Zum Inhalt
ISMS.online

ISO 27001 Dokumentations-Checkliste für Managed Service Provider

Unübersichtliche Dokumentation untergräbt das Vertrauen, selbst wenn die Sicherheitsvorkehrungen Ihres Managed Service Providers (MSP) streng sind. Eine fokussierte ISO-27001-Checkliste wandelt verstreute Dateien in eine klare, nachvollziehbare Dokumentation um und hilft Ihnen, Auditoren und Kunden zu überzeugen und gleichzeitig den Stress für Ihr Team zu reduzieren. Sorgen Sie für Konsistenz in Ihrem Informationssicherheitsmanagementsystem (ISMS) und gestalten Sie jedes Audit so, dass es sich wie eine entspannte Überprüfung und nicht wie ein hektisches Durcheinander anfühlt.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum die ISO 27001-Dokumentation MSPs vor Phase 1 schadet

ISO 27001-Dokumentation kann Managed Service Providern (MSPs) schaden, wenn hohe Sicherheitsstandards hinter unübersichtlichen und inkonsistenten Unterlagen verborgen bleiben. Vor Phase 1 besteht Ihr Hauptrisiko nicht darin, Kontrollen zu übersehen, sondern darin, keine klare und wiederverwendbare Darstellung Ihrer Informationssicherheitsmaßnahmen zu liefern. Eine fokussierte Dokumentations-Checkliste wandelt verstreute Dateien in eine kohärente Geschichte um, verkürzt Vertriebszyklen und sorgt für entspanntere Audits.

Auditoren und Unternehmenskunden vermuten oft schwache Sicherheitskontrollen, wenn sie unstrukturierte Dokumentationen sehen, selbst wenn Ihr Team im Tagesgeschäft solide Arbeit leistet. Branchenleitfäden für Managed Service Provider (MSPs) von Organisationen wie CompTIA weisen darauf hin, dass Kunden und Prüfer eher hinterfragen, ob tatsächlich Kontrollmechanismen vorhanden sind, wenn Nachweise unvollständig oder inkonsistent sind. Jahrelanges organisches Wachstum, verstreute Dateien und Kundendruck kollidieren mit den Erwartungen strukturierter Audits, und Sie müssen dieselben Sachverhalte immer wieder in unterschiedlichen Formaten erklären.

Ein häufiges Frühsymptom ist die endlose Lieferantenprüfung. Größere potenzielle Kunden schicken immer wieder lange Sicherheitsfragebögen und fordern Richtlinien und Nachweise an, die man nicht schnell beschaffen kann. Ihr Team versucht verzweifelt zu antworten, indem es Texte aus früheren Antworten kopiert und einfügt – nur um dann festzustellen, dass sich die Dokumente widersprechen oder nicht der tatsächlichen Leistungserbringung entsprechen. Alle haben das Gefühl, zusätzliche Arbeit zu leisten, ohne der Zertifizierung oder dem Vertragsabschluss auch nur ein Stück näherzukommen.

Fast alle Befragten der ISMS.online-Umfrage 2025 nannten das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 als eine der obersten Prioritäten für ihr Unternehmen.

Die versteckten Kosten liegen im Zeitaufwand der Führungskräfte. Gründer, technische Leiter und leitende Ingenieure werden in die ad-hoc-Dokumentation, die Überprüfung von Kundenanfragen und die Kundenbetreuung eingebunden. Rechnet man die Stunden zusammen, die für diese reaktive Arbeit aufgewendet werden, kann eine strukturierte Dokumentation nach ISO 27001 oft kostengünstiger und weniger stressig sein als die fortgesetzte, rein ad-hoc-basierte Bearbeitung von Anfragen, insbesondere mit zunehmendem Unternehmenswachstum.

Die Prüfer sind beruhigt, wenn Ihre Dokumentation eine klare, zusammenhängende Geschichte erzählt.

Die Dokumentation ist über die verschiedenen Tools hinweg unübersichtlich.

Unübersichtliche Dokumentation schadet Managed Service Providern (MSPs), wenn die eigentliche Sicherheitsarbeit über verschiedene Tools, Dokumente und die Köpfe der Mitarbeiter verstreut ist. Die Arbeit findet zwar täglich statt, doch die Nachweise sind überall und nirgends gleichzeitig zu finden. Dadurch lässt sich weder Auditoren noch Kunden ein einfacher, zusammenhängender Überblick über das Risikomanagement bieten.

Die meisten Managed Service Provider (MSPs) kümmern sich bereits um die IT-Sicherheit: Patches, Backups, Überwachung, Reaktion auf Sicherheitsvorfälle und die Einhaltung von Service-Level-Agreements (SLAs) gehören zum Alltag. Doch die Dokumentation dieser Arbeit findet sich in veralteten Word-Dokumenten, Wiki-Seiten, Handbüchern, Ticketsystemen, Angeboten und Präsentationen, die alle um die Gunst der Kunden konkurrieren. Auditoren, Unternehmenskunden und Cyberversicherer benötigen einen klaren und konsistenten Überblick über Ihr IT-Sicherheitsmanagement – ​​keine detaillierte Auflistung aller Ihrer Plattformen.

Wenn Sie keine einheitliche, aktuelle Version Ihrer wichtigsten Richtlinien oder Register vorlegen können, schwindet das Vertrauen, noch bevor sich jemand mit Ihren technischen Kontrollen befasst. Teams verbringen dann mehr Zeit mit der Erläuterung der Dokumentation als mit der Diskussion Ihrer tatsächlichen Sicherheitslage. Mit der Zeit verlangsamt diese Belastung die Vertriebsprozesse, wirft Fragen zum Versicherungsschutz auf und lässt jede Prüfung wie einen ersten Versuch erscheinen, selbst bei jahrelanger Erfahrung.

Eine fokussierte Dokumentationscheckliste beginnt damit, die wichtigsten Richtlinien, Register und Verfahren aus dem unübersichtlichen Dokumentendschungel herauszufiltern und in einem kleinen, übersichtlichen Set zusammenzufassen. Sie müssen nicht alles auf einmal dokumentieren; Sie benötigen eine klare Struktur, die Sie für Audits, Due-Diligence-Prüfungen und Kundengespräche wiederverwenden können.

Verwirrung um Umfang und geteilte Verantwortung bei Mehrmandantensystemen

Die Mandantenfähigkeit und die damit verbundene geteilte Verantwortung bergen Risiken, wenn Ihre Dokumentation nicht der tatsächlichen Kundenbetreuung entspricht. Können Sie nicht nachweisen, wer welche Risiken über verschiedene Dienste und Mandanten hinweg trägt, hinterfragen Prüfer und Kunden schnell Ihre Kontrolle über die IT-Umgebung.

Sie betreuen wahrscheinlich mehrere Kunden über verschiedene Serviceebenen hinweg, oft mit unterschiedlichen vertraglichen Verpflichtungen. Manche Kunden verwalten die Identitätsverwaltung, andere erwarten, dass Sie Patches einspielen, und wieder andere nutzen ihre eigenen Cloud-Plattformen und Sicherheitstools. Wenn Ihre Dokumentation diese Unterschiede nicht klar widerspiegelt, riskieren Sie, Ihre Verantwortlichkeiten zu überschätzen oder, schlimmer noch, Lücken zu lassen, in denen niemand die Verantwortung für ein Risiko trägt.

Eine weitere Reibungsquelle ist die Diskrepanz zwischen technischer Kompetenz und Governance. Es ist verlockend, Auditoren durch die Plattform für Fernüberwachung und -verwaltung, die Endpoint-Security-Lösung oder die SIEM-Dashboards zu führen und damit die Kontrolle zu beweisen. Ohne dokumentierten Anwendungsbereich, Risikoprozess, Richtlinien und Rollen wirken diese Tools jedoch eher wie Insellösungen als wie Bestandteile eines verwalteten Systems.

Eine gute Dokumentationscheckliste zwingt Sie dazu, nicht nur Ihr Vorgehen, sondern auch dessen Zweck, Verantwortlichkeiten und die Sicherstellung der Funktionsfähigkeit darzulegen. Anstatt alles zu dokumentieren, identifizieren Sie einen kleinen, wiederverwendbaren Satz von ISMS-Dokumenten, die unternehmensweit gelten, und ergänzen diesen um servicespezifische Details. Dieser Wandel – von einem unstrukturierten Dokumentationschaos zu einer klar definierten Liste – macht ISO 27001 überschaubar und hilft Ihnen, Ihre Position gegenüber Kunden, Aufsichtsräten und Versicherern einheitlich zu erläutern.

Betrachten Sie die hier enthaltenen Hinweise als Informationshilfe, die Sie an Ihr eigenes Risikoprofil anpassen, und nicht als Einheitslösung.

Kontakt


Was ein Stage-1-Audit bei einem Managed Service Provider (MSP) wirklich prüft

Ein Audit der Stufe 1 prüft, ob Ihr ISMS-Design und Ihre Dokumentation den tatsächlichen Arbeitsabläufen Ihres Managed Service Providers (MSP) entsprechen. Die Zertifizierungsrichtlinien beschreiben Stufe 1 als eine Überprüfung, ob Ihr dokumentiertes ISMS angemessen konzipiert und implementierungsbereit ist, bevor die Auditoren in Stufe 2 den Betrieb detailliert prüfen. Es handelt sich dabei nicht um eine eingehende Prüfung der laufenden Aufzeichnungen. Die Auditoren möchten sehen, dass Geltungsbereich, Richtlinien, Risikomanagementmethoden und Kontrollentscheidungen schlüssig, glaubwürdig und implementierungsbereit sind – und nicht jahrelang einwandfreie Aufzeichnungen.

Wenn Sie wissen, worauf Auditoren in dieser Phase achten, können Sie sowohl unzureichende Vorbereitung als auch übermäßige Komplexität vermeiden. Phase 1 bietet Ihnen die Möglichkeit, das Design Ihres ISMS anhand der Anforderungen der ISO 27001 zu testen, strukturiertes Feedback einzuholen und die Ergebnisse in einen priorisierten Verbesserungsplan umzusetzen, bevor in Phase 2 der Betrieb detailliert geprüft wird.

Für CISOs und leitende Sicherheitsverantwortliche bietet sich hier die Gelegenheit, dem Vorstand zu zeigen, dass sie die Gestaltung ihres ISMS steuern und nicht nur auf Audits reagieren. Für Datenschutz- und Rechtsverantwortliche dient die Dokumentation in Phase 1 dem Nachweis, dass Sicherheits- und Datenschutzanforderungen explizit gemeinsam betrachtet und nicht nachträglich in getrennten Bereichen implementiert werden.

Eine ruhige Phase 1 fühlt sich eher wie eine durchdachte Designprüfung an als wie ein Verhör.

Kerndokumente des ISMS, die Auditoren in Phase 1 erwarten

Die Kerndokumente des ISMS in Phase 1 sind die wenigen Dokumente, die belegen, dass Sie die Auswahl von Geltungsbereich, Risiken und Kontrollen sorgfältig durchdacht haben. Auditoren verlassen sich auf diese Dokumente, da sie zeigen, ob Ihr System über ein solides Fundament verfügt, das mit den Hauptklauseln der ISO 27001 übereinstimmt, bevor sie sich mit den detaillierten Verfahren befassen.

