ISMS aufbauen, auf das Audit vorbereiten, zertifiziert werden Buchen Sie Ihr 30-minütiges Erstgespräch
ISO-27001:2022-ISMS-Plattform

ISMS aufbauen, auf das Audit vorbereiten, zertifiziert werden. Alles auf einer Plattform.

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete ISMS-Plattform, die die ISO-27001:2022-Zertifizierung automatisiert — von der Gap-Analyse und SoA über die Risikobehandlung bis zur auditbereiten Dokumentation.
Eine ISO-27001-Zertifizierung erfordert echten Aufwand — in der Regel 6–12 Monate, je nach Ihrem Reifegrad. Das wollen wir nicht beschönigen. Wir nehmen Ihnen aber die manuelle Dokumentationsarbeit ab, die sich anfühlt wie 24 Monate.
Buchen Sie Ihr 30-minütiges Erstgespräch Noch nicht bereit?
Über 50 Datenschutzteams in 14 Ländern vertrauen uns
Gesundheitswesen
Luftfahrt
Energie
Recht
Technologie
Liferay Logo
CareerFairy Logo
Voicepoint Logo
Kellerhals Carrard Logo
Aclaris Logo
Avantec Logo
Diakonie Bethanien Logo
Tapeze Logo
Liferay Logo
CareerFairy Logo
Zurzach Logo
Voicepoint Logo
Medtec Logo
Kellerhals Carrard Logo
AYA Logo
Aclaris Logo
Avantec Logo
Diakonie Bethanien Logo
Der ISMS-Lebenszyklus

7 Schritte von der Policy zur Zertifizierung

Priverion begleitet Sie durch den gesamten ISO-27001:2022-Weg — von der ersten Gap-Analyse über die SoA-Erstellung bis zur auditbereiten Dokumentation. Keine Excel-Tabellen, keine Heerschar von Beratern.
ISMS-Fundament

Informationssicherheitsrichtlinie

Die Informationssicherheitsrichtlinie nach ISO/IEC 27001 ist ein übergeordnetes Dokument der obersten Leitung, das die Verpflichtung zum Schutz von Informationen festhält, indem es Ziele, Geltungsbereich, Grundsätze und das Gesamtkonzept für das Management von Risiken, Controls und kontinuierlicher Verbesserung definiert. Sie sichert die Unterstützung der Leitung, ermöglicht risikobasierte Entscheidungen, klärt Rollen und Erwartungen, unterstützt die Compliance und steuert das Verhalten sowie die Umsetzung und Überwachung des Informationssicherheitsprogramms.

Kernpunkte:
  • Engagement der Leitung, Bereitstellung von Ressourcen und Verantwortlichkeit.
  • Fundament für Risikomanagement und kontinuierliche Verbesserung (Plan-Do-Check-Act).
  • Definiert Geltungsbereich, Ziele sowie leitende Grundsätze/Controls.
  • Steuert das Verhalten (Rollen, Verantwortlichkeiten, Vorfallmeldung, akzeptable Nutzung).
  • Unterstützt die Einhaltung gesetzlicher, regulatorischer und vertraglicher Pflichten und prägt Verfahren, Schulungen und Audits.
Ergebnis: Starten Sie mit ISO-27001:2022-Richtlinienvorlagen, passen Sie sie an Ihre Organisation an und verteilen Sie sie mit Lesebestätigungs-Tracking.
Bedrohungsanalyse

Risikobewertung

Der Risikobewertungsprozess nach ISO/IEC 27001 umfasst die Identifikation von Informationswerten, Bedrohungen und Schwachstellen sowie anschliessend die Beurteilung der möglichen Auswirkung und Eintrittswahrscheinlichkeit jedes Risikos, um dessen Höhe zu bestimmen. Diese Bewertung nutzt definierte Risikokriterien (Schweregrad, Wahrscheinlichkeit und tolerierbares Risiko), um für jedes Bedrohungs-Schwachstellen-Paar eine Risikoeinstufung (z. B. hoch, mittel, niedrig) zu erzeugen, wobei sowohl das inhärente als auch das nach bestehenden Controls verbleibende Restrisiko berücksichtigt wird. Die Ergebnisse fliessen in Entscheidungen über Optionen zur Risikobehandlung, zur Risikoakzeptanz und zur Priorisierung ein und bilden die Grundlage für den Risikobehandlungsplan der Organisation und die laufende Überwachung.
Ergebnis: Identifizieren und bewerten Sie Risiken systematisch — mit strukturierter Zuordnung von Bedrohungen und Schwachstellen statt mit Ad-hoc-Tabellen.
Control-Auswahl

