Wir bauen ISO-27001- und ISO-20000-Managementsysteme auf und machen sie auditbereit; ein systematischer Rahmen schließt Kontrolllücken und wiederkehrende Auditbefunde.
NACHWEISISO 27001ISO 27701KVKKDORA
01Ist-ZustandSichtbarkeit von Topologie, Traffic und Abhängigkeiten.
02ZielarchitekturSegmentierung, Kapazität und Verfügbarkeit im Design.
03Kontrollierter ÜbergangÄnderungsfenster, Validierung und Rollback-Plan.
04HypercareMonitoring, Feinabstimmung und operative Übergabe.
Die kritischen Themen, die diese Leistung adressiert, und das Ergebnis, das wir in jedem Bereich liefern.
Standardkonformes Managementsystem
vertraglich geregelt
Wir helfen Ihnen, ein an ISO 27001 (ISMS) und ISO 20000 (ITSM) ausgerichtetes Managementsystem aufzubauen; die Zertifizierungsentscheidung liegt bei der akkreditierten Stelle.
Zertifizierungsbereiter Nachweissatz
Nachweisbereitschaft
Wir organisieren den Dokumentensatz einschließlich der Annex-A-Kontrollen und der SoA als Nachweisakte, die für die Prüfung durch den Zertifizierungsauditor bereit ist.
Messbare SLA- und Resilienzziele
gemessenes Ziel
Wir binden IT-Servicequalität und Reaktionsindikatoren an messbare SLA-Ziele und Abnahmekriterien.
Verantwortung für Audit und Korrekturmaßnahmen
nach Freigabe veröffentlicht
Wir übernehmen und belegen interne Audits und Korrekturmaßnahmen; die Wahl der Zertifizierungsstelle und die endgültige Entscheidung bleiben bei Ihnen.
Liefermodell
Vorgehensmodell
Wie wir die Leistung über Delivery, Governance und verbundene Service-Pillars phasieren.
01
Wir beginnen mit der Definition von Ist-Zustand und Geltungsbereich, erstellen ein Asset-Inventar und klären den Kontrollbedarf in Risikobewertungs-Workshops.
02
Mithilfe der gemeinsamen High Level Structure von ISO 27001 und ISO 20000 vereinen wir Prozesse und unterstützen die Kontrollumsetzung mit technischer Konfiguration.
03
Wir halten das System durch ein internes Auditprogramm und die Managementbewertung am Leben und führen die Vorbereitung vor Überwachungsaudits fort.
Einsatzkontexte
Beispielhafte Einsatzkontexte
Typische operative Flächen, auf denen diese Leistung aktiviert wird.
IT-Dienstleister
Ein Dienstleister, der ISO 27001 und ISO 20000 zusammen als integriertes Managementsystem aufbauen möchte.
Wiederkehrende Auditfeststellungen
Schließen von Kontrolllücken und wiederkehrenden Feststellungen aufgrund eines fehlenden systematischen Rahmens.
Kundenanforderung an Sicherheitsnachweise
Erfüllung der Sicherheitsnachweis-Erwartungen von Unternehmenskunden mit standardkonformen Nachweisen.
TIEFE
Technische und Compliance-Tiefe
Die Tiefe dieser Leistung bei branchenspezifischen technischen und Compliance-Themen.
Risikobewertung und SoA
Wir bewerten Risiken mit ISO 27005, OCTAVE oder FAIR und binden die 93 Kontrollen an eine maßgeschneiderte Anwendbarkeitserklärung.
Dokumenten- und Workshop-Satz
Wir entwickeln über 40 Richtlinien und über 60 Verfahren in Workshops und unterstützen Wissenstransfer und Verantwortungsübernahme.
Unterstützung im Auditzyklus
Wir erhalten die Bereitschaft im Rhythmus von zwei internen Audits und einem Überwachungsaudit pro Jahr und verfolgen Korrekturmaßnahmen.
Was gelöst wird
Informationssicherheitsmanagement ohne strukturierten Rahmen führt zu reaktiven, inkonsistent angewendeten Kontrollen, die weder Sicherheitsanforderungen noch Audit-Erwartungen erfüllen. ISO 27001 und ISO 20000 bieten international anerkannte Rahmenwerke, die Sicherheits-Governance, Serviceerbringung und kontinuierliche Verbesserung systematisieren — und Ad-hoc-Sicherheitspraktiken in ein dokumentiertes, auditierbares Managementsystem überführen. Unser Implementierungsservice führt Organisationen von der ersten Lückenanalyse bis zur Zertifizierung in einem strukturierten, ressourceneffizienten Programm, das die interne Belastung minimiert und gleichzeitig die Zertifizierungsbereitschaft maximiert.
