ISO27001: Ihre 90-Tage Roadmap zum ISMS

Marcel Rieger

Managing Director, Cyber Risk

Sie wissen, dass ISO 27001 kommt. Der Geschäftsführer hat es entschieden, der Kunde hat es gefordert. Jetzt brauchen Sie einen Plan, der wirklich funktioniert – keinen, der als Powerpoint in der Schublade liegt. Unsere 90-Tage-Roadmap ist auf genau diese Situation zugeschnitten: pragmatisch, mit klaren Verantwortlichkeiten und messbaren Meilensteinen.

Phase 1 (Tage 1–30): Foundation legen

In der ersten Phase schaffen wir die Grundlagen. ISMS-Scope definieren und mit der Geschäftsführung abstimmen. Risikobewertungsmethodik festlegen und erste Risikobewertung durchführen. Asset-Inventar erstellen. Statement of Applicability (SoA) ausarbeiten. Führungsverantwortung dokumentieren und kommunizieren. Abstimmung mit dem Datenschutzbeauftragten.

Am Ende von Phase 1 haben alle Beteiligten ein gemeinsames Verständnis: Was ist im Scope? Welche Risiken gibt es? Wer ist verantwortlich?

Phase 2 (Tage 31–60): Controls und Policies implementieren

In der zweiten Phase geht es an die Substanz. Interne Kontrollen implementieren – technisch und organisatorisch. Policies entwickeln, intern abstimmen und verabschieden. Erstes Awareness-Training durchführen und Teilnahme dokumentieren. Lieferantenbewertung für kritische Drittparteien starten. Incident-Response-Prozess aufbauen und kommunizieren. Vulnerability-Management-Prozess etablieren.

Phase 3 (Tage 61–90): Audit-Readiness herstellen

In der dritten Phase finalisieren wir. Internes Audit gegen alle relevanten ISO-27001-Anforderungen durchführen. Findings aus dem internen Audit priorisiert beheben. Managementreview dokumentieren. Evidence-Paket vollständig zusammenstellen. Externes Audit vorbereiten und koordinieren.

Was unser Ansatz von anderen unterscheidet

Wir arbeiten mit Ihnen – nicht für Sie. Das bedeutet Wissenstransfer und keine Beraterabhängigkeit. Wir liefern umsetzungsreife Dokumente, keine Vorlagen die Sie selbst befüllen müssen. Und wir wissen aus vielen erfolgreichen Projekten, welche Findings Auditoren wirklich kritisch sehen – und bei welchen man pragmatisch vorgehen kann.

Was Sie nach 90 Tagen haben: Kein Zertifikat – das kommt in Monat sechs bis neun. Aber ein vollständig auditierbares ISMS. Und ein Team das versteht, was es tut – keine Beraterabhängigkeit.

Kickoff ist ein 60-Minuten-Gespräch. Danach haben Sie eine konkrete Timeline und einen transparenten Preis. Beginnen Sie mit einem kostenlosen Erstgespräch.