Die erfolgreiche Einführung eines ISO-27001-konformen ISMS erfordert ein strukturiertes, transparentes und wiederholbares Vorgehen. Der Implementierungsprozess führt Unternehmen vom ersten Projektzuschnitt bis zur Auditvorbereitung – mit klaren Zuständigkeiten, nachvollziehbaren Ergebnissen und definierten Verbesserungsprioritäten.
Während des gesamten Projekts unterstützt der interne AI ISMS Implementation Assistant bei der Dokumentenerstellung, Evidenzsammlung und Konsistenzprüfung. Dadurch wird der Aufwand reduziert, Fortschritt gesichert und auditfähige Dokumentation gewährleistet – stets unter voller menschlicher Kontrolle.
PHASE 1: Projektstart & Scoping
Aufgaben des Unternehmens
- Benennung einer internen ISMS-Leitung und eines Projektteams
- Definition geschäftlicher Ziele (Kundenanforderungen, Compliance, Resilienz)
- Bereitstellung von Zeit, Ressourcen und Entscheidungskompetenz
Aufgaben der Beratung
- Kick-off-Workshop zur Einführung in ISO 27001 und den Projektfahrplan
- Unterstützung bei der Definition des ISMS-Geltungsbereichs (Standorte, Services, Daten, Prozesse)
- Identifikation relevanter Stakeholder und Entscheidungsrollen
- Erstellung von Projektplan, Zeitachse und Meilensteinen
Ergebnisse
- ISMS-Projektplan
- Geltungsbereich (Scope Statement)
PHASE 2: Gap-Analyse & Risikokontext
Aufgaben des Unternehmens
- Bereitstellung vorhandener Dokumente und bestehender Sicherheitsmaßnahmen
- Verfügbarkeit der Prozesseignenden für Interviews
Aufgaben der Beratung
- Durchführung einer strukturierten Gap-Analyse gemäß ISO 27001
- Analyse des organisatorischen Kontexts und der interessierten Parteien
- Prozessinterviews zur Risikoidentifikation
- Entwicklung einer maßgeschneiderten Risikobewertungsmethodik
- Nutzung des AI ISMS Implementation Assistant zur Lückenzuordnung und Vorbefüllung von Dokumenten
Ergebnisse
- Gap-Analysebericht
- Risikobewertungsmethodik
- Kontext- und Stakeholderanalyse
PHASE 3: Risikoanalyse & Risikobehandlung
Aufgaben des Unternehmens
- Freigabe der Risikobewertungsmethodik
- Teilnahme an Risiko-Workshops
Aufgaben der Beratung
- Moderation der Risiko-Workshops
- Bestimmung erforderlicher Annex-A-Kontrollen und Abgleich mit bestehenden Maßnahmen
- Erstellung der Statement of Applicability (SoA)
- Entwicklung des Risikobehandlungsplans (Maßnahmen, Verantwortliche, Fristen)
- Nutzung des AI ISMS Implementation Assistant zur Konsistenz der Kontrollbibliothek
Ergebnisse
- Risikoanalysebericht
- Statement of Applicability
- Risikobehandlungsplan
PHASE 4: ISMS-Design & Dokumentation
Aufgaben des Unternehmens
- Review und Freigabe der erstellten Dokumente
- Benennung von Prozesseignenden
Aufgaben der Beratung
- Aufbau des ISMS-Rahmenwerks und der Dokumentenstruktur
- Ausarbeitung maßgeschneiderter Richtlinien und Verfahren, u. a.:
- ISMS-Richtlinie
- Zugriffsregelung
- Acceptable Use
- Backup-Regelung
- Incident-Management-Prozess
- und alle weiteren für die Zertifizierung benötigten Dokumente
- Beratung zu Dokumentenlenkung und Governance
- Unterstützung bei Tooling-Entscheidungen (GRC, DMS, Risikoplattformen)
- Nutzung des AI ISMS Implementation Assistant für Entwürfe und Dokumentenkonsistenz
Ergebnisse
- Vollständiges ISMS-Dokumentenset
- Anleitung zur Dokumentenlenkung und Versionierung
PHASE 5: Umsetzung der Maßnahmen
Aufgaben des Unternehmens
- Umsetzung organisatorischer und technischer Kontrollen
- Einbindung relevanter Abteilungen (IT, HR, Rechtsabteilung usw.)
Aufgaben der Beratung
- Anleitung zu technischen und organisatorischen Maßnahmen
- Bereitstellung praxisnaher Vorlagen (Asset-Register, Zugriffsprotokolle, Incident-Logs usw.)
- Schulung der Mitarbeitenden zum täglichen Umgang mit dem ISMS
- Unterstützung bei Awareness-Maßnahmen
- Nutzung des AI ISMS Implementation Assistant zur Vorlagenerstellung und Kontrolle der Konsistenz
Ergebnisse
- Schulungsmaterialien
- Umsetzungsvorlagen
- Unterstützung bei der Implementierung
PHASE 6: Monitoring, Internes Audit & Managementbewertung
Aufgaben des Unternehmens
- Benennung interner Auditressourcen
- Durchführung der Managementbewertung
Aufgaben der Beratung
- Durchführung des internen Audits nach ISO 27001 (Kapitel 9.2) oder Anleitung interner Auditoren
- Auditchecklisten und Vorlagen
- Unterstützung bei der Managementbewertung (Kapitel 9.3)
- Identifikation von Nichtkonformitäten und Empfehlung von Korrekturmaßnahmen
- Nutzung des AI ISMS Implementation Assistant für Evidenztracking
Ergebnisse
- Auditbericht
- Dokumentation der Managementbewertung
- Maßnahmenplan
PHASE 7: Vorbereitung auf das Zertifizierungsaudit
Aufgaben des Unternehmens
- Auswahl und Beauftragung der Zertifizierungsstelle
- Teilnahme an Interviews und Dokumentenprüfungen
Aufgaben der Beratung
- Readiness-Check oder Probeaudit
- Prüfung der Dokumentation, Kontrollen und Nachweise
- Vorbereitung der Teams auf Auditinterviews
- Begleitung während des externen Audits
- Einsatz des AI ISMS Implementation Assistant zur Vollständigkeitsprüfung
Ergebnisse
- Readiness-Report
- Auditbegleitung (vor Ort oder remote)
PHASE 8: Kontinuierliche Verbesserung & Betrieb
Aufgaben des Unternehmens
- Regelbetrieb der ISMS-Prozesse (Risikoüberprüfung, Audits, Awareness, Aktualisierung der Dokumentation)
- Pflege der Nachweise
Aufgaben der Beratung
- Laufende ISMS-Unterstützung durch regelmäßige Checks oder interne Audits
- Aktualisierung von Dokumenten und Kontrollen bei Änderungen im Unternehmen
- Unterstützung bei Überwachungsaudits
- Nutzung des AI ISMS Implementation Assistant für fortlaufende Dokumentenkonsistenz
Ergebnisse (optional je nach SLA)
- Aktualisierte Dokumente
- Jährliche ISMS-Berichte
- Pakete für interne Audits und Überwachungsaudits
