Ihr größter Kunde fordert ISO 27001 bis Q3. Schaffen Sie das?

Marcel Rieger

Managing Director, Cyber Risk

Es kommt häufiger vor, als man denkt: Der Rahmenvertrag mit dem wichtigsten Kunden wird verlängert – aber diesmal mit einer neuen Bedingung. ISO 27001 bis Ende Q3. Sonst kein Vertrag. Die erste Reaktion ist meistens Panik. Die zweite Reaktion: Ist das überhaupt möglich? Die ehrliche Antwort lautet: Ja – wenn Sie jetzt starten und methodisch vorgehen. Wir haben genau das bereits mehrfach für mittelständische Unternehmen umgesetzt.

Was eine realistische ISO-27001-Roadmap bedeutet

ISO 27001 ist in sechs bis neun Monaten erreichbar. Nicht in drei – das wäre unrealistisch und würde zu einem Zertifikat führen, das auf dem Papier existiert, aber in der Praxis nicht gelebt wird. Sechs bis neun Monate sind realistisch, wenn das Projekt strukturiert aufgesetzt und konsequent verfolgt wird.

In den ersten vier Wochen: Scoping-Entscheidung (welche Bereiche, welche Systeme), Gap-Analyse gegen ISO 27001:2022, Risikobewertungsmethodik festlegen, Teamaufstellung und Projektplan. In Woche fünf bis zwölf: Aufbau des ISMS – Policies entwickeln, Controls implementieren, Awareness-Training durchführen. In Woche 13 bis 20: Interne Audits, Managementreview, Behebung von Findings, Feinschliff der Dokumentation. In Woche 21 bis 26: Externes Stage-1-Audit (Dokumentenprüfung) und Stage-2-Audit (Vor-Ort). Zertifikat.

Was Sie brauchen, um die Deadline zu halten

Erstens einen erfahrenen Partner, der bereits weiß, welche Fallstricke es gibt und wie man sie umgeht. Zweitens klare Entscheidungen auf Geschäftsführungsebene: Wer ist intern verantwortlich? Welche Ressourcen stehen zur Verfügung? Drittens die Bereitschaft, das Projekt konsequent voranzutreiben – ISO 27001 verzeiht keine Pausen von vier Wochen.

Was wir mitbringen

Erfahrung aus einer Vielzahl erfolgreicher ISO-27001-Projekte im deutschen Mittelstand. Vorlagen, die auditfähig sind und nicht nachgebaut werden müssen. Die Koordination mit dem Zertifizierer, wenn gewünscht. Und die ehrliche Einschätzung, ob Ihre Deadline haltbar ist – bevor wir starten, nicht während des Projekts.

Was Sie von uns bekommen: Keine Versprechen, die wir nicht halten können. Wenn Ihre Deadline nicht haltbar ist, sagen wir das im ersten Gespräch – bevor wir starten. Wenn sie machbar ist, liefern wir. In vielen erfolgreichen ISO-27001-Projekten im Mittelstand haben wir genau das unter Beweis gestellt.

Buchen Sie den kostenlosen Machbarkeits-Check. In 60 Minuten wissen Sie, ob Ihre Deadline realistisch ist – und was konkret nötig ist, um sie zu halten.