Praxis aus erster Hand

ISMS-Logbuch – mein Weg zum funktionierenden Managementsystem

Hier sammle ich chronologisch, was funktioniert hat – und was nicht: Scope, Rollen, Risiko-Methodik, Policies, SoA, KPIs, Audit-Vorbereitung, Tooling.

Ziel: Ein ISMS, das im Alltag hilft – nicht nur für die Zertifizierung gut aussieht.

Zu den Einträgen Alle Artikel mit Tag „ISMS“ Aktuelle Cyber-News

Foto: am Datentresor/arbeite an ISMS-Unterlagen

Starter-Pakete

Scope-Vorlage, Kontext der Organisation, Rollenmatrix, RACI.

Risiko-Methodik

Assets & Prozesse, Bedrohungen, Bewertungsskalen, Toleranz, Behandlung.

Dokumente & SoA

Policy-Skelett, Verfahren, Nachweise, Statement of Applicability.

Einträge

2025-09-18 Scope Kontext

Scope festgelegt & Kontext skizziert

Start mit einem „lean“ Scope: produktive Systeme, Datentresor, Admin-Workstations, zentrale Services. Externe SaaS im „Annex A-Light“. Ziele: klare Verantwortungen & messbare KPIs.

Artefakte: Scope-Statement v1, Stakeholder-Liste, interne/externe Themen.
Entscheidung: ISB in Personalunion mit CISO-Rolle – Review durch GF quartalsweise.

2025-09-10 Risiko Assets

Risiko-Methodik v0.9 & Asset-Katalog

Skalen 1–5 für Eintritt & Auswirkung, einfache Risikomatrix; Start mit Prozess-basierten Assets (z. B. „Kundendaten verwalten“ statt nur „DB-Server“).

Artefakt: Risiko-Methodik.pdf + Asset-Katalog.xlsx.
To-do: Mapping auf Controls (ISO 27001:2022 Annex A).

2025-08-28 Datentresor Architektur

Datentresor – Architekturentwurf

Trennung Schlüsselmaterial/Daten, Härtung, Audit-Trail, Wiederherstellbarkeit getestet. Zugriff via MFA (YubiKey) & rollenbasiert.

Roadmap & Notizen: Projektseite