ISMS Einführung/Begleitung nach ISO 27001:2022

ISO/IEC 27001:2022 ISMS Neueinführung

pecb iso/iec 27001 lead auditor certification badge

Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.

  • Objektiv, bodenständig und 100 % persönlich.
  • Ohne den Teufel an die Wand zu malen.
  • Dinge genau unter die Lupe nehmen, Fehler beim Namen nennen und vorausschauend arbeiten.
  • Technik und Compliance aus einer Hand.
  • Immer in Zusammenarbeit mit Ihrem IT-Team.
  • Mit tiefgreifendem IT-Security Wissen aus der Praxis.
  • Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
  • Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
  • Mit intensivem Know-how der CIS Critical Security Controls®.
  • Bei Bedarf, 24x7!
  • In Oberhausen/NRW ansässig, in Deutschland zu Hause.

Begleitung bei der Implementierung eines neuen ISMS nach ISO/IEC 27001:2022

Ein ISMS ist sehr komplex, es involviert viele Abteilungen und Personen, die „auf einmal“ alle in irgendeiner Form interagieren müssen. Alles kombiniert mit dem verpflichtenden Anspruch, die verschiedenen Assets einer ordentlichen Risikoanalyse zu unterziehen und die umfangreichen Maßnahmen zu behandeln, in der Regel umzusetzen und zu dokumentieren (Stichpunkt: Richtlinien), ferner sollen alle Richtlinien der jeweiligen Zielgruppe auch komplett bewusst sein und diese auch gelebt werden. Da es bei einem ISMS um ein „Management-System“ handelt, müsse alle Maßnahmen und Ergebnisse messbar sein und folglich in periodischen Abständen kontrolliert und ggf. korrigiert werden.


Besonders hervorzuheben sind auch die gesteigerten Anforderungen der Maßnahmen des Anhang A der ISO/IEC 27001:2022. Auf den ersten Blick könnte man (fälschlicherweise) glauben, dass die 93 Pflichtmaßnahmen der ISO/IEC 27001:2022 „zügig“ zu behandeln sind. "Immerhin ist es doch nur eine simple Liste, die man abhakt 🤔?"


Nun, genau das ist ein weitverbreiteter Irrglaube. Das, was die ISO/IEC 27001:2022 sich unter den Anforderungen der Maßnahmen aus dem Anhang A vorstellt, kann man in der ISO/IEC 27002:2022 (informativ) nachlesen. Ob man diese Informationen 1:1 umsetzt oder individuell erweitert bzw. leicht abschwächt, ist von Unternehmen zu Unternehmen unterschiedlich. Fakt ist aber auch, dass der Umfang der ISO/IEC 27002:2022 mehrere hundert Seiten beträgt zzgl. ergänzender Sekundär-Literatur. Die Erkenntnis daraus mündet oft in eine Ernüchterung.

Thematiken wie der umfangreichen Inventarisierung von fast allen (hierzu gehört auch die Dienstleister-Inventarisierung), SIEM, Threat-Intelligence, permanentes Monitoring, System Härtungen, granulares Rechtemanagement, Schwachstellen Management, Screening von Personal und vieles mehr, können große Baustellen für ein Unternehmen darstellen. Da „gefühlt“ alles mit allem irgendwie verbunden ist, kommen dann noch Richtlinien zu den Maßnahmen hinzu und die Kür, all diese Implementierungen noch periodisch zu messen. Denn die Begriffe „Management System“, verlangen nicht einfach die Einführung von „Dingen“, sondern dass diese „Dinge“ systematisch bewertet, überwacht, gesteuert, geregelt und bei Bedarf optimiert werden.


Grundsätzlich kann man angeben, dass die Implementierung eines neuen ISMS nach der ISO/IEC 27001:2022 im Schnitt 12 Monate und mehr bedarf. Da kann es verlockend wirken, Werbeaussagen wie „In 6 Monaten zur Zertifizierung“ leichtgläubig nachzugehen und/oder sich ein paar Vorlagen zu verschiedenen Richtlinien zu „besorgen“.


Als jemand, der Informationssicherheit sehr ernst nimmt, kann ich von solchen Verführungen nur abraten. Die Informationssicherheit ist immer individuell und ein Mindset, das sich entwickeln muss (insb. der Prozess-Gedanke) und von sämtlichem Personal gewürdigt wird. Ein ISMS ist viel zu kostspielig, um hier sein Glück mit halbherzigen Vorlagen herauszufordern. Spätestens beim Zertifizierungsaudit fällt man bei einem ehrlichen Auditor auf und letztendlich durch.