Statement of Applicability

Das Statement of Applicability (SoA) nach ISO/IEC 27001 ist ein formelles Dokument, das die Controls aus Annex A auflistet, die die Organisation zur Steuerung von Informationssicherheitsrisiken umsetzt. Es erläutert für jedes Control, ob es angewendet oder ausgeschlossen wird, und liefert eine Begründung für jeden Ausschluss sowie den aktuellen Status und allfällig umgesetzte Filter oder kompensierende Controls. Das SoA verknüpft die Ergebnisse von Risikobeurteilung und -behandlung mit den tatsächlich vorhandenen Controls, dient als Ausgangsbasis für Überwachung, interne Audits und Zertifizierung und zeigt auf, wie das Informationssicherheits-Managementsystem (ISMS) die geforderten Controls und Erwartungen der Leitung erfüllt.
Ergebnis: Ordnen Sie alle Annex-A-Controls in einer Ansicht Ihrer Organisation zu — SoA-Erstellung in Tagen statt Wochen.
Control-Umsetzung

Risikobehandlungsplan

Der Risikobehandlungsplan ist ein dokumentierter Plan, der festlegt, wie identifizierte Informationssicherheitsrisiken behandelt werden, einschliesslich der gewählten Controls, Massnahmen, Verantwortlichen, Zeitpläne und benötigten Ressourcen, um das Risiko auf ein akzeptables Mass zu reduzieren. Er verknüpft die Ergebnisse der Risikobeurteilung mit konkreten Control-Massnahmen und allfälligen kompensierenden Controls und legt Kriterien für die Akzeptanz von Restrisiken fest sowie die Art und Weise, wie der Fortschritt überwacht wird. Der Plan weist zudem Verantwortlichkeiten zu, setzt Meilensteine und richtet sich an den übergeordneten ISMS-Zielen der Organisation aus, um laufendes Risikomanagement und kontinuierliche Verbesserung zu unterstützen.
Ergebnis: Verfolgen Sie jede Control-Massnahme, jeden Verantwortlichen und jede Frist — doppelt so schnelle Risikominderung wie bei manueller Nachverfolgung.
Bereit, zu sehen, wie SoA und Risikoregister in Priverion aussehen?
Buchen Sie Ihren 30-minütigen Rundgang
Umsetzungsstatus

Control-Umsetzung

Für jeden Information Security Officer ist der aktuelle Stand der Control-Umsetzung ein wichtiger Aspekt. Mit der Risk Treatment Console können Sie den Umsetzungsstatus der Controls überwachen.
Ergebnis: Echtzeit-Transparenz über die Control-Umsetzung in Ihrer gesamten Organisation.
Compliance-Prüfung

Internes Audit

Ein internes Audit ist eine systematische, unabhängige und dokumentierte Tätigkeit, die das ISMS gegen die ISO-Norm und die eigenen Anforderungen der Organisation prüft. Es beurteilt, ob die Informationssicherheits-Controls wirksam umgesetzt und aufrechterhalten werden und ob das ISMS dem SoA, den Risikobehandlungsplänen, Richtlinien und Verfahren entspricht. Das Audit nutzt objektive Nachweise, um Nichtkonformitäten und Verbesserungspotenziale zu erkennen, und mündet in einen Auditbericht und Korrekturmassnahmen zur Verbesserung des Systems, wobei die Feststellungen über ein laufendes Auditprogramm verfolgt werden.
Ergebnis: Führen Sie Ihr internes Audit durch und verfolgen Sie Feststellungen — alle Nachweise sind mit Controls und dem SoA verknüpft.
ISO-Zertifizierung

