Seite wählen

ISO 27001 Vorlagen 2026: SoA, Schutzbedarf, Risiko-Behandlung & 9 weitere Pflicht-Dokumente

ISO 27001 und BSI-Vorlagen auf einen Blick

Diese Übersicht listet die 12 wichtigsten Vorlagen 2026 für ein Information Security Management System (ISMS) nach ISO/IEC 27001:2022 oder BSI IT-Grundschutz — vom Statement of Applicability (SoA) über die Schutzbedarfsfeststellung bis zum Notfallhandbuch (BCM). Alle Vorlagen verlinken auf offizielle Quellen (BSI, DIN, ENISA). Brauchen Sie eine individuell angepasste, auditfeste Vorlage? Unsere ISMS-Beratung ab 350 € / Monat liefert das komplette Dokumenten-Set audit-fertig.

Welche ISMS-Vorlagen brauchen Unternehmen 2026?

Eine ISO-27001-Zertifizierung oder BSI-IT-Grundschutz-Vorgehensweise verlangt umfangreiche Dokumentation. Diese 12 Vorlagen decken die Pflicht-Dokumente nach ISO 27001 Annex A (93 Controls) und BSI-Standard 200-2/200-3 ab:

1. Statement of Applicability (SoA) — Annex A Controls Anwendbarkeit

Kern-Dokument der ISO 27001 Zertifizierung. Listet alle 93 Annex-A-Controls (Version 2022) mit Anwendbarkeits-Entscheidung (anwendbar/nicht anwendbar) und Begründung. Pflicht-Dokument für jedes Audit. Mustervorlagen: BSI Migration-Leitfaden 27001-2022 · ISO/IEC 27001:2022 Annex A.

Externer Informationssicherheitsbeauftragter gesucht?

Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 300 € / Monat.

→ Externen Informationssicherheitsbeauftragten anfragen

2. Schutzbedarfsfeststellung nach BSI-Standard 200-2

Identifiziert Schutzbedarf (normal, hoch, sehr hoch) je Geschäftsprozess, Information, IT-System und Anwendung — je Schutzziel Vertraulichkeit, Integrität, Verfügbarkeit. Grundlage für Risiko-Analyse und Maßnahmen-Auswahl. Detaillierter Leitfaden in unserem Praxis-Guide zur Schutzbedarfsfeststellung 2026.

3. ISMS Risiko-Beurteilung und Risiko-Behandlungsplan (RTP)

Pflicht nach ISO 27001 Klausel 6.1.2/6.1.3 und BSI 200-3. Dokumentiert Risiko-Identifikation, Bewertung (Eintrittswahrscheinlichkeit × Schaden), Behandlungs-Option (vermeiden, übertragen, akzeptieren, mindern) und Maßnahmen-Verantwortlichkeiten. Tool-Vorlagen: ISMS-Software-Vergleich 2026 incl. verinice, opus i, HiScout.

4. ISMS-Leitlinie (Information Security Policy) nach ISO 27001 Klausel 5.2

Oberste Sicherheitsleitlinie, von Geschäftsführung unterzeichnet, definiert Sicherheitsziele, Verantwortlichkeiten, Geltungsbereich (Scope), Bekenntnis zur Compliance. Mindestens 1× jährlich Review. Pflicht-Veröffentlichung an alle Beschäftigten.

5. Asset-Verzeichnis (Inventar nach ISO 27001 A.5.9)

Vollständiges Verzeichnis aller schützenswerten Assets: Informationen, Software, Hardware, physische Assets, Dienste, Personen. Klassifizierung und Verantwortlichkeit pro Asset. Basis für Schutzbedarf und Risiko-Analyse.

6. Notfallhandbuch (Business Continuity Management nach ISO 22301 / BSI 200-4)

Pflicht für kritische Geschäftsprozesse. Dokumentiert Notfall-Strategien, Wiederanlaufpläne (RTO/RPO), Krisenkommunikation, Test-Zyklen. Praktischer Aufbau und BIA-Methodik in unserem Schwester-Guide BSI 200-4 BCM Praxis-Vorlage 2026.

