SERVICE

CISO & Team

Wir begleiten euch beim Aufbau, Betrieb und der Weiterentwicklung eines ISMS nach ISO/IEC 27001 – mit praxisnaher Expertise und flexibler Unterstützung. Ihr entscheidet: dauerhaft entlasten oder punktuell verstärken.

Unsere Leistungen umfassen

Ganzheitliche Unterstützung für Ihr ISMS – praxisnah, strategisch und individuell. Von der Integration bis zur Zertifizierung an eurer Seite.

Integration & Betrieb

Einbettung in bestehende Geschäftsprozesse, Pflege und Aktualisierung der ISMS-Dokumentation

Strategieberatung

Unterstützung von Geschäftsleitung und Fachbereichen bei Risikobewertung und Maßnahmenplanung

Compliance & Audit

Prüfung gesetzlicher und regulatorischer Anforderungen, Audit-Vorbereitung & -Begleitung, Management-Reporting

Awareness & Schulung

Zielgruppenspezifische Trainings, Kampagnen und Leitfäden zur Stärkung der Sicherheitskultur

Risikomanagement

Strukturierte Risikoerfassung und -behandlung, Aufbau eines Risikomanagementsystems, Vorfallsmanagement inklusive Reaktionsplänen

Transparenz & Reporting

Etablierung von Kommunikationsprozessen, regelmäßige Statusberichte für alle Stakeholder

Zertifizierungsbegleitung

Unterstützung entlang des gesamten Zertifizierungsprozesses – von der Vorbereitung bis zur Nachsorge

Unser Vorgehen folgt klaren Prinzipien

Unsere Arbeit basiert auf klaren Prinzipien – für wirksame, nachhaltige und konsequent am Geschäftsnutzen ausgerichtete Lösungen:

Risikobasierte Steuerung

Entscheidungen und Prioritäten richten sich konsequent nach dem tatsächlichen Risiko für die Organisation.

Effizienz und Skalierbarkeit

Kein Over Engineering - Prozesse und Lösungen werden ressourcenschonend gestaltet und lassen sich bei Bedarf flexibel ausbauen.

Praxisnahe Umsetzung

Der Fokus liegt auf realisierbaren Maßnahmen, die sich in den operativen Alltag integrieren lassen.

Enge Abstimmung mit Fachbereichen und Geschäftsleitung

Sicherheitsmaßnahmen werden nicht isoliert, sondern im Dialog mit den Beteiligten entwickelt.

Kontinuierliche Verbesserung und Wertbeitrag

Alle Aktivitäten zielen auf messbare Fortschritte, langfristige Wirksamkeit und strategischen Mehrwert ab.

In zwei Phasen zum Ziel

Unsere Vorgehensweise folgt einem klaren, zweistufigen Modell. So behaltet ihr jederzeit den Überblick und wisst genau, wo euer Unternehmen im ISMS‑Prozess steht. Effizienz, Transparenz und Nachhaltigkeit stehen dabei im Mittelpunkt jeder Phase.

01.

Konzeption und Aufbau des ISMS

In der Design- und Implementierungsphase übernimmt das ISMS-Team zentrale Aufgaben wie die Projektinitialisierung, Ist-Analyse, Scope-Definition, Risikobewertung, Aufbau der ISMS-Dokumentation, Sensibilisierung, Rollout von Maßnahmen und die Vorbereitung auf Audits – mit einem Gesamtaufwand von etwa 480 Stunden.
Aufgabe
Geschätzter Aufwand
Allgemein
Initialisierung, Projektplanung, Jour Fixe
40 h
Ist-Analyse und Anforderungsaufnahme
Erhebung des aktuellen Stands der Informationssicherheit, Identifikation bestehender Prozesse, Systeme und Risiken.
40 h
Festlegung des ISMS-Anwendungsbereichs (Scope)
Initialisierung, Projektplanung, Jour Fixe
32 h
Einrichtung von Steuerungs- und Kommunikationsstrukturen
Benennung eines Informationssicherheitsbeauftragten (ISB), Aufbau der Sicherheitsorganisation mit Pflichten und Verantwortlichkeiten.
20 h
Risikobewertung und Risikobehandlung
Durchführung initialer Risikoanalysen, Festlegung von Schutzmaßnahmen zur Risikobehandlung und Aufbau eines Risikomanagementprozesses.
24 h
Erstellung der ISMS-Dokumentation
Aufbau von Richtlinien, Verfahren, Prozessen und Leitlinien gemäß den Anforderungen von ISO/IEC 27001 oder vergleichbaren Standards
80 h
Schulung und Sensibilisierung
Einführungstrainings für Mitarbeitende und Führungskräfte zur Förderung des Sicherheitsbewusstseins
24 h
Rollout der Sicherheitsmaßnahmen
Geplanter und gesteuerter Rollout der definierten Schutzmaßnahmen und Anforderungen in die relevanten Unternehmensbereiche, begleitet durch Change-Management und interne Kommunikation.
180 h
Vorbereitung auf Zertifizierungs- oder Auditverfahren
Unterstützung bei internen Audits oder externen Vor-Audits, um das ISMS reif für Zertifizierungen zu machen
40 h
Summe
480 h
Hinweise
Die in den anchfolgenden Abschnitten angegebenen Zeitrahmen und Aufwände dienen als Orientierung. Je nach Unternehmensgröße, Komplexität der IT-Landschaft, vorhandener Strukturen sowie gewünschter Projekttiefe können sie variieren.
  • Different entries for tenants, branches or companies
  • Control user access of each workspace
  • Share Assets between workspaces
02.