In der Praxis erwarten sie einen dokumentierten Geltungsbereich, eine Informationssicherheitsrichtlinie, eine Risikobewertungs- und -behandlungsmethodik, ein ausgefülltes Risikoregister, einen Risikobehandlungsplan sowie eine Anwendbarkeitserklärung, die erläutert, welche Kontrollen gemäß Anhang A ausgewählt wurden und warum. Bei Managed Service Providern (MSPs) prüfen sie außerdem, ob diese Kerndokumente im Kontext der Managed Services, Cloud-Angebote und Kundenverträge sinnvoll sind.

Wenn Sie angeben, dass Ihr Leistungsumfang „Managed Cloud Hosting und Sicherheitsdienste“ umfasst, müssen Ihr Risikoregister, Ihr Behandlungsplan und Ihre Kontrollmaßnahmen dies widerspiegeln. Prüfer fragen typischerweise, wie Sie den Zugriff auf Kundensysteme verwalten, Backups und Wiederherstellungen durchführen, auf Vorfälle reagieren und Lieferanten managen. Sie erwarten noch keine detaillierten Betriebsnachweise, aber sie erwarten, dass die Prozesse definiert und die Rollen und Verantwortlichkeiten klar geregelt sind.

Sind diese Kerndokumente in gutem Zustand, wird Phase 1 zu einem strukturierten Gespräch statt zu einem chaotischen Unterfangen. Sie und Ihr Auditor können sich dann auf die Verfeinerung Ihres Konzepts konzentrieren, anstatt darüber zu diskutieren, was das ISMS überhaupt abdecken soll.

Phase 1 als Designprüfung nutzen, nicht als Bestehens-/Nichtbestehensprüfung

Den größten Nutzen aus Phase 1 ziehen Sie, wenn Sie sie als strukturierte Überprüfung Ihres Informationssicherheitsmanagementsystems (ISMS) und nicht als Bestehens-/Nichtbestehensprüfung betrachten. Wenn Sie vorbereitet sind und lernen möchten, werden die Ergebnisse zu einer priorisierten Verbesserungsliste anstatt zu einer Liste unerwarteter Überraschungen.

Phase 1 deckt Lücken und Inkonsistenzen auf, damit diese vor Phase 2 behoben werden können, in der die Prüfer die praktische Funktionsfähigkeit des Systems testen. Die Richtlinien für Akkreditierung und Zertifizierung erläutern, dass diese Phase speziell dazu dient, Lücken in Design und Dokumentation zu identifizieren, damit diese vor der detaillierteren Bewertung in Phase 2 behoben werden können, anstatt Organisationen aufgrund anfänglicher Schwächen durchfallen zu lassen.

Es ist hilfreich, die Personen, mit denen die Auditoren voraussichtlich sprechen werden, vorab zu informieren: typischerweise einen Gründer oder leitenden Angestellten, den Sicherheits- oder Compliance-Beauftragten und jemanden aus dem operativen Bereich oder der Servicebereitstellung. Erläutern Sie ihnen die wichtigsten ISMS-Dokumente und deren Bezug zum täglichen MSP-Arbeitsalltag, damit ihre Antworten mit der Dokumentation übereinstimmen.

Wenn Mitarbeitermitteilungen und Dokumente übereinstimmen, gewinnen die Prüfer die Gewissheit, dass das ISMS nicht nur eine formale Angelegenheit ist. Die Ergebnisse der ersten Phase können dann als strukturierter Verbesserungsplan genutzt werden. Anstatt später überrascht zu sein, dass Ihre Risikobewertungsmethode die Kundenumgebungen nicht ausreichend abdeckt oder Ihre Anwendungsbeschreibung nicht zu Ihren Dienstleistungen passt, erhalten Sie eine klare Liste von Maßnahmen, um Dokumente zu optimieren, Lücken zu schließen und Vorgehensweisen anzugleichen.

Mit dieser Herangehensweise an Phase 1 gelingt es leichter, Ambitionen und Pragmatismus in Einklang zu bringen. Sie konzentrieren sich auf die Erstellung der vom Standard geforderten Kerndokumente, akzeptieren deren Weiterentwicklung und nutzen das Feedback des Auditors, um Ihre Dokumentation gezielt zu verfeinern und zu erweitern.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Obligatorische Dokumente und Klauseln gemäß ISO 27001:2022

Obligatorische Dokumente gemäß ISO 27001:2022 sind solche, die die Norm als „dokumentierte Informationen“ mit verbindlichen Anforderungen definiert. In der Praxis handelt es sich dabei um die Stellen, an denen ISO 27001 explizit dokumentierte Informationen vorschreibt. Zusammenfassungen von Fachleuten fassen diese Dokumente als die wichtigsten obligatorischen Dokumente für die Zertifizierung gemäß den Abschnitten vier bis zehn zusammen. Auditoren nutzen sie, um zu beurteilen, ob Ihr ISMS den Abschnitten vier bis zehn entspricht. Daher ist es unerlässlich, diese abstrakten Formulierungen in eine praxisnahe, für Managed Service Provider (MSP) geeignete Liste umzuwandeln.

Für Managed Service Provider (MSPs) besteht die Herausforderung nicht darin, Klauselnummern auswendig zu lernen, sondern zu entscheiden, welche klaren und leicht zugänglichen Dokumente die jeweiligen Verpflichtungen erfüllen. Eine konkrete Liste der Dokumente des Managementsystems und der wichtigsten Aufzeichnungen hilft Ihnen, Ihre Arbeit sinnvoll zu planen, Lücken zu vermeiden und der Versuchung zu widerstehen, unnötigen Papierkram zu erstellen, den ohnehin niemand pflegen wird.

Umwandlung von „dokumentierten Informationen“ in eine praktische MSP-Liste

Die Umwandlung der dokumentierten Informationsanforderungen in eine MSP-freundliche Liste bedeutet, die Abschnitte vier bis zehn durchzugehen und zu entscheiden, welche klaren und leicht zugänglichen Dokumente die einzelnen Verpflichtungen abdecken. Diese Dokumente bilden das Fundament Ihres ISMS und legen die Erwartungen für spätere Verfahren und Aufzeichnungen fest.

Ihre erste Aufgabe besteht darin, die Anforderungen der Klauseln vier bis zehn in prägnanten und schlüssigen Dokumenten abzudecken. Diese Managementsystemdokumente bilden das Rückgrat Ihres ISMS und legen die Erwartungen an die Durchführung von Risikomanagement, Betrieb, Überwachung und Verbesserung fest.

Kontext und Anwendungsbereich (Klausel 4). Sie dokumentieren die internen und externen Faktoren, die Ihr ISMS betreffen, die beteiligten Parteien und deren Anforderungen sowie den Geltungsbereich Ihres ISMS klar und verständlich. Für einen Managed Service Provider (MSP) bedeutet dies, festzulegen, welche Dienste, Standorte, Systeme und Kundentypen in den Geltungsbereich fallen und welche nicht.

Führung und Politik (Klausel 5). Sie erstellen eine von der Geschäftsleitung genehmigte Informationssicherheitsrichtlinie, die auf Ihre strategische Ausrichtung abgestimmt ist und durch klar definierte Rollen und Verantwortlichkeiten gestützt wird. In der Regel handelt es sich dabei um ein kurzes, formelles Dokument, das auf detailliertere Standards und Verfahren verweist, auf die sich die Anwender stützen.

Planung und Risiko (Abschnitt 6). Sie definieren einen dokumentierten Risikobewertungs- und -behandlungsprozess, einschließlich Kriterien für Auswirkung und Eintrittswahrscheinlichkeit, sowie einen Risikobehandlungsplan, der die Vorgehensweise bei jedem identifizierten Risiko erläutert. Managed Service Provider (MSPs) stellen dies häufig als Risikomethodikdokument sowie als Risiko- und Behandlungsregister dar, die für Geschäfts- und Technikverantwortliche verständlich sind.

Unterstützung und Ressourcen (Klausel 7). Sie führen Aufzeichnungen über Kompetenz, Kenntnisse, Kommunikation und Dokumentenkontrolle. Dies umfasst in der Regel Schulungsnachweise, Informationen zur Sensibilisierung und Dokumentenkontrollverfahren, die beschreiben, wie Sie Dokumente erstellen, genehmigen, prüfen und archivieren. Dies ist besonders wichtig bei der Einarbeitung neuer Ingenieure und Auftragnehmer.

Operation (Klausel 8). Sie beschreiben die operative Planung und Steuerung, einschließlich der Umsetzung des Risikomanagementplans und des Managements ausgelagerter Prozesse. Für einen Managed Service Provider (MSP) sind hier viele alltägliche Abläufe angesiedelt: Zugriffskontrolle, Änderungsmanagement, Datensicherung und -wiederherstellung, Störungsmanagement und Lieferantenmanagement.

Leistungsbeurteilung (Klausel 9). Sie bewahren Nachweise über Überwachung, Messung, Analyse und Bewertung auf, einschließlich der Ergebnisse interner Audits und der Ergebnisse von Managementbewertungen. Typische Dokumente hierfür sind Überwachungspläne, interne Auditprogramme, Auditberichte sowie Tagesordnungen und Protokolle von Managementbewertungen, die Sicherheit, Datenschutz und Geschäftsergebnisse miteinander verknüpfen.

Verbesserung (Klausel 10). Sie dokumentieren Abweichungen und Korrekturmaßnahmen und zeigen so, wie Sie auf Probleme reagieren und sich im Laufe der Zeit verbessern. Dies verdeutlicht gegenüber Prüfern und internen Stakeholdern, dass Sie Fehler als Beitrag zur Stärkung Ihrer Resilienz betrachten und nicht nur als Probleme, die es zu verbergen gilt.

Auditoren erwarten üblicherweise die Vorlage dieser Dokumente, verstehen aber auch, dass kleinere Managed Service Provider (MSPs) diese kürzer fassen können, solange sie schlüssig und vollständig sind. Akkreditierungsstellen und Zertifizierungsleitfäden betonen, dass die dokumentierten Informationen der Größe und Komplexität der Organisation angemessen sein sollten; daher ist Kürze akzeptabel, sofern die Inhalte klar und vollständig sind.

Anwendbarkeitserklärung und pragmatische „obligatorische“ Artefakte

Die Anwendbarkeitserklärung (Statement of Appropriability, SoA) ist die Brücke der ISO 27001 zwischen den Kontrollen gemäß Anhang A und Ihrer realen Umgebung. Auditoren nutzen sie, um zu verstehen, welche Kontrollen Sie eingeführt haben, wo gültige Ausnahmen gelten und wie Ihr Kontrollset zu Ihren Dienstleistungen und Ihrer Risikoposition passt.

Die SoA listet alle Kontrollmaßnahmen gemäß Anhang A auf, gibt deren Anwendbarkeit an und erläutert deren Begründung sowie den Implementierungsstatus. Für MSPs ist dieses Dokument besonders wichtig, da es die gewählten Kontrollmaßnahmen mit dem Serviceangebot, der Mandantenarchitektur und der Lieferkette verknüpft.

Neben der Systemarchitektur (SoA) betrachten viele Anwender bestimmte Dokumente als faktisch obligatorisch, da sie den praktischsten Nachweis der Konformität in Audits ermöglichen. Dazu gehören üblicherweise ein Anlagenverzeichnis, ein Risikoregister, ein Informationsklassifizierungsschema, Zugriffskontrolllisten für Schlüsselsysteme sowie Vorfall- und Änderungsprotokolle. Die Norm schreibt diese Bezeichnungen nicht vor, sie werden jedoch allgemein erwartet, da sie einen klaren und vertrauten Nachweis für die Funktionsfähigkeit Ihres Systems liefern.

