Back to Services

ISMS-Richtlinien & ISO 27001-Zertifizierung

Praktische Unterstützung bei der Entwicklung von Sicherheitsrichtlinien und dem Erreichen der ISO 27001-Zertifizierung. Dokumentation, die tatsächlich funktioniert, nicht nur Papier.

Warum ISMS & ISO 27001 wichtig ist

Ein Information Security Management System (ISMS) ist nicht nur Papierkram – es ist ein strukturierter Ansatz zum Schutz sensibler Unternehmensinformationen. Die ISO 27001-Zertifizierung zeigt Kunden, Partnern und Regulierungsbehörden, dass Sie Sicherheit ernst nehmen.

Aber seien wir ehrlich: Der Prozess kann überwältigend sein, besonders für kleine bis mittlere Organisationen. Hier komme ich ins Spiel.

Was ich anbiete

ISMS-Entwicklung & Umsetzung

Gemeinsame Entwicklung Ihres ISMS

Ich helfe Ihnen, ein praktisches, funktionales ISMS aufzubauen, das:

  • Zu Ihrer Organisationsgröße und -komplexität passt
  • Echte Sicherheitsprobleme anspricht, nicht nur Checkbox-Compliance
  • Tatsächlich von Ihrem Team genutzt wird (keine Staubfänger-Dokumente)
  • Mit Ihrem Unternehmen skalierbar ist

Wichtige Elemente, die ich unterstütze:

  • Risikoeinschätzungs-Framework
  • Informationssicherheitsrichtlinie
  • Richtlinien für akzeptable Nutzung
  • Zugriffskontrollrichtlinien
  • Incident-Response-Pläne
  • Business-Continuity-Planung
  • Disaster-Recovery-Verfahren
  • Datenschutz- und Datenverwaltung

Richtlinien & Verfahrensdokumentation

Verständliche, praktische Richtlinien

Ich schreibe Sicherheitsrichtlinien, die:

  • In klarem Deutsch sind, nicht in Rechtsjargon
  • Spezifisch für Ihre Organisation sind, nicht generisch
  • Umsetzbare Anleitung für Mitarbeiter bieten
  • Compliance-Anforderungen erfüllen (DSGVO, NIS2, etc.)
  • Tatsächlich gelesen und genutzt werden

Typische Richtlinien, die ich erstelle:

  • Informationssicherheitsrichtlinie (Top-Level)
  • Zugriffskontroll- und Benutzerverwaltungsrichtlinie
  • Passwort- und Authentifizierungsrichtlinie
  • Richtlinie für akzeptable Nutzung
  • Datenschutzrichtlinie
  • Incident-Response-Richtlinie
  • Backup- und Recovery-Richtlinie
  • Richtlinie für sichere Entwicklung (wenn zutreffend)
  • Richtlinie für Drittparten-Risikomanagement
  • Richtlinie für mobile Geräte und Remote-Arbeit
  • Verschlüsselungs- und Kryptografierichtlinie

ISO 27001-Zertifizierungsunterstützung

Führung durch den Zertifizierungsprozess

Die ISO 27001-Zertifizierung zu erreichen ist ein strukturierter Prozess. Ich helfe Ihnen bei jedem Schritt:

1. Gap-Analyse

  • Bewertung Ihres aktuellen Sicherheitsstatus
  • Identifizierung fehlender Kontrollen und Dokumentation
  • Priorisierung von Verbesserungsmaßnahmen
  • Realistische Zeitlinienplanung

2. Dokument-Vorbereitung

  • Statement of Applicability (SoA)
  • Risikobewertungs-Methodik
  • Risikoeinstufungs-Framework
  • Risikobehandlungsplan
  • Alle erforderlichen Richtlinien und Verfahren

3. Implementierungs-Unterstützung

  • Kontrollumsetzungsanleitung
  • Werkzeugauswahl und -konfiguration
  • Mitarbeiterschulung
  • Prozessdokumentation
  • Interne Audits

4. Audit-Vorbereitung

  • Pre-Audit-Bewertungen
  • Identifizierung und Behebung von Lücken
  • Mock-Audit-Übungen
  • Vorbereitung der Auditoren-Dokumentation
  • Management-Review-Vorbereitung

