EIN SICHERHEITSSYSTEM AUF STANDARDBASIS

Informationssicherheits-Managementsysteme

Wir bauen ISO-27001- und ISO-20000-Managementsysteme auf und machen sie auditbereit; ein systematischer Rahmen schließt Kontrolllücken und wiederkehrende Auditbefunde.

ISO 27001ISO 27701KVKKDORA
01 Ist-Zustand Sichtbarkeit von Topologie, Traffic und Abhängigkeiten.
02 Zielarchitektur Segmentierung, Kapazität und Verfügbarkeit im Design.
03 Kontrollierter Übergang Änderungsfenster, Validierung und Rollback-Plan.
04 Hypercare Monitoring, Feinabstimmung und operative Übergabe.
POSITION

Wo dieser Service im Portfolio steht

Fähigkeitskarten-Infografik für Informationssicherheits-Managementsysteme
LEISTUNGSUMFANG

Was diese Leistung abdeckt

Die kritischen Themen, die diese Leistung adressiert, und das Ergebnis, das wir in jedem Bereich liefern.

Standardkonformes Managementsystem

vertraglich geregelt

Wir helfen Ihnen, ein an ISO 27001 (ISMS) und ISO 20000 (ITSM) ausgerichtetes Managementsystem aufzubauen; die Zertifizierungsentscheidung liegt bei der akkreditierten Stelle.

Zertifizierungsbereiter Nachweissatz

Nachweisbereitschaft

Wir organisieren den Dokumentensatz einschließlich der Annex-A-Kontrollen und der SoA als Nachweisakte, die für die Prüfung durch den Zertifizierungsauditor bereit ist.

Messbare SLA- und Resilienzziele

gemessenes Ziel

Wir binden IT-Servicequalität und Reaktionsindikatoren an messbare SLA-Ziele und Abnahmekriterien.

Verantwortung für Audit und Korrekturmaßnahmen

nach Freigabe veröffentlicht

Wir übernehmen und belegen interne Audits und Korrekturmaßnahmen; die Wahl der Zertifizierungsstelle und die endgültige Entscheidung bleiben bei Ihnen.

Liefermodell

Vorgehensmodell

Wie wir die Leistung über Delivery, Governance und verbundene Service-Pillars phasieren.

  1. Wir beginnen mit der Definition von Ist-Zustand und Geltungsbereich, erstellen ein Asset-Inventar und klären den Kontrollbedarf in Risikobewertungs-Workshops.

  2. Mithilfe der gemeinsamen High Level Structure von ISO 27001 und ISO 20000 vereinen wir Prozesse und unterstützen die Kontrollumsetzung mit technischer Konfiguration.

  3. Wir halten das System durch ein internes Auditprogramm und die Managementbewertung am Leben und führen die Vorbereitung vor Überwachungsaudits fort.

Einsatzkontexte

Beispielhafte Einsatzkontexte

Typische operative Flächen, auf denen diese Leistung aktiviert wird.

IT-Dienstleister

Ein Dienstleister, der ISO 27001 und ISO 20000 zusammen als integriertes Managementsystem aufbauen möchte.

Wiederkehrende Auditfeststellungen

Schließen von Kontrolllücken und wiederkehrenden Feststellungen aufgrund eines fehlenden systematischen Rahmens.

Kundenanforderung an Sicherheitsnachweise

Erfüllung der Sicherheitsnachweis-Erwartungen von Unternehmenskunden mit standardkonformen Nachweisen.

TIEFE

Technische und Compliance-Tiefe

Die Tiefe dieser Leistung bei branchenspezifischen technischen und Compliance-Themen.

Risikobewertung und SoA

Wir bewerten Risiken mit ISO 27005, OCTAVE oder FAIR und binden die 93 Kontrollen an eine maßgeschneiderte Anwendbarkeitserklärung.

Dokumenten- und Workshop-Satz

Wir entwickeln über 40 Richtlinien und über 60 Verfahren in Workshops und unterstützen Wissenstransfer und Verantwortungsübernahme.

Unterstützung im Auditzyklus

Wir erhalten die Bereitschaft im Rhythmus von zwei internen Audits und einem Überwachungsaudit pro Jahr und verfolgen Korrekturmaßnahmen.

Was gelöst wird

Informationssicherheitsmanagement ohne strukturierten Rahmen führt zu reaktiven, inkonsistent angewendeten Kontrollen, die weder Sicherheitsanforderungen noch Audit-Erwartungen erfüllen. ISO 27001 und ISO 20000 bieten international anerkannte Rahmenwerke, die Sicherheits-Governance, Serviceerbringung und kontinuierliche Verbesserung systematisieren — und Ad-hoc-Sicherheitspraktiken in ein dokumentiertes, auditierbares Managementsystem überführen. Unser Implementierungsservice führt Organisationen von der ersten Lückenanalyse bis zur Zertifizierung in einem strukturierten, ressourceneffizienten Programm, das die interne Belastung minimiert und gleichzeitig die Zertifizierungsbereitschaft maximiert.