Nur etwa jede fünfte Organisation in der ISMS.online-Umfrage 2025 gab an, im Vorjahr keinerlei Datenverluste erlitten zu haben.

Es ist außerdem ratsam, dokumentierte Verfahren oder Standards für wichtige Kontrollbereiche wie Zugriffskontrolle, Kryptografie, Betriebssicherheit und Lieferantenmanagement zu pflegen. Dies erleichtert es Anwendern, einheitliche Vorgehensweisen bei allen Kunden zu verfolgen, und Auditoren, die Kontrollen gemäß Anhang A in die tägliche Arbeit zu integrieren.

Wenn Sie bereits wissen, dass die Dokumentation Ihr Engpass ist, kann die Erwägung einer integrierten ISMS-Plattform, die das Klausellayout und die SoA-Struktur auf natürliche Weise widerspiegelt, Ihnen später viel Nacharbeit ersparen, unabhängig davon, welchen Anbieter Sie wählen.



MSP-spezifische Dokumentation: Dienstleistungen, SLAs und Kundendatenverwaltung

Die MSP-spezifische Dokumentation erläutert, wie die ISO-27001-Prinzipien auf Ihre konkreten Dienstleistungen, SLAs und Kundendatenflüsse Anwendung finden. Auditoren und Kunden möchten sehen, wie Sie generische Kontrollen in konkrete Verantwortlichkeiten, Prozesse und Schutzmaßnahmen für die von ihnen bezogenen Dienstleistungen umsetzen – und nicht abstrakte Aussagen, die auf jedes Unternehmen zutreffen könnten.

Generische ISO-27001-Dokumente reichen für einen Managed Service Provider (MSP) nicht aus; sie müssen auf Ihr Serviceportfolio, Ihre vertraglichen Verpflichtungen und Ihre mandantenfähige IT-Umgebung abgestimmt sein. Eine klare, MSP-spezifische Dokumentation erleichtert es erheblich, Vorstände zu überzeugen, Kundenanforderungen im Rahmen der Due-Diligence-Prüfung zu erfüllen und Auditoren nachzuweisen, dass Ihre Kontrollmechanismen dort greifen, wo sie am wichtigsten sind.

Definieren und dokumentieren Sie Ihre Managed Services klar.

Die klare Definition und Dokumentation Ihrer Managed Services beginnt mit einem realistischen Servicekatalog, der unter Berücksichtigung der Sicherheitsaspekte verfasst ist. Ohne diesen Katalog können Sie die Kontrollen und Risiken der ISO 27001 nicht überzeugend den tatsächlichen Tätigkeiten Ihrer Teams für Kunden zuordnen und Ihre Position gegenüber Auditoren nicht nachvollziehbar darlegen.

Das wichtigste MSP-spezifische Artefakt ist ein gepflegter Servicekatalog, der jeden verwalteten Service sicherheitsrelevant beschreibt. Ohne ihn lassen sich Kontrollen oder Risiken nicht überzeugend den konkreten Angeboten zuordnen.

Ein guter Servicekatalog beschreibt jeden von Ihnen angebotenen Managed Service, wie z. B. Fernüberwachung und -verwaltung, Managed Backup, Managed Detection and Response, gehostete Infrastruktur und Cloud-Migration. Für jeden Service erläutern Sie, was enthalten und was ausgeschlossen ist, welche Systeme im Leistungsumfang enthalten sind, wo diese laufen, welche Kunden sie nutzen und wie sie mit Ihrem gesamten ISMS-Umfang zusammenhängen.

Anschließend dokumentieren Sie Modelle zur geteilten Verantwortung für jede Serviceleistung. Diese Modelle legen fest, wer für welche Sicherheitsaspekte verantwortlich ist: Sie, Ihr Kunde oder ein Drittanbieter. Beispielsweise übernehmen Sie bei einem Managed Cloud Service möglicherweise das Patching und die Überwachung des Betriebssystems, während der Kunde den Anwendungszugriff verwaltet. Die schriftliche Fixierung dieser Verantwortlichkeiten in Servicebeschreibungen und SLAs reduziert Unklarheiten und ermöglicht Auditoren einen eindeutigen Überblick über den Beginn und das Ende Ihrer Kontrollpflichten.

Diese Transparenz stärkt auch das Vertrauen des Vorstands. Die Führungsebene erkennt, wo das Unternehmen ein direktes Risiko trägt, wo es von Kunden abhängig ist und wo Dritte ihren Beitrag leisten. Dadurch werden Investitionsgespräche fundierter und weniger spekulativ.

Erläutern Sie die Kundendatenflüsse und deren Verarbeitung über verschiedene Tools hinweg.

Die transparente Erläuterung von Kundendatenflüssen bedeutet, aufzuzeigen, wo Informationen erfasst, verarbeitet, gespeichert, gesichert und gelöscht werden, wer in jeder Phase Zugriff darauf hat und wie die Trennung der Mandanten gewährleistet wird. Einfache Diagramme und kurze Erläuterungen genügen oft, um Prüfern und Kunden die Gewissheit zu geben, dass Sie diese Datenflüsse über Ihre Tools und Multi-Tenant-Plattformen hinweg verstehen und kontrollieren.

Die Dokumentation zum Umgang mit Kundendaten zeigt Prüfern und Kunden, wie Informationen durch Ihre IT-Umgebung fließen. Klare Diagramme und kurze Erläuterungen erleichtern die Erklärung der mandantenübergreifenden Trennung und der Einhaltung gesetzlicher Bestimmungen.

Sie sollten darlegen, wie Kundendaten in Ihren Systemen erfasst, übertragen, gespeichert, gesichert, archiviert und gelöscht werden. Anhand von Beschreibungen und einfachen Diagrammen sollten Sie verdeutlichen, welche Tools Sie verwenden, wo die Daten geografisch gespeichert werden und wie Sie die Informationen einzelner Kunden voneinander trennen.

Ihre SLAs und Leistungsbeschreibungen sollten wichtige Sicherheitsprozesse in verständlicher Sprache beschreiben. Beschreiben Sie Reaktionszeiten und verweisen Sie auf Ihr Incident-Management-Verfahren. Bei Wartungsfenstern können Sie auf Ihren Änderungsmanagementprozess eingehen. Erläutern Sie Verfügbarkeitsgarantien und verweisen Sie auf Ihre Backup-, Wiederherstellungs- und Ausfallsicherheitsmaßnahmen. Die einmalige, strukturierte Dokumentation dieser Punkte reduziert den Aufwand, in jedem Kundenvertrag neue Formulierungen zu finden, und unterstützt die Mitarbeiter, die die Einhaltung der Zusagen gewährleisten müssen.

Die Mehrheit der Organisationen in der ISMS.online-Umfrage 2025 berichtete, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

Sie sollten außerdem dokumentieren, wie Sie Ihre Lieferanten und Subunternehmer verwalten. Notieren Sie für jeden Geschäftsbereich, welche Drittanbieterplattformen Sie nutzen, welche Sicherheits- und Compliance-Zusicherungen diese bieten und wie Sie sie überwachen. Dies unterstützt die Kontrollen gemäß Anhang A in Bezug auf Lieferantenbeziehungen und dient als Nachweis dafür, dass Risiken aus Ihrer Lieferkette identifiziert und behandelt werden.

Wenn diese MSP-spezifischen Dokumente vorhanden und mit Ihren ISMS-Kerndokumenten abgestimmt sind, wird es wesentlich einfacher, den Auditoren zu zeigen, wie ISO 27001 auf Ihren tatsächlichen Betrieb anwendbar ist, und das gleiche Material wiederzuverwenden, wenn Sie auf Kundenanfragen zur Sorgfaltspflicht oder auf Fragen von Aufsichtsbehörden zur Datenverarbeitung antworten.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Zuordnung bestehender Standardarbeitsanweisungen und Service-Level-Agreements zu ISO 27001:2022

Durch die Zuordnung bestehender Standardarbeitsanweisungen (SOPs) und Service-Level-Agreements (SLAs) zu ISO 27001:2022 können Sie bereits vorhandenes operatives Wissen wiederverwenden. Anstatt bei null anzufangen, zeigen Sie, wie bestehende Verfahren und Vereinbarungen die Anforderungen der einzelnen Klauseln und die Kontrollen gemäß Anhang A umsetzen und decken gleichzeitig tatsächliche Lücken auf, die neue oder aktualisierte Dokumentation erfordern.

Dieser Ansatz berücksichtigt, dass die meisten Managed Service Provider (MSPs) bereits lange vor der Auseinandersetzung mit ISO 27001 funktionierende Prozesse etabliert haben. Indem Sie zunächst die Prozesse abbilden und später überarbeiten, vermeiden Sie unnötige Änderungen, reduzieren den Widerstand der Anwender und erhalten ein genaueres Bild davon, wie Ihr ISMS in der Praxis funktionieren wird.

Erstellen Sie eine Steuerungs-Dokument-Zuordnung, die bereits vorhandene Elemente wiederverwendet.

Eine Kontroll-Dokument-Zuordnung verknüpft jede ISO-27001-Klausel und jede Kontrolle aus Anhang A mit spezifischen Standardarbeitsanweisungen (SOPs), Service-Level-Agreements (SLAs), Betriebshandbüchern und Aufzeichnungen. So können Auditoren und Aufsichtsräte nachvollziehen, wie die Standards in der Praxis umgesetzt werden. Richtig angewendet, verwandelt sie verstreute Dokumente in einen übersichtlichen Nachweisbestand anstatt in einen Stapel Anhänge. Dadurch werden Audits und interne Prüfungen schneller und zielgerichteter.

Ein praktischer Einstieg ist die Erstellung einer Tabelle oder eines Verzeichnisses, das jede Klauselanforderung und jede anwendbare Kontrollmaßnahme gemäß Anhang A auflistet und anschließend die internen Dokumente und Aufzeichnungen aufzeigt, die zur Umsetzung oder zum Nachweis beitragen. Beispielsweise kann eine Zugriffskontrollrichtlinie durch Onboarding- und Offboarding-Prozesse, Identitätsmanagement-Handbücher und aus Ihren Tools exportierte Zugriffskontrolllisten unterstützt werden. Eine Kontrollmaßnahme für das Vorfallmanagement kann durch einen Vorfallprozess, Ticket-Workflows und Vorlagen für die Nachbesprechung von Vorfällen unterstützt werden.

Beim Erstellen dieser Übersicht werden Sie mit ziemlicher Sicherheit auf Kontrollen stoßen, die nur teilweise abgedeckt sind. Möglicherweise existiert ein Änderungsverfahren für die Infrastruktur, aber keines für Konfigurationsänderungen innerhalb bestimmter Cloud-Dienste. Vielleicht ist Ihr Backup-Handbuch zwar vorhanden, wurde aber nicht aktualisiert, um neuere Plattformen einzubeziehen. Teilabdeckung ehrlich anzuerkennen ist weitaus besser, als so zu tun, als sei alles vollständig; es liefert Ihnen eine klare Aufgabenliste und zeigt den Prüfern, dass Sie Ihren aktuellen Stand verstehen.

Schritt 1 – Listen Sie Ihre Kontrollen und Klauseln auf

Listen Sie die ISO-27001-Klauseln und die Kontrollen aus Anhang A auf, die für Ihre MSP-Dienstleistungen relevant sind, basierend auf Ihrem Geltungsbereich und Ihrer Anwendbarkeitserklärung. Erfassen Sie diese einmalig, damit alle Beteiligten dieselben Kriterien verwenden.