Externes Audit

Ein externes Audit wird von einer akkreditierten Zertifizierungsstelle durchgeführt, um zu überprüfen, ob das ISMS der Organisation der Norm und dem im Zertifikat definierten Geltungsbereich entspricht. Es umfasst in der Regel eine Dokumentenprüfung und eine Vor-Ort-Beurteilung mit Interviews und Nachweiserhebung, um die Umsetzung und Wirksamkeit der Controls, das SoA, die Risikobehandlung und die unterstützenden Prozesse zu beurteilen. Das Audit führt zu Feststellungen oder Nichtkonformitäten, die Korrekturmassnahmen erfordern; sind alle Kriterien erfüllt, wird eine Zertifizierung ausgestellt, und in Intervallen werden Überwachungsaudits durchgeführt, um die Zertifizierung aufrechtzuerhalten.
Ergebnis: Erstellen Sie auditbereite Berichte im Handumdrehen — über 200 Stunden bei der ISO-27001-Vorbereitung gespart (basierend auf den Ergebnissen von Medtec).
Verwandte Frameworks

ISO 27001 + DSGVO + revDSG auf einer Plattform

200h+
Bei der ISO-27001-Vorbereitung gespart
Basierend auf den Ergebnissen von Medtec
1
Plattform für InfoSec und Datenschutz
Keine doppelte Dokumentation über Frameworks hinweg
2x
Schnellere Risikominderung
Basierend auf den von Kunden gemeldeten Umsetzungszeiten der Controls

Bereit, Ihr Datenschutzmanagement zu vereinfachen?

Sie sind in guter Gesellschaft. Priverion ersetzt verstreute Excel-Tabellen und manuelle Abläufe durch eine einheitliche, intelligente Plattform für Datenschutz und InfoSec. Unser Team begleitet Sie vom ersten Tag an, um einen reibungslosen Rollout und langfristigen Erfolg sicherzustellen.
So funktioniert es
Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick — ISO-27001-Compliance mit Priverion

Priverion ist eine in der Schweiz gehostete SaaS-Plattform, die eigens für die ISO-27001:2022-Zertifizierung entwickelt wurde. Sie automatisiert den gesamten ISMS-Lebenszyklus — von der Erstellung der Informationssicherheitsrichtlinie und der Risikobewertung über die Erzeugung des Statement of Applicability (SoA), die Risikobehandlungsplanung, das Tracking der Control-Umsetzung bis zum Management interner Audits. Organisationen, die Priverion einsetzen, berichten von über 200 eingesparten Stunden bei der Auditvorbereitung und einer doppelt so schnellen Risikominderung im Vergleich zu manuellen, tabellenbasierten Ansätzen. Die Plattform vereint zudem ISO 27001 mit DSGVO- und revDSG-Compliance in einem einzigen Arbeitsbereich und beseitigt doppelte Dokumentation über Frameworks hinweg.

Definitionen

Was ist ein ISMS (Informationssicherheits-Managementsystem)?

ISMS steht für Informationssicherheits-Managementsystem. Gemäss ISO/IEC 27001 ist ein ISMS ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen, damit diese sicher bleiben. Es umfasst Menschen, Prozesse und IT-Systeme und wendet einen Risikomanagementprozess an, der die Gewähr bietet, dass Informationssicherheitsrisiken angemessen gesteuert werden.

Was ist das Statement of Applicability (SoA)?

Das Statement of Applicability ist ein gemäss ISO 27001 Abschnitt 6.1.3(d) verpflichtendes Dokument. Es listet alle 93 Annex-A-Controls aus ISO 27001:2022 auf, gibt an, ob jedes davon umgesetzt oder ausgeschlossen ist, und liefert eine Begründung. Das SoA bildet die Brücke zwischen Risikobeurteilung und Control-Umsetzung. Quelle: ISO 27001:2022

Was ist ein Risikobehandlungsplan?

Ein Risikobehandlungsplan dokumentiert, wie identifizierte Informationssicherheitsrisiken angegangen werden. Er legt die gewählten Controls, die Verantwortlichen, Zeitpläne und Ressourcen fest. ISO 27001 Abschnitt 6.1.3 verlangt von Organisationen, einen Risikobehandlungsplan zu erstellen und für Restrisiken die Freigabe der Risikoeigentümer einzuholen.

Was sind Annex-A-Controls?