Anwendbarkeitserklärung (SoA) mit Bewertung aller 93 Anhang-A-Kontrollen
Aufbau eines internen Auditprogramms und Schulung von leitenden Auditoren
Vorteile
Nutzen
Audit- und Compliance-Bereitschaft mit Nachweisdokumenten statt unbelegter öffentlicher Ergebnisversprechen unterstützen
Nutzen
Verträge in regulierten Sektoren gewinnen, die ein zertifiziertes ISMS voraussetzen, und so den adressierbaren Markt erweitern
Nutzen
Risiko- und Reaktionskennzahlen durch gemessene Kontrollen, geübte Playbooks und Nachweisüberprüfungen sichtbar machen
Standards
ISO 27001:2022, ISO 27002:2022, ISO 20000-1:2018
Umfang
Gesamte Organisation oder definierter Geltungsbereich (spezifische Dienste/Standorte)
Kriterium
Auswahl einer akkreditierten Zertifizierungsstelle und Unterstützung bei der Audit-Koordination
Überwachung
Jährliche Überwachungsaudit-Unterstützung für den 3-jährigen Zertifizierungszyklus inklusive
Leistungsumfang
Unser ISMS-Implementierungsauftrag folgt der ISO-27001-PDCA-Methodik (Plan-Do-Check-Act) in vier Phasen: Etablieren, Implementieren, Überwachen und Verbessern. Die Etablierungsphase definiert den ISMS-Geltungsbereich, den Organisationskontext und das Risikomanagement-Framework. Implementieren umfasst die Richtlinienentwicklung, Kontrollumsetzung und Sensibilisierungsschulung. Überwachen etabliert das interne Auditprogramm und den Management-Review-Prozess. Verbessern schließt Nichtkonformitäten und bereitet auf das Zertifizierungsaudit vor. Die ISO-20000-Implementierung folgt einer parallelen Struktur mit Fokus auf IT-Service-Delivery-Prozesse.
ISMS-Geltungsbereichsdefinition und Organisationskontextanalyse (ISO 27001 Abschnitte 4–5)
Informationssicherheits-Risikobeurteilung und Risikobehandlungsplan (ISO 27001 Abschnitte 6–8)
Anhang-A-Kontrollumsetzung über alle 4 Domänen und 93 Kontrollen
Managementsystem-Dokumentation: Richtlinien, Verfahren, Arbeitsanweisungen und Aufzeichnungen
Vorteile
Nutzen
Ein vollständig dokumentiertes ISMS mit allen Pflichtdokumenten für die Zertifizierungsaudit-Bereitschaft liefern
Nutzen
Ein risikobasiertes Sicherheitsprogramm etablieren, das auf Ihre spezifische Asset-, Bedrohungs- und Schwachstellenlandschaft abgestimmt ist
Nutzen
ISMS in bestehende IT-Governance-Strukturen integrieren und das Parallel-Bürokratie-Antipattern vermeiden
Rollenbasiertes Sicherheitsbewusstseins-Training mit jährlichem Aktualisierungszyklus
Ergebnisse
Die ISMS-Implementierung liefert ein vollständiges, auditbereites Managementsystem einschließlich aller Pflicht- und empfohlenen Dokumentationen, einem geschulten internen Audit-Team und einem im Auftrag des Kunden abgewickelten Engagement bei der Zertifizierungsstelle. Nach der Zertifizierung bieten wir Überwachungsaudit-Unterstützung während des gesamten dreijährigen Zertifizierungszyklus, um sicherzustellen, dass das ISMS konform und wirksam bleibt. Kunden erhalten außerdem ein Sicherheits-Kennzahlen-Framework, das laufende Messung und Management-Review-Berichterstattung ermöglicht.
Vollständige ISMS-Dokumentationsbibliothek (40+ Dokumente) in kundengerechtem Format
ISO-27001-Stage-1- und Stage-2-Zertifizierungsaudit-Koordination und Unterstützung bei Rückmeldungen
Schulung interner Auditoren — zertifizierter ISO-27001-Lead-Auditor als Facilitator
Korrekturmaßnahmen-Management für Stage-1- und Stage-2-Nichtkonformitäten
Vorteile
Nutzen
Audit- und Compliance-Bereitschaft mit Nachweisdokumenten statt unbelegter öffentlicher Ergebnisversprechen unterstützen
Nutzen
Ein vollständig befähigtes internes Audit-Team übergeben und die Abhängigkeit von externer Unterstützung nach der Zertifizierung reduzieren
Nutzen
Zertifizierung über den dreijährigen Zyklus aufrechterhalten, mit jährlicher Überwachungsaudit-Unterstützung inklusive
Jährliche Vorabeinschätzung für Überwachungsaudits und Unterstützung bei Reaktionen für 3 Jahre
Häufig gestellte Fragen
Was ist der Unterschied zwischen ISO-27001-Zertifizierung und Compliance?
