ISMS Aufbau & ISO 27001 Zertifizierung für den Mittelstand
Ihr braucht kein ISMS, das im Ordner steht. Ihr braucht eins, das funktioniert.
ISO 27001, ISMS, Zertifizierung — klingt nach Konzern. Muss es aber nicht sein. Wir bauen mit euch ein System auf, das zu eurer Größe passt. Pragmatisch, lebbar, kein Papiertiger.
ab 4.000 €
ISMS-AUFBAU. PRAGMATISCH, LEBBAR, OHNE PAPIERTIGER.
Ø 9 Monate
VOM ERSTEN GESPRÄCH BIS ZUM FERTIGEN SYSTEM.
0
DOKUMENTE OHNE ZWECK. JEDE RICHTLINIE HAT EINEN GRUND.
ISO 27001 Lead Auditor · ISO 27017/27018 Lead Auditor · CISSP · ISO 27001 zertifiziert
Was meistens schiefgeht.
Nicht an der Norm. Sondern an der Umsetzung.
Jemand sagt: Wir brauchen ein ISMS. Also werden Templates heruntergeladen, Richtlinien geschrieben, Dokumente erstellt. Drei Monate später hat niemand mehr reingeschaut. Das ISMS existiert — auf dem Papier. Im Alltag merkt es keiner.
Oder: Ein Berater baut ein System auf, das für 5.000 Mitarbeiter gedacht ist. Für euer 80-Personen-Unternehmen ist es unbenutzbar. Zu komplex, zu aufwändig, zu weit weg vom Tagesgeschäft.
Wie wir das angehen.
Kein System von der Stange. Sondern eins, das zu eurem Alltag passt.
Nicht sicher, ob ihr ein ISMS braucht? Unser CyberRisikoCheck (500 €) zeigt euch in einem Termin, wo ihr steht — und ob ein ISMS der richtige nächste Schritt ist.
01
Sichten.
Was habt ihr schon? Was davon ist brauchbar? Wir fangen nicht bei null an, wenn es nicht sein muss. Viele Unternehmen haben mehr als sie denken — es fehlt nur die Struktur.
Bestandsaufnahme · Gap-Analyse · Bestehendes nutzen
02
Aufbauen.
Richtlinien, Prozesse, Dokumentation — aber nur das, was ihr wirklich braucht. Kein Dokument ohne Zweck. Kein Prozess, den niemand lebt. Alles zugeschnitten auf eure Größe.
Richtlinien · Prozesse · Dokumentation · Maßnahmen
03
Zertifizieren.
Wenn ihr ISO 27001 braucht: Wir bereiten euch auf das Audit vor. Wenn nicht: Wir bauen trotzdem ein System, das hält — auch ohne Zertifikat an der Wand.
ISO 27001 · Audit-Vorbereitung · Zertifizierung · ab 4.000 €
Übrigens: Ein ISMS ist auch die Basis für NIS2-Compliance. Wenn NIS2 euch betrifft, ist der ISMS-Aufbau gleichzeitig der erste Schritt zur Erfüllung der Anforderungen.
Was sich danach ändert.
01
Ihr habt ein System, das zu eurer Größe passt. Nicht zu groß, nicht zu klein.
02
Ihr könnt Kunden, Versicherungen und Auditoren zeigen, wo ihr steht.
03
Euer Team weiß, was zu tun ist. Nicht nur die IT — alle.
Was wir nicht versprechen.
Ein ISMS macht euch nicht über Nacht sicher. Es ist ein Rahmen, kein Schutzschild. Wer euch sagt, nach der Zertifizierung seid ihr fertig, hat nicht verstanden, wie IT-Sicherheit funktioniert.
Was wir versprechen.
Ein System, das lebt. Das zu eurem Unternehmen passt. Und das ihr auch in einem Jahr noch nutzt — nicht nur am Tag des Audits. Wir sind für euch da. Auch drei Monate später.
HÄUFIG KOMBINIERT
Bewusstsein schaffen
Ein System funktioniert nur, wenn euer Team es versteht. Awareness-Training macht den Unterschied.
LANGFRISTIG
Euer Sicherheitsmensch
Jemand, der das ISMS lebt und weiterentwickelt — als externer ISB, ab 140 €/Monat.