Sie können mit den Anforderungen der Hauptklausel und den von Ihnen als zutreffend gekennzeichneten Kontrollen aus Anhang A beginnen und die Liste dann im Zuge Ihrer Weiterentwicklung hinsichtlich Anwendungsbereich und Risiko verfeinern.

Schritt 2 – Vorhandene Dokumente und Aufzeichnungen anhängen

Fügen Sie die Standardarbeitsanweisungen (SOPs), Service-Level-Agreements (SLAs), Betriebshandbücher und Aufzeichnungen bei, die Ihnen bereits bei der Implementierung oder dem Nachweis der einzelnen Kontrollmaßnahmen helfen, auch wenn die Abdeckung nur teilweise ist. Halten Sie die anfängliche Verknüpfung einfach, damit die Anwender schnell beitragen können.

Beispielsweise könnte man feststellen, dass die Zugriffskontrollmaßnahmen gemäß Anhang A durch Onboarding-Checklisten, Identity-Runbooks und bestehende Zugriffsprüfungsberichte unterstützt werden.

Schritt 3 – Lücken und Teilabdeckung markieren

Markieren Sie fehlende oder unvollständige Dokumentationen und wandeln Sie diese in konkrete Dokumentations- oder Prozessverbesserungsaufgaben mit Verantwortlichen und Terminen um. Halten Sie die Maßnahmen sichtbar, damit sie nicht in Vergessenheit geraten.

Dadurch wird die Kartierung in einen priorisierten Verbesserungsplan umgewandelt, anstatt in einen statischen Index. Außerdem gibt es den Prüfern die Gewissheit, dass Sie systematisch Lücken schließen, anstatt sie zu ignorieren.

Nach Servicebereich segmentieren und Dokumente an der Quelle kennzeichnen

Die Segmentierung der Zuordnung nach Servicebereich und die Kennzeichnung von Dokumenten direkt an der Quelle vereinfachen die Pflege der gesamten Struktur erheblich, insbesondere in Umgebungen mit mehreren Services und Mandanten. Dank klarer Segmente und Kennzeichnungen lassen sich Nachweise nach Service, Kontrolle oder Rahmenwerk innerhalb von Minuten abrufen, wodurch der Arbeitsaufwand für die Anwender und die Vorbereitungszeit für Audits reduziert werden.

Segmentierung und Tagging erleichtern die Pflege Ihrer Mapping-Struktur, insbesondere in einer Multi-Service- und Multi-Tenant-Umgebung. Sie reduzieren außerdem den Arbeitsaufwand der Anwender bei der Auditvorbereitung.

Um die Arbeit überschaubar zu gestalten, unterteilen Sie Ihre Zuordnung nach Servicebereichen. Sie können zunächst alle Kontrollen für Fernüberwachung und -verwaltung, dann diejenigen für verwaltete Datensicherung und schließlich diejenigen für verwaltete Sicherheit zuordnen. Dadurch wird es einfacher, die richtigen Personen einzubinden und die Lücken zu priorisieren, die die meisten Kunden betreffen oder das höchste Risiko bergen.

Ein weiterer hilfreicher Schritt ist die Kennzeichnung von Dokumenten direkt am Quellcode. Durch Hinzufügen eines kurzen Abschnitts „ISO 27001-Zuordnung“ zu jeder Standardarbeitsanweisung (SOP) oder Service-Level-Vereinbarung (SLA), in dem die unterstützten Klauseln und Kontrollen aufgelistet sind, lassen sich diese Verweise später bei der Auditvorbereitung leicht herausfiltern und exportieren. Außerdem werden Autoren und Prüfer daran erinnert, ISO 27001 bei der Aktualisierung von Betriebsdokumenten zu berücksichtigen.

Beziehen Sie Service Delivery Manager und technische Leiter in diesen Prozess mit ein. Sie kennen die tatsächlichen Arbeitsabläufe und erkennen, wenn ein übersichtliches Diagramm die operative Realität nicht widerspiegelt. Ihr Input stellt sicher, dass Ihre Dokumentation in Vorstellungsgesprächen glaubwürdig ist und neue Verfahren eingeführt statt umgangen werden.

Eine integrierte ISMS-Plattform wie ISMS.online kann diese Zuordnung zentral speichern und ermöglicht so die Verknüpfung von Kontrollen, Klauseln, Standardarbeitsanweisungen und Nachweisdokumenten ohne umständliche Tabellenkalkulation. Selbst bei einem anderen Ansatz verkürzt die zentrale Datenverwaltung die Vorbereitungszeit für Audits und Berichte an den Vorstand.



Eine praktische ISO 27001 Dokumentations-Checkliste und Tabelle für Managed Service Provider (MSPs)

Eine praxisorientierte Checkliste für die ISO 27001-Dokumentation bietet einen umfassenden Überblick über die zu erstellenden Dokumente, die Verantwortlichen und den Fertigstellungsgrad. Für Managed Service Provider (MSPs) dient dieselbe Checkliste gleichzeitig als Audit-Index und Planungsinstrument für zukünftige Frameworks wie NIS 2 oder SOC 2 und reduziert so den Aufwand. Branchen- und Verbandsleitfäden zu Sicherheitsprogrammen mit mehreren Frameworks empfehlen die Erstellung einer einheitlichen Kontroll- und Nachweisstruktur, die mehrere Standards gleichzeitig unterstützt – genau das leistet eine gut konzipierte Checkliste.

Wenn Auditoren oder Vorstände fragen: „Wie steht es um unsere ISO-27001-Dokumentation?“, ermöglicht Ihnen eine gut strukturierte Checkliste eine sichere Antwort, anstatt in Ordnern und Systemen suchen zu müssen. Sie erleichtert zudem den Nachweis, wie dieselben Dokumente mehrere Normen und Kundenanforderungen erfüllen.

Rund vier von zehn Organisationen bezeichneten in der ISMS.online-Umfrage 2025 die Überwachung von Drittparteirisiken und Compliance als eine der größten Herausforderungen im Bereich der Informationssicherheit.

Entwerfen Sie eine Checkliste, die gleichzeitig als Prüfindex dient.

Die Gestaltung der Checkliste als Prüfindex bedeutet, sie an der Denkweise von Prüfern und internen Stakeholdern auszurichten: Anforderung → Dokument oder Datensatz → Verantwortlicher → Status. Wenn jemand fragt: „Wie erfüllen Sie diese Klausel?“, ermöglicht Ihnen Ihre Checkliste eine Antwort in einem Satz und macht deutlich, welches Dokument oder welcher Datensatz die jeweilige Anforderung belegt und wer für dessen Aktualisierung verantwortlich ist.

Ihre Checkliste ist am effektivsten, wenn sie die Sichtweise von Auditoren und internen Stakeholdern auf Ihr ISMS widerspiegelt. Sie sollte klarstellen, welches Dokument oder welcher Datensatz die jeweilige Anforderung belegt und wer für dessen Aktualisierung verantwortlich ist.

Eine sinnvolle Möglichkeit, die Checkliste zu strukturieren, ist die Verwendung einer Tabelle mit mindestens folgenden Spalten: Klausel- oder Kontrollreferenz, Anforderung oder Thema, MSP-spezifisches Dokument oder Nachweis, Verantwortlicher, Status und Prüfhäufigkeit. Einige Teams fügen außerdem Spalten für verwandte Rahmenwerke wie NIS 2 oder SOC 2 hinzu, sodass jede Zeile mehrere Verpflichtungen eindeutig belegt.

Ein kleiner Auszug könnte so aussehen:

Gebiet Beispieldokument oder -aufzeichnung Hauptinhaber
Geltungsbereich und Kontext des ISMS ISMS-Geltungsbereichserklärung für alle Managed Services Sicherheits- oder Compliance-Leitung
Politik und Führung Informationssicherheitsrichtlinie Sponsor aus dem oberen Management
Risikomanagement Risikomethodik und Risikoregister Sicherheits- oder Risikoverantwortlicher
Betrieb und Überwachung Änderungs-, Sicherungs- und Vorfallverfahren Service Delivery Manager
Lieferantenmanagement Lieferantenregister und Sorgfaltsprüfungsunterlagen Beschaffung oder Sicherheit
Kundenbezogene Nachweise Standard-Sicherheitsübersicht und SLA-Anhang Kunden- oder Vertriebskontakt

Dieser Auszug zeigt, wie jeder Bereich Ihres ISMS mit einem bestimmten Artefakt und einem Verantwortlichen verknüpft werden kann. In Ihrer vollständigen Checkliste würden Sie jede Zeile detaillierter ausfüllen, insbesondere für kritische MSP-Register wie Anlagen, Risiken, Vorfälle, Änderungen und Abweichungen.

Hinter jeder Zeile der Tabelle befinden sich ein oder mehrere konkrete Dokumente: Unterlagen aus Ihrem ISMS, Konfigurationsdateien Ihrer Tools, Besprechungsprotokolle oder Einträge aus Ihrem Ticketsystem. Die Checkliste dient lediglich der Erfassung, ob diese Dokumente vorhanden sind, ob sie verwendet werden und ob sie kürzlich überprüft wurden. Dies bietet Aufsichtsräten und Regulierungsbehörden Sicherheit.

Sobald Sie diese Struktur vor Augen haben, kann ein Blick darauf, wie eine ISMS-Plattform wie ISMS.online Checklisten, Verantwortliche und Überprüfungstermine in einer Live-Umgebung organisiert, ein schneller Weg sein, um zu sehen, wie „gut“ in der Praxis aussieht.

Die Checkliste sollte ein lebendiges Instrument zur Einhaltung der Vorschriften sein, keine einmalige Aufgabe.

Eine Checkliste wird zu einem wertvollen Instrument für die Einhaltung von Vorschriften, wenn sie nach der Zertifizierung zur Steuerung von Maßnahmen eingesetzt wird, nicht nur zur Bewältigung des ersten Audits. Indem Sie sie als dynamisches Inhaltsverzeichnis Ihres ISMS nutzen, können Sie den Reifegrad verfolgen, Audits planen und unerwartete Überraschungen vermeiden.

Eine Checkliste unterstützt die Resilienz nur dann, wenn sie auch nach der ersten Zertifizierung weiterhin genutzt wird. Indem man sie zu einem dynamischen Compliance-Tool macht, kann man die Arbeit planen, den Reifegrad verfolgen und unerwartete Überraschungen vor Überwachungsaudits vermeiden.

Für MSP-kritische Register und Protokolle ist es hilfreich, den Kernsatz explizit zu definieren:

  • Risikoregister: – Wichtigste Risiken, Auswirkungen, Behandlungsmethoden, Verantwortliche und Überprüfungstermine.
  • Anlagenverzeichnis: – wichtige Kunden- und interne Systeme, auf die Sie angewiesen sind.
  • Vorfallprotokoll: – Ereignisse, Auswirkungen, ergriffene Maßnahmen und Details zum Abschluss.
  • Änderungsprotokoll: – Veränderungen, die sich auf Produktionssysteme und Kundenumgebungen auswirken.
  • Protokoll der Abweichungen: – Probleme, deren Ursachen und Korrekturmaßnahmen.