ISO-27001:2022-Informationssicherheits-Managementsystem (ISMS)-Implementierung
ISO-20000-1:2018-IT-Service-Managementsystem (ITSMS)-Implementierung
Anwendbarkeitserklärung (SoA) mit Bewertung aller 93 Anhang-A-Kontrollen
Aufbau eines internen Auditprogramms und Schulung von leitenden Auditoren

Vorteile

Nutzen

Audit- und Compliance-Bereitschaft mit Nachweisdokumenten statt unbelegter öffentlicher Ergebnisversprechen unterstützen

Nutzen

Verträge in regulierten Sektoren gewinnen, die ein zertifiziertes ISMS voraussetzen, und so den adressierbaren Markt erweitern

Nutzen

Risiko- und Reaktionskennzahlen durch gemessene Kontrollen, geübte Playbooks und Nachweisüberprüfungen sichtbar machen

Standards
ISO 27001:2022, ISO 27002:2022, ISO 20000-1:2018
Umfang
Gesamte Organisation oder definierter Geltungsbereich (spezifische Dienste/Standorte)
Kriterium
Auswahl einer akkreditierten Zertifizierungsstelle und Unterstützung bei der Audit-Koordination
Überwachung
Jährliche Überwachungsaudit-Unterstützung für den 3-jährigen Zertifizierungszyklus inklusive

Leistungsumfang

Unser ISMS-Implementierungsauftrag folgt der ISO-27001-PDCA-Methodik (Plan-Do-Check-Act) in vier Phasen: Etablieren, Implementieren, Überwachen und Verbessern. Die Etablierungsphase definiert den ISMS-Geltungsbereich, den Organisationskontext und das Risikomanagement-Framework. Implementieren umfasst die Richtlinienentwicklung, Kontrollumsetzung und Sensibilisierungsschulung. Überwachen etabliert das interne Auditprogramm und den Management-Review-Prozess. Verbessern schließt Nichtkonformitäten und bereitet auf das Zertifizierungsaudit vor. Die ISO-20000-Implementierung folgt einer parallelen Struktur mit Fokus auf IT-Service-Delivery-Prozesse.

ISMS-Geltungsbereichsdefinition und Organisationskontextanalyse (ISO 27001 Abschnitte 4–5)
Informationssicherheits-Risikobeurteilung und Risikobehandlungsplan (ISO 27001 Abschnitte 6–8)
Anhang-A-Kontrollumsetzung über alle 4 Domänen und 93 Kontrollen
Managementsystem-Dokumentation: Richtlinien, Verfahren, Arbeitsanweisungen und Aufzeichnungen

Vorteile

Nutzen

Ein vollständig dokumentiertes ISMS mit allen Pflichtdokumenten für die Zertifizierungsaudit-Bereitschaft liefern

Nutzen

Ein risikobasiertes Sicherheitsprogramm etablieren, das auf Ihre spezifische Asset-, Bedrohungs- und Schwachstellenlandschaft abgestimmt ist

Nutzen

ISMS in bestehende IT-Governance-Strukturen integrieren und das Parallel-Bürokratie-Antipattern vermeiden

Dokumentation
Informationssicherheitsrichtlinie, SoA, Risikoregister, Asset-Inventar, 40+ unterstützende Richtlinien
Kriterium
ISO-27005-konforme qualitative Risikobeurteilung mit Wahrscheinlichkeits-/Impact-Matrix
Kontrollen
Technische (Netzwerk, Endpunkt, Zugang, Kryptografie) + administrative + physische Kontrollen
Kriterium
Rollenbasiertes Sicherheitsbewusstseins-Training mit jährlichem Aktualisierungszyklus

Ergebnisse

Die ISMS-Implementierung liefert ein vollständiges, auditbereites Managementsystem einschließlich aller Pflicht- und empfohlenen Dokumentationen, einem geschulten internen Audit-Team und einem im Auftrag des Kunden abgewickelten Engagement bei der Zertifizierungsstelle. Nach der Zertifizierung bieten wir Überwachungsaudit-Unterstützung während des gesamten dreijährigen Zertifizierungszyklus, um sicherzustellen, dass das ISMS konform und wirksam bleibt. Kunden erhalten außerdem ein Sicherheits-Kennzahlen-Framework, das laufende Messung und Management-Review-Berichterstattung ermöglicht.

Vollständige ISMS-Dokumentationsbibliothek (40+ Dokumente) in kundengerechtem Format
ISO-27001-Stage-1- und Stage-2-Zertifizierungsaudit-Koordination und Unterstützung bei Rückmeldungen
Schulung interner Auditoren — zertifizierter ISO-27001-Lead-Auditor als Facilitator
Korrekturmaßnahmen-Management für Stage-1- und Stage-2-Nichtkonformitäten

Vorteile

Nutzen

Audit- und Compliance-Bereitschaft mit Nachweisdokumenten statt unbelegter öffentlicher Ergebnisversprechen unterstützen

Nutzen

Ein vollständig befähigtes internes Audit-Team übergeben und die Abhängigkeit von externer Unterstützung nach der Zertifizierung reduzieren

Nutzen

Zertifizierung über den dreijährigen Zyklus aufrechterhalten, mit jährlicher Überwachungsaudit-Unterstützung inklusive

Dokumentenanzahl
40+ Pflicht- und unterstützende ISMS-Dokumente
Kriterium
Stage-1-Vorbereitung, Stage-2-Audit-Begleitung, Nichtkonformitäts-Reaktion
Training
ISO-27001-Interauditoren-Schulung (16 Stunden, inkl. praktischer Übungen)
Überwachung
Jährliche Vorabeinschätzung für Überwachungsaudits und Unterstützung bei Reaktionen für 3 Jahre

Häufig gestellte Fragen

Was ist der Unterschied zwischen ISO-27001-Zertifizierung und Compliance?

