ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert Anforderungen für den Aufbau, die Umsetzung, den Betrieb und die kontinuierliche Verbesserung eines ISMS zum Schutz von Informationen.

Was kostet eine ISO 27001 Beratung?

Die Kosten hängen von Unternehmensgröße, Ausgangssituation und gewünschtem Leistungsumfang ab. CONSUVATION bietet eine kostenlose Erstberatung an, in der wir den Aufwand gemeinsam einschätzen und ein maßgeschneidertes Angebot erstellen.

Weitere Themen: OT-Security TISAX CADIS ISO 27701 ISO 22301 NIS2

DE EN

Startseite › ISO 27001 Beratung

ISO 27001 · DACH-Raum & International · 2026

ISO 27001 Beratung –
Ihr ISMS. Zertifiziert. Sicher.

Q: Was hat sich bei ISO 27001:2022 geändert?

ISO 27001:2022 bringt einen überarbeiteten Annex A mit 93 statt 114 Controls, neue Themengebiete wie Threat Intelligence, Cloud Security und Data Masking sowie eine modernisierte Struktur. Bestehende Zertifizierungen mussten bis Oktober 2025 auf die neue Version umgestellt werden.

Q: Wie lange dauert eine ISO 27001 Zertifizierung?

Je nach Ausgangssituation und Unternehmensgröße dauert eine ISO 27001 Erstzertifizierung typischerweise 6 bis 18 Monate. Mit einem erfahrenen Berater und einem strukturierten Vorgehen lässt sich dieser Zeitraum deutlich verkürzen.

Q: Was ist der Zusammenhang zwischen ISO 27001 und NIS2?

NIS2 verlangt von betroffenen Unternehmen angemessene Cybersicherheitsmaßnahmen. ISO 27001 ist der international anerkannte Standard zur Umsetzung dieser Anforderungen und gilt als optimaler Nachweis für NIS2-Compliance.

Q: Was ist der Unterschied zwischen ISO 27001 und IEC 62443?

ISO 27001 adressiert die gesamte Informationssicherheit eines Unternehmens. IEC 62443 spezialisiert sich auf industrielle Steuerungssysteme (OT). Beide Standards ergänzen sich – ISO 27001 als ISMS-Basis, IEC 62443 für die OT-Tiefe.

CONSUVATION GmbH begleitet Sie vom ersten Schritt bis zur Zertifizierung nach ISO/IEC 27001:2022 – und darüber hinaus. Mit über 25 Jahren ISMS-Erfahrung, eigener Korrelationsmatrix und 100 % Senior-Beratern. Im DACH-Raum und international.

25+Jahre ISO-Erfahrung

93Controls ISO 27001:2022

BS 7799Erste zertifizierte Auditoren

Kostenlose Erstberatung → ISO 27001 Überblick ansehen

✔ ISO 27001:2022 zertifiziert

✔ BS 7799 – erste Auditoren DE

✔ TISAX · CADIS · NIS2

✔ 100 % Senior-Berater

✔ DACH-Raum & International

✔ Eigene Korrelationsmatrix

Schnellcheck

Benötigt Ihr Unternehmen ISO 27001?

Prüfen Sie in 30 Sekunden, ob und warum ISO 27001 für Ihr Unternehmen relevant ist – kostenlos & ohne Anmeldung.

ISO 27001 Relevanzcheck

Ihre Branche

Anzahl Mitarbeitende

Anlass

Basiert auf ISO/IEC 27001:2022 Stand: Juni 2026 Geprüft von CONSUVATION-Experten

Auf einen Blick

Was ist ISO 27001?

ISO/IEC 27001 ist der weltweit führende Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert, wie Unternehmen Informationssicherheit systematisch steuern, überwachen und kontinuierlich verbessern.

Die aktuelle Version ISO 27001:2022 bringt 93 Controls in 4 Themenbereichen (statt 114 in 14 Kategorien) und neue Schwerpunkte wie Cloud Security, Threat Intelligence und Data Masking.

ISO 27001 ist die Basis für alle weiteren Normen – TISAX, CADIS, NIS2 und IEC 62443 bauen darauf auf oder referenzieren es direkt.

🏆 CONSUVATION – Pioniere seit BS 7799

Unsere Berater gehörten zu den ersten zertifizierten BS 7799-Auditoren in Deutschland – dem direkten Vorläufer von ISO 27001. Dieses Gründungswissen kombiniert mit aktueller Praxis macht uns zu einem der erfahrensten ISO 27001-Beratungshäuser im DACH-Raum.