5. Laufende Compliance

  • Unterstützung bei jährlichen Überwachungsaudits
  • Prozess-Verbesserung
  • Dokumentations-Updates
  • Nachzertifizierungs-Unterstützung

Risikobewertung & -management

Identifizierung und Verwaltung von Informationssicherheitsrisiken

Ich helfe Ihnen, Risiken zu verstehen und zu verwalten:

Risikobewertungsprozess:

  1. Vermögensidentifikation: Katalogisierung von Informationsvermögen
  2. Bedrohungsanalyse: Potenzielle Bedrohungen identifizieren
  3. Schwachstellenbewertung: Schwächen in Kontrollen finden
  4. Risikoanalyse: Wahrscheinlichkeit und Auswirkung bewerten
  5. Risikobehandlung: Entscheidungen zu akzeptieren, mindern, übertragen oder vermeiden

Dokumentation und Verfolgung:

  • Risikoregister-Entwicklung
  • Risikobehandlungsplan
  • Akzeptanz der Restrisiken
  • Regelmäßige Risiko-Reviews
  • Management-Berichterstattung

Compliance-Mapping & Berichterstattung

Mehrere Compliance-Frameworks verwalten

Wenn Sie mit mehreren Regulierungen zu tun haben, helfe ich Ihnen bei:

  • DSGVO-Compliance-Mapping
  • NIS2-Anforderungen (falls zutreffend)
  • Branchenspezifische Standards (KRITIS, etc.)
  • Kundenbezogene Anforderungen
  • Compliance-Audits
  • Regulatorische Berichterstattung

Wer profitiert davon

Ideal für:

Kleine bis mittlere Unternehmen

  • Ohne dediziertes Compliance-Personal
  • Vorbereitung für Kundenforderungen zur Zertifizierung
  • Aufbau strukturierter Sicherheitsprogramme

IT-Service-Anbieter

  • Benötigen ISO 27001 zur Kundengewinnung
  • Müssen Informationssicherheit demonstrieren
  • Verwaltung von Kundendaten und -systemen

Cloud-Service-Anbieter

  • SaaS, PaaS oder IaaS-Anbieter
  • Benötigen Vertrauensanker für Kunden
  • Compliance mit Datenverarbeitungsvereinbarungen

Gesundheitsorganisationen

  • Verwaltung sensibler Patientendaten
  • DSGVO-Compliance erforderlich
  • Informationssicherheitsframework benötigt

Finanzdienstleistungen

  • Banken, Versicherungen, Fintech
  • Regulatorische Anforderungen
  • Kundendatenschutz kritisch

Vertragspflichten

  • Kunden verlangen ISO 27001-Zertifizierung
  • Öffentliche Aufträge erfordern Zertifizierung
  • Partnerschaften benötigen Nachweise

Nicht ideal für:

  • Sehr große Unternehmen (benötigen dediziertes ISMS-Team)
  • Organisationen, die nur Checkbox-Compliance wollen
  • Wer keine Ressourcen zur Implementierung hat

Mein Ansatz

1. Verstehen Ihres Kontexts

Ich beginne mit dem Verständnis:

  • Ihres Geschäftsmodells und Ihrer Branche
  • Ihrer aktuellen Sicherheitspraktiken
  • Ihrer Compliance-Treiber
  • Ihrer Ressourcenbeschränkungen
  • Ihrer Zertifizierungsziele und Zeitlinie

2. Pragmatisches Design

Ich entwerfe ein ISMS, das:

  • Zu Ihrer Organisationsgröße passt
  • Realistisch mit Ihren Ressourcen ist
  • Fokussiert auf praktische Sicherheit, nicht nur Compliance
  • Mit Ihrem Unternehmen wachsen kann

3. Gemeinsame Umsetzung

Ich arbeite mit Ihrem Team zusammen:

  • Wissenstransfer, keine Black Box
  • Praktische Anleitung, nicht nur Dokumente
  • Aufbau interner Fähigkeiten
  • Empowerment Ihres Teams