7. Mitarbeiter-Sicherheitsrichtlinien (Acceptable Use, Passwort, Clean Desk)

Drei Pflicht-Richtlinien nach Annex A.6: (a) Acceptable Use Policy (AUP) — was Mitarbeiter mit Firmen-Assets dürfen, (b) Passwort-Richtlinie incl. MFA-Pflichten, (c) Clean Desk & Clear Screen — physische Sicherheit am Arbeitsplatz.

8. Incident Response Plan und Meldewege

Nach ISO 27001 A.5.24-A.5.27 verpflichtend. Definiert Sicherheitsvorfall-Klassifikation (Severity), Eskalations-Wege, BSI-Meldepflichten (NIS-2 24h initial / 72h final), forensische Sicherung, Post-Mortem-Template.

9. Lieferanten- und Drittanbieter-Verwaltung (Annex A.5.19-A.5.23)

Vor-Audit aller IT-Dienstleister, vertragliche Sicherheits-Anforderungen, regelmäßige Wiederholungs-Audits, SLA-Tracking. Wichtig: ÜberCloud-Dienste explizit incl. Auftragsverarbeitungs-Vertrag (DSGVO Art. 28).

10. Zugriffs-Management (Identity & Access Management nach A.5.15-A.5.18)

Vorlagen für: Berechtigungs-Konzept, On-/Offboarding-Checkliste, regelmäßige Rezertifizierung (mind. jährlich), MFA-Rollout-Plan, Privileged-Access-Management (PAM). Tipp: Tools wie Keycloak, Microsoft Entra ID, Okta automatisieren 60-80% der Pflichten.

11. TISAX-Vorlagen (Automotive-Branche)

Für Automotive-Lieferanten Pflicht: TISAX-Self-Assessment-Excel (VDA-ISA-Katalog Version 6.0.4), Information Security Assessment, Prototype Protection, Data Protection-Anhang. Quellen: ENX Portal · VDA-ISA-Katalog.

12. NIS-2 Konformitäts-Vorlagen (BSI-KritisV / NIS2UmsuCG)

Pflicht für 17 NIS-2-Sektoren ab 17. Oktober 2024. Vorlagen: Wesentlichkeits-Prüfung, Risiko-Management-Dokumentation (10 Mindestmaßnahmen Art. 21 NIS-2), Melde-Vorlage 24h/72h/1-Monat, Geschäftsleitungs-Verantwortung-Nachweis. Branchen-Beratung in unserem NIS-2-Compliance-Leitfaden.

Wie nutze ich ISMS-Vorlagen rechtssicher?

  1. Vorlage NICHT 1:1 übernehmen. Öffentliche Muster sind generisch — anpassen an Branche, Unternehmensgröße, Scope, Risikoprofil.
  2. Geltungsbereich (Scope) sauber abgrenzen. ISO 27001 verlangt klare Scope-Definition: welche Standorte, welche Prozesse, welche Daten-Kategorien. Zu großer Scope = teurer Audit; zu kleiner Scope = kaum Wert für Stakeholder.
  3. Cross-Reference Matrix erstellen. Eine Vorlage bedient oft mehrere Controls. Mapping ISO 27001 ↔ BSI ↔ NIS-2 spart 40-60% Dokumentations-Aufwand.
  4. Versionierung + Genehmigung dokumentieren. Jede Vorlage braucht Versions-Stand, letzter Review, nächster Review (max. 1 Jahr), Genehmigung der ISMS-Leitlinie durch Geschäftsführung.
  5. Mit ISMS-Tool integrieren. Excel-Sammlungen werden schnell unübersichtlich. Spätestens ab 30 Mitarbeitern: ISMS-Tool (verinice/opus i Open-Source, oder SaaS Vanta/Drata/Sprinto).