Sobald diese Punkte geklärt sind, kann Ihre Checkliste überprüfen, ob jedes Register die Felder, Verantwortlichen und den erforderlichen Prüfrhythmus aufweist, um im Auditfall Bestand zu haben. Sie können außerdem erkennen, wo Datensätze nur im Gedächtnis von Personen oder in Ad-hoc-Tools existieren, und realistische Schritte zu deren Formalisierung planen.

Es ist hilfreich, die einzelnen Phasen in der Checkliste zu unterscheiden: Dokumente, die vor Phase 1 benötigt werden, Dokumente, die bis Phase 2 betriebsbereit sein und dokumentiert werden müssen, und Verbesserungspunkte, die sich im Laufe der Zeit weiterentwickeln können. Diese Kategorisierung hilft Ihnen, nicht auf Perfektion zu warten, bevor Sie fortfahren, und bietet einen realistischen Fahrplan für Anwender, die operative Aufgaben und die Einhaltung von Vorschriften unter einen Hut bringen müssen.

Sie sollten außerdem festlegen, wie Sie die Checkliste verwalten. Die Benennung eines Verantwortlichen, die Vereinbarung von Überprüfungsintervallen und die Verknüpfung von Checklistenaktualisierungen mit internen Audits und Managementbewertungen verhindern, dass sie zu einer statischen Tabelle wird, die nach dem ersten bestandenen Audit in Vergessenheit gerät.

Wenn Sie die Checkliste als dynamisches Register nutzen, das nach internen und externen Audits sowie wesentlichen Änderungen Ihrer Dienstleistungen aktualisiert wird, wird sie zum zentralen Bezugspunkt für Ihre gesamten Compliance-Bemühungen. Diese Vorgehensweise erleichtert es Ihnen, Fragen des Vorstands zu beantworten, regulatorische Vorgaben zu erfüllen und neue Teammitglieder einzuarbeiten, ohne Ihr Dokumentationsverständnis von Grund auf neu aufbauen zu müssen.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Phase 1 vs. Phase 2: Dokumentationsreife und häufige Lücken

Die Audits der Stufen 1 und 2 betrachten die Dokumentation aus unterschiedlichen Perspektiven: Design in Stufe 1 und Betrieb in Stufe 2. Wenn Sie den Reifegrad entsprechend planen, können Sie den Aufwand über den gesamten Auditzyklus verteilen und häufige MSP-Lücken vermeiden, die die Glaubwürdigkeit untergraben, selbst wenn Sie das Audit technisch bestehen.

Rund zwei Drittel der Organisationen in der ISMS.online-Umfrage 2025 gaben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung von Sicherheits- und Datenschutzbestimmungen immer schwieriger machen.

Die Prüfer erwarten, dass sich Ihre Dokumentation zwischen Phase 1 und Phase 2 weiterentwickelt. Das Verständnis dieses Fortschritts erleichtert es, zu entscheiden, was frühzeitig vorhanden sein muss und was sich mit der Zeit entwickeln kann, anstatt alles auf einmal perfektionieren zu wollen.

Die Reife der Plandokumentation soll bewusst über den gesamten Prüfungszyklus hinweg sichergestellt werden.

Die Planung der Dokumentationsreife bedeutet bewusst festzulegen, welche Artefakte nur für Phase 1 entworfen werden müssen und welche bis Phase 2 reale Aufzeichnungen enthalten müssen. Ein einfaches Stufensystem bietet Ihnen hierfür eine gemeinsame Sprache über Teams und Audits hinweg.

Die Reife der Dokumentation beschreibt den Übergang von ersten Konzepten zu evidenzbasierten Verbesserungen. Dies lässt sich verdeutlichen, indem man jedem Dokument und Register einfache Stufen zuordnet und plant, wie sich diese Stufen zwischen Stufe 1 und Stufe 2 weiterentwickeln.

Ein einfacher Ansatz besteht darin, Stufe 1 als „Entwurf“, Stufe 2 als „Genehmigt“, Stufe 3 als „Regelmäßig im Einsatz mit Dokumentation“ und Stufe 4 als „Überprüft und auf Grundlage von Erkenntnissen verbessert“ zu definieren. Vor Phase 1 sollten Sie bei Ihren Kerndokumenten primär die Stufen 1 und 2 anstreben, wobei die wichtigsten Verfahren in Kraft treten. In Phase 2 sollten mehr Dokumente die Stufen 3 und 4 erreichen, insbesondere solche, die mit risikoreichen Bereichen oder häufigem Kundenkontakt verbunden sind.

Phase 1 konzentriert sich darauf, ob Ihre Dokumentation vorhanden, schlüssig und mit Ihrem definierten Leistungsumfang und Ihren Dienstleistungen kompatibel ist. Der Auditor liest repräsentative Dokumente, prüft deren schlüssigen Zusammenhang und bestätigt, dass ein realistischer Umsetzungsplan vorliegt. Er kann die Einsicht in eine kleine Stichprobe von Unterlagen verlangen, erwartet aber keine umfassenden Dokumentationen.

Phase 2 legt den Schwerpunkt stärker auf die operative Umsetzung und Effektivität. Die Prüfer überprüfen spezifische Kontrollen anhand Ihrer Dokumentation und anhand realer Beispiele: Änderungstickets, Störungsmeldungen, Onboarding-Unterlagen, Lieferantenbewertungen und Besprechungsprotokolle. Sie möchten sehen, dass die in Phase 1 beschriebenen Prozesse angewendet werden, dass Sie diese messen und überprüfen und dass Sie auftretende Probleme beheben.

Schritt 1 – Weisen Sie wichtigen Dokumenten Reifegrade zu.

Ordnen Sie jeder Richtlinie, jedem Verfahren und jedem Register eine einfache Bewertungsstufe von eins (Entwurf) bis vier (evidenzbasierte Verbesserung) zu, basierend auf der aktuellen Situation. Seien Sie dabei ehrlich, damit die Ziele erreichbar bleiben.

Sie können die einzelnen Stufen in Ihrer Dokumentationscheckliste erfassen und diese nach jedem internen oder externen Audit aktualisieren, um den Fortschritt widerzuspiegeln.

Schritt 2 – Ziele für Phase 1 und Phase 2 festlegen

Legen Sie fest, welche Artefakte vor Phase 1 Stufe zwei und welche vor Phase 2 Stufe drei oder vier erreichen müssen. Planen Sie die Arbeit entsprechend, damit die Teams nicht überlastet werden.

Wer seine Anstrengungen frühzeitig auf risikoreiche Bereiche oder Bereiche mit intensivem Kundenkontakt konzentriert, erzielt den größten Nutzen aus der begrenzten Zeit.

Schritt 3 – Nutzen Sie Audits, um höhere Ebenen zu erreichen

Nutzen Sie die Ergebnisse interner und externer Prüfungen, um zu entscheiden, welche Dokumente mehr Nachweise, bessere Kennzahlen oder formale Verbesserungen benötigen. Steigern Sie deren Reifegrad gezielt und nicht reaktiv.

Dadurch werden Audits zu einem Bestandteil Ihres Verbesserungsprozesses, anstatt zu sporadischen Ereignissen, die kurzfristige Panik auslösen.

Häufige Lücken in der MSP-Dokumentation und wie man sie vermeidet

Häufige Dokumentationslücken bei Managed Service Providern (MSPs) treten in Phase 2 zutage, wenn die Prüfer die tatsächlichen Belege hinter den Richtlinien überprüfen. Kennt man diese Muster im Voraus, kann man seinen Dokumentations- und Nachweisplan so gestalten, dass diese Lücken vermieden werden, anstatt sie erst unter Zeitdruck zu entdecken.

Viele Managed Service Provider (MSPs) beobachten in Phase-2-Audits dieselben Schwächen in der Dokumentation. ISO-27001-Materialien und Beratungsanalysen speziell für MSPs, beispielsweise von spezialisierten Unternehmen, die mit Managed Service Providern zusammenarbeiten, beschreiben regelmäßig wiederkehrende Mängel wie unklaren Geltungsbereich, unvollständige Anlageninventare und nicht dokumentierte gemeinsame Verantwortlichkeiten. Das Verständnis dieser Muster verschafft Ihnen einen Vorsprung und reduziert den Stress für die Anwender im Zertifizierungsprozess.

Das erste wiederkehrende Problem ist der unklare Leistungsumfang. Die Dokumentation spricht oft allgemein von „Managed IT Services“, ohne zu erläutern, welche Services dazugehören, welche nicht und wie kundeneigene Umgebungen behandelt werden. Dies führt zu Verwirrung bei Auditoren, Kunden und internen Teams und erschwert das Risikomanagement.

Das zweite Problem sind unzureichende Anlageninventare für Kundenumgebungen, insbesondere wenn Sie Systeme verwalten, die technisch dem Kunden gehören. Wenn Ihre Risiko- und Änderungsentscheidungen von diesen Anlagen abhängen, benötigen Sie zumindest eine pragmatische, dokumentierte Übersicht darüber.

Drittens gibt es informell existierende Modelle geteilter Verantwortung, die jedoch nicht schriftlich festgehalten sind, sodass sich Prüfer und Kunden nicht darauf verlassen können. Im Falle eines Sicherheitsvorfalls kann dies zu gegenseitigen Schuldzuweisungen und Verwirrung führen – genau das, was Aufsichtsbehörden und Vorstände vermeiden wollen.

Sie können diese Punkte mithilfe Ihrer Dokumentationscheckliste und der erstellten Mapping-Dokumentation beheben. Sollten Sie feststellen, dass viele Kontrollen auf Dokumente verweisen, die noch nicht existieren, oder auf Verfahren, die nicht konsequent eingehalten werden, können Sie diese Bereiche in Ihre internen Audits und Verbesserungspläne (Stufe 1 bis Stufe 2) einbeziehen.

Es hilft auch, die Dokumentationsarbeit über den gesamten Zertifizierungszyklus zu verteilen. Ein einfacher Nachweiskalender, der interne Audits, Managementbewertungen, Risikobewertungen und wichtige Aktualisierungen von Datensätzen (wie die Überprüfung des Anlagenverzeichnisses oder der Lieferantenliste) einplant, verringert die Versuchung, Dokumente kurz vor Phase 2 in aller Eile nachzureichen. Für Aufsichtsräte und Regulierungsbehörden ist ein kontinuierlicher Nachweisrhythmus ein starkes Signal dafür, dass Ihr ISMS tatsächlich implementiert ist.

Bei der Optimierung Ihrer Dokumentation zwischen Phase 1 und Phase 2 ist eine erneute Überprüfung Ihrer Risikobewertung wichtig. Sollten im Rahmen der Implementierung neue Risiken aufgedeckt werden oder sich bestehende Risiken als bedeutender erweisen als angenommen, sorgt die Aktualisierung des Risikoregisters und des Behandlungsplans dafür, dass Ihre dokumentierte Risikosicht mit der tatsächlichen Leistungserbringung übereinstimmt. Diese Übereinstimmung zwischen Dokumenten, Betriebsabläufen und Risikoentscheidungen ist genau die Art von Reifegrad, die Prüfer und informierte Kunden im Laufe der Zeit erwarten.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online unterstützt Sie dabei, die oben beschriebenen Dokumentationsstrukturen – Kernklauseln, MSP-spezifische Dokumente, Mappings und Checklisten – in ein funktionierendes ISMS zu überführen, das für Auditoren und Kunden leichter verständlich ist. Durch die zentrale Speicherung Ihrer Richtlinien, Register, Servicedokumentation und Nachweise in einer Umgebung optimieren Sie Audits, verkürzen Vertriebszyklen und erleichtern Ihrem Team die tägliche Einhaltung der Vorschriften.

