ergebnisorientiert."
    Murad Chowdhury
    ISO 27001 Projektmitarbeit
    „Sein professionelles Auftreten, seine hohe Fachkompetenz und überdurchschnittliches Engagement machen ihn zu einem verlässlichen Partner. Wir empfehlen ihn uneingeschränkt weiter."
    Andreas Haberer
    CEO Advantage-IT GmbH
    „Ich habe mit Herrn Suhling einen fachlich fundierten Experten zu den Themen Datenschutz und Informationssicherheit kennengelernt. Der Austausch stellt für mich stets einen Mehrwert dar."
    Herbert Gruber
    Unternehmensberatung Herbert Gruber

    Bereit für Ihre ISO 27001-Zertifizierung?

    Von der Gap-Analyse bis zum Zertifikat – wir begleiten Sie durch den gesamten Prozess.

    ☎ +49 6201 8725124 Kontaktformular →