BEI BEDARF
Schwachstellen finden
Euer ISMS definiert Maßnahmen. Ein Pentest prüft, ob sie greifen. Wir finden eure Schwachstellen.
Fragen, die ihr euch wahrscheinlich gerade stellt.
01
Brauchen wir wirklich ISO 27001?
Nicht unbedingt. Eine ISO 27001-Zertifizierung lohnt sich, wenn eure Kunden oder Partner sie verlangen, wenn ihr im regulierten Umfeld arbeitet (KRITIS, Finanzdienstleistung, Automotive/TISAX) oder wenn ihr euren Großkunden nachweisen wollt, dass IT-Sicherheit bei euch System hat. Für viele Mittelständler ist ein ISMS ohne Zertifizierung der bessere erste Schritt — ihr bekommt die gleiche Struktur und Sicherheit, spart euch aber den Audit-Aufwand. Wir beraten euch ehrlich, welcher Weg zu eurer Situation passt.
02
Wie lange dauert der Aufbau eines ISMS?
In der Regel 6–12 Monate, abhängig von eurer Ausgangslage und eurer Unternehmensgröße. Wenn ihr schon Dokumentation habt (Richtlinien, Netzwerkpläne, frühere Audits), geht es schneller. Wenn ihr bei null startet, planen wir realistisch. Wichtig: Wir bauen das ISMS neben eurem Tagesgeschäft auf — nicht als Vollzeitprojekt, sondern in Schritten, die in euren Alltag passen.
03
Wir haben schon ein ISMS angefangen. Es ist eingeschlafen.
Das passiert häufig — meistens weil nach dem ersten Schwung niemand mehr drangeblieben ist, oder weil das System zu komplex für eure Größe war. Wir schauen uns an, was da ist: Was davon ist brauchbar? Was fehlt? Was ist überflüssig? Oft müssen wir nicht von vorne anfangen, sondern das Bestehende auf eure Realität zuschneiden und Lücken schließen. Das ist günstiger und schneller als ein Neustart.
04
Was kostet das?
Der ISMS-Aufbau beginnt ab 4.000 € netto — der genaue Preis hängt davon ab, wie groß euer Unternehmen ist, wie viel schon vorhanden ist und ob ihr eine Zertifizierung anstrebt. Die ISO 27001-Begleitung bis zum Audit ist umfangreicher und liegt entsprechend höher. Im Erstgespräch schätzen wir den Aufwand ehrlich ein — ohne versteckte Kosten und ohne Überraschungen im Nachhinein. Alle Orientierungswerte findet ihr auf unserer Seite So arbeiten wir.
05
Können wir das auch ohne Zertifizierung machen?
Ja — und für viele Mittelständler ist das der sinnvollere Weg. Ihr bekommt ein funktionierendes ISMS mit Richtlinien, Prozessen und Dokumentation, das eure IT-Sicherheit nachweisbar verbessert. Ohne den Aufwand und die Kosten eines externen Audits. Falls ihr später doch zertifizieren wollt, ist die Basis gelegt — der Weg zum Zertifikat wird dann deutlich kürzer.
06
Hilft ein ISMS auch bei NIS2 und DSGVO?
Ja, und das ist einer der größten Vorteile. Ein ISMS nach ISO 27001 erfüllt einen Großteil der Anforderungen, die NIS2 an Unternehmen stellt — Risikomanagement, Meldepflichten, technische und organisatorische Maßnahmen. Auch für die DSGVO ist ein ISMS die strukturierte Grundlage, um den Schutz personenbezogener Daten nachweisbar umzusetzen. Wenn ihr regulatorischen Anforderungen gegenübersteht, ist der ISMS-Aufbau oft der effizienteste Weg, mehrere Pflichten gleichzeitig zu erfüllen.
ECHTE MENSCHEN. KEIN CHATBOT. KEIN CALLCENTER.
Wenn ihr bis hierher gelesen habt, dann beschäftigt euch das Thema IT-Sicherheit.
Kein Verkaufsgespräch. Nur ein ehrliches Gespräch.
ANRUFEN
0561 9402 6666
Mo–Fr 08:00–16:30