Mein Statement im Bereich eines ISMS nach ISO/IEC 27001:2022, ist vielleicht provokant:


„Nicht die Zertifizierung ist das Ziel, sondern ein funktionierendes Informations-Sicherheits-Management-System, welches nach besten Wissen und Gewissen uns vor Vorfällen schützt.
Die offizielle Zertifizierung ist nur die positive Bestätigung, dass wir alles richtig gemacht haben.“


Meine ISMS Begleitung im Falle einer kompletten Neu-Einführung, verfolgt einen Plan mit 11 Kapiteln, wobei jedes Kapitel in sich noch weiter unterteilt ist. Bevor es an die gezielten Thematiken der ISO/IEC 27001:2022 geht, führe ich eine strukturierte Analyse Ihrer Systemlandschaft und Kernprozesse durch und werde mit Ihnen im nächsten Schritt klären, „wo“ Ihre Struktur sich momentan befindet und wie viele „Baustellen“ bzw. Maßnahmen anstehen. Fallen bei der Analyse lediglich nur kleinere Abweichungen auf, so geht es an die weitere Planung nach ISO/IEC 27001:2022. Sind die Diskrepanzen allerdings so umfangreich, dass der geschätzte Zeitplan nicht einzuhalten ist (besonders wenn kein funktionierendes Asset-Management vorhanden ist), empfehle ich erst die wichtigsten Maßnahmen und Baustellen zu bearbeiten, bevor es weiter mit den offiziellen Schritten der ISO/IEC 27001:2022 geht.

Meine berufliche Erfahrung hat genau das bewiesen, dass die strukturierte Vorab-Analyse ein Unternehmen tatsächlich auf den richtigen Erfolgspfad bringt und so finanzielle Mittel sinnvoll eingesetzt werden, sowie sich dadurch auch verlässliche zeitliche Aussagen treffen lassen. Inhaltlich handelt es sich bei der Analyse um das Paket „Ihr Wegweiser zur IT-Sicherheit“. Mit dessen Methode kann ich innerhalb kurzer Zeit eine recht genaue Aussage treffen und alle involvierten Personen der IT und auch die Geschäftsführung dahingehend aufklären und sensibilisieren, wie der „Fahrplan“ aussehen sollte.


isms plan do check act process
Zu den Service Paketen

Unterschiedliche Pakete, für unterschiedliche Bedürfnisse.

Immer mit dem Anspruch auf eine langjährige Partnerschaft sind auch individuelle Lösungen möglich.

Jedes Paket hat die Option, ohne Aufschlag, auch werktags nach 18:00 Uhr bzw. am Wochenende durchgeführt zu werden.
Alle Pakete lassen sich auch individuell mit anderen Dienstleistungen kombinieren, z.B. mit dem Paket „Schwachstellen Management“.
Profitieren Sie von interessanten Rabatten.

Pakete für die Begleitung bei der Implementierung eines neuen ISMS nach ISO/IEC 27001:2022

SMALL MEDIUM LARGE EXTRA LARGE
(kleine Umgebungen bis ~50 Assets) (mittlere Umgebungen bis ~150 Assets) (größere Umgebung ~150-250 Assets) (custom)
Vorarbeiten* Ihr Wegweiser zur IT-Sicherheit (einmalig) Ihr Wegweiser zur IT-Sicherheit (einmalig) Ihr Wegweiser zur IT-Sicherheit (einmalig) Ihr Wegweiser zur IT-Sicherheit (einmalig)
Zugriff auf echtes Experten-Wissen
Kein aggressives Up-Selling
Tätigkeit auch nach 18:00 Uhr und am Wochenende OHNE Aufpreis
Umfangreiche Beratung zur ISO/IEC 27001:2022 auf individuellen Abruf (Falls keine ISB Rollenübernahme)** Ab 2 PT Ab 4PT Ab 5PT Ab 8PT
ISB Rollenübernahme umfangreiche Beratung zur ISO/IEC 27001:2022 - fixe Termine** Ab 5 PT Ab 8PT Ab 8PT Ab 8PT
Mitarbeit bei der Umsetzung von Maßnahmen*** Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag
Mindestvertragslaufzeit 6 Monate 6 Monate 12 Monate 12 Monate

* Nötig für eine gezielte Erst-Analyse
** Nicht genutzte Stunden/Personentage verfallen am Ende des Monats.
*** Es darf kein Interessenskonflikt entstehen.

Kontaktieren Sie mich
Share by: