ISMS & ISO 27001.

Ein Informationssicherheits-Managementsystem, das nicht nur auf dem Papier steht — sondern auditfähig ist und im Alltag funktioniert.

Wir bauen Ihr ISMS strukturiert auf, schließen die Lücken zur Norm und begleiten Sie bis zum Zertifikat. Aus Anforderungen, Policies und Nachweisen wird ein System, das Geschäftsführung, IT, Audit und Kunden trägt — und das den Überwachungsaudits standhält.

Klingt das vertraut?

Ausgangslagen

Ein Kunde verlangt ISO 27001 — bis zum nächsten Quartal.„Ohne Zertifikat verlieren wir den Auftrag, aber niemand weiß, wo wir anfangen sollen."

Wir bestimmen in einer Gap-Analyse realistisch Ihren Status, priorisieren das Nötige und führen Sie auf einem belastbaren Pfad zur Zertifizierung — ohne Goldrand, aber prüffest.

Das ISMS existiert nur in Ordnern.„Wir haben Dokumente — aber kein System, das im Audit standhält."

Wir machen aus verstreuten Policies und Listen ein gelebtes Managementsystem: klare Rollen, nachvollziehbares Mapping von Anforderung zu Control und Nachweis, gelebte Prozesse.

Das Audit steht an — und keiner ist vorbereitet.„Risikoanalyse, Maßnahmen und Nachweise sind nicht prüffertig."

Wir übernehmen die Auditvorbereitung: Risikobehandlung, Maßnahmen, internes Audit und Management-Review — und begleiten Sie durch Zertifizierungs- und Überwachungsaudits.

Niemand ist wirklich zuständig.„Informationssicherheit läuft nebenher, ohne benannte Verantwortung."

Auf Wunsch übernehmen wir die Steuerung als externer Informationssicherheitsbeauftragter oder betreiben Ihr ISMS als Managed ISMS dauerhaft mit.

Was wir konkret machen.

Leistungen / 08

ISMS-Aufbau & Weiterentwicklung

Wir errichten Ihr Managementsystem von Grund auf oder heben ein bestehendes auf Normniveau — Scope, Rollen, Prozesse und Nachweisstruktur inklusive.

Gap-Analyse & ISO 27001 Readiness

Ehrliche Standortbestimmung gegen die Norm: Wo stehen Sie, was fehlt, und wie sieht der kürzeste belastbare Weg zur Zertifizierung aus?

Risikomanagement & Risikoanalyse

Wir identifizieren, bewerten und behandeln Risiken kontextbezogen — nicht aus der Vorlage, sondern auf Ihr Geschäft zugeschnitten.

Policies, Richtlinien & Sicherheitskonzepte

Dokumente, die nicht nur Audits bestehen, sondern im Alltag gelesen und gelebt werden — schlank, verständlich, prüffest.

Internes Audit & Management-Review

Wir führen interne Audits durch und bereiten das Management-Review so vor, dass Sicherheit tatsächlich auf der Führungsagenda steht.

Lieferanten- & Dienstleistermanagement

Strukturierte Bewertung und Steuerung Ihrer Lieferkette — wichtig für ISO 27001 und für Anforderungen, die Kunden weiterreichen.

Auditvorbereitung & Zertifizierungsbegleitung

Wir begleiten Sie durch Stage-1- und Stage-2-Audit und sorgen dafür, dass Nachweise, Maßnahmen und Verantwortlichkeiten sitzen.

Managed ISMS & externer ISB

Auf Wunsch betreiben wir Ihr ISMS laufend mit oder übernehmen die benannte Rolle des Informationssicherheitsbeauftragten.

Häufige Fragen.

FAQ

Wie lange dauert es bis zur ISO-27001-Zertifizierung?+

Das hängt von Größe, Komplexität und Reifegrad Ihrer Organisation ab — von wenigen Monaten bis über ein Jahr. Nach dem Gap-Assessment nennen wir Ihnen einen realistischen Zeitplan mit Meilensteinen, statt mit Wunschterminen zu planen.

Wie viel interne Kapazität müssen wir einplanen?+

Deutlich weniger als bei einer Eigenumsetzung, aber nicht null: Sie brauchen einen festen Ansprechpartner und Entscheidungsbereitschaft der Geschäftsführung. Die operative Arbeit — Dokumente, Controls, Nachweise — übernehmen wir.

Stellt Cognic auch das Zertifikat aus?+

Nein — das Zertifikat vergibt eine unabhängige, akkreditierte Zertifizierungsstelle. Wir bereiten Sie vor, begleiten beide Audit-Stufen und sorgen dafür, dass Abweichungen sauber nachgearbeitet werden. Die Trennung von Beratung und Zertifizierung ist gewollt und schützt Sie.

Lohnt sich ISO 27001 für ein mittelständisches Unternehmen?+

Immer öfter ist es keine freie Entscheidung mehr: Kunden, Ausschreibungen und NIS-2 verlangen nachweisbare Informationssicherheit. Ein ISMS nach ISO 27001 beantwortet Kundenfragebögen, verkürzt Vertriebszyklen und deckt einen großen Teil der NIS-2-Anforderungen gleich mit ab.

Was kommt nach dem Zertifikat?+

Das ISMS muss leben: interne Audits, Managementbewertung, jährliche Überwachungsaudits. Auf Wunsch übernehmen wir den laufenden Betrieb als externer ISB — damit das Zertifikat beim ersten Überwachungsaudit nicht wackelt.