ISO 27001:2022 – Annex A

Die 4 Themenbereiche mit 93 Controls

ISO 27001:2022 hat die Controls grundlegend überarbeitet. Statt 114 Controls in 14 Kategorien gibt es jetzt 93 Controls in 4 klar strukturierten Themenbereichen – mit 11 neuen Controls.

Themenbereich 5

Organisatorische Controls

Richtlinien für Informationssicherheit, Rollen & Verantwortlichkeiten, Threat Intelligence, Informationssicherheit in Projekten, Cloud-Nutzung, Business Continuity und mehr.

37 Controls

Themenbereich 6

Personenbezogene Controls

Überprüfung von Mitarbeitenden, Informationssicherheitsbewusstsein, Schulungen, Disziplinarverfahren, Vertraulichkeitsvereinbarungen und Fernarbeit.

8 Controls

Themenbereich 7

Physische Controls

Physische Sicherheitsbereiche, Büros & Einrichtungen, physische Sicherheitsüberwachung, Schutz vor physischen Bedrohungen, Arbeit in Sicherheitsbereichen, Clear Desk & Screen.

14 Controls

Themenbereich 8

Technologische Controls

Endpunktsicherheit, Privileged Access, Kryptographie, sichere Softwareentwicklung, Data Masking, Data Leakage Prevention, Monitoring, Web-Filtering und mehr – inkl. aller neuen Controls.

34 Controls

Neue Controls

Neu in ISO 27001:2022: Threat Intelligence, ICT Readiness for Business Continuity, Physical Security Monitoring, Configuration Management, Information Deletion, Data Masking, Data Leakage Prevention, Monitoring Activities, Web Filtering, Secure Coding, Cloud Service Security.

Unser Vorgehen

Von der Gap-Analyse zur Zertifizierung

Strukturiert, planbar und ohne Überraschungen – unser bewährtes Vorgehen führt Sie sicher zur ISO 27001-Zertifizierung.

Erstberatung & Scoping

Kostenlose Erstberatung, Anwendungsbereich definieren, Anspruchsgruppen identifizieren, Projektplan erstellen.

Gap-Analyse

Ist-Aufnahme, Abgleich mit ISO 27001:2022-Anforderungen, Lücken identifizieren, Maßnahmenplan priorisieren.

ISMS Aufbau

Richtlinien, Prozesse und Controls implementieren. Risikoanalyse, Statement of Applicability, Dokumentation.

Internes Audit

Internes Audit durchführen, Management Review, Nichtkonformitäten beheben, Audit-Bereitschaft prüfen.

Zertifizierungsaudit

Stage 1 & Stage 2 Audit durch akkreditierte Zertifizierungsstelle, Begleitung durch CONSUVATION-Berater.

Betrieb & Überwachung

ISMS laufend betreiben, Überwachungsaudits begleiten, kontinuierliche Verbesserung (KVP) sicherstellen.

ISO 27001 & andere Normen

Wie ISO 27001 mit anderen Standards zusammenhängt

ISO 27001 ist das Fundament – alle anderen relevanten Standards bauen darauf auf oder referenzieren es direkt. Wer ISO 27001 hat, hat den größten Teil der Arbeit bereits erledigt.

ISO 27001 → TISAX ISA

TISAX basiert direkt auf ISO 27001 Annex A. Wer ISO 27001 bereits hat, erreicht TISAX mit deutlich reduziertem Aufwand. TISAX ISA schließt nun auch OT-Verfügbarkeit von Produktionsanlagen ein.

AutomotiveVDAOT

ISO 27001 → IEC 62443

IEC 62443 spezialisiert ISO 27001 für industrielle Steuerungssysteme (OT). Gemeinsam umgesetzt ergibt sich ein vollständiges ISMS mit technischer OT-Tiefe für SCADA, PLCs und DCS.

OT SecuritySCADAIndustrie

ISO 27001 → CADIS

CADIS-Modul 1 basiert vollständig auf ISO 27001. Wer ISO 27001 zertifiziert ist, hat das wichtigste CADIS-Modul bereits erfüllt. CONSUVATION begleitet Sie durch beide Standards in einem Projekt.

DefenceDEKRA14 Module

ISO 27001 → NIS2

NIS2 fordert angemessene Cybersicherheitsmaßnahmen – ohne konkrete Tools vorzuschreiben. ISO 27001 ist der international anerkannte Nachweis für NIS2-Compliance und gilt als "Best Practice".

NIS2KRITISBSI

ISO 27001 → DSGVO

ISO 27001 adressiert technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO direkt. Ein ISO 27001-ISMS liefert den Nachweis angemessener Datensicherheit gegenüber Aufsichtsbehörden.