Siehe die ISO 27001-Dokumentation in einem funktionierenden ISMS.

Die Einsicht in die ISO-27001-Dokumentation innerhalb eines funktionierenden ISMS ist oft der schnellste Weg, um zu verstehen, wie ein gutes ISMS aussieht. In einer realen Umgebung wird deutlich, wie Geltungsbereich, Risiken, Richtlinien und MSP-spezifische Dokumente in einer einheitlichen Struktur zusammengeführt werden können, anstatt in separaten Ordnern und Tools.

Eine integrierte Plattform, die sich an der Struktur der ISO 27001:2022-Klauseln und den Kontrollen gemäß Anhang A orientiert, beseitigt viele der Schwierigkeiten, die mit der Entwicklung eigener Strukturen einhergehen. Anstatt Ordner und Namenskonventionen selbst zu erfinden, fügen Sie Ihre Informationssicherheitsrichtlinie, Ihren Geltungsbereich, Ihre Risikomethodik, Ihr Risikoregister, Ihre Anwendbarkeitserklärung und Ihre MSP-spezifischen Dokumente in ein von Auditoren anerkanntes Rahmenwerk ein.

Da ISMS.online für die kontinuierliche Einhaltung von Vorschriften konzipiert ist, unterstützt es standardmäßig Prüfzyklen, Genehmigungen, Aufgabenzuweisung und Audit-Trails. Das bedeutet, dass Sie Dokumente nicht nur erstellen, sondern aktiv verwalten: Verantwortliche festlegen, Prüfungen planen und Änderungen im Zeitverlauf verfolgen. Für Managed Service Provider (MSPs) ist dies besonders hilfreich, wenn mehrere Rollen serviceübergreifend zusammenarbeiten müssen und sich die Erwartungen von Kunden, Vorstand und Aufsichtsbehörden stetig weiterentwickeln.

Die einmalige Kartierungsarbeit – die Verknüpfung von Kontrollen mit Dokumenten und Nachweisen – zahlt sich auch dann aus, wenn Sie die Übereinstimmung mit anderen Rahmenwerken wie NIS 2 oder SOC 2 nachweisen müssen. Leitlinien zu Sicherheit und Compliance von Branchenverbänden, darunter die Cloud Security Alliance, heben hervor, dass eine einzige, gut strukturierte Kontrolllandkarte mehreren verwandten Standards zugrunde liegen kann. Daher ist diese Wiederverwendung eine weithin empfohlene Methode, um Doppelarbeit zu vermeiden.

Gehen Sie den nächsten Schritt, wenn sich der Schmerz vertraut anfühlt.

Sie sollten den nächsten Schritt erst dann unternehmen, wenn Sie die hier beschriebenen Dokumentationsprobleme auch in Ihrem eigenen Managed Service Provider (MSP) wiedererkennen. Wenn Sie mit inkonsistenten Dateien jonglieren, mit Sicherheitsfragebögen kämpfen oder sich Sorgen darüber machen, was Phase 1 ans Licht bringen wird, ist dies in der Regel ein Zeichen dafür, dass ein strukturierteres Informationssicherheitsmanagementsystem (ISMS) hilfreich wäre.

Wenn Sie Ihre Organisation in den hier beschriebenen Szenarien wiedererkennen – etwa im Umgang mit Sicherheitsfragebögen, uneinheitlichen Dokumenten oder der Sorge um die Ergebnisse von Phase 1 –, ist es sinnvoll, den Ansatz in einer Live-Umgebung kennenzulernen. Ein kurzer Rundgang durch ISMS.online zeigt Ihnen, wie eine ISO 27001-konforme Dokumentationscheckliste in einer funktionierenden Umgebung aussieht, wie MSP-spezifische Vorlagen Ihre Implementierung beschleunigen und wie Sie nach der Zertifizierung alles auf dem neuesten Stand halten, ohne in Verwaltungsaufwand zu ertrinken.

Wenn Sie sich für ISMS.online entscheiden, weil Sie ein praxisorientiertes, auditerfreundliches ISMS wünschen, verschafft Ihnen das einen Vorsprung bei der ISO 27001-Dokumentation, entlastet Ihre Führungskräfte von der Krisenbewältigung und hilft Ihnen, die Einhaltung der Vorschriften in eine beständige Quelle des Vertrauens bei Kunden, Vorständen und Aufsichtsbehörden zu verwandeln.

Kontakt


Häufig gestellte Fragen (FAQ)

Welche ISO 27001-Dokumente benötigt ein Managed Service Provider (MSP) tatsächlich vor einem Stage-1-Audit?

Vor Phase 1 benötigt Ihr Managed Service Provider (MSP) ein kompaktes, integriertes Informationssicherheitsmanagementsystem (ISMS), das Absicht und Konzept verdeutlicht und nicht nur einen Stapel fertiger Dokumente darstellt. Die eigentliche Frage des Auditors ist, ob Sie Ihre Risiken verstehen, bewusste Entscheidungen getroffen haben und wissen, wie das System nach der Zertifizierung funktionieren wird.

Welche Dokumente bilden die Mindestvoraussetzungen für die „Phase 1“ eines MSP?

Für die meisten Managed-Service-Provider umfasst ein glaubwürdiges Stage-1-Paket Folgendes:

  • ISMS-Umfangserklärung:

Eine kurze, präzise Beschreibung dessen, was im Geltungsbereich liegt und was nicht:

  • Rechtseinheiten und Standorte (einschließlich Fernarbeit).
  • Interne Systeme, gemeinsam genutzte Plattformen und Managed Services, die Sie verwalten.
  • Klare Abgrenzungen für Kundenumgebungen, Lieferanten und etwaige Ausnahmen, die Sie begründen.
  • Informationssicherheitsrichtlinie:

Eine übergeordnete Richtlinie, die Folgendes beinhaltet:

  • Staatliches Managementengagement und Sicherheitsziele.
  • Spiegelt die Realität von Managed Service Providern wider: Fernadministration, 24/7-Betrieb, Automatisierung, mandantenfähige Tools und Abhängigkeit von Lieferanten.
  • Verweist auf die übrigen ISMS, anstatt selbst das ISMS zu sein.
  • Risikomethodik und erstes Risikoregister:
  • Eine dokumentierte Risikobewertung und Behandlungsprozess maßgeschneidert auf Ihr Unternehmen.
  • Ein Risikoregister mit realen Einträgen, das sowohl Ihre eigene Infrastruktur als auch Ihre kundenorientierten Dienstleistungen abdeckt.
  • Risikobehandlungsplan und Anwendbarkeitserklärung (SoA):
  • Maßnahmen, Verantwortliche und Zeitrahmen für die Behandlung der wichtigsten Risiken.
  • Eine Erklärung der Anwendung (SoA), in der aufgeführt ist, welche Annex-A-Kontrollen Sie anwenden, welche Sie ausschließen und warum diese Entscheidungen für einen Managed Service Provider (MSP) sinnvoll sind.
  • Kernverfahren der Betriebsabläufe:

Kurze, praxisnahe Verfahrensanweisungen, die der tatsächlichen Arbeitsweise Ihrer Teams entsprechen und typischerweise Folgendes umfassen:

  • Zugangsverwaltung und Zu-/Abgänge/Eintritte von Mitarbeitern.
  • Änderungsmanagement für Live- und Kundenumgebungen.
  • Datensicherung, Wiederherstellung und Kontinuität über alle wichtigen Plattformen hinweg.
  • Vorfallerkennung, Priorisierung, Eskalation und Kommunikation.
  • Lieferantenauswahl, -einführung, -überprüfung und -beendigung.
  • Governance-Pläne:
  • Ein interner Prüfungsplan, der einen realistischen Überprüfungszyklus festlegt.
  • Ein Managementbewertungsplan, der aufzeigt, wie die Führungsebene Risiken, Leistung und Verbesserungsmöglichkeiten beurteilt.

Wenn diese Dokumente übereinstimmen und klar beschreiben, wie Ihr MSP sein ISMS betreiben wird, können die Prüfer der Stufe 1 Sie in der Regel mit einer überschaubaren Maßnahmenliste in Richtung Stufe 2 führen, anstatt größere Umgestaltungsarbeiten durchführen zu müssen.

Wie vollständig müssen diese Dokumente tatsächlich sein?

Phase 1 ist eine Überprüfung von Konzeption und Einsatzbereitschaft, keine Prüfung in Geschichtskunde, bei der es um Bestehen oder Nichtbestehen geht:

  • Die wichtigsten Richtlinien und Verfahren sollten schriftlich festgehalten, von den Eigentümern verwaltet und entweder genehmigt oder kurz vor der Genehmigung stehen, wobei eine grundlegende Versionskontrolle sichtbar sein sollte.
  • Es sollten Register (Risiken, Vermögenswerte, Vorfälle) vorhanden sein, die frühe Einträge enthalten, auch wenn sie noch nicht vollständig sind.
  • Interne Audits und Managementbewertungen sollten geplant werden, wobei zumindest erste Termine vereinbart und in Ihrem ISMS sichtbar sein sollten.

Die meisten Prüfer sind zufrieden, wenn Sie ein schlüssiges Design vorweisen können und erkennen, dass das System bereits in Bewegung ist. Sind Ihre Unterlagen derzeit über SharePoint, Ticketsysteme und persönliche Ordner verstreut, hilft Ihnen die Konsolidierung auf einer ISMS-Plattform wie ISMS.online dabei, eine einheitliche, strukturierte Ansicht zu präsentieren und bietet Ihnen eine praktische Möglichkeit, Nachweise zwischen Phase 1 und Phase 2 zu sammeln.

Wie sollte ein Managed Service Provider (MSP) die ISO 27001-Dokumentation so organisieren, dass sie für mandantenfähige, serviceorientierte Arbeitsumgebungen geeignet ist?

Ihre Dokumentation ist wesentlich benutzerfreundlicher, wenn sie sich an den von Ihnen tatsächlich verkauften und betreuten Managed Services orientiert, anstatt an allgemeinen Klauseln. Sind die Kontrollen klar mit den Services und Verantwortlichkeiten verknüpft, können Techniker, Auditoren und Kunden die Logik ohne weitere Erklärungen nachvollziehen.

Wie können Sie Ihr ISMS für Multi-Tenant-Umgebungen „servicefähig“ gestalten?

