Wie lange dauert eine ISO 27001 Zertifizierung?

Die Projektdauer für eine ISO-27001-Zertifizierung beträgt für Schweizer KMU in der Regel sechs bis zwölf Monate. Der Prozess umfasst GAP-Analyse, Scope-Definition, Risikoanalyse, ISMS-Aufbau, interne Audits und das Zertifizierungsaudit in zwei Stufen (Stage 1 und Stage 2).

Was ist der Unterschied zwischen ISO 27001 und dem Schweizer ISG?

Das Schweizer Informationssicherheitsgesetz (ISG, SR 128) ist eine gesetzliche Anforderung für Bundesbehörden und deren Auftragnehmer. ISO 27001 ist ein internationaler Standard. Beide fordern Risikoanalysen und Sicherheitsmassnahmen – ein nach ISO 27001 zertifiziertes ISMS erfüllt die ISG-Anforderungen weitgehend.

Sind interne Audits für ISO 27001 zwingend?

Ja, ISO 27001 Kapitel 9.2 schreibt interne Audits ausdrücklich vor. Sie müssen nachweisen, dass interne Audits in geplanten Abständen durchgeführt werden. Wir führen diese als unabhängige externe Auditoren für Sie durch.

ISO 27001 Audit & ISMS Schweiz | Zertifizierung & ISG-Compliance

ISO 27001 Audit & ISMS in der Schweiz – Was Sie wissen müssen

Die ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). In der Schweiz gewinnt die Zertifizierung durch das Informationssicherheitsgesetz (ISG), das neue Datenschutzgesetz (nDSG) und die FINMA-Anforderungen zunehmend an Bedeutung. Unternehmen, die ihre Informationssicherheit nachweislich verankern möchten, kommen an ISO 27001 kaum noch vorbei. Ergänzend empfiehlt sich ein Online IT-Audit als schneller Einstieg zur Standortbestimmung.

Was ist ein ISMS nach ISO 27001?

Ein Information Security Management System (ISMS) ist ein systematischer Ansatz, um vertrauliche Unternehmensdaten zu schützen. Es umfasst Prozesse, Richtlinien, Massnahmen und Kontrollen, die sicherstellen, dass Informationsrisiken erkannt, bewertet und kontinuierlich verringert werden. ISO 27001 definiert die Anforderungen an ein solches ISMS und bildet die Grundlage für eine international anerkannte Zertifizierung.

Die wichtigsten Komponenten eines ISMS nach ISO 27001 sind: die Risikoanalyse und Risikobewertung, die Erstellung einer Erklärung zur Anwendbarkeit (Statement of Applicability), die Umsetzung von Sicherheitsmassnahmen (Annex A Controls) sowie das kontinuierliche Monitoring und die interne Überprüfung durch regelmässige interne Audits.

ISO 27001 Zertifizierung: Roadmap in 7 Schritten

Der Weg zur ISO-27001-Zertifizierung folgt einem klar definierten Prozess. Die folgende Roadmap zeigt, wie wir Schweizer Unternehmen von der ersten Analyse bis zum ausgehändigten Zertifikat begleiten:

ISO 27001 Audit: Ablauf und Phasen

Ein ISO 27001 Zertifizierungsaudit läuft in zwei Stufen ab. Im Stage-1-Audit (Dokumentenprüfung) überprüft die Zertifizierungsstelle, ob das ISMS dokumentiert und konzeptionell vollständig ist. Im Stage-2-Audit (Implementierungsprüfung) wird die tatsächliche Umsetzung im Unternehmen vor Ort bewertet. Nach bestandenem Audit erhalten Sie ein Zertifikat, das drei Jahre gültig ist – mit jährlichen Überwachungsaudits und einem Rezertifizierungsaudit nach drei Jahren.

Unsere Begleitung beginnt weit vor dem eigentlichen Audit: Mit einer GAP-Analyse identifizieren wir bestehende Lücken, unterstützen beim ISMS-Aufbau und führen interne Vor-Audits durch, damit Sie bestens vorbereitet sind. Einen kompakten Einstieg bietet auch unser Leitfaden für ein IT-Audit.

ISG Schweiz – Informationssicherheitsgesetz und ISO 27001

Das Schweizer Informationssicherheitsgesetz (ISG, SR 128) ist seit dem 1. Januar 2023 in Kraft und verpflichtet Bundesbehörden sowie deren Auftragnehmer zu einem systematischen Umgang mit Informationssicherheit. Für Unternehmen, die mit dem Bund zusammenarbeiten oder kritische Infrastrukturen betreiben, ist ISO 27001 die ideale Grundlage, um ISG-Anforderungen zu erfüllen.

