einfachISO

Zertifizierungs­projekt zum Festpreis

Wir übernehmen Projektstruktur, Workshops, Dokumentation, Risikomanagement und Auditvorbereitung. Ihr Team liefert Entscheidungen, Informationen und Umsetzung im Alltag.

Unser COMPLETE-Paket für Unternehmen, die den kürzesten Weg zur Zertifizierungsreife wollen — verbindlicher Festpreis nach Gap-Analyse, keine Tagessätze, keine bösen Überraschungen.

  • Verbindlicher Festpreis nach Gap-Analyse
  • ISMS-Aufbau, Risikomanagement & Projektleitung (auf Wunsch) inklusive
  • Auditvorbereitung für Stage 1 & Stage 2
  • Für ISO 27001, TISAX®® und NIS-2
Projektteam präsentiert die ISO-27001-Zertifizierungsurkunde

ISO-27001-Projektablauf

Ihr Weg zur Zertifizierungsreife

Wir führen Sie Schritt für Schritt durch den Aufbau Ihres ISMS: von der Projektstruktur über Risikoanalyse und Umsetzung bis zur Auditvorbereitung.

  1. Projektstart & Setup

    Gemeinsamer Start mit klarem Zielbild

    Mehr anzeigen

    Wir klären Ziel, Scope, Rollen, Termine und Arbeitsweise. Danach steht fest, wer welche Aufgaben übernimmt und wie die Zusammenarbeit läuft.

    Typische Inhalte

    • Kickoff & Projektteam
    • Jour Fixe & Tooling
    • Auswahl Zertifizierer
    • ISMS-Dokumentensatz

    Ihr Nutzen

    Sie wissen von Anfang an, was passiert, wer beteiligt ist und welche Entscheidungen früh getroffen werden müssen.

  2. Grundlagen des ISMS

    Die Grundlage für ein auditfähiges ISMS

    Mehr anzeigen

    Wir schaffen die Basis für Ihr ISMS: Leitlinie, Scope, Rollen, Organigramm, Standardprozesse, rechtliche Anforderungen und relevante Interessengruppen.

    Typische Inhalte

    • Informationssicherheitsleitlinie
    • Kontext & Scope
    • Rollen & Verantwortlichkeiten
    • Rechtskataster & Auditprogramm

    Ihr Nutzen

    Ihr ISMS bekommt eine belastbare Struktur, die später im Audit erklärt werden kann.

  3. Analyse & Workshops

    Wir machen Ihr Unternehmen auditierbar sichtbar

    Mehr anzeigen

    In Workshops erfassen wir Kerngeschäftsprozesse, IT-Infrastruktur, räumliche Organisation, Lieferanten und Business-Continuity-Themen.

    Typische Inhalte

    • Prozessworkshop
    • IT-Workshop
    • Lieferantenliste
    • Sicherheitsbereiche & BCM

    Ihr Nutzen

    Wir verstehen, was in Ihrem Unternehmen geschützt werden muss und wo Risiken entstehen können.

  4. Risikomanagement & Richtlinien

    Risiken erkennen, bewerten und behandeln

    Mehr anzeigen

    Aus den Ergebnissen leiten wir Assets, Risiken, Maßnahmen und Richtlinien ab. Risikotabelle, Statement of Applicability und Risikobehandlungsplan füllen wir vor und stimmen sie mit Ihnen ab.

    Typische Inhalte

    • Assetinventar & Risikotabelle
    • Statement of Applicability
    • Risikobehandlungsplan
    • Richtlinien & Lieferantenbewertung

    Ihr Nutzen

    Sie erhalten eine nachvollziehbare Verbindung zwischen Ihren Prozessen, Risiken und Sicherheitsmaßnahmen.

  5. Umsetzung & Nachweise

    Aus Dokumenten wird gelebte Praxis

    Mehr anzeigen

    Sie setzen die technischen und organisatorischen Maßnahmen in Ihrem Arbeitsalltag um. Wir bauen daraus die Nachweisdokumente, übernehmen die Mitarbeiterschulung und begleiten die Zielmessung — Sie prüfen und geben frei.

    Typische Inhalte

    • IT- & räumliche Maßnahmen
    • Nachweise & Dokumentation
    • Basisschulung Mitarbeitende
    • BCM-Planung & Zielmessung

    Ihr Nutzen

    Ihr ISMS existiert nicht nur auf Papier, sondern zeigt Wirkung im Arbeitsalltag.

  6. Auditvorbereitung & Zertifizierung

    Gut vorbereitet ins Zertifizierungsaudit

    Mehr anzeigen

    Nach der Umsetzung folgen internes Audit, Management Review und das Zertifizierungsaudit in zwei Stufen. Offene Punkte werden bewertet und gezielt nachgearbeitet.