Ein pragmatisches Vorgehen besteht darin, Ihr Servicemodell in der Strukturierung Ihrer Dokumente widerzuspiegeln:

  • Umfang und Kontext werden aus Diensten abgeleitet:
  • Listen Sie alle Managed Services auf, die im Leistungsumfang enthalten sind: Service Desk, RMM, Managed Backup, MDR, Endpoint Management, Hosted Infrastructure usw.
  • Beschreiben Sie die wichtigsten Abhängigkeiten für jeden Bereich: Cloud-Anbieter, Rechenzentren, zentrale SaaS-Tools, Telefonie und Konnektivität.
  • Richtlinien, die sich auf reale MSP-Praktiken beziehen:
  • Legen Sie klare Erwartungen für den Fernzugriff, Notfallkonten, Jump-Hosts und die VPN-Nutzung fest.
  • Erläutern Sie, wie Sie die Trennung der Mieter gewährleisten und eine Offenlegung von Kundendaten vermeiden.
  • Beschreiben Sie Ihre Vorgehensweise bei der Protokollierung, Überwachung und dem Umgang mit Störungen bei einer Vielzahl von Kunden.
  • In Ihren Tools und Arbeitsabläufen verankerte Verfahren:
  • Zugriffskontrollverfahren, die auf Ihre Verzeichnisdienste, RMM, PSA und Anmeldeinformationsspeicher verweisen.
  • Ändern Sie die Abläufe entsprechend Ihren bestehenden Ticketkategorien, Änderungszeiträumen und Autorisierungsmustern.
  • Sicherungs- und Wiederherstellungsschritte sind an die Plattformen gebunden, die Sie tatsächlich nutzen, wobei Eigentumsrechte und Verifizierung integriert sind.
  • Notfallreaktionspläne, die zu Ihren Alarmquellen, Bereitschaftsplänen und Kommunikationskanälen passen.
  • Servicekatalog mit Verantwortlichkeitsmatrizen:

Für jeden verwalteten Dienst sollte eine einfache Matrix geführt werden, die zeigt, wer welche Aufgaben übernimmt:

  • Patching- und Konfigurationsbaselines.
  • Protokollierung und Überwachung.
  • Identitäts- und Zugriffsverwaltung.
  • Datensicherung, Aufbewahrung und Wiederherstellung.
  • Störungsmeldung und Kundenkommunikation.

Eine dreispaltige Matrix (Kunde / MSP / Lieferant) mit Dienstleistungen in den Zeilen reicht in der Regel aus, um Verantwortlichkeiten bei Audits und Kundengesprächen eindeutig und nachvollziehbar zu machen.

Warum erleichtert diese Struktur Audits und Kundengespräche?

Wenn alles serviceorientiert ist:

  • Prüfer können von einem Anhang A Kontrolle, durch die SoA und das Verfahren, zu einem bestimmten Dienst und den Tickets oder Protokollen, die dies belegen, ohne dass Sie Erklärungen improvisieren müssen.
  • Ingenieure und Service-Desk-Teams können genau sehen, welche Tickets, Skripte und Automatisierungen welche Kontrolle für jeden Dienst erfüllen, wodurch das Risiko inoffizieller Praktiken, die Ihr ISMS nie erreichen, reduziert wird.
  • Vertriebs- und Kundenbetreuer können dieselben Verantwortlichkeitsmodelle in Angeboten, Vertragsanhängen und Sicherheitsfragebögen wiederverwenden, anstatt jedes Mal neue Formulierungen zu schreiben.

Durch die Zentralisierung dieser Struktur in ISMS.online können Sie jeden Service mit seinen Kontrollen, Verfahren und Nachweisen verknüpfen. Wenn Sie einen neuen Managed Service einführen oder einen Lieferanten wechseln, aktualisieren Sie den Katalog und die verknüpften Elemente einmalig; die übrige Dokumentation wird automatisch nachgereicht. So bleibt Ihr ISMS stets an die tatsächliche Bereitstellung von Mandanten-Services angepasst und bewahrt kein veraltetes Bild Ihres Unternehmens.

Wie kann ein Managed Service Provider (MSP) bestehende Standardarbeitsanweisungen (SOPs) und Service-Level-Agreements (SLAs) wiederverwenden, anstatt ein ausschließlich auf ISO-Normen basierendes Regelwerk zu erstellen?

Die meisten Managed Service Provider (MSPs) verfügen bereits über umfangreiches und bewährtes Material: Standardarbeitsanweisungen (SOPs), Betriebshandbücher, Service-Level-Agreements (SLAs) und Onboarding-Unterlagen. Der effizienteste Weg zur ISO 27001:2022 besteht darin, die vorhandenen Dokumente anzupassen und leicht zu erweitern, anstatt eine parallele Dokumentationswelt zu schaffen, die niemand nutzt.

Wie lässt sich vorhandenes Material in der Praxis auf ISO 27001:2022 abbilden?

Betrachten Sie dies eher als eine kontrollierte Kartierungsübung denn als ein Schreibprojekt:

  1. Klären Sie die für Sie geltenden Anforderungen.
  • Listen Sie die Abschnitte der ISO 27001:2022 auf, die in Ihren gewählten Anwendungsbereich fallen.
  • Entscheiden Sie anhand Ihrer SoA, welche Kontrollen gemäß Anhang A anwendbar sind und welche Sie als Ausnahmen für Ihren MSP begründen werden.
  1. Erfassen Sie das Material, auf das Ihre Teams bereits angewiesen sind.
  • Operative Standardarbeitsanweisungen, technische Handbücher und Sicherheitsrichtlinien, die täglich verwendet werden.
  • SLAs, Rahmenverträge und Sicherheitszusagen sind in Verträgen enthalten.
  • Ticket-Workflows für Änderungen, Vorfälle, Anfragen und Probleme in Ihrem PSA- oder ITSM-Tool.
  • HR-Prozesse für Onboarding, Offboarding, Sensibilisierungsschulungen und Disziplinarmaßnahmen.
  1. Erstellen Sie eine Anforderungs-zu-Artefakt-Zuordnung
    Identifizieren Sie für jede Anforderung, was bereits existiert, und kennzeichnen Sie es:
  • Vollständig abgedeckt: – Ihre aktuellen Prozesse und Aufzeichnungen erfüllen die Anforderungen.
  • Teilweise abgedeckt: – Die Essenz ist vorhanden, aber Klarheit, Umfang oder Beweisführung müssen präzisiert werden.
  • Nicht abgedeckt: – Es ist ein neuer kurzer Kontroll-, Verfahrens- oder Registereintrag erforderlich.
  1. Lücken in kleine, konkrete Maßnahmen umwandeln
    Typische Ergebnisse sind:
  • Die Integration von Lieferantenrisikoprüfungen und regelmäßigen Überprüfungen in Ihren Lieferantenprozess.
  • Einen kurzen Leitfaden für Ingenieure zum Thema Fernarbeit verfassen, der die realen Werkzeuge und Einschränkungen widerspiegelt.
  • Erweiterung eines bestehenden Backup-Runbooks um regelmäßige Wiederherstellungstests und die Erfassung von Nachweisen.

Wenn Sie dies nach Servicebereichen aufschlüsseln – beispielsweise Infrastruktur, Cloud, Sicherheit und Endbenutzer – bleibt die Übung überschaubar und erzeugt eine Übersicht, die Sie den Prüfern vorlegen können, um zu beweisen, dass Ihr ISMS in der tatsächlichen Arbeitsweise Ihres MSP verankert ist.

Wie kann eine ISMS-Plattform diese Kartierung nachhaltig gestalten?

Die Zuordnung mittels Tabellenkalkulationen kann für ein einmaliges Projekt funktionieren, stößt aber an ihre Grenzen, sobald sich Dienste oder Kontrollen ändern. Mit einer dedizierten ISMS-Plattform wie ISMS.online können Sie:

  • Fügen Sie jede Klausel und jede Kontrolle gemäß Anhang A direkt den Richtlinien, Standardarbeitsanweisungen und Aufzeichnungen hinzu, die dies belegen.
  • Nutzen Sie dieselben Artefakte in verschiedenen Frameworks wie ISO 27001, SOC 2 und ISO 27701 wieder, damit Sie nicht für jede neue Anforderung oder Kundenanfrage von Grund auf neu beginnen müssen.
  • Sehen Sie den Umfang auf einen Blick, weisen Sie verbleibenden Lücken Verantwortliche und Fälligkeitstermine zu und zeigen Sie den Fortschritt an, ohne das Masterdokument neu erstellen zu müssen.

Das macht „Bewährtes wiederverwenden, nur das Fehlende ergänzen“ zu einer dauerhaften Arbeitsweise und nicht zu einem mühsamen Durcheinander vor jedem Audit oder umfangreichen Kundenfragebogen. Ihre Ingenieure arbeiten weiterhin mit vertrauten Materialien, und die Implementierung von ISO 27001 wird zu einer schlanken Strukturschicht, die darüber liegt, anstatt ein konkurrierendes Regelwerk darzustellen.

Welche Register und Protokolle sollten im Mittelpunkt einer auf Managed Service Provider (MSPs) ausgerichteten ISO 27001-Checkliste stehen?

Für einen Managed Service Provider (MSP) ist ein kleiner Satz gut gepflegter Register in der Regel aussagekräftiger als eine lange Sammlung selten genutzter Vorlagen. Gute Register belegen, dass Probleme erkannt, Entscheidungen getroffen und der Prozess abgeschlossen wird – genau das, was Prüfer und Kunden sehen wollen.

Welche Kernregister zeigen an, dass Ihr ISMS tatsächlich aktiv ist?

Die meisten Managed Service Provider (MSPs) können die wichtigsten Funktionen mit fünf primären Registern abdecken:

  • Risikoregister:
  • Erfasst Risiken für Ihre eigene Umgebung und für die Dienstleistungen, die Sie für Ihre Kunden verwalten.
  • Beinhaltet Auswirkungen, Wahrscheinlichkeit, Behandlung, Eigentümer, Überprüfungstermine und Status.
  • Verknüpft jedes Risiko mit relevanten Vermögenswerten, Kontrollen und Dienstleistungen, um Entscheidungen nachvollziehbar zu machen.
  • Anlagenverzeichnis:
  • Listet kritische Infrastrukturen, Plattformen, Tools und kundenbezogene Assets auf, die in den Geltungsbereich fallen.
  • Datensätze, deren Eigentümer, Standorte, Datenklassifizierungen und Beziehungen zu Diensten.
  • Bildet die Grundlage für Kontrollmechanismen in den Bereichen Zugriff, Datensicherung, Wiederherstellung und Lieferantenmanagement.
  • Vorfallprotokoll:
  • Datensicherheit und schwerwiegende Servicevorfälle, einschließlich des Hergangs, der Art der Entdeckung, der Auswirkungen und der Behebungsmaßnahmen.
  • Verknüpft jeden Vorfall mit Diensten, Kunden, damit verbundenen Änderungen und Kommunikationsvorgängen.
  • Änderungsprotokoll:
  • Erfasst Änderungen, die sich auf die Produktions- oder Kundenumgebung auswirken.
  • Zeigt Genehmigungen, Implementierungsdetails, Ausstiegspläne (falls erforderlich) und Verifizierungsergebnisse.
  • Protokoll über Abweichungen und Korrekturmaßnahmen:
  • Fasst die Ergebnisse interner und externer Prüfungen sowie von Vorfällen und Beinaheunfällen zusammen.
  • Dokumentiert die Ursachenanalyse, vereinbarte Maßnahmen, Verantwortliche, Fälligkeitstermine und den Abschlussstatus.

Diese Daten lassen sich dann in einem übersichtlichen Dashboard oder einer Checkliste zusammenfassen, die für jedes Register Zweck, Verantwortlichen, aktuellen Status und den nächsten Überprüfungstermin anzeigt. Diese Übersicht liefert einem Auditor oft mehr Informationen über den Zustand Ihres ISMS als dicke Ordner mit unnützen Dokumenten.

Wie kann man Registrierkassen so gestalten, dass sie leicht genug für die Wartung, aber gleichzeitig robust genug für Audits sind?