DSGVOArt. 32TOMs

ISO 27001 → BSI Grundschutz

BSI IT-Grundschutz und ISO 27001 sind aufeinander abgestimmt. Viele Behörden und KRITIS-Betreiber kombinieren beide Rahmenwerke. CONSUVATION kennt beide Ansätze und integriert sie effizient.

BSIKRITISBehörden

ISO 27001 → ISO 27005

ISO 27001 fordert eine Risikobewertung, schreibt aber keine Methodik vor. ISO 27005 liefert genau diese – speziell für Informationssicherheit zugeschnitten und in der aktuellen Fassung 2022 eng an die Terminologie und den Risikorahmen der ISO 31000 angeglichen. Damit ist sie das Bindeglied zwischen ISMS-Anforderung und generischem Risikomanagement.

ISO 27005:2022ISO 31000Risikomethodik

Kernanforderungen

Was ISO 27001 von Ihnen verlangt

ISO 27001 ist ein Managementsystem – es geht nicht nur um Technik, sondern um Prozesse, Menschen und Organisation.

Klausel 4

Kontext der Organisation

Interne & externe Themen identifizieren, Anwendungsbereich definieren, Anspruchsgruppen und deren Anforderungen verstehen.

Klausel 6

Risikoanalyse & -behandlung

Informationssicherheitsrisiken identifizieren, bewerten und behandeln. Statement of Applicability (SoA) erstellen und pflegen. Methodisch stützen wir uns auf ISO 27005 – abgestimmt auf den Risikorahmen der ISO 31000.

Klausel 7

Unterstützung & Dokumentation

Ressourcen bereitstellen, Kompetenzen sichern, Bewusstsein schaffen, Kommunikation regeln und ISMS-Dokumentation führen.

Klausel 9

Überwachung & Management Review

ISMS-Leistung messen, interne Audits durchführen, Management Review abhalten und Kennzahlen auswerten.

Klausel 10

Kontinuierliche Verbesserung

Nichtkonformitäten beheben, Korrekturmaßnahmen umsetzen und das ISMS systematisch weiterentwickeln (KVP).

Annex A

93 Controls umsetzen

Aus 93 Controls die relevanten auswählen, im SoA begründen und nachweislich umsetzen – technisch und organisatorisch.

Umsetzungs-Checkliste

ISO 27001 – Was müssen Sie umsetzen?

📋 Organisatorische Maßnahmen

🏛️ISMS-Anwendungsbereich definieren und dokumentieren
📜Informationssicherheitsrichtlinie verabschieden
👤Rollen & Verantwortlichkeiten festlegen (CISO, ISB)
🔍Risikoanalyse & Risikobehandlungsplan erstellen
📋Statement of Applicability (SoA) erstellen
🎓Schulungs- und Awareness-Programm einführen
🔄Internes Audit-Programm etablieren
📊Management Review regelmäßig durchführen

🔧 Technische & operative Maßnahmen

🔐Zugangs- und Berechtigungsmanagement einführen
🛡️Endpoint-Sicherheit und Patch-Management sicherstellen
🔒Kryptographie-Richtlinie umsetzen
💾Backup- und Wiederherstellungskonzept erstellen
📡Logging, Monitoring und Anomalieerkennung einrichten
🚨Incident-Response-Prozess definieren und testen
☁️Cloud-Sicherheitskonzept nach A.5.23 erstellen
🔗Lieferanten- und Drittpartei-Management einführen

Leistungen

ISO 27001 Beratung aus einer Hand

Von der Gap-Analyse bis zur Zertifizierungsbegleitung – alles aus einer Hand, mit Senior-Beratern und eigener Korrelationsmatrix.

ISO 27001 Gap-Analyse

Systematischer Ist-Soll-Abgleich mit ISO/IEC 27001:2022: Was ist vorhanden, was fehlt, was muss priorisiert werden – klar dokumentiert und mit Maßnahmenplan.

ISO 27001:2022Annex A

ISMS Aufbau & Implementierung

Vollständiger ISMS-Aufbau nach ISO 27001: Richtlinien, Prozesse, Risikoanalyse, Statement of Applicability, Controls-Implementierung und Dokumentation.

ISMSSoARisikoanalyse

Audit-Vorbereitung & Begleitung

Vorbereitung auf Stage 1 und Stage 2 Audit: Pre-Audit, Lückenbeseitigung, Dokumenten-Review und Begleitung während des Zertifizierungsaudits.

Stage 1 & 2Zertifizierung

Umstellung auf ISO 27001:2022

Übergang von ISO 27001:2013 auf 2022: Delta-Analyse, neue Controls integrieren, SoA aktualisieren – für Unternehmen mit bestehender Zertifizierung.