Steuerung des ISMS im Tagesgeschäft

In dieser Phase übernehmen wir als interner CISO samt Team die kontinuierliche Steuerung, Pflege und Weiterentwicklung des ISMS. Dies umfasst z. B. die regelmäßigen Planung, Dokumentation, Schulung und Auditbegleitung bis hin zur situativen Behandlung von Sicherheitsvorfällen und der Umsetzung von Verbesserungsmaßnahmen – mit einem jährlichen erwarteten Aufwand von etwa 250 Stunden.
Aufgabe
Geschätzter Aufwand
Allgemeine Aufgaben*
  • Fortlaufende Planung und Steuerung: Organisation regelmäßigerAbstimmungen (z. B. Jour Fixe) zurKoordination und Priorisierung von ISMS-Aktivitäten.
  • Berichtswesen und Management-Review: Erstellung regelmäßiger Berichtezur Sicherheitslage sowie Vorbereitung und Durchführung vonManagementbewertungen.
  • Evaluierung von Risikobewertung: Regelmäßige Überprüfung bestehenderRisikoanalysen und Aktualisierung bei veränderten Rahmenbedingungen.
  • Pflege und Fortschreibung der ISMS-Dokumentation: LaufendeAktualisierung und Erweiterung von Richtlinien, Verfahren und Dokumentationengemäß neuer Anforderungen.
  • Audit: Planung und Durchführung interner Audits und Begleitung externerAudits
  • Awareness und Schulung: JährlicheAuffrischungsschulungen für bestehende Mitarbeitende zur Stärkung desSicherheitsbewusstseins
200 h
Situativ anfallende Leistungen
  • Incident Management: Koordination und Bearbeitung von Sicherheitsvorfällen; Schwachstellenmanagement.
  • Dokumentation und Umsetzung von Lessons Learned.
  • Begleitung externer Audits: Planung und Durchführung interner.
  • Audits; Unterstützung bei externen Audits; Nachbereitung und Umsetzung von Korrekturmaßnahmen.
  • Kontinuierliche Verbesserung: Identifikation neuer gesetzlicher und normativer Anforderungen; Laufende Identifikation von Optimierungspotenzialen; Integration von Verbesserungsmaßnahmen im ISMS
  • Onboarding- Schulung: Schulungen für Neueinstellungen
50+ h
Summe
250+ h
*) Die Aufwände für allgemeine Aufgaben werden mit der Beauftragung ausdrücklich freigegeben. Abweichungen bis zu +20 % gegenüber der initial geschätzten Aufwandsmenge gelten als mitbeauftragt und bedürfen keiner gesonderten Freigabe und werden als Ad-hoc-Leistungen berechnet.

Leistungs- und Preisübersicht

In der Aufbauphase wird das ISMS strukturiert im Unternehmen eingeführt und die Grundlagen für eine wirksame Informationssicherheit gelegt. Die folgenden Schätzungen dienen als Orientierung und können je nach spezifischen Anforderungen, Projekterweiterungen oder organisatorischen Veränderungen variieren.

Leistung
Preis (zzgl. MwSt.)
Konzeption und Aufbau des ISMS
  • Der Vertrag läuft über mindestens sechs Monate und beinhaltet monatlich bis zu 80 Betreuungsstunden zum vergünstigten Startpreis durch ein fest zugeordnetes ISMS-Team.
  • Laufzeit z.B. 3 - 5 Monate
Monatliche
Abo-Pauschale:

8.997 € / Monat
Steuerung des ISMS im Tagesgeschäft
  • Der Vertrag hat eine Mindestlaufzeit von zwölf Monaten und umfasst monatlich bis zu 20 Betreuungsstunden durch ein fest zugeordnetes ISMS-Team.
  • Mindrestlaufzeit: 12 Monate
Monatliche
Abo-Pauschale:

2.497 € / Monat
Ad-hoc-Leistungen
Zusätzliche Experten-Tage (z. B. Workshops, Deep-Dives, Sonderprojekte)
Es wird nur berechnet,
was tatsächlich anfällt
Hinweise
  • Mit einer monatlichen Pauschale erhaltet ihr ein fest zugeordnetes ISMS-Team, das eure Prozesse fortlaufend betreut, Vorgaben anpasst und neue Anforderungen umsetzt – ganz ohne zusätzliche Stundenerfassung oder Aufwandsposten.
  • Unser Tagessatzmodell bietet maximale Flexibilität für kurzfristige oder einmalige Projekte. Ihr könnt bei Bedarf zusätzliche Expert:innen-Tage buchen, zum Beispiel für tiefergehende Security-Assessments, zusätzliche Workshops oder spezielle Taskforce-Einsätze. Optional lässt sich jederzeit eines der anderen Angebote dazubuchen. So habt Ihr volle Kostentransparenz und behaltet gleichzeitig die Möglichkeit, kurzfristig auf neue Anforderungen zu reagieren.
Bereit, den nächsten Schritt zu gehen?
Jetzt direkt hier ein unverbindliches Strategiegespräch buchen.
Kontaktiere uns