SERVICE

CISO & Team

Wir begleiten euch beim Aufbau, Betrieb und der Weiterentwicklung eines ISMS nach ISO/IEC 27001 – mit praxisnaher Expertise und flexibler Unterstützung. Ihr entscheidet: dauerhaft entlasten oder punktuell verstärken.

Unsere Leistungen umfassen

Ganzheitliche Unterstützung für euer ISMS – praxisnah, strategisch und individuell. Von der Integration bis zur Zertifizierung.

Integration & Betrieb

Einbettung in bestehende Geschäftsprozesse, Pflege und Aktualisierung der ISMS-Dokumentation

Strategieberatung

Unterstützung von Geschäftsleitung und Fachbereichen bei Risikobewertung und Maßnahmenplanung

Compliance & Audit

Prüfung gesetzlicher und regulatorischer Anforderungen, Audit-Vorbereitung & -Begleitung, Management-Reporting

Awareness & Schulung

Zielgruppenspezifische Trainings, Kampagnen und Leitfäden zur Stärkung der Sicherheitskultur

Risikomanagement

Strukturierte Risikoerfassung & -behandlung, Aufbau eines Risikomanagementsystems, Vorfallsmanagement inklusive Reaktionsplänen

Transparenz & Reporting

Etablierung von Kommunikationsprozessen, regelmäßige Statusberichte für alle Stakeholder

Zertifizierungsbegleitung

Unterstützung entlang des gesamten Zertifizierungsprozesses – von der Vorbereitung bis zur Nachsorge

Unser Vorgehen folgt klaren Prinzipien

Unsere Arbeit basiert auf klaren Prinzipien – für wirksame, nachhaltige und konsequent am Geschäftsnutzen ausgerichtete Lösungen:

Risikobasierte Steuerung

Entscheidungen und Prioritäten richten sich konsequent nach dem tatsächlichen Risiko für die Organisation.

Effizienz und Skalierbarkeit

Kein Over-Engineering - Prozesse und Lösungen werden ressourcenschonend gestaltet und lassen sich flexibel ausbauen.

Praxisnahe Umsetzung

Der Fokus liegt auf realisierbaren Maßnahmen, die sich in den operativen Alltag integrieren lassen.

Enge Abstimmung mit Fachbereichen und Geschäftsleitung

Sicherheitsmaßnahmen werden nicht isoliert, sondern im Dialog mit den Beteiligten entwickelt.

Kontinuierliche Verbesserung und Wertbeitrag

Alle Aktivitäten zielen auf messbare Fortschritte, langfristige Wirksamkeit und strategischen Mehrwert ab.

In zwei Phasen zum Ziel

Unsere Vorgehensweise folgt einem klaren, zweistufigen Modell. So behaltet ihr jederzeit den Überblick und wisst genau, wo euer Unternehmen im ISMS‑Prozess steht. Effizienz, Transparenz und Nachhaltigkeit stehen dabei im Mittelpunkt jeder Phase.

01.

Konzeption und Aufbau des ISMS

In der Design- und Implementierungsphase übernimmt das ISMS-Team zentrale Aufgaben wie die Projektinitialisierung, Ist-Analyse, Scope-Definition, Risikobewertung, Aufbau der ISMS-Dokumentation, Sensibilisierung, Rollout von Maßnahmen und die Vorbereitung auf Audits – mit einem Gesamtaufwand von etwa 480 Stunden.
Aufgabe
Geschätzter Aufwand
Allgemein
40 h
Initialisierung, Projektplanung, Jour Fixe
Ist-Analyse und Anforderungsaufnahme
32 h
Erhebung des aktuellen Stands der Informationssicherheit, Identifikation bestehender Prozesse, Systeme und Risiken.
Festlegung des ISMS-Anwendungsbereichs (Scope)
20 h
Abgrenzung der organisatorischen, systemischen und prozessualen Bereiche, die vom ISMS erfasst werden.
Einrichtung von Steuerungs- und Kommunikationsstrukturen
24 h
Benennung eines Informationssicherheitsbeauftragten (ISB), Aufbau der Sicherheitsorganisation mit Pflichten und Verantwortlichkeiten.
Risikobewertung und Risikobehandlung
40 h
Durchführung initialer Risikoanalysen, Festlegung von Schutzmaßnahmen zur Risikobehandlung und Aufbau eines Risikomanagementprozesses.
Erstellung der ISMS-Dokumentation
80 h
Aufbau von Richtlinien, Verfahren, Prozessen und Leitlinien gemäß den Anforderungen von ISO/IEC 27001 oder vergleichbaren Standards
Schulung und Sensibilisierung
24 h
Einführungstrainings für Mitarbeitende und Führungskräfte zur Förderung des Sicherheitsbewusstseins
Rollout der Sicherheitsmaßnahmen
180 h
Geplanter und gesteuerter Rollout der definierten Schutzmaßnahmen und Anforderungen in die relevanten Unternehmensbereiche, begleitet durch Change-Management und interne Kommunikation.
Vorbereitung auf Zertifizierungs- oder Auditverfahren
40 h
Unterstützung bei internen Audits oder externen Vor-Audits, um das ISMS reif für Zertifizierungen zu machen
Summe
480 h
Hinweise
Die in den anchfolgenden Abschnitten angegebenen Zeitrahmen und Aufwände dienen als Orientierung. Je nach Unternehmensgröße, Komplexität der IT-Landschaft, vorhandener Strukturen sowie gewünschter Projekttiefe können sie variieren.
Hide Details
  • Different entries for tenants, branches or companies
  • Control user access of each workspace
  • Share Assets between workspaces
02.