Die Synergien zwischen ISG und ISO 27001 sind erheblich: Beide Frameworks fordern Risikoanalysen, Schutzbedarfsfeststellungen, Sicherheitsmassnahmen und regelmässige Überprüfungen. Wer ein ISMS nach ISO 27001 betreibt, ist auch für die ISG-Konformität bestens aufgestellt.

nDSG, FINMA und weitere Schweizer Anforderungen

Seit dem 1. September 2023 ist das revidierte Datenschutzgesetz (nDSG) in Kraft. Es fordert von Unternehmen technische und organisatorische Massnahmen zum Schutz personenbezogener Daten – Anforderungen, die ein ISO-27001-zertifiziertes ISMS nahezu vollständig abdeckt. Für Finanzinstitute schreibt die FINMA mit dem Rundschreiben RS 2023/1 konkrete Anforderungen an das Cyber-Risikomanagement vor, die ebenfalls eng mit ISO 27001 verknüpft sind.

Unsere Leistungen rund um ISO 27001

Wir begleiten Schweizer Unternehmen auf dem gesamten Weg zur ISO-27001-Zertifizierung und darüber hinaus:

GAP-Analyse: Wo steht Ihr Unternehmen heute? Wir identifizieren Abweichungen zum Standard und priorisieren die nächsten Schritte.
ISMS-Aufbau und Dokumentation: Richtlinien, Prozesse, Risikoregister – wir erstellen alle notwendigen IT-Dokumentationen pragmatisch und praxisnah.
Interne Audits: Vor dem Zertifizierungsaudit prüfen wir Ihr ISMS intern, um Schwachstellen zu erkennen und zu beheben. Mehr dazu auf unserer Seite zu internen ISMS-Audits.
Audit-Begleitung: Wir bereiten Sie auf das Stage-1- und Stage-2-Audit vor und stehen als Ansprechpartner zur Verfügung.
ISMS-Pflege und kontinuierliche Verbesserung: Nach der Zertifizierung unterstützen wir Sie beim laufenden Betrieb, bei Überwachungsaudits und der Weiterentwicklung Ihres ISMS.
Technische Sicherheitstests: Ergänzend zu ISO 27001 führen wir Penetrationstests durch – damit Ihre Zertifizierung auf echter Sicherheit basiert, nicht nur auf Dokumentation.

ISMS-Pflege: Warum kontinuierliche Verbesserung entscheidend ist

ISO 27001 ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Die Norm fordert einen PDCA-Zyklus (Plan-Do-Check-Act): Risiken verändern sich, neue Bedrohungen entstehen, Prozesse werden angepasst. Ein gut gepflegtes ISMS reagiert auf diese Veränderungen und bleibt dauerhaft wirksam. Viele Unternehmen unterschätzen den Aufwand nach der Erstzertifizierung – wir helfen Ihnen, das ISMS schlank, effizient und dauerhaft zertifizierungsfähig zu halten.

Kosten und Zeitaufwand

Die Kosten für eine ISO-27001-Zertifizierung hängen von der Unternehmensgrösse, der bestehenden Sicherheitsreife und dem Scope des ISMS ab. Für ein Schweizer KMU mit 50 bis 200 Mitarbeitenden kalkulieren Sie typischerweise mit einem Gesamtaufwand von CHF 50’000 bis 120’000 (inklusive Beratung, Implementierung und Zertifizierungsaudit). Die Projektdauer beträgt in der Regel sechs bis zwölf Monate. Wir bieten Ihnen eine kostenlose Erstberatung, um Ihren individuellen Aufwand einzuschätzen.

Warum cybersecurity-schweiz.com?

Wir verbinden technisches Sicherheits-Know-how mit Compliance-Expertise. Als Schweizer Unternehmen kennen wir die lokalen Anforderungen – ISG, nDSG, FINMA und IKT-Minimalstandard – und sprechen Ihre Sprache. Wir sind kein internationaler Massendienstleister, sondern Ihr persönlicher Partner für nachhaltige Informationssicherheit.

Ihr nächster Schritt

Bereit für Ihre ISO-27001-Zertifizierung?

Wir begleiten Sie von der GAP-Analyse bis zum Zertifikat – pragmatisch, schweizweit und mit echter Sicherheitsexpertise statt Papiertiger.

Kostenloses Erstgespräch anfragen →
Interne Audits ansehen