Unser Ansatz verbindet die Anforderungen des internationalen Standards ISO/IEC 27001:2022 mit der praktischen Anwendung des estnischen Informationssicherheitsstandards (E-ITS) und umfasst Asset-Inventare, Risikobewertungen, die Entwicklung von Sicherheitsrichtlinien, die Umsetzung von Prozessen, das Design des Managementsystems und die Schulung der Mitarbeitenden.
Wir haben Kommunen, Krankenhäuser, Behörden und Organisationen der Privatwirtschaft dabei unterstützt, den vereinbarten Reifegrad und die Audit-Bereitschaft zu erreichen. Das Ergebnis ist ein funktionierendes Informationssicherheits-Managementsystem, das Risiken reduziert, Compliance sicherstellt und eine stabile Grundlage für einen nachhaltigen digitalen Betrieb schafft.
Bei der Implementierung von ISO 27001 und E-ITS geht es nicht darum, Dokumente zu produzieren oder ein Audit zu bestehen. Es geht darum, ein Managementsystem aufzubauen, das fundiertes Risikomanagement, Verantwortlichkeit und Resilienz ermöglicht.
Unsere Rolle ist nicht, es „für Sie zu erledigen", sondern es gemeinsam mit Ihnen aufzubauen — so, dass es lange nach dem Ende unseres Einsatzes weiter funktioniert.
01
Erstbewertung und Festlegung des Geltungsbereichs
Die Implementierung beginnt mit dem Verständnis der Realität. Wir bewerten die aktuelle Sicherheitslage der Organisation, definieren den ISMS-Geltungsbereich und bestimmen, welche Dienste, Prozesse, Systeme und Informationswerte unter ISO/IEC 27001:2022 und E-ITS abgedeckt werden müssen.
Diese Phase schafft eine praktische Ausgangsbasis, keine theoretische Gap-Analyse. Sie stellt sicher, dass das ISMS für die Organisation richtig dimensioniert ist und sich an der tatsächlichen Risikoexposition und den regulatorischen Verpflichtungen ausrichtet.
Unsere Rolle:
- einen realistischen und belastbaren ISMS-Geltungsbereich definieren
- die Anforderungen von ISO 27001 und E-ITS in operative Begriffe übersetzen
- Über-Engineering und unnötige Bürokratie vermeiden
02
Asset-Mapping und Risikobewertung
Wirksame Informationssicherheit beginnt mit dem Wissen, was geschützt werden muss und warum. Wir kartieren Informationswerte, Dienste, Systeme und Abhängigkeiten und führen eine Risikobewertung nach den Methodiken von ISO 27001 und E-ITS durch.
Risiken werden als Steuerungsgrößen für das Management behandelt — nicht als Tabellen-Artefakte.
Unsere Rolle:
- Methodik und Prozess der Risikobewertung leiten
- wesentliche Risiken von theoretischen unterscheiden
- Risikoergebnisse in klare Sicherheitsentscheidungen übersetzen
03
ISMS-Struktur, Richtlinien und Governance
Wir konzipieren und dokumentieren die Richtlinien, Verfahren, Rollen und Governance-Strukturen, die für ein funktionierendes ISMS erforderlich sind — basierend darauf, wie die Organisation tatsächlich arbeitet.
Das Ziel ist nicht Dokumentationsvolumen, sondern ein handhabbares und auditierbares System, das Entscheidungsfindung und Verantwortlichkeit unterstützt.
Unsere Rolle:
- ISMS-Dokumentation entwickeln oder neu strukturieren
- Compliance ohne übermäßigen Formalismus sicherstellen
- ein System aufbauen, das die Organisation eigenständig betreiben kann
04
Sicherheitsmaßnahmen und operative Integration
Wir unterstützen die Umsetzung organisatorischer und technischer Maßnahmen und stellen sicher, dass sie verhältnismäßig sind und in den Tagesbetrieb, das IT-Management und die Geschäftsprozesse eingebettet werden.
Informationssicherheit muss als Teil der normalen Unternehmensführung funktionieren — nicht als parallele Compliance-Übung.
Unsere Rolle:
- Auswahl und Umsetzung von Maßnahmen unterstützen
- Sicherheitsmaßnahmen an der operativen Realität ausrichten
- „Papier-Compliance" und Checklisten-Sicherheit vermeiden
05
Schulung, Audit-Bereitschaft und Nachhaltigkeit
Ein ISMS funktioniert nur, wenn die Menschen ihre Verantwortlichkeiten verstehen. Wir schulen Schlüsselrollen, unterstützen interne Kontrollen und die Audit-Vorbereitung und bereiten Organisationen auf ISO-27001- oder E-ITS-Audits vor — ohne künstliche Generalproben oder aufgeblähte Dokumentation.