4. Nachhaltige Compliance

Ich helfe Ihnen, ein System aufzubauen, das:

  • Nicht von meiner ständigen Beteiligung abhängt
  • Von Ihrem Team gepflegt werden kann
  • Sich mit Ihren Bedürfnissen weiterentwickelt
  • Langfristig nachhaltig bleibt

Was mich auszeichnet

Keine Berater-Fluff

Im Gegensatz zu großen Beratungsfirmen, die:

  • Horrende Gebühren verlangen
  • Generische, copy-paste-Dokumente bereitstellen
  • Nach der Bereitstellung verschwinden
  • Sie abhängig von ihren Diensten machen

Ich biete:

  • Faire, transparente Preise
  • Maßgeschneiderte, spezifische Dokumentation
  • Laufende Unterstützung und Anleitung
  • Fähigkeitsaufbau für Ihr Team

Praktische Sicherheit, nicht Papierkram-Theater

Ich fokussiere auf:

  • Echte Sicherheitsverbesserung, nicht nur Compliance
  • Funktionierende Verfahren, nicht theoretische Richtlinien
  • Benutzbare Dokumentation, nicht Heftordner-Füller
  • Messbare Ergebnisse, nicht nur Checkboxen

Der Prozess

Phase 1: Bewertung & Planung (1-2 Wochen)

  • Initiales Treffen und Scoping
  • Gap-Analyse
  • Projektplan und Zeitlinie
  • Ressourcenidentifikation
  • Kick-off-Workshop

Phase 2: Dokumentenentwicklung (4-8 Wochen)

  • Richtlinien- und Verfahrensschreiben
  • Risikobewertung
  • Kontrollumsetzungsplanung
  • Review-Zyklen mit Ihrem Team
  • Finalisierung

Phase 3: Implementierung (8-12 Wochen)

  • Kontrollumsetzung
  • Werkzeugkonfiguration
  • Mitarbeiterschulung
  • Prozessintegration
  • Dokumentierung der Evidenz

Phase 4: Interne Audits & Überprüfung (2-4 Wochen)

  • Interne Audit-Durchführung
  • Nichtkonformitäts-Behebung
  • Management-Review
  • Pre-Audit-Vorbereitung

Phase 5: Zertifizierungsaudit (2-4 Wochen)

  • Zertifizierungsstelle-Koordination
  • Audit-Unterstützung
  • Nichtkonformitäts-Behandlung
  • Zertifizierungserreichung

Phase 6: Laufende Wartung

  • Jährliche Überwachungsaudits
  • Dokumentations-Updates
  • Kontinuierliche Verbesserung
  • Nachzertifizierungs-Unterstützung

Zeitlinie: Typischerweise 6-12 Monate für erste Zertifizierung, abhängig von Organisationsgröße und Bereitschaft.

Verfolgung und Werkzeuge

Ich helfe bei der Auswahl und Nutzung von:

  • ISMS-Software: GRC-Plattformen (falls benötigt)
  • Risikomanagement-Werkzeuge: Register und Verfolgung
  • Dokumentenverwaltung: Versionskontrolle und Zugriff
  • Audit-Management: Evidenzsammlung
  • Compliance-Dashboards: Management-Berichterstattung

Preisgestaltung

Flexible Optionen:

  • Festpreisprojekt: Für vollständige ISMS-Entwicklung und ISO 27001-Zertifizierung
  • Stundenweise Beratung: Für spezifische Unterstützung oder Dokumenten-Reviews
  • Retainer-Modell: Für laufende ISMS-Wartung und jährliche Audits
  • Schulung: Separat bepreiste Mitarbeiterschulung und Sensibilisierung

Kontaktieren Sie mich für ein maßgeschneidertes Angebot basierend auf Ihrer Organisationsgröße und Ihren Anforderungen.

Los geht’s

Bereit, Ihr ISMS aufzubauen oder ISO 27001-Zertifizierung zu erreichen? Lassen Sie uns darüber sprechen, wie ich helfen kann.

Keine Verpflichtung, kein Verkaufsgespräch – nur ein ehrliches Gespräch darüber, was Sie brauchen und wie ich helfen kann.