2013 → 2022Migration

Internes Audit & Management Review

Durchführung interner Audits nach ISO 19011, Management Review-Vorbereitung, Nichtkonformitäten-Management und KVP-Dokumentation.

Internes AuditISO 19011

ISMS für NIS2, TISAX & CADIS

ISO 27001 als Basis für alle weiteren Normen: NIS2, TISAX ISA, CADIS, IEC 62443 und BSI Grundschutz in einem integrierten ISMS-Projekt – maximale Synergien.

NIS2TISAXCADIS

Schulungen & Awareness

ISO 27001-Schulungen für alle Ebenen: Grundlagen für Mitarbeitende, ISMS-Training für ISBs, Management-Briefings und GF-Schulung für NIS2 (§ 38 BSIG).

Awareness§ 38 BSIG

ISMS Dauerbetrieb & Support

Laufende Unterstützung im ISMS-Betrieb: Überwachungsaudit-Begleitung, Aktualisierung von Richtlinien, Risikoüberprüfung und kontinuierliche Verbesserung.

KVPÜberwachungsaudit

Häufige Fragen

ISO 27001 – häufig gestellte Fragen

Was ist ISO 27001?

ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert Anforderungen für Aufbau, Umsetzung, Betrieb und kontinuierliche Verbesserung eines ISMS – und ist die Grundlage für TISAX, CADIS, NIS2 und viele weitere Normen.

Was hat sich bei ISO 27001:2022 geändert?

Die neue Version bringt 93 statt 114 Controls, strukturiert in 4 statt 14 Kategorien. 11 neue Controls wurden eingeführt – darunter Threat Intelligence, Cloud Security, Data Masking und Secure Coding. Bestehende Zertifizierungen mussten bis Oktober 2025 umgestellt werden.

Wie lange dauert eine ISO 27001 Zertifizierung?

Abhängig von Unternehmensgröße und Ausgangssituation typischerweise 6 bis 18 Monate. Mit einem erfahrenen Berater und dem strukturierten CONSUVATION-Vorgehen lässt sich dieser Zeitraum deutlich verkürzen – insbesondere wenn bereits verwandte Standards (TISAX, NIS2) umgesetzt sind.

Was ist der Zusammenhang zwischen ISO 27001 und NIS2?

NIS2 fordert angemessene Cybersicherheitsmaßnahmen, schreibt aber keine konkreten Tools vor. ISO 27001 ist der international anerkannte "Best Practice"-Nachweis für NIS2-Compliance. Wer ISO 27001 hat, kann NIS2-Anforderungen sehr effizient nachweisen.

Was ist der Unterschied zwischen ISO 27001 und IEC 62443?

ISO 27001 adressiert die gesamte Informationssicherheit. IEC 62443 spezialisiert sich auf industrielle Steuerungssysteme (OT – SCADA, PLCs, DCS). Beide ergänzen sich: ISO 27001 als ISMS-Basis, IEC 62443 für die OT-Tiefe. CONSUVATION implementiert beide Standards in einem integrierten Projekt.

Muss ich ISO 27001 zertifizieren lassen?

Eine Zertifizierung ist gesetzlich nicht zwingend vorgeschrieben – aber oft von Kunden, OEMs oder Behörden gefordert. NIS2 und TISAX verlangen keinen ISO 27001-Zertifizierungsnachweis, empfehlen aber das Vorgehen nach ISO 27001. CADIS schreibt ein ISMS nach ISO 27001 explizit vor.

Mit welcher Methodik führt man die ISO 27001 Risikobewertung durch?

ISO 27001 fordert eine Risikobewertung, schreibt aber keine konkrete Methodik vor. ISO 27005 liefert dafür den speziell auf Informationssicherheit zugeschnittenen Risikomanagementprozess und ist in der aktuellen Fassung 2022 eng mit dem generischen Risikorahmen der ISO 31000 abgestimmt. CONSUVATION setzt diese Methodik strukturiert in Ihrem ISMS um.

Unsere ISO 27001-Lösungen

Komplettlösung für jede Unternehmensgröße

Projektplan, Prozessmodelle, Schulungsportal, Dashboard und externer ISMS-Beauftragter – alles aus einer Hand. Skalierbar für Klein-, Mittel- und Großunternehmen.