Die Implementierung endet nicht mit dem Audit — sie muss auch danach wirksam bleiben.
Unsere Rolle:
- Führungskräfte und verantwortliche Rollen im Kontext schulen
- Organisationen auf echte Audits vorbereiten, nicht auf Audit-Theater
- eine Grundlage für kontinuierliche Verbesserung schaffen
01
Erstbewertung und Festlegung des Geltungsbereichs
Die Implementierung beginnt mit dem Verständnis der Realität. Wir bewerten die aktuelle Sicherheitslage der Organisation, definieren den ISMS-Geltungsbereich und bestimmen, welche Dienste, Prozesse, Systeme und Informationswerte unter ISO/IEC 27001:2022 und E-ITS abgedeckt werden müssen.
Diese Phase schafft eine praktische Ausgangsbasis, keine theoretische Gap-Analyse. Sie stellt sicher, dass das ISMS für die Organisation richtig dimensioniert ist und sich an der tatsächlichen Risikoexposition und den regulatorischen Verpflichtungen ausrichtet.
Unsere Rolle:
- einen realistischen und belastbaren ISMS-Geltungsbereich definieren
- die Anforderungen von ISO 27001 und E-ITS in operative Begriffe übersetzen
- Über-Engineering und unnötige Bürokratie vermeiden
03
ISMS-Struktur, Richtlinien und Governance
Wir konzipieren und dokumentieren die Richtlinien, Verfahren, Rollen und Governance-Strukturen, die für ein funktionierendes ISMS erforderlich sind — basierend darauf, wie die Organisation tatsächlich arbeitet.
Das Ziel ist nicht Dokumentationsvolumen, sondern ein handhabbares und auditierbares System, das Entscheidungsfindung und Verantwortlichkeit unterstützt.
Unsere Rolle:
- ISMS-Dokumentation entwickeln oder neu strukturieren
- Compliance ohne übermäßigen Formalismus sicherstellen
- ein System aufbauen, das die Organisation eigenständig betreiben kann
05
Schulung, Audit-Bereitschaft und Nachhaltigkeit
Ein ISMS funktioniert nur, wenn die Menschen ihre Verantwortlichkeiten verstehen. Wir schulen Schlüsselrollen, unterstützen interne Kontrollen und die Audit-Vorbereitung und bereiten Organisationen auf ISO-27001- oder E-ITS-Audits vor — ohne künstliche Generalproben oder aufgeblähte Dokumentation.
Die Implementierung endet nicht mit dem Audit — sie muss auch danach wirksam bleiben.
Unsere Rolle:
- Führungskräfte und verantwortliche Rollen im Kontext schulen
- Organisationen auf echte Audits vorbereiten, nicht auf Audit-Theater
- eine Grundlage für kontinuierliche Verbesserung schaffen
02
Asset-Mapping und Risikobewertung
Wirksame Informationssicherheit beginnt mit dem Wissen, was geschützt werden muss und warum. Wir kartieren Informationswerte, Dienste, Systeme und Abhängigkeiten und führen eine Risikobewertung nach den Methodiken von ISO 27001 und E-ITS durch.
Risiken werden als Steuerungsgrößen für das Management behandelt — nicht als Tabellen-Artefakte.
Unsere Rolle:
- Methodik und Prozess der Risikobewertung leiten
- wesentliche Risiken von theoretischen unterscheiden
- Risikoergebnisse in klare Sicherheitsentscheidungen übersetzen
04
Sicherheitsmaßnahmen und operative Integration
Wir unterstützen die Umsetzung organisatorischer und technischer Maßnahmen und stellen sicher, dass sie verhältnismäßig sind und in den Tagesbetrieb, das IT-Management und die Geschäftsprozesse eingebettet werden.
Informationssicherheit muss als Teil der normalen Unternehmensführung funktionieren — nicht als parallele Compliance-Übung.
Unsere Rolle:
- Auswahl und Umsetzung von Maßnahmen unterstützen
- Sicherheitsmaßnahmen an der operativen Realität ausrichten
- „Papier-Compliance" und Checklisten-Sicherheit vermeiden