    Typische Inhalte

    • Internes Audit
    • Management Review
    • Audit Stufe 1 & Nacharbeiten
    • Audit Stufe 2 & Ergebnisbesprechung

    Ihr Nutzen

    Sie gehen vorbereitet in das externe Audit und wissen, welche Nachweise und Entscheidungen relevant sind.

Was einfachISO übernimmt

Sie konzentrieren sich auf Ihr Kerngeschäft — wir übernehmen die fachliche Steuerung und Aufbereitung Ihres ISMS.

Projektstruktur schaffen

Wir übersetzen das Zertifizierungsziel in einen klaren Projektablauf mit Phasen, Arbeitspaketen, Abhängigkeiten und regelmäßigen Terminen.

ISMS-Dokumente erstellen

Wir bringen den vollständigen Dokumentensatz mit — Leitlinie, Prozesse, Richtlinien, Nachweisvorlagen — und schreiben die Inhalte für Ihr Unternehmen aus. Sie prüfen und geben frei.

Workshops moderieren

Wir führen Sie durch die zentralen Themen: Scope, Kerngeschäftsprozesse, IT-Infrastruktur, räumliche Sicherheit, Lieferanten und Business Continuity.

Anforderungen verständlich machen

Wir erklären, was ISO 27001 konkret verlangt, welche Nachweise relevant sind und wie Sie Anforderungen sinnvoll umsetzen können.

Risiken und Maßnahmen strukturieren

Wir unterstützen bei Risikotabelle, Statement of Applicability und Risikobehandlungsplan, damit Risiken nachvollziehbar bewertet und behandelt werden.

Umsetzung fachlich begleiten

Wir prüfen Ihre Umsetzungsschritte und gesammelten Nachweise fachlich, ordnen ein, was zertifizierungstauglich ist, und geben konkretes Feedback für die nächste Projektphase.

Auditvorbereitung begleiten

Wir bereiten Sie auf internes Audit, Management Review und Zertifizierungsaudit vor und helfen bei der Nachbereitung offener Punkte.

Auf Wunsch: Projektleitung übernehmen

Standardmäßig liegt die Projektleitung bei Ihnen. Auf Wunsch übernehmen wir sie komplett: Plan treiben, Fristen nachhalten, Beteiligte zur Lieferung bringen.

Was Ihr Unternehmen beiträgt

Ein zertifiziertes ISMS entsteht nur gemeinsam — aber Sie stehen mit keiner dieser Aufgaben allein da. Wir sagen Ihnen genau, was wann zu tun ist, stellen Vorlagen und Beispiele bereit, moderieren die Arbeitstermine und prüfen Ihre Zwischenergebnisse. Sie liefern das Wissen über Ihr Unternehmen — wir liefern den Weg dorthin.

Informationen bereitstellen

Sie liefern Informationen zu Prozessen, Rollen, Systemen, Standorten und Lieferanten. Wir sagen Ihnen vorab präzise, welche Angaben wir wofür brauchen, und holen sie in moderierten Terminen strukturiert bei den richtigen Personen ab.

Entwürfe prüfen und freigeben

Leitlinie, Prozesse, Richtlinien, Risiken und Nachweise setzen wir für Sie auf — Sie prüfen, kommentieren und entscheiden. Wir arbeiten Ihre Rückmeldungen ein, bis jedes Dokument zu Ihrer Realität passt und freigegeben werden kann.

Maßnahmen umsetzen

Sie setzen die nötigen Maßnahmen in Ihrem Unternehmen um — technisch, organisatorisch und räumlich. Wir sagen pro Anforderung genau, was reicht, und unterstützen, wenn es konkret wird.

Nachweise liefern

Sie zeigen uns, wie Prozesse in Ihrem Alltag tatsächlich laufen — wer was wann macht, welche Tickets, Logs oder Protokolle anfallen. Daraus bauen wir die Nachweisdokumente; Sie prüfen, ob das Bild stimmt, und geben frei.

Mitarbeiter einbinden

Sie sorgen dafür, dass die relevanten Rollen mit am Tisch sitzen. Schulungsinhalte, Awareness-Materialien und einen fertigen Schulungsplan bringen wir mit — Sie wählen Termine und Format und stellen die Teilnahme sicher.

Im Audit erklären können

Im Audit sprechen Sie selbst — denn nur Sie kennen Ihr Tagesgeschäft. Wir bereiten Sie gezielt darauf vor: mit einem internen Audit zur Probe, durchgespielten Auditfragen und vollständigen Auditunterlagen, mit denen Sie souverän durch jeden Termin gehen.

