Zum Inhalt springen
SIKKER GmbH

ISMS & ISO 27001: Sicherheit, die sich selbst trägt

Ein Informationssicherheitsmanagementsystem klingt erst mal nach viel Aufwand. In der Praxis ist es das auch, zumindest am Anfang. Es ist jedoch der einzige Weg, Informationssicherheit nicht als Einmalprojekt zu behandeln, sondern als etwas, das dauerhaft funktioniert. Wir helfen Ihnen dabei, diesen Weg strukturiert zu gehen.

Erstgespräch anfragen Warum das wichtig ist

Warum das wichtig ist

Viele Unternehmen haben bereits Sicherheitsmaßnahmen. Firewalls, Zugriffsrechte, Passwortrichtlinien. Nur hängen diese Maßnahmen oft nebeneinander, ohne dass jemand das Gesamtbild im Blick hat. Genau das ist das Problem. Ein ISMS bringt Struktur in das, was bereits vorhanden ist, schließt Lücken und sorgt dafür, dass Risiken systematisch erkannt und behandelt werden.

Für viele Unternehmen kommt noch ein weiterer Grund hinzu: Geschäftspartner und Auftraggeber prüfen ihre Lieferanten heute deutlich genauer. Wer kein ISMS nachweisen kann oder keine ISO 27001-Zertifizierung vorweisen kann, gerät in Lieferantenprüfungen schnell unter Druck oder scheidet aus Ausschreibungen aus, bevor es überhaupt zu einem Gespräch kommt.

Was wir tun

Wir starten mit einer Bestandsaufnahme. Was ist bereits vorhanden? Was fehlt? Wo liegen Risiken, die bislang nicht systematisch erfasst wurden? Auf dieser Grundlage entwickeln wir gemeinsam mit Ihnen eine ISMS-Strategie, die zu Ihrer Organisation passt: zur Größe, zur Branche, zu den vorhandenen Ressourcen.

Bei der Umsetzung begleiten wir Sie durch alle relevanten Schritte:

  • Risikoanalyse und Entwicklung eines Risikobehandlungsplans
  • Erstellung von Richtlinien, Prozessen und der notwendigen Dokumentation
  • Integration des ISMS in Ihre bestehende IT-Infrastruktur und Organisation
  • Schulungen und Sensibilisierung Ihrer Mitarbeitenden
  • Planung der personellen, finanziellen und technischen Ressourcen

Nicht jedes Unternehmen braucht sofort eine Zertifizierung. Manchmal ist ein funktionierendes, gut dokumentiertes System das eigentliche Ziel. Wer später den Schritt zur ISO 27001 gehen möchte, hat mit einem soliden ISMS die beste Grundlage dafür. Wir begleiten beides: den strukturierten Aufbau ohne Zertifizierungsdruck genauso wie die gezielte Vorbereitung auf das Audit, mit Gap-Analyse, Definition von Handlungsempfehlungen und Begleitung durch den Zertifizierungsprozess.

Für die laufende Verwaltung und Steuerung Ihres ISMS steht Ihnen zudem unser Management-Tool SIKKER ASSISTENT zur Verfügung, mit dem Sie das gesamte Managementsystem, einschließlich Maßnahmen, Risiken und Dokumentation, zentral verwalten können.

Nach der Einführung

Ein ISMS ist kein Projekt, das irgendwann abgeschlossen ist. Es muss gepflegt, überprüft und angepasst werden. Wir unterstützen Sie auch dabei: mit internen Audits, Management-Reviews und der Aktualisierung von Maßnahmen, wenn sich Bedrohungen oder gesetzliche Anforderungen ändern.

Auf Wunsch übernehmen wir auch die Rolle des externen Informationssicherheitsbeauftragten und begleiten Sie in der Regelbetriebsbetreuung.

Das Ergebnis

Sie haben ein funktionierendes System, das Risiken sichtbar macht und beherrschbar hält. Ihre Prozesse sind dokumentiert und nachvollziehbar. Ihre Mitarbeitenden wissen, was zu tun ist. Und falls nötig: Sie haben das Zertifikat, das Ihre Geschäftspartner erwarten.

Sprechen Sie uns an. Gemeinsam finden wir die passende Lösung.

Häufig gestellte Fragen

Was kostet eine ISO 27001-Zertifizierung?

Eine seriöse Kostenschätzung ist erst nach einer Gap-Analyse möglich, da die Ausgangssituation den Aufwand maßgeblich beeinflusst. Ausschlaggebend sind Unternehmensgröße, Geltungsbereich und gewählter Zertifizierer. Wir skizzieren den konkreten Rahmen in einem Erstgespräch.

Für wen ist ISO 27001 Pflicht?

