ISO 27001 später. Jetzt erstmal audit-ready in 30 Tagen.

Marcel Rieger

Managing Director, Cyber Risk

ISO 27001 ist das Ziel – aber der Weg dorthin beginnt nicht immer mit dem vollständigen ISMS-Aufbauprojekt. Manchmal ist die wichtigste erste Frage schlicht: Wo stehen wir eigentlich? Was haben wir bereits, was fehlt komplett, und was ist halb fertig und braucht nur noch Dokumentation? Ohne eine solche Analyse riskieren Sie, in den falschen Bereichen Zeit und Geld zu investieren.

Was in 30 Tagen passiert

In den ersten zwei Wochen führen wir eine strukturierte Gap-Analyse gegen de Anforderungen der ISO 27001:2022 durch. Wir erfassen, welche der relevanten Controls bereits vorhanden sind – auch wenn sie bisher nicht als solche dokumentiert wurden. Wir bewerten die Reife jeder vorhandenen Maßnahme. Und wir erstellen ein priorisiertes Finding-Register mit Risikowertung: Was muss als erstes geschlossen werden? Was kann warten?

In Woche drei und vier setzen wir die Quick Wins um – also die fünf bis acht Controls, die mit überschaubarem Aufwand die größte Wirkung erzielen. Das sind typischerweise: eine dokumentierte Passwort-Policy, aktivierte MFA für externe Zugänge, ein getestetes Backup-Konzept, ein strukturiertes Asset-Inventar, eine dokumentierte Zugriffsberechtigungssteuerung und ein einfacher Vorfallmeldeprozess. Außerdem erstellen wir auditfähige Basisvorlagen für Ihre wichtigsten Policies.

Was Sie nach 30 Tagen haben

Eine ehrliche und präzise Analyse – nicht eine beruhigende, sondern eine nützliche. Einen priorisierten Implementierungsplan für das vollständige ISMS. Die ersten nachweisbaren Maßnahmen, die Sie sofort in Ausschreibungen und Kundengesprächen einsetzen können. Und die Gewissheit, dass der nächste Schritt Richtung ISO-27001-Zertifizierung auf einem soliden Fundament steht.

Für wen dieser Sprint sinnvoll ist

Dieser Sprint eignet sich besonders für Unternehmen, die bisher wenig strukturierte IT-Sicherheitsarbeit geleistet haben, die einen ersten Nachweis für einen Kunden benötigen, ohne sofort in ein Vollzertifizierungsprojekt einzusteigen, oder die intern noch Überzeugungsarbeit für ein größeres ISMS-Projekt leisten müssen und mit konkreten Ergebnissen argumentieren wollen.

Der Sprint ist kein Ersatz für das vollständige ISMS-Projekt. Er ist der smarteste erste Schritt: Sie investieren wenig, bekommen viel Klarheit, und schaffen eine Grundlage, auf der das vollständige Projekt effizienter läuft. Außerdem können Sie die Ergebnisse des Sprints sofort einsetzen – im nächsten Kundengespräch, in der nächsten Ausschreibung.