Der Schlüssel liegt darin, sie in die bestehenden Arbeitsumgebungen Ihrer Teams zu integrieren, anstatt eine parallele Administration zu erzwingen:

  • Leiten Sie Vorfall- und Änderungsinformationen aus Ihrem RMM-, PSA- oder ITSM-System in die entsprechenden Protokolle ein, entweder über Exporte, Integrationen oder einfache Referenz-IDs, anstatt die Techniker zur doppelten Dateneingabe aufzufordern.
  • Beschränken Sie die Registerfelder auf Informationen, die tatsächlich Einfluss auf Entscheidungen bei Risikobewertungen, Managementbewertungen und Servicebesprechungen haben.
  • Richten Sie die Überprüfungszyklen an den Betriebsabläufen aus: zum Beispiel monatliche Risiko- und Vorfallsüberprüfungen, vierteljährliche Anlagenprüfungen und eine kurze Retrospektive nach jedem bedeutenden Ausfall oder Sicherheitsvorfall.

Die Verwaltung der Register in einer ISMS-Plattform wie ISMS.online ermöglicht es Ihnen, die strukturierte Zusammenfassung dort zu speichern und detaillierte Informationen in Tickets, Dashboards oder Überwachungssystemen abzurufen. Diese Kombination hält den Verwaltungsaufwand überschaubar und bietet gleichzeitig Auditoren und Kunden ein klares und glaubwürdiges Bild davon, wie Sie Risiken und Verbesserungen in Ihrem MSP managen.

Wie sollte der Reifegrad der Dokumentation nach ISO 27001 für einen Managed Service Provider (MSP) von Stufe 1 zu Stufe 2 fortschreiten?

Phase 1 und Phase 2 dienen unterschiedlichen Zwecken. Phase 1 prüft, ob Ihr ISMS sinnvoll konzipiert und betriebsbereit ist. Phase 2 prüft, ob das System wie beschrieben funktioniert, mit realen Daten, Feedback und kontinuierlichen Verbesserungen. Die Planung des Reifeprozesses zwischen den Phasen hilft Ihnen, unnötigen Aufwand zu Beginn und die Umsetzung wichtiger Aufgaben zu spät zu vermeiden.

Welcher Reifegrad ist in Phase 1 realistisch?

Für einen Managed Service Provider (MSP) sieht ein praktisches Ziel der Phase 1 folgendermaßen aus:

  • Designkohärenz:
  • Geltungsbereich, Richtlinien, Risikomethodik, Risikoregister, Behandlungsplan, Leistungsbeschreibung und Verfahren stimmen alle miteinander und mit Ihren tatsächlichen Leistungen überein.
  • MSP-spezifische Aspekte – Fernzugriff, Kundenplattformen, Lieferanten und Mandantenfähigkeit – werden deutlich abgebildet.
  • Dokumentenkontrolle:
  • Die meisten Kerndokumente sind bereits entworfen und entweder genehmigt oder befinden sich im finalen Prüfzyklus; die Verantwortlichen und die nächsten Prüftermine sind ersichtlich.
  • Die grundlegende Änderungshistorie ist ersichtlich, sodass Prüfer nachvollziehen können, wie Dokumente aktualisiert werden.
  • Frühe operative Nutzung:
  • Es existieren Schlüsselregister (Risiko, Vermögenswerte, Vorfälle), die eine geringe Anzahl realer Einträge enthalten.
  • Es existieren ein interner Prüfungsplan und ein Managementbewertungsplan, wobei zumindest einige Aktivitäten vor Phase 2 geplant sind.

Man kann dies konkreter gestalten, indem man jedem Artefakt einfache Reifegrade zuordnet:

  • Stufe 1 – Entwurf.
  • Stufe 2 – Genehmigt und mitgeteilt.
  • Stufe 3 – Wird regelmäßig mit Datensätzen verwendet.
  • Stufe 4 – Auf Grundlage von Erkenntnissen überprüft und verbessert.

In Phase 1 sollten die meisten Dokumente auf den Stufen 1–2 liegen, wobei einige wenige frühe Kandidaten (insbesondere Risikobewertung und Vorfallprotokollierung) bereits Stufe 3 erreichen.

Was sollte bis Phase 2 nachweislich vorhanden sein?

In Phase 2 liegt der Fokus eindeutig auf dem Betrieb:

  • Aktiv verwendete Steuerelemente:
  • Die Verfahren für Zugriff, Änderungen, Datensicherung, Vorfälle und Lieferanten werden routinemäßig befolgt.
  • Der Prüfer kann Stichproben aus den Aufzeichnungen mehrerer Monate ziehen und sich von der einheitlichen Anwendung überzeugen.
  • Nachweise für Feedback und Verbesserungen:
  • Die Risiken werden erneut geprüft, und die Wahrscheinlichkeiten oder Behandlungsmaßnahmen werden angepasst, wenn sich die Umstände ändern.
  • Es wurden mindestens eine interne Revision und eine Managementbewertung durchgeführt, inklusive Protokoll, Beschlüssen und Maßnahmen.
  • Abweichungen, Prüfungsergebnisse und Erkenntnisse aus Vorfällen werden zeitnah erfasst, zugewiesen und abgeschlossen.

Ihr praktisches Ziel zwischen den Phasen ist es, die risikoreichsten Prozesse und Register von Stufe 2 auf Stufe 3 oder 4 zu verschieben. Das bedeutet in der Regel Planung:

  • Eine gezielte interne Prüfung, die Ihre wichtigsten Dienstleistungen und die in Anhang A aufgeführten Kontrollen, die diese schützen, abdeckt.
  • Eine Managementbewertung, die Risiken, Vorfälle, Veränderungen, Ziele, Kundenfeedback und Verbesserungsmöglichkeiten zusammenführt.
  • Eine Handvoll konkreter Aktionen, die vom ursprünglichen Problem bis zur Lösung in Ihrem Korrekturmaßnahmenprotokoll nachverfolgt werden können.

Durch die Nutzung einer Plattform wie ISMS.online erhalten Sie Kalender, verknüpfte Aktionen und integrierte Nachweise an einem zentralen Ort. Anstatt für Phase 2 E-Mails, Tabellen und Tickets mühsam zusammenzutragen, können Sie dem Auditor zeigen, wie sich die Designentscheidungen aus Phase 1 in der Praxis in Ihrem Managed Service Provider (MSP) niedergeschlagen haben.

Wie kann ein Managed Service Provider (MSP) die ISO 27001-Dokumentation so gestalten, dass sie nicht nur für Audits, sondern auch für Kunden und Vertrieb wirklich nützlich ist?

Eine gut umgesetzte ISO-27001-Dokumentation kann ein entscheidender Faktor für die Kundengewinnung und -bindung werden – und nicht nur etwas, das Sie einmal jährlich für einen Auditor vorlegen. Wenn Sie einige Dokumente so gestalten, dass sie sowohl den Anforderungen von Aufsichtsbehörden als auch von Käufern gerecht werden, können Sie Sicherheitsrisiken im Vertriebsprozess minimieren und das Vertrauen Ihrer Kunden in Ihre Managed Services stärken.

Wie wandelt man ISMS-Inhalte in wiederverwendbare, kundenfertige Sicherheitsnachweise um?

Sie können einen kleinen Satz Dokumente so anpassen, dass sie gleichermaßen in einem Audit-Paket und einer Vertriebspräsentation Verwendung finden:

  • Servicekatalog und SLAs in verständlicher Sprache:
  • Beschreiben Sie jeden Managed Service, die Verantwortlichkeiten und die übergeordneten Sicherheitsvorgaben in einer für Nicht-Fachleute verständlichen Weise.
  • Richten Sie die Inhalte der Service-Level-Agreements (SLAs) (Reaktionszeiten, Wartungsfenster, Vorfallbearbeitung) an Ihren tatsächlichen Verfahren und ISMS-Aufzeichnungen aus, damit kein Widerspruch zwischen dem, was Sie in Verträgen sagen, und dem, was Sie bei Audits zeigen, entsteht.
  • Sicherheitsübersicht oder Paket „Technische und organisatorische Maßnahmen“:
  • Erstellen Sie eine prägnante Zusammenfassung Ihres Sicherheitskonzepts anhand Ihrer Richtlinien, Ihrer Systematik und Ihrer wichtigsten Verfahren.
  • Erfassen Sie Zugriffskontrolle, Datenstandorte, Verschlüsselung, Datensicherung, Überwachung, Vorfallmanagement und Lieferantenaufsicht auf eine Weise, die Sie unter einer Geheimhaltungsvereinbarung oder über ein sicheres Portal weitergeben können.
  • Genehmigte Antwortbibliothek für Sicherheitsfragebögen:
  • Halten Sie kurze, vorab genehmigte Antworten auf wiederkehrende Themen wie Mietertrennung, Schwachstellenmanagement, Protokollierung, Datensicherung und Geschäftskontinuität bereit.
  • Verknüpfen Sie jeden Absatz mit den zugrunde liegenden Richtlinien, Kontrollen und Registern, damit Sie sicher sein können, dass jede Antwort auf realen Praktiken beruht.
  • Anonymisierte Leistungskennzahlen:
  • Verwenden Sie nicht-sensible Statistiken – durchschnittliche Reaktionszeiten bei Vorfällen, Patch-Kadenz, Erfolgsquote von Wiederherstellungstests, Änderungsfehlerraten – die aus Ihren Registern und Ihrer Überwachung stammen.
  • Beziehen Sie diese Informationen in Gespräche über Vertragsverlängerungen und in Antworten auf Angebotsanfragen ein, um die Kontrolle zu demonstrieren, ohne einzelne Kunden preiszugeben.

Da diese Dokumente direkt auf Ihren ISO 27001-Inhalten basieren, vermeiden Sie die Falle, eine separate „Marketingversion der Wahrheit“ zu pflegen. Stattdessen verfügen Sie über eine einheitliche Darstellung der Informationssicherheit Ihres Managed Service Providers (MSP), die für Auditoren, Kunden und interne Stakeholder in unterschiedlichen Detaillierungsgraden präsentiert wird.

Wie verbessert die Zentralisierung des ISMS die Verkaufs- und Vertragsverlängerungsgespräche?

Wenn Richtlinien, Zuordnungen und Nachweise in verschiedenen Systemen oder im Kopf einzelner Personen gespeichert sind, werden Sicherheitsabfragen langsam, inkonsistent und stressig. Die Zentralisierung Ihres ISMS auf einer Plattform wie ISMS.online hilft Ihnen dabei:

  • Es sollte jeweils nur eine maßgebliche Version der Richtlinien, Kontrollübersichten und Sicherheitsübersichten geben, damit alle Antworten auf dieselbe Quelle zurückgreifen können.
  • Verfolgen Sie jede kundenbezogene Forderung bis zu den tatsächlichen Kontrollen, Registern und Aufzeichnungen zurück. Dadurch wird es viel einfacher, die Angaben in Ihren Angeboten und Due-Diligence-Unterlagen zu belegen.
  • Gewähren Sie den Vertriebs- und Account-Teams Lesezugriff oder geführten Zugriff auf die aktuellen Sicherheitsunterlagen, damit sie schnell reagieren können, ohne die Techniker immer wieder von ihrer operativen Arbeit abzuziehen.

Mit der Zeit wandelt sich ISO 27001 von einer rein defensiven Verpflichtung zu einem Wachstumstreiber. Sie verkürzen die Sicherheitsprüfungsphase bei Vertragsabschlüssen, reduzieren den Aufwand für wiederholte Fragebögen und positionieren Ihren Managed Service Provider (MSP) als Anbieter, der sowohl Audits erfolgreich besteht als auch Kunden, denen der Schutz ihrer Daten und Dienste wichtig ist, die Sicherheitslage transparent vermittelt.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.