Annex-A-Controls sind das Referenzset von Informationssicherheits-Controls in ISO 27001:2022. Die Revision 2022 konsolidierte die bisherigen 114 Controls (in 14 Domänen) zu 93 Controls in vier Themenbereichen: organisatorisch (37), personenbezogen (8), physisch (14) und technologisch (34). Elf neue Controls wurden eingeführt, darunter Threat Intelligence, Cloud-Sicherheit und Datenmaskierung. Quelle: ISO/IEC 27001:2022

Statistiken und Branchenkontext

Laut dem ISO Survey of Certifications 2023 gab es weltweit über 70'000 gültige ISO/IEC-27001-Zertifikate — ein Anstieg von rund 20 % gegenüber dem Vorjahr, was die wachsende Nachfrage nach formalisiertem Informationssicherheitsmanagement widerspiegelt. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat ISO 27001 wiederholt als Basis-Framework für Organisationen empfohlen, die die NIS2-Richtlinie einhalten möchten. Eine Analyse von Gartner aus dem Jahr 2023 prognostizierte, dass bis 2025 60 % der Organisationen das Cybersicherheitsrisiko als massgebliches Kriterium bei Transaktionen mit Drittparteien heranziehen würden, was die ISO-27001-Zertifizierung zu einem Wettbewerbsvorteil macht. Der IAPP-EY Privacy Governance Report 2023 ergab, dass 58 % der Datenschutzfachleute von gestiegenen Budgets für Compliance-Technologie berichteten, was den Wandel von manuellen Prozessen hin zu automatisierten Plattformen unterstreicht.

ISO 27001:2022 vs. ISO 27001:2013 — wesentliche Änderungen

AspektISO 27001:2013ISO 27001:2022
Anzahl Annex-A-Controls114 Controls in 14 Domänen93 Controls in 4 Themenbereichen
Neu eingeführte Controls11 neue Controls (z. B. Threat Intelligence, Cloud-Sicherheit, Datenmaskierung)
Control-Themenbereiche14 Domänen (A.5–A.18)4 Themenbereiche: organisatorisch, personenbezogen, physisch, technologisch
Attribute für ControlsNicht enthalten5 Attribute: Control-Typ, Sicherheitseigenschaft, Cybersicherheitskonzept, operative Fähigkeit, Sicherheitsdomäne
Übergangsfrist31.10.2025 (alle Zertifikate müssen umgestellt werden)

Häufig gestellte Fragen

Was ist ISO 27001:2022 und warum ist es wichtig?

ISO 27001:2022 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS), herausgegeben von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC). Sie bietet ein systematisches Rahmenwerk für den Umgang mit sensiblen Informationen durch Risikobeurteilung, Control-Umsetzung und kontinuierliche Verbesserung. Eine Zertifizierung zeigt Kunden, Aufsichtsbehörden und Partnern, dass eine Organisation weltweit anerkannte Sicherheitsmassstäbe erfüllt. Im Rahmen der NIS2-Richtlinie der EU empfiehlt ENISA ISO 27001 als Basis-Compliance-Framework.

Wie lange dauert eine ISO-27001-Zertifizierung in der Regel?

Eine ISO-27001-Zertifizierung dauert in der Regel 6–12 Monate, je nach Reifegrad der Organisation, Geltungsbereich und bestehenden Controls. Gemäss Branchen-Benchmarks kann allein die Dokumentationsphase 40–60 % der gesamten Projektzeit beanspruchen. Organisationen, die dedizierte ISMS-Software wie Priverion einsetzen, können den Dokumentationsaufwand erheblich reduzieren — Kunden berichten von über 200 eingesparten Stunden bei der Auditvorbereitung, basierend auf realen Ergebnissen.

Was ist ein Statement of Applicability (SoA) in ISO 27001?

Das Statement of Applicability (SoA) ist ein gemäss ISO 27001 Abschnitt 6.1.3(d) verpflichtendes Dokument. Es listet alle Annex-A-Controls auf, gibt an, ob jedes davon angewendet oder ausgeschlossen ist, und liefert eine Begründung für Ausschlüsse. Das SoA verknüpft die Ergebnisse der Risikobeurteilung mit den umgesetzten Controls und dient als Ausgangsbasis für interne Audits, Überwachungsaudits und Zertifizierungsentscheide.

Wie unterstützt Priverion bei der ISO-27001-Compliance?