ISO-27001-Compliance bedeutet, Kontrollen zu implementieren, die dem Standard entsprechen. ISO-27001-Zertifizierung bedeutet, dass eine akkreditierte Drittpartei-Zertifizierungsstelle unabhängig verifiziert hat, dass Ihr ISMS die Anforderungen des Standards durch einen dokumentierten Auditprozess erfüllt. Die Zertifizierung liefert extern verifizierbaren Compliance-Nachweis, der Kundenanforderungen, Beschaffungsvoraussetzungen und regulatorische Erwartungen erfüllt, die interne Erklärungen nicht ersetzen können.
Unterscheidet sich ISO 27001:2022 wesentlich von der Version 2013?
Ja. Das Update 2022 strukturierte Anhang A von 114 Kontrollen in 14 Domänen auf 93 Kontrollen in 4 Themenbereiche um, ergänzte 11 neue Kontrollen (u. a. Bedrohungsintelligenz, Cloud-Sicherheit und ICT-Lieferkettensicherheit) und aktualisierte die Anforderungen zum Organisationskontext. Organisationen, die nach ISO 27001:2013 zertifiziert sind, müssen bis Oktober 2025 auf die Version 2022 übergehen. Wir unterstützen sowohl Neuimplementierungen als auch Übergangsprojekte.
Kann ISO 27001 für einen bestimmten Dienst oder eine Abteilung statt für die gesamte Organisation implementiert werden?
Ja. ISO 27001 erlaubt eine flexible Geltungsbereichsdefinition — die Zertifizierung kann eine einzelne Geschäftseinheit, Dienstleistungslinie, ein Rechenzentrum oder einen geografischen Standort abdecken. Eingeschränkte Implementierungen sind in der Regel schneller und kostengünstiger abzuschließen und bieten dennoch einen aussagekräftigen Zertifizierungswert. Wir helfen, einen Geltungsbereich zu definieren, der kommerziell bedeutsam ist (Kundenanforderungen erfüllt) und gleichzeitig innerhalb Ihrer Ressourcen- und Zeitrahmenbeschränkungen praktisch erreichbar ist.
Wie verhält sich ISO 20000 zu ITIL?
ISO 20000 ist der auditierbare Standard, der Anforderungen an ein IT-Service-Managementsystem (ITSMS) definiert. ITIL ist das Prozessrahmenwerk, das praktische Anleitungen zur Umsetzung dieser Anforderungen gibt. Sie ergänzen sich: ITIL liefert die operative Methodik, ISO 20000 den Zertifizierungsrahmen. Eine Organisation, die ITIL-Praktiken implementiert, ist gut positioniert, um die ISO-20000-Zertifizierung mit vergleichsweise geringem zusätzlichem Dokumentationsaufwand anzustreben.
Was beinhaltet das Zertifizierungsaudit konkret?
Die ISO-27001-Zertifizierung umfasst zwei Stufen durch eine akkreditierte Zertifizierungsstelle. Stufe 1 ist eine Dokumentenprüfung — der Auditor verifiziert, dass Ihre ISMS-Dokumentation die Anforderungen des Standards erfüllt. Stufe 2 ist ein Vor-Ort-Audit, bei dem der Auditor Mitarbeitende interviewt, Nachweise prüft und testet, ob dokumentierte Kontrollen tatsächlich implementiert und wirksam sind. Wir begleiten Kunden durch beide Stufen und koordinieren die Reaktionen auf Auditorfeststellungen.
Wie hoch ist der interne Ressourcenaufwand für die ISMS-Implementierung?
Der typische interne Ressourcenaufwand umfasst einen dedizierten internen Verantwortlichen sowie Zeit von Fachexperten während der Implementierung — insbesondere für Risikobeurteilungs-Workshops und Richtlinienprüfungen. Wir minimieren diesen Aufwand durch strukturierte Workshop-Agenden, vorbefüllte Dokumentvorlagen und Online-Kollaborationstools, die Meetingzeiten und Dokumentenüberprüfungszyklen gegenüber traditionellen Beratungsansätzen reduzieren.
Verwandte Servicegruppen
Vergleichen Sie auch andere Arbeitslinien innerhalb desselben Pillars.