ISO 27001-Beratung
ISO 27001-Zertifizierung öffnet Enterprise-Beschaffung, erfüllt NIS2-Lieferkettenverpflichtungen und liefert den überzeugendsten Nachweis für GDPR-Artikel 32-Compliance. Die Vorbereitung dauert 4–9 Monate ISMS-Design, Policy-Erstellung, Risikoregister-Arbeit und Nachweissammlung. Wir erledigen alles davon — Festpreis, mit voller Audit-Bereitschaft in jeder Phase.
ISO 27001 einmal, richtig gemacht
Wir scopen ISO 27001-Engagements, um den gesamten Vorbereitungszyklus abzudecken: ISMS-Scoping, Risikobewertung, Annex A-Kontrollauswahl, Policy-Erstellung, technische Kontrollenimplementierung, Nachweissammlung, internes Audit und Stage 1- und Stage 2-Auditor-Koordination. Zertifizierung ist das Deliverable, und jeder Schritt zwischen Kickoff und Zertifikat ist im Engagement-Scope enthalten.
ISO 27001-Beratung integriert sich natürlich mit unserem Fractional-CISO-Retainer: Der vCISO besitzt das ISMS laufend nach der Zertifikatsausstellung, verwaltet Überwachungsaudits und pflegt das Risikoregister. Die meisten Kunden kombinieren ISO 27001-Beratung, unseren Penetration-Testing-Service (erforderlich durch Annex A-Kontrolle 8.8) und den vCISO-Retainer in ein integriertes Sicherheitsprogramm.
Von der Gap-Analyse zum zertifizierten ISMS
ISMS-Design
Information Security Management System-Scoping, Kontext der Organisation (Klausel 4), Führungsanforderungen (Klausel 5) und die Planungsstruktur (Klausel 6) — gestaltet entsprechend Ihrer Unternehmensgröße, Branche und den Anforderungen der Zertifizierungsstelle. Die ISMS-Grenze wird so definiert, dass sie abdeckt, was Auditoren prüfen werden, und nichts Überflüssiges.
Risikoregister & -behandlung
ISO 27001-Klausel 6.1-Risikobewertung: Identifikation von Informationswerten, Bedrohungs- und Schwachstellenanalyse, Wahrscheinlichkeits- und Impact-Bewertung und Auswahl des Behandlungsplans (mildern, akzeptieren, übertragen, vermeiden). Statement of Applicability (SoA) erstellt nach ISO 27001:2022 Annex A. Das Risikoregister wird während des gesamten Engagements als lebendes Dokument gepflegt.
Policy-Dokumentation
Vollständige Policy-Suite auf Ihr Unternehmen zugeschrieben: Informationssicherheitspolitik, akzeptable Nutzung, Zugangsverwaltung, Incident Response, Lieferantenmanagement, Change Management, Geschäftskontinuität, Disaster Recovery und Asset-Management. In klarer Sprache verfasst, von Ihrem Team überprüft, auf der richtigen Ebene genehmigt und auf einem dokumentierten Rhythmus gepflegt.
Zertifizierungsaudit-Support
Wir koordinieren den Audit mit Ihrer gewählten Zertifizierungsstelle: Stage 1-Dokumentenprüfung und Stage 2-Vor-Ort- oder Remote-Audit. Wir bereiten Ihr Team auf Auditor-Interviews vor, verwalten den Nachweisraum, beantworten Befunde während des Audit-Fensters und verfolgen die Remediation etwaiger Nichtkonformitäten bis zur Schließung.
ISO 27001-Beratung — Häufig gestellte Fragen
Wie lange dauert die ISO 27001-Zertifizierung?
Vom Kickoff bis zur Zertifizierungsentscheidung dauert ISO 27001 typischerweise 4–9 Monate. Unternehmen ohne frühere Sicherheitskontrollen oder Dokumentation brauchen länger; Organisationen mit bestehenden Sicherheitspraktiken und etwas Dokumentation können schneller vorankommen. Die Hauptphasen sind: Gap-Analyse und ISMS-Scoping (2–4 Wochen), Policy- und Risikoregister-Build (6–12 Wochen), technische Kontrollenimplementierung (parallel, 4–12 Wochen), Nachweissammlung und internes Audit (4–6 Wochen), Stage 1-Audit (2–4 Wochen) und Stage 2-Audit (2–4 Wochen). Unsere Gap-Analyse in Woche eins gibt Ihnen eine genaue Projekt-Timeline vor Beginn des Hauptengagements.
ISO 27001 vs. SOC 2 — was brauche ich?
ISO 27001 ist in der europäischen Enterprise-Beschaffung häufiger und wird zunehmend unter NIS2-Lieferkettenverpflichtungen gefordert. SOC 2 ist der Standard für US-Enterprise-Käufer und SaaS-Unternehmen, die in den US-Markt verkaufen. Wenn Sie an beide Märkte verkaufen oder Ihre Käufer große multinationale Unternehmen sind, benötigen Sie möglicherweise beide. Wir scopen kombinierte ISO 27001 + SOC 2-Engagements mit einer gemeinsamen Nachweisbasis — ungefähr 70% der Annex A-Kontrollen entsprechen den SOC 2 Trust Service Criteria, was die Doppelzertifizierung 20–35% günstiger macht als zwei separate Programme.
Wie viel kostet ISO 27001-Beratung?
Unser Festpreis-ISO 27001-Beratungsengagement beginnt ab €12,000 für einen klar definierten ISMS-Scope bei einem Unternehmen mit 20–100 Personen. Größere Organisationen, breitere ISMS-Scopes oder kombinierte ISO 27001 + SOC 2-Programme werden individuell kalkuliert. Das Engagement deckt Gap-Analyse, ISMS-Design, Risikoregister, Policy-Erstellung, technische Kontrollenimplementierung, Nachweissammlung, internes Audit und Stage 1 & Stage 2-Auditor-Koordination ab. Die Prüfungsgebühr der Zertifizierungsstelle ist separat (typischerweise €5,000–€15,000 je nach Auditor und Organisationsgröße).
Brauche ich ISO 27001 für GDPR-Compliance?
ISO 27001 ist nicht von der GDPR vorgeschrieben, unterstützt aber die GDPR-Artikel 32-Compliance wesentlich — die “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten erfordert. Ein ISO 27001-ISMS ist der überzeugendste Nachweis, dass diese Maßnahmen systematisch, dokumentiert und überprüft sind. Viele Aufsichtsbehörden und Datenschutzbehörden betrachten die ISO 27001-Zertifizierung als starken Nachweis der GDPR-Sicherheits-Compliance. Wenn Sie erhebliche Mengen personenbezogener EU-Daten verarbeiten oder in einem regulierten Sektor tätig sind, lohnt sich ISO 27001 allein aus Gründen des regulatorischen Risikomanagements — unabhängig von jeder Enterprise-Käufer-Anforderung.
ISO 27001-Zertifizierung, ohne die Beratungsfirma-Gebühr
Erzählen Sie uns Ihren ISMS-Scope, Ihre Zertifizierungs-Timeline und welche Nachweise Sie bereits haben — wir kommen zurück mit einem Festpreisangebot.
Kontakt aufnehmen → ISO 27001 & SOC 2 →