ISO 27001 ohne Berater-Overhead.
Wir bauen Ihr Information Security Management System auf, dokumentieren es BSI-konform und begleiten Sie bis zum Zertifizierungs-Audit. Ohne Konzern-Beratung, ohne 200-Seiten-Decks, ohne Verzögerungs-Schleifen.
ISMS-Implementierung Schritt für Schritt.
Gap-Analyse
Bestandsaufnahme der aktuellen Sicherheits-Lage gegen ISO 27001:2022. Lücken priorisiert nach Aufwand und Audit-Risiko.
Scope-Definition
Festlegung des Anwendungsbereichs des ISMS. Was wird zertifiziert? Standorte, Prozesse, Assets. Klar dokumentiert.
Risikoanalyse
Vermögenswerte inventarisieren, Bedrohungen mappen, Risiken bewerten nach Eintrittswahrscheinlichkeit und Auswirkung.
SoA und Maßnahmen
Statement of Applicability und Umsetzung der 93 Annex-A-Controls (ISO 27001:2022). Mit klarer Verantwortlichkeit.
Doku und Prozesse
Sicherheitsleitlinie, Verfahrens-Anweisungen, Aufzeichnungen. Aufgebaut so, dass Ihr Team sie auch ohne uns pflegt.
Schulung und Awareness
Mitarbeiter-Schulungen, Geschäftsleitungs-Briefing, Awareness-Kampagne. Audit-relevant und sinnvoll.
Vor dem Stage-1-Audit muss stehen
- >_Sicherheitsleitlinie (Information Security Policy) freigegeben durch Geschäftsleitung
- >_Scope-Statement definiert und genehmigt
- >_Risikomanagement-Methodik dokumentiert (typisch ISO 31000)
- >_Risikoanalyse durchgeführt mit Behandlungsplan
- >_Statement of Applicability für alle 93 Annex-A-Controls
- >_Mindestens ein vollständiger PDCA-Zyklus dokumentiert
- >_Internes Audit-Programm und mindestens ein Internal Audit durchgeführt
- >_Management-Review mit Geschäftsleitung dokumentiert
- >_Mitarbeiter-Awareness-Maßnahmen umgesetzt und dokumentiert
Pragmatisch statt theoretisch.
Bottom-Up-Doku statt Top-Down-Mantras
Wir dokumentieren wie Sie tatsächlich arbeiten, nicht wie es im Lehrbuch steht. Audit-tauglich, aber realistisch.
Festpreise statt Tagessätze
Sie wissen am ersten Tag, was die ISO 27001-Reise kostet. Keine Beratungs-Schleifen.
BSI-Kompatibilität inklusive
Wir designen das ISMS so, dass es ISO 27001 und BSI-Grundschutz kompatibel ist. Falls Sie Behörden-Kunden bedienen, sparen Sie eine Doppel-Doku.
Nach Zertifizierung kein Ablassen
Retainer-Modell für laufende ISMS-Pflege. Sie bleiben zertifiziert ohne dass Ihr Team die volle Last trägt.
Was Mandanten typischerweise vorher wissen wollen.
Wie lange dauert eine ISO 27001 Zertifizierung?
Realistisch 8 bis 14 Monate von Kick-off bis Stage-2-Audit-Erfolg. Bei IT-fokussierten Unternehmen mit guter Doku-Basis schaffen wir 6 Monate. Bei komplexen Strukturen 12 bis 18 Monate.
Was kostet die ISO 27001 Beratung?
Drei Festpreis-Stufen: Gap-Analyse 5.190 EUR einmalig, Vollimplementierung ab 33.900 EUR als Festpreis-Projekt (6 bis 12 Monate), ISMS-Retainer ab 2.390 EUR pro Monat. Die externe Zertifizierung (TÜV, DEKRA und ähnliche) ist nicht enthalten und kostet branchen-üblich 8.000 bis 15.000 EUR.
Wer macht die eigentliche Zertifizierung?
Eine akkreditierte Zertifizierungsstelle Ihrer Wahl (TÜV Rheinland, TÜV Süd, DEKRA, DQS, BSI). Wir begleiten Sie durch das Audit, machen aber nicht selbst die Zertifizierung, da Berater und Auditor getrennt sein müssen.
Brauchen wir ISO 27001 für NIS2?
Nein, ISO 27001 ist keine NIS2-Pflicht. Aber: Eine ISO 27001-Zertifizierung erfüllt etwa 80 Prozent der NIS2-Maßnahmen. Wenn Sie ISO 27001-zertifiziert sind, ist NIS2 mit wenigen Zusatz-Maßnahmen erreichbar.
Was ist der Unterschied zu BSI-Grundschutz?
ISO 27001 ist international anerkannt und in Audits anpassungsfähiger. BSI-Grundschutz ist deutscher Standard mit detailliertem Bausteinkatalog. Für mittelständische Unternehmen mit internationaler Kundschaft ist ISO 27001 typisch die bessere Wahl.
Was passiert nach der Zertifizierung?
Jährliches Überwachungsaudit (Surveillance), alle 3 Jahre Re-Zertifizierung. Wir bleiben in unserem Retainer-Modell zuständig für Doku-Pflege, Schulungen, neue Risiken und Anpassungen, sodass jedes Audit ohne Stress läuft.
30 Minuten Erstberatung, kostenfrei.
Wir besprechen Ihr konkretes Anliegen, schätzen Aufwand und Preisrahmen ein und klären, ob wir der richtige Partner sind. Unverbindlich.