ISO 27001 ist kein Projekt, sondern Pflege

In jeder zweiten Erstberatung kommt früher oder später dieser Satz: „Wir wollen ISO 27001 schnell erledigen.” Verständlich. Eine Zertifizierung wirkt nach außen wie ein Stempel, der irgendwann gedruckt ist. Innen funktioniert sie anders.

ISO 27001 ist kein Projekt, das Anfang und Ende hat. Sie ist ein Pflegezyklus, der ab der Inbetriebnahme nie wieder aufhört.

Warum die Norm nicht endet

Die ISO/IEC 27001 ist im Kern ein Plan-Do-Check-Act-Modell. Ein ISMS funktioniert nur, wenn alle vier Phasen laufend stattfinden. Die Risikobeurteilung, die im Aufbau erstellt wurde, passt ein Jahr später nicht mehr exakt zur Realität — Bedrohungslage, Geschäftsmodell, Lieferanten und Technologie verändern sich. Wer sie nicht pflegt, hat formal ein ISMS und faktisch ein veraltetes Dokument.

Im Audit zeigt sich das. Ein Statement of Applicability, das seit der Erstzertifizierung nicht angefasst wurde, ist eine sehr häufige Findung. Wirksamkeitsmessungen, die nie aktualisiert wurden, sind die zweite. Beide signalisieren: ISO wurde als Projekt verstanden, nicht als Methode.

Engagement des Managements als Dauergröße

Der Norm-Anhang verlangt nicht nur einmalige Freigabe der ISMS-Politik. Sie verlangt aktive Beteiligung der Führung — Reviews, Ressourcenfreigabe, sichtbare Priorisierung. In der Praxis heißt das ein quartalsweises Management-Review mit echten Tagesordnungspunkten, nicht zwei Folien zum Abnicken.

Wo Geschäftsleitungen das ernst nehmen, lebt das ISMS. Wo es bei der Erstfreigabe geblieben ist, wird das Audit binnen 18 Monaten zur Mahnübung.

Was kontinuierliche Pflege konkret bedeutet

Ein lebendiges ISMS hat ein paar Mindesttakte, die nicht verhandelbar sind. Die Risikobeurteilung wird mindestens einmal im Jahr aktualisiert, mit dokumentierten Änderungen. Wirksamkeitsmessungen für die wichtigsten Controls finden quartalsweise oder halbjährlich statt — nicht nur „eingeführt”, sondern „funktioniert noch”. Das Lieferantenmanagement wird gegen die aktuelle Lieferantenliste abgeglichen, nicht gegen die vom Stand der Erstzertifizierung. Findings aus internen Audits werden mit Verantwortlichen, Fristen und Wirksamkeitsnachweis abgearbeitet.

Das ist kein Mehraufwand on top. Das ist die Substanz, die das Zertifikat erst ehrlich macht.

Wer es trägt

Eine Organisation kann diese Pflege intern übernehmen, sobald eine ISMS-verantwortliche Rolle besetzt ist und mit echten Stunden im Kalender steht. Sie kann sie auch extern begleiten lassen, wenn sie noch keine eigene Funktion aufbauen kann oder bewusst auf Distanz zur eigenen Compliance-Frage halten will. Beides funktioniert. Was nicht funktioniert, ist die dritte Variante: niemand pflegt das ISMS, weil das Projekt offiziell „abgeschlossen” wurde.

Fazit

ISO 27001 wird nie fertig. Wer das einmal akzeptiert, plant Ressourcen anders, schreibt das ISMS klüger und wählt Tools, die ihn die nächsten drei Jahre tragen. Wer es nicht akzeptiert, hat eine Zertifizierung in der Schublade und keine Sicherheit im Betrieb.