Eine gesetzliche Zertifizierungspflicht nach ISO 27001 gibt es im strengen Sinne nicht. Faktisch ist sie jedoch in vielen Fällen unumgänglich: NIS-2-betroffene Unternehmen, KRITIS-Betreiber und IKT-Dienstleister von Finanzinstituten (DORA) müssen ein ISMS nachweisen, das anerkannten Standards entspricht. Hinzu kommen vertragliche Anforderungen von Auftraggebern, die eine Zertifizierung als Vergabevoraussetzung fordern.

Wie lange dauert der Aufbau eines ISMS nach ISO 27001?

Für ein mittelständisches Unternehmen ohne bestehendes ISMS sind 9 bis 18 Monate bis zur Erstzertifizierung realistisch. Wesentliche Einflussfaktoren sind die Komplexität der IT-Landschaft, die Unternehmensgröße und die internen Ressourcen für das Projekt. Unternehmen mit bereits etablierten Sicherheitsprozessen können den Zeitrahmen deutlich verkürzen.

Was ist der Unterschied zwischen ISO 27001 und BSI-Grundschutz?

ISO 27001 ist ein internationaler Standard mit risikobasiertem Ansatz. Das Unternehmen wählt selbst, welche der 93 Controls anwendbar sind, und begründet die Auswahl im Statement of Applicability. Der BSI-Grundschutz ist ein deutsches Rahmenwerk mit detaillierten Bausteinbeschreibungen und konkreten Umsetzungsempfehlungen. Viele Unternehmen nutzen den Grundschutz als methodische Hilfe bei der Risikoanalyse, streben aber eine ISO-27001-Zertifizierung an, da diese international anerkannt ist.

Muss das gesamte Unternehmen in den ISO-27001-Scope?

Nein. Der Geltungsbereich (Scope) des ISMS kann auf bestimmte Prozesse, Standorte oder Geschäftsbereiche beschränkt werden. Eine sorgfältige Scope-Definition ist eine der ersten und wichtigsten Entscheidungen im Zertifizierungsprojekt. Ein zu eng gefasster Scope kann die Aussagekraft des Zertifikats einschränken, ein zu weit gefasster Scope erhöht den Aufwand erheblich.

Hilft ein bestehendes ISO-27001-ISMS bei der NIS-2-Umsetzung?

Erheblich. Die Kontrollen der ISO 27001:2022 decken den überwiegenden Teil der zehn Pflichtmaßnahmen nach §30 BSIG ab. Risikoanalyse, Business Continuity, Zugriffskontrollen, Kryptografie und Incident-Management sind in beiden Regelwerken verankert. Eine gezielte Gap-Analyse zeigt den verbleibenden Anpassungsbedarf, etwa die BSI-Registrierung oder die 24-Stunden-Meldepflicht, die ISO 27001 nicht direkt adressiert.

Verwandte Leistungen

Ein ISMS steht selten allein. Diese Leistungen ergänzen den ISO-27001-Aufbau sinnvoll.

Informationssicherheit

Grundlagen, Schutzziele und regulatorische Anforderungen. Die Übersichtsseite zur Informationssicherheit für den Mittelstand.

Mehr erfahren

Interne und externe Audits

ISO-27001-Audits, Lieferantenaudits und IT-Sicherheitsaudits. Wir prüfen, dokumentieren und bereiten auf Zertifizierungsaudits vor.

Mehr erfahren

Externer Informationssicherheitsbeauftragter

Den ISMS-Betrieb langfristig absichern: Wir übernehmen die ISB-Rolle als externer Dienstleister, ISO-27001-konform und praxiserprobt.

Mehr erfahren

Ihr Partner für ISMS-Beratung und ISO 27001 Zertifizierung

Die SIKKER GmbH berät mittelständische Unternehmen in ganz Deutschland beim Aufbau und der Zertifizierung von Informationssicherheits-Managementsystemen nach ISO 27001. Unser Team verbindet normatives Fachwissen mit Praxiserfahrung aus Projekten unterschiedlicher Branchen und Unternehmensgrößen.

Von der Gap-Analyse über den ISMS-Aufbau bis zur Audit-Vorbereitung: Wir begleiten den gesamten Zertifizierungsprozess und bleiben als Partner für Überwachungsaudits und kontinuierliche Verbesserung an Ihrer Seite. Mehr über unser Team erfahren.

SIKKER GmbH

Informationssicherheit, Datenschutz & Compliance

ISO 27001 DSGVO NIS-2 BCM KI-Compliance

ISO 27001 Zertifizierung strukturiert angehen

Wir analysieren Ihre Ausgangssituation, definieren einen realistischen Projektplan und begleiten Sie bis zum Zertifizierungsaudit. Sprechen Sie mit unserem Team.

Jetzt Kontakt aufnehmen