Warum einfachISO?

100 % Erstbestehungsquote

Unsere Kunden bestehen das Zertifizierungsaudit beim ersten Versuch — dank gründlicher Vorbereitung.

Praxisnah & effizient

Kein Overhead, keine unnötige Bürokratie — wir implementieren nur, was für Ihre Zertifizierung wirklich notwendig ist.

200+ erfolgreiche Projekte

Über 200 Unternehmen haben mit unserer Unterstützung erfolgreich ihre Zertifizierung erhalten.

Erster Schritt: die Gap-Analyse

Bevor wir gemeinsam in das Zertifizierungsprojekt starten, schauen wir, wo Ihr Unternehmen heute steht — und genau das macht die Gap-Analyse.

In 1,5 Tagen gehen wir die normrelevanten Themen strukturiert durch: Scope, Kerngeschäftsprozesse, IT-Infrastruktur, räumliche Sicherheit, Lieferanten, Notfallvorsorge und vorhandene Dokumentation. Anschließend wissen wir gemeinsam, welche Anforderungen schon erfüllt sind und wo die echten Lücken liegen.

Das Ergebnis ist die Grundlage für alles Weitere: ein realistischer Zeitplan, ein klarer Aufwand und ein verbindlicher Festpreis für Ihr Zertifizierungsprojekt — keine Tagessatz-Abrechnung, keine groben Schätzungen, keine bösen Überraschungen.

  • Klarer Status — Sie wissen, wie weit Sie wirklich von der Zertifizierung entfernt sind.
  • Verbindlicher Festpreis — Aufwand, Dauer und Kosten stehen vor Projektstart fest und basieren auf Ihrer Realität, nicht auf einer Schätzung.
  • Direkt umsetzbarer Projektplan — Sie sehen genau, welche Phase als Nächstes kommt und was wir von Ihnen brauchen.
  • Keine Verpflichtung — auch wenn Sie sich danach gegen ein Projekt mit uns entscheiden, behalten Sie die Erkenntnisse.

Warum nicht direkt loslegen?

Weil ein Zertifizierungsprojekt ohne Lagebild teuer wird. Wer ohne Gap-Analyse startet, baut Doppelarbeit auf, übersieht relevante Anforderungen oder dimensioniert Aufwand und Budget falsch.

Die Gap-Analyse ist deshalb fester Bestandteil unseres Projektablaufs — nicht als zusätzliche Hürde, sondern damit alle weiteren Phasen auf gesicherten Fakten aufbauen.

Sie schaffen damit die Grundlage, auf der wir die Projektstruktur, das ISMS-Framework und die Auditvorbereitung passgenau auf Ihr Unternehmen ausrichten.

Gap-Analyse starten

Häufige Fragen zum Zertifizierungsprojekt

Wie lange dauert ein Zertifizierungsprojekt?
Für kleine und mittlere Unternehmen sind 4 bis 9 Monate realistisch — sehr fokussiert geht es in 3 bis 4 Monaten, mit weniger Druck dauert es 9 Monate oder länger. Entscheidend sind nicht die Unternehmensgröße, sondern wie klar der Anwendungsbereich (Scope) ist, wie viel echte Arbeitszeit das Projektteam bekommt und wie konsequent Entscheidungen getroffen werden. Wer Ihnen eine Zertifizierung „in wenigen Wochen" verspricht, blendet diese Realität aus.

Mehr dazu im Blog: „Wie lange dauert eine ISO 27001-Zertifizierung“

Was kostet eine Zertifizierung — und was steckt im Projektpreis?
Eine Zertifizierung hat drei Kostenblöcke: interne Aufwände (Entscheidungen, Informationen, Reviews), Beratungsleistungen (Struktur, Vorlagen, Moderation, Auditvorbereitung) und die Zertifizierungskosten der akkreditierten Stelle für den 3-Jahres-Zyklus. Wer nur auf die Rechnung des Zertifizierers schaut, unterschätzt die Projektkosten fast immer. Wir liefern Ihnen nach der Gap-Analyse einen verbindlichen Festpreis für Ihr Projekt auf Basis Ihrer Realität — keine Tagessätze, keine Pauschalen, keine bösen Überraschungen.

Mehr dazu im Blog: „Was kostet eine ISO 27001-Zertifizierung wirklich?“

Wie läuft das Zertifizierungsaudit selbst ab?
Das Zertifizierungsaudit der akkreditierten Zertifizierungsstelle besteht aus zwei Stufen: Stage 1 prüft die Dokumentation und die Auditreife, Stage 2 prüft im Unternehmen die Wirksamkeit des ISMS. Danach erteilt die Zertifizierungsstelle das Zertifikat. Genau hier endet das Zertifizierungsprojekt mit uns — Sie haben Ihr Zertifikat in der Hand. Wir bereiten Sie gezielt auf beide Stufen vor: Auditplanung, Probeaudits, Begleitung am Audittag.