Priverion stellt eine in der Schweiz gehostete SaaS-Plattform bereit, die den gesamten ISMS-Lebenszyklus automatisiert: Richtlinienerstellung mit Vorlagen, strukturierte Risikobewertung mit Zuordnung von Bedrohungen und Schwachstellen, automatisierte SoA-Erzeugung, Tracking des Risikobehandlungsplans mit Verantwortlichen und Fristen, Echtzeit-Überwachung der Control-Umsetzung und Management interner Audits mit Nachweisverknüpfung. Sie ersetzt Tabellen durch strukturierte Arbeitsabläufe und erstellt auditbereite Berichte im Handumdrehen.

Kann Priverion ISO 27001 zusammen mit DSGVO und revDSG abdecken?

Ja. Priverion vereint ISO 27001, DSGVO und revDSG-Compliance auf einer einzigen Plattform. Controls und Risikobeurteilungen werden über alle anwendbaren Regelungen hinweg zugeordnet, sodass doppelte Dokumentation entfällt. Dieser integrierte Ansatz ist besonders wertvoll für Schweizer und europäische Organisationen, die gleichzeitig die Einhaltung mehrerer sich überschneidender Frameworks nachweisen müssen.

Was sind die 93 Annex-A-Controls in ISO 27001:2022?

Annex A von ISO 27001:2022 enthält 93 Controls, die in vier Themenbereiche gegliedert sind: organisatorisch (37 Controls zu Richtlinien, Rollen, Asset-Management, Zugriffskontrolle und Lieferantenbeziehungen), personenbezogen (8 Controls zu Überprüfung, Sensibilisierung und Disziplinarverfahren), physisch (14 Controls zu Sicherheitsbereichen, Geräten und umweltbedingten Bedrohungen) und technologisch (34 Controls zu Endpunktsicherheit, Protokollierung, Kryptografie, sicherer Entwicklung und Cloud-Diensten). Elf Controls sind im Vergleich zur Version 2013 vollständig neu. Quelle: ISO/IEC 27001:2022

Was ist die Übergangsfrist von ISO 27001:2013 zu 2022?

Das International Accreditation Forum (IAF) legte den 31.10.2025 als Frist fest, bis zu der alle bestehenden ISO-27001:2013-Zertifikate auf die Version 2022 umgestellt sein müssen. Nach diesem Datum sind Zertifikate der Version 2013 nicht mehr gültig. Organisationen sollten ihr Übergangsaudit rechtzeitig planen, um Zertifizierungslücken zu vermeiden.

Wie verhält sich ISO 27001 zur NIS2-Richtlinie?

Die NIS2-Richtlinie der EU (Richtlinie 2022/2555) verlangt von wesentlichen und wichtigen Einrichtungen, angemessene Massnahmen zum Cybersicherheits-Risikomanagement umzusetzen. ENISA hat ISO 27001 als anerkanntes Framework identifiziert, das Organisationen helfen kann, die Einhaltung der Sicherheitsanforderungen von NIS2 nachzuweisen. Auch wenn eine ISO-27001-Zertifizierung von NIS2 nicht ausdrücklich vorgeschrieben ist, bietet sie einen strukturierten, prüfbaren Ansatz, der eng an den Erwartungen der Richtlinie ausgerichtet ist.

Ihr vertrauenswürdiger Partner für einen intelligenteren, effizienteren Ansatz im Datenschutzmanagement.
Produkt
Priverion-Plattform Systemstatus
über uns
Über Priverion Karriere
© 2024 Priverion
Impressum Datenschutzerklärung Nutzungsbedingungen Rückerstattungsrichtlinie
OneTrust, TrustArc, Drata, Vanta, BigID, DataGuard, Kertos, Securiti und Sprinto sind Marken ihrer jeweiligen Inhaber. Die Priverion Solutions AG ist ein unabhängiges Schweizer Unternehmen und steht in keiner Verbindung zu diesen Unternehmen und wird von ihnen weder gesponsert noch unterstützt. Verweise auf diese Produkte erfolgen im Rahmen der Ausnahme für vergleichende Werbung (Schweizer UWG Art. 3 Abs. 1 lit. a, b, e; EU-Richtlinie 2006/114/EG Art. 4) und dienen ausschliesslich der Information potenzieller Kunden. Methodik und Quellen für vergleichende Aussagen werden auf jeder Seite offengelegt, die solche enthält; siehe auch unsere Richtlinie für vergleichende Werbung. Um eine bestimmte Aussage zu beanstanden, schreiben Sie an [email protected].