Die 5 Bausteine unserer ISO 27001-Komplettlösung

🏛️

ISO 27001-Managementsystem

Basis & Steuerung

📋

Prozessmodell & Richtlinien

Alle 93 Controls

🎓

Schulungsportal

DE & EN, mit Test

📊

ISMS-Dashboard

Betrieb & Steuerung

👤

Externer ISB

Remote + optional Vor-Ort

Kleinunternehmen · bis 50 MA

ISO 27001 STARTER

Einstiegslösung für kleine Unternehmen. Enthält alle wesentlichen Bausteine für eine erste ISO 27001-Zertifizierung – pragmatisch, schnell und kosteneffizient.

✔ISO 27001-Managementsystem
✔Prozessmodell & Kernrichtlinien
✔E-Learning Schulungsportal
✔Gap-Analyse & Risikoanalyse
✔Remote-Begleitung bis Audit

Paket anfragen →

ISO 27001 PROFESSIONAL

Vollständige ISO 27001-Lösung für mittelständische Unternehmen – inkl. Schulungsportal, Dashboard und externem ISMS-Beauftragten auf Abruf.

✔Alle STARTER-Leistungen
✔Vollständiges Richtlinienmodell (93 Controls)
✔ISMS-Dashboard & Betriebssteuerung
✔Externer ISMS-Beauftragter (remote)
✔Audit-Begleitung Stage 1 & 2
✔Internes Audit & Management Review

Paket anfragen →

Großunternehmen · 250+ MA

ISO 27001 ENTERPRISE

Maximale Lösung für komplexe Organisationen – mit individuellem Projektstrukturplan, Vor-Ort-Begleitung und Integration in TISAX, CADIS oder NIS2.

✔Alle PROFESSIONAL-Leistungen
✔Individueller Projektstrukturplan
✔Externer ISMS-Beauftragter (remote + Vor-Ort)
✔Integration TISAX / CADIS / NIS2
✔Korrelationsmatrix-gestützte Gap-Analyse
✔Dauerbetrieb & Überwachungsaudit

Paket anfragen →

Alle Pakete beinhalten einen individuellen Projektplan und werden auf Ihr Unternehmen zugeschnitten. Remote-Begleitung inklusive – Vor-Ort-Termine auf Wunsch. Jetzt Beratungsgespräch vereinbaren →

Unsere Expertise

Pioniere seit BS 7799 – Erfahrung, die zählt

CONSUVATION setzt ausschließlich Senior-Berater ein. Mit über 25 Jahren Erfahrung in der Informationssicherheit gehören wir zu den erfahrensten ISO 27001-Beratungshäusern im DACH-Raum.

Unsere Experten gehörten zu den ersten zertifizierten Auditoren für BS 7799 – dem direkten Vorläufer der heutigen ISO 27001. Dieses Gründungswissen kombinieren sie mit aktueller Praxiserfahrung in ISO 27001:2022, TISAX ISA, CADIS und NIS2.

Als aktive ISO-Arbeitskreismitglieder bringen wir Insiderwissen mit, das direkt in Ihre ISMS-Umsetzung einfließt.

Unser Werkzeug: ISO 27001 Korrelationsmatrix

CONSUVATION hat eine eigene Korrelationsmatrix für ISO 27001-Anforderungen entwickelt, die alle relevanten Normen abbildet – ISO 27001, IEC 62443, TISAX ISA, CADIS, NIS2 und BSI-Grundschutz. Damit erkennen wir Synergien sofort und erstellen eine vollständige Gap-Analyse in kürzester Zeit – ohne doppelte Arbeit, mit maximaler Normabdeckung.

25+

Jahre Erfahrung

BS 7799

Erste ISO-Auditoren

ISO

Arbeitskreismitglieder

100%

Senior-Berater

ISO/IEC 27001:2022

Zertifizierte Berater & Auditoren – von der Gap-Analyse bis zur Begleitung des Zertifizierungsaudits

CISA · CISM · CRISC · CGEIT

Renommierteste ISACA-Zertifizierungen – von IT-Revision über IT-Governance bis zum Risikomanagement

TISAX ISA · CADIS · NIS2

Integrierte ISMS-Umsetzung für alle aufbauenden Standards – in einem Projekt, ohne doppelte Arbeit

BS 7799 – Erste Auditoren DE

Über 25 Jahre Erfahrung seit den Anfängen von BS 7799 – dem Vorläufer der ISO 27001

Jetzt starten

Bereit für Ihr ISO 27001 ISMS?

Lassen Sie sich von einem erfahrenen CONSUVATION-Berater beraten – kostenlos, unverbindlich und ohne Standardfloskeln.

ISO 27001 Checkliste herunterladen (PDF) Beratungsgespräch anfragen

CONSUVATION GmbH · Tilsiter Str. 6 · D-71065 Sindelfingen · +49 (0) 7031.4181-860 · contact@consuvation.com