Mehr dazu im Blog: „ISO 27001 Zertifizierungsaudit: So laufen Stage 1 und Stage 2 ab“

Wer muss aus unserem Unternehmen mit an Bord sein?
Mindestens: aktive Rückendeckung der Geschäftsführung, eine interne Projektleitung oder ISMS-Verantwortung, technische Kompetenz, Prozesswissen aus den betroffenen Bereichen sowie die Mitwirkung der Teams, die von Sicherheitsregeln und Nachweisen tatsächlich betroffen sind. Eine einzelne Person reicht nicht — und sie muss es bei uns auch nicht. Wir moderieren die Termine, sagen vorab präzise, wen wir wann brauchen, und holen Inhalte strukturiert bei den richtigen Personen ab.

Mehr dazu im Blog: „ISO 27001 Projektteam: Wer wirklich mit an Bord sein muss“

Können wir uns einfach direkt zertifizieren lassen, ohne Beratung?
Technisch ja — sinnvoll meist nicht. Berater und Zertifizierer haben grundverschiedene Rollen: Der Berater hilft Ihnen, ein auditfähiges ISMS aufzubauen, Scope, Risiken, Dokumente und interne Audits zu strukturieren. Der Zertifizierer ist später die unparteiische Prüfinstanz und darf gemäß ISO/IEC 17021-1 keine Beratungsleistungen erbringen, ohne die Unparteilichkeit zu gefährden. Wer ohne Vorbereitung direkt ins Stage-2-Audit geht, riskiert Abweichungen, Nachaudits und Verzögerungen.

Mehr dazu im Blog: „ISO 27001: Berater oder Zertifizierer — beides geht nicht“

Müssen wir die ganze Dokumentation selbst schreiben?
Nein — das Schreiben übernehmen wir. Sie erhalten von uns einen vorbereiteten Dokumentensatz aus Leitlinie, Prozessen, Richtlinien und Nachweisvorlagen, der mehr als 100 erfolgreiche Zertifizierungen durchlaufen hat. In moderierten Terminen holen wir das Wissen über Ihr Unternehmen bei den richtigen Personen ab, schreiben die Inhalte für Sie aus und passen sie so lange an, bis jedes Dokument zu Ihrer Realität passt. Ihre Aufgabe ist nicht das Schreiben, sondern das Prüfen und Freigeben — Sie liefern Wissen über Ihr Unternehmen, wir liefern Struktur, Sprache und Norm-Konformität.

Mehr dazu im Blog: „ISO 27001 — Dokumentensatz und fertig?“

Was passiert nach der Zertifizierung?
Das Zertifizierungsprojekt endet mit dem erteilten Zertifikat. Das Zertifikat ist drei Jahre gültig: In Jahr 1 und 2 prüft die Zertifizierungsstelle in Überwachungsaudits einen Ausschnitt des ISMS, im dritten Jahr findet das Rezertifizierungsaudit über den vollen Standard statt. Wer möchte, dass wir auch danach an Bord bleiben — das ISMS pflegen, auf Norm-Updates reagieren, Sie auf die Überwachungs- und Rezertifizierungsaudits vorbereiten — bucht im Anschluss separat unser Folgeprodukt Expert Care. So bleibt das ISMS lebendig und kein Projekt schläft nach dem Audit ein.

Mehr dazu im Blog: „Leben mit ISO 27001 — warum vieles gleich bleibt“

Was ist, wenn wir noch nicht wissen, ob ISO 27001, TISAX® oder NIS-2 das Richtige ist?
Genau dafür ist die Gap-Analyse als erster Schritt da. In rund 1,5 bis 2 Tagen schauen wir uns gemeinsam Ihre Ausgangslage, Kundenanforderungen und regulatorischen Treiber an und ordnen ein, welcher Standard zu Ihrer Situation passt — und welcher Scope sinnvoll ist. Erst danach legen wir gemeinsam fest, ob und wie wir in ein Zertifizierungsprojekt starten.

Ihr Zertifizierungsprojekt starten

Besprechen Sie Ihr Vorhaben in einem kostenlosen Erstgespräch — wir zeigen Ihnen, wie Ihr Weg zur Zertifizierung aussehen kann.

Mit Gap-Analyse starten

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Wir schicken Ihnen das PDF und gelegentlich praxisnahe Tipps. Abmeldung jederzeit per Klick. Keine Weitergabe an Dritte.