Steuerung des ISMS im Tagesgeschäft

In dieser Phase übernehmen wir als interner CISO samt Team die kontinuierliche Steuerung, Pflege und Weiterentwicklung des ISMS. Dies umfasst z. B. die regelmäßigen Planung, Dokumentation, Schulung und Auditbegleitung bis hin zur situativen Behandlung von Sicherheitsvorfällen und der Umsetzung von Verbesserungsmaßnahmen – mit einem jährlichen erwarteten Aufwand von etwa 250 Stunden.
Aufgabe
Geschätzter Aufwand
Allgemeine Aufgaben*
200 h
Fortlaufende Planung & Steuerung:
  • Koordination und Priorisierung von ISMS-Aktivitäten
  • Organisation regelmäßiger Abstimmungen (z. B. Jour Fixe)
Berichtswesen & Management-Review:
  • Erstellung regelmäßiger Berichte zur Sicherheitslage
  • Vorbereitung und Durchführung von Managementbewertungen.
Evaluierung von Risikobewertung:
  • Regelmäßige Überprüfung bestehender Risikoanalysen
  • Aktualisierung bei veränderten Rahmenbedingungen.
Pflege & Fortschreibung der ISMS-Dokumentation:
  • Laufende Aktualisierung und Erweiterung von Richtlinien, Verfahren und Dokumentationen gemäß neuer Anforderungen.
Audit:
  • Planung und Durchführung interner Audits
  • Begleitung externer Audits
Awareness und Schulung:
  • Jährliche Auffrischungsschulungen für bestehende Mitarbeitende zur Stärkung des Sicherheitsbewusstseins
Situativ anfallende Leistungen
50+ h
Incident Management:
  • Koordination und Bearbeitung von Sicherheitsvorfällen; Schwachstellenmanagement.
  • Dokumentation und Umsetzung von "Lessons-Learned".
Begleitung externer Audits:
  • Planung und Durchführung interner Audits
  • Unterstützung bei externen Audits
  • Nachbereitung und Umsetzung von Korrekturmaßnahmen.
Kontinuierliche Verbesserung:
  • Identifikation neuer gesetzlicher und normativer Anforderungen
  • Laufende Identifikation von Optimierungspotenzialen
  • Integration von Verbesserungsmaßnahmen im ISMS
Onboarding- Schulung:
  • Schulungen für Neueinstellungen
Summe
480 h
*) Die Aufwände für allgemeine Aufgaben werden mit der Beauftragung ausdrücklich freigegeben. Abweichungen bis zu +20 % gegenüber der initial geschätzten Aufwandsmenge gelten als mitbeauftragt und bedürfen keiner gesonderten Freigabe und werden als Ad-hoc-Leistungen berechnet.
Hide Details

Leistungs- und Preisübersicht

In der Aufbauphase wird das ISMS strukturiert im Unternehmen eingeführt und die Grundlagen für eine wirksame Informationssicherheit gelegt. Die folgenden Schätzungen dienen als Orientierung und können je nach spezifischen Anforderungen, Projekterweiterungen oder organisatorischen Veränderungen variieren.

Leistung
Preis (zzgl. MwSt.)
Konzeption und Aufbau des ISMS
Monatliche
Abo-Pauschale:

8.997 € / Monat
  • Der Vertrag läuft über mindestens sechs Monate und beinhaltet monatlich bis zu 80 Betreuungsstunden zum vergünstigten Startpreis durch ein fest zugeordnetes ISMS-Team.
  • Laufzeit z.B. 3 - 5 Monate
Steuerung des ISMS im Tagesgeschäft
Monatliche
Abo-Pauschale:

2.497 € / Monat
  • Der Vertrag hat eine Mindestlaufzeit von zwölf Monaten und umfasst monatlich bis zu 20 Betreuungsstunden durch ein fest zugeordnetes ISMS-Team.
  • Mindrestlaufzeit: 12 Monate
Ad-hoc-Leistungen
Es wird nur berechnet, was tatsächlich anfällt

Zusätzliche Experten-Tage (z. B. Workshops, Deep-Dives, Sonderprojekte)

Hinweise
  • Mit einer monatlichen Pauschale erhaltet ihr ein fest zugeordnetes ISMS-Team, das eure Prozesse fortlaufend betreut, Vorgaben anpasst und neue Anforderungen umsetzt – ganz ohne zusätzliche Stundenerfassung oder Aufwandsposten.
  • Unser Tagessatzmodell bietet maximale Flexibilität für kurzfristige oder einmalige Projekte. Ihr könnt bei Bedarf zusätzliche Expert:innen-Tage buchen, zum Beispiel für tiefergehende Security-Assessments, zusätzliche Workshops oder spezielle Taskforce-Einsätze. Optional lässt sich jederzeit eines der anderen Angebote dazubuchen. So habt Ihr volle Kostentransparenz und behaltet gleichzeitig die Möglichkeit, kurzfristig auf neue Anforderungen zu reagieren.
Bereit, den nächsten Schritt zu gehen?
Jetzt direkt hier ein unverbindliches Strategiegespräch buchen.
Kontaktiere uns