Einführung ISMS nach ISO 27001

HOME

Einführung ISMS nach ISO 27001: pragmatisch, auditfähig, messbar

Ein ISMS nach ISO 27001 ist die Grundlage, um Informationssicherheit planbar zu machen – risikobasiert, nachvollziehbar und mit klaren Verantwortlichkeiten. Ich führe Ihr Unternehmen schlank und praxisnah durch die Einführung – mit Quick-Wins, die sofort Wirkung zeigen, und einer Roadmap bis zur Zertifizierung.

Warum ein ISMS nach ISO 27001?

  • Compliance & Nachweisbarkeit: Erfüllt Anforderungen aus Gesetzen, Verträgen und Audits – inklusive klarer Nachweise.
  • Risikoreduktion: Systematisch identifizieren, bewerten und behandeln – statt Ad-hoc-Feuerwehr.
  • Vertrauen schaffen: Seriosität gegenüber Kunden, Partnern und Auditoren nachweisen – mit konsistenter Dokumentation.
  • Effizienz: Prozesse, Rollen und Maßnahmen werden greifbar – Doppelarbeit sinkt, Geschwindigkeit steigt.

Mein Angebot: Einführung mit Plan – nicht mit Over-Engineering

  • Kick-off & Gap-Analyse: Scope, Stakeholder, Reifegrad & Quick-Wins.
  • ISMS-Baseline: kompakter Richtlinien-Satz (z. B. Informationssicherheit, Rollen & Verantwortlichkeiten, Risiko und Asset-Management, und weitere).
  • Asset- und Klassifizierungs-Workshop: Was ist kritisch, wem gehört es, wie wird es geschützt?
  • Risikomethodik & Risikoregister: schlank, messbar, auditfähig.
  • Kontrollen & Anwendbarkeitserklärung (SoA): Auswahl, Begründung, Umsetzung & Nachweise.
  • Umsetzung in Sprints: priorisierte Maßnahmen mit den jeweiligen Verantwortlichen samt Terminen und KPIs.
  • Interne Audits & Management-Review: Vorbereitung auf Zertifizierungsaudit inklusive Nachweisen.
  • Zertifizierungs-Begleitung (optional): Auswahl der Zertifizierungsstelle, Auditvorbereitung und Auditbegleitung.

Projektablauf in 6 Phasen

  1. Analyse: Ziele, Scope, Ist-Stand, Geschäftsprozesse und Anforderungen
  2. Plan: Informationssicherheitsprozesse, Rollen, Richtlinien-Satz, Risikomethodik, SoA-Entwurf.
  3. Do: Einführung der Richtlinien und Prozesse, etablieren von Kontrollen und definieren von Maßnahmen, Durchführung von Awarenessschulung, dokumentieren von Nachweisen.
  4. Check: internes Audit, Management-Review, Nachweise der Umsetzung konsolidieren.
  5. Act: Ergebnisse aus Audit & Management-Review werden in Maßnahmen übersetzt, wie z.B. das Nachschärfen von Richtliniennachschärfen, Maßnahmen optimieren, neue Risiken berücksichtigen. 
  6. Zertifizierung (optional): Begleitung im Zertifizierungsaudit. Für NIS2 besteht z.B. nicht zwangsläufig die Pflicht ein zertifiziertes ISMS einzuführen. 

Ergebnisse, die zählen

  • Auditfähige Dokumentation: Richtlininen-Satz, Prozesse, SoA, Risikoregister, Nachweise.
  • Priorisierte Roadmap: klare Maßnahmen mit Verantwortlichen & Terminen.
  • Sichtbare Quick-Wins: z.B. Sichtbarkeit von Risiken, Entscheidungshilfen für das Management
  • Transparenz fürs Management: KPIs &Reports.

Warum mit mir?

Ihr Berater für Informationssicherheit: Ich bin seit 6 Jahren in der Informationssicherheit tätig. Seither habe ich immer wieder gelernt, dass die Einführung eines ISMS immer nur als das Schreiben von Richtlinien verstanden wird. Es ist aber eine Einführung von Prozessen und Verfahren, die das Unternehmen resilient machen soll. Das heißt es betrifft Mitarbeiter und deren Arbeitsabläufe. Ich kann Ihnen helfen die Abläufe effizient so zu gestalten, dass der operative Impact minimal ist und damit auch die Akzeptanz steigt.   

FAQ zur ISMS-Einführung

Wie lange dauert die Einführung?
Das hängt von Größe bzw. dem Scope ab. Typisch planen wir mehrere Sprints über einige Wochen bis Monate.

Wie viel Aufwand entsteht intern?
Wir bündeln Interviews & Workshops effizient. Kernrollen (Process Owner, IT, Management) sind punktuell eingebunden; die Umsetzung erfolgt über eine priorisierte Maßnahmenliste.

Remote oder vor Ort?
Beides. Häufig ist ein Hybrid-Setup am effektivsten: Workshops und kleinere Meetings remote, kritische Termine vor Ort.

Passt ISO 27001 auch zu NIS2/DORA?
Ja. ISO 27001 strukturiert Informationssicherheit sauber und besitzt für NIS2/DORA-Anforderungen die Wirkungsvermutung. So können wesentliche Anforderungen der NIS2/DORA durch die ISO 27001 umgesetzt werden. Wir legen gemeinsam von Beginn an die Umsetzung fest, so dass Sie auch hinsichtlich der EU-Regelung konform sind.

Nächster Schritt

Kostenloses Erstgespräch (30 Min.) – wir klären Ziele, Scope und nächsten Schritt.
📞 +49 (0) 155 62974543 | ✉️ info@alexander-kunze.com