BG Beter Geregeld ICT
Compliance · 2 min leestijd · 03 Oktober 2025

Was ist ein ISMS und wo fängt man an?

Information Security Management System — das klingt größer als es ist. Für ein KMU ist es eine Sammlung von Dokumenten und Abläufen, keine Software, die man irgendwo installiert.

ISMS = Information Security Management System. Im Kern: deine Art, Informationssicherheit zu gestalten — beschrieben und gepflegt. Es ist keine Software. Es ist, wie du denkst und handelst.

\n\n

Die fünf Bausteine

\n
    \n
  1. Scope. Was fällt unter dein ISMS? Das gesamte Unternehmen, eine bestimmte Geschäftseinheit, nur bestimmte Daten? Das wird festgelegt, bevor du irgendetwas anderes tust.
    2. \n
  2. Policy-Ebene. 8–12 Dokumente (Security Policy, Access Control, Incident Response, Acceptable Use, …). Insgesamt ca. 40–80 Seiten.
    3. \n
  3. Risikomanagement. Risikoregister mit Risiken, Verantwortlichem, Maßnahme und Restrisiko. Siehe Risikomanagement.
    4. \n
  4. Controls. Die Annex-A-Teilmenge, die du umsetzt. Das Statement of Applicability (SoA) gibt den Überblick.
    5. \n
  5. PDCA-Zyklus. Plan, Do, Check, Act. Klingt aufwendig, bedeutet in der Praxis: Reviews, Audits, Management-Review, Lessons Learned.
    6. \n
\n\n

Wo fängt man an?

\n
    \n
  1. Scope festlegen (1 Tag).
    2. \n
  2. Gap-Analyse gegen Annex A (1–3 Tage).
    3. \n
  3. Risikoregister, erste Version (2 Tage).
    4. \n
  4. Access-Control-Policy + A.9 (1 Woche bis zum fertigen Nachweis).
    5. \n
  5. Übrige Policies (2–4 Wochen, parallel zur Beweissammlung).
    6. \n
\n\n

Die Stolperfalle: Perfektion

\n

Dein ISMS muss nicht perfekt sein. Er muss funktionieren und nachweisbar sein. Version 1 deiner Policies darf 80 % sein. Verbesserung ist Teil des PDCA-Zyklus — es gehört dazu, dass du sie jedes Jahr anpasst.

\n\n

Siehe auch: ISO 27001-Pillar, PDCA-Zyklus erklärt.

Onderwerpen

#governance #iso-27001 #isms

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 für KMU – ohne €50k Beraterkosten

ISO 27001 ist machbar, wenn man die Struktur versteht. Hier der minimale Aufwand, den ein KMU mit 30 Mitarbeitern braucht, um ein Stage-2-Audit zu bestehen – inklusive Kosten und den Bereichen, in denen Berater wirklich Mehrwert liefern.

2 min
Compliance

ISO 27001 Kosten: von der ersten Gap-Analyse bis zum Zertifikat

Realistisches Budgetbild für ein KMU mit 30 Mitarbeitern. Interne Stunden, externes Audit, Beratung (so wenig wie nötig), jährliche Wartung. Kein Marketinggeschwätz.

2 min
Compliance

ISO 27001 oder SOC 2? Welches passt zu Ihrem niederländischen KMU?

ISO 27001 ist europäisch ausgerichtet, SOC 2 amerikanisch. Was fordern Ihre Kunden? Und lassen sich beide kombinieren? Hier der praktische Unterschied für KMU.

2 min
Compliance

NEN 7510 für Gesundheitsunternehmer: Aufbauend auf ISO 27001

Arbeiten Sie im oder mit dem Gesundheitswesen? Dann ist NEN 7510 neben (oder anstelle von) ISO 27001 Realität. Die Überschneidungen sind groß – die Unterschiede liegen bei Patientendaten und spezifischen Annex-Controls.

2 min
Compliance

Das Management-Review: Inhalt und Teilnehmer

Eine der Abschnitt-9-Anforderungen aus ISO 27001. Einmal jährlich, mit der Geschäftsleitung, 2 Stunden. Hier die Agenda, die ein Auditor akzeptiert – und die für Sie als Vorbereitung nutzbar ist.

2 min
Compliance

Der PDCA-Zyklus erklärt für Führungskräfte

Plan-Do-Check-Act klingt bürokratisch. In der Praxis bedeutet es: Schreib auf, was du tust, tue es, prüf ob es funktioniert, passe es an. Hier die kürzeste brauchbare Erklärung.

2 min
← Alle artikelen in "Compliance"