ISO-27001-Compliance bedeutet, Kontrollen zu implementieren, die dem Standard entsprechen. ISO-27001-Zertifizierung bedeutet, dass eine akkreditierte Drittpartei-Zertifizierungsstelle unabhängig verifiziert hat, dass Ihr ISMS die Anforderungen des Standards durch einen dokumentierten Auditprozess erfüllt. Die Zertifizierung liefert extern verifizierbaren Compliance-Nachweis, der Kundenanforderungen, Beschaffungsvoraussetzungen und regulatorische Erwartungen erfüllt, die interne Erklärungen nicht ersetzen können.

Unterscheidet sich ISO 27001:2022 wesentlich von der Version 2013?

Ja. Das Update 2022 strukturierte Anhang A von 114 Kontrollen in 14 Domänen auf 93 Kontrollen in 4 Themenbereiche um, ergänzte 11 neue Kontrollen (u. a. Bedrohungsintelligenz, Cloud-Sicherheit und ICT-Lieferkettensicherheit) und aktualisierte die Anforderungen zum Organisationskontext. Organisationen, die nach ISO 27001:2013 zertifiziert sind, müssen bis Oktober 2025 auf die Version 2022 übergehen. Wir unterstützen sowohl Neuimplementierungen als auch Übergangsprojekte.

Kann ISO 27001 für einen bestimmten Dienst oder eine Abteilung statt für die gesamte Organisation implementiert werden?

Ja. ISO 27001 erlaubt eine flexible Geltungsbereichsdefinition — die Zertifizierung kann eine einzelne Geschäftseinheit, Dienstleistungslinie, ein Rechenzentrum oder einen geografischen Standort abdecken. Eingeschränkte Implementierungen sind in der Regel schneller und kostengünstiger abzuschließen und bieten dennoch einen aussagekräftigen Zertifizierungswert. Wir helfen, einen Geltungsbereich zu definieren, der kommerziell bedeutsam ist (Kundenanforderungen erfüllt) und gleichzeitig innerhalb Ihrer Ressourcen- und Zeitrahmenbeschränkungen praktisch erreichbar ist.

Wie verhält sich ISO 20000 zu ITIL?

ISO 20000 ist der auditierbare Standard, der Anforderungen an ein IT-Service-Managementsystem (ITSMS) definiert. ITIL ist das Prozessrahmenwerk, das praktische Anleitungen zur Umsetzung dieser Anforderungen gibt. Sie ergänzen sich: ITIL liefert die operative Methodik, ISO 20000 den Zertifizierungsrahmen. Eine Organisation, die ITIL-Praktiken implementiert, ist gut positioniert, um die ISO-20000-Zertifizierung mit vergleichsweise geringem zusätzlichem Dokumentationsaufwand anzustreben.

Was beinhaltet das Zertifizierungsaudit konkret?

Die ISO-27001-Zertifizierung umfasst zwei Stufen durch eine akkreditierte Zertifizierungsstelle. Stufe 1 ist eine Dokumentenprüfung — der Auditor verifiziert, dass Ihre ISMS-Dokumentation die Anforderungen des Standards erfüllt. Stufe 2 ist ein Vor-Ort-Audit, bei dem der Auditor Mitarbeitende interviewt, Nachweise prüft und testet, ob dokumentierte Kontrollen tatsächlich implementiert und wirksam sind. Wir begleiten Kunden durch beide Stufen und koordinieren die Reaktionen auf Auditorfeststellungen.

Wie hoch ist der interne Ressourcenaufwand für die ISMS-Implementierung?

Der typische interne Ressourcenaufwand umfasst einen dedizierten internen Verantwortlichen sowie Zeit von Fachexperten während der Implementierung — insbesondere für Risikobeurteilungs-Workshops und Richtlinienprüfungen. Wir minimieren diesen Aufwand durch strukturierte Workshop-Agenden, vorbefüllte Dokumentvorlagen und Online-Kollaborationstools, die Meetingzeiten und Dokumentenüberprüfungszyklen gegenüber traditionellen Beratungsansätzen reduzieren.

STARTPUNKT

Wo soll das Gespräch beginnen?

Dieses kurze Formular leitet Ihre Anfrage in die passende Support-Spur. Zuerst klären wir den Kontext, dann den sicheren Austauschweg.

  1. Wir erfassen den Kontext
  2. Wir wählen den sicheren Kanal
  3. Wir klären die erste Richtung

Datenschutzbewusster Erstkontakt; sicherer Austausch bei Bedarf; kein Verkaufsdruck.

Hauptthema der Anfrage