FAQ | ISMS, NIS2, DORA, ISO 27001

Ein Informationssicherheitsmanagementsystem ist eine strukturierte Vorgehensweise, um Informationssicherheit zu planen, umzusetzen, zu überprüfen und zu verbessern. Es umfasst Rollen, Richtlinien, Risiken, Maßnahmen, Nachweise und regelmäßige Bewertung.

Nicht jedes Unternehmen benötigt sofort eine Zertifizierung. Viele Organisationen profitieren aber von einer ISO-27001-orientierten Struktur, weil Verantwortlichkeiten, Risiken und Nachweise klarer steuerbar werden.

Ein Mapping zeigt, welche Anforderungen bereits durch vorhandene Prozesse oder Kontrollen abgedeckt sind und wo Lücken bestehen. Es reduziert Doppelarbeit und schafft eine prüfbare Nachweisstruktur.

ISO/IEC 27001 beschreibt Anforderungen an ein ISMS und ist international verbreitet. Der BSI IT-Grundschutz bietet zusätzlich sehr konkrete Bausteine und Maßnahmen, die besonders im deutschsprachigen Umfeld relevant sind.

Zunächst werden vorhandene Dokumente, Prozesse und technische Kontrollbereiche aufgenommen. Danach erfolgt eine strukturierte Gap-Analyse mit priorisierten Maßnahmen und einer kurzen Ergebnisbesprechung.

Nein. Die Beratung unterstützt Vorbereitung, Strukturierung und Nachweisfähigkeit. Ein formelles Zertifizierungsaudit muss durch eine akkreditierte Zertifizierungsstelle erfolgen.

Häufige Fragen

Was ist ein ISMS?

Braucht jedes Unternehmen ISO 27001?

Was bringt ein NIS2- oder DORA-Mapping?

Was ist der Unterschied zwischen ISO 27001 und BSI IT-Grundschutz?

Wie läuft ein Quick Check ab?

Wird ein vollständiges Zertifizierungsaudit ersetzt?