Häufig gestellte Fragen zu ISO 27001 und BSI-Vorlagen

Wo finde ich kostenlose ISO 27001 Vorlagen?

Offizielle Mustervorlagen stellen das BSI (IT-Grundschutz-Kompendium) und ENISA kostenlos bereit. Sie sind methodisch korrekt, aber generisch — eine 1:1-Übernahme genügt im Audit nicht. Eine individuell angepasste Vorlage kostet zwischen 250 EUR (1 Dokument standalone) und 8.000 EUR (komplettes ISMS-Vorlagen-Set für KMU).

Welche ISMS-Vorlagen sind Pflicht für ISO 27001 Zertifizierung?

ISO/IEC 27001:2022 verlangt mindestens 11 dokumentierte Informationen (klauselbasiert): ISMS-Geltungsbereich, ISMS-Leitlinie, Risiko-Beurteilungs-Methodik, Statement of Applicability (SoA), Risiko-Behandlungsplan, Ergebnisse der Risiko-Beurteilungen, Informationssicherheits-Ziele, Schulungs-Nachweise, Audit-Programm, Audit-Ergebnisse, Management-Review-Protokolle.

Was ist der Unterschied zwischen ISO 27001 und BSI IT-Grundschutz-Vorlagen?

ISO 27001 ist risikobasiert (eigene Risiko-Analyse → Maßnahmen-Auswahl aus 93 Annex-A-Controls). BSI IT-Grundschutz ist baustein-basiert (vorgegebene Maßnahmen-Kataloge für 100+ Baustein-Typen). Für KMU: BSI-Grundschutz pragmatischer und kostengünstiger; für internationale Konzerne mit Audit-Anforderungen aus US/Asia: ISO 27001 Standard.

Kann ich TISAX-Vorlagen für ISO 27001 verwenden?

Teilweise. TISAX nutzt den VDA-ISA-Katalog (eigene Struktur mit ~50 Controls), der weitgehend ISO 27001 Annex-A-konform ist. Eine TISAX-zertifizierte Organisation hat damit ~70% der ISO-27001-Dokumentation bereits erstellt. Migration TISAX → ISO 27001 dauert typischerweise 3-6 Monate zusätzlicher Implementierung.

Wie oft muss ich ISMS-Vorlagen aktualisieren?

Pflicht: mindestens jährliche Überprüfung (ISO 27001 Klausel 9.2 Internal Audit, Klausel 9.3 Management Review). Verpflichtende Aktualisierung bei: neuer wesentlicher Geschäftsänderung, neuem Risiko (z.B. Hack, neue Bedrohungslage), Gesetzes-Änderung (NIS-2 seit 17.10.2024), neuem ISO-Standard (ISO 27001:2022 hat 2022 alle Vorlagen invalidiert).

Können Sie eine individuelle ISMS-Vorlage für mein Unternehmen erstellen?

Ja. Im Rahmen unserer ISMS-Beratung ab 350 EUR/Monat erstellen wir alle 11 ISO-27001-Pflicht-Vorlagen sowie alle 12 BSI-IT-Grundschutz-Dokumente individuell für Ihr Unternehmen, Ihre Branche, Ihren Scope. Inkludiert: Bestandsaufnahme, Vorlagen-Erstellung, Mitarbeiter-Schulung, jährliche Aktualisierung, Audit-Vorbereitung. Erstgespräch kostenlos anfragen.

Komplettes ISMS-Vorlagen-Set audit-fertig

Statt 12 einzelner Excel-Vorlagen zusammensuchen erhalten Sie das komplette, in sich konsistente Dokumenten-Set — erstellt von TÜV/BSI-zertifizierten ISBs mit über 15 Jahren Audit-Erfahrung. Festpreis ab 350 €/Monat (3 Pakete verfügbar, kombinierbar mit ISO 27001 + BSI + TISAX).

Kostenloses Erstgespräch anfragen
ISO 27001 Kosten ansehen

📞 0351 / 79 59 35 13 Angebot anfragen