Zum Inhalt
ISMS.online

Wie man ein ISO 27001-Auditnachweispaket für MSPS erstellt

ISO-27001-Audits können schnell im Chaos enden, wenn Nachweise über verschiedene Systeme und Teams verstreut sind. Ein gut strukturiertes Nachweisdokument bündelt alle Belege und ordnet sie den Schlüsselklauseln der Norm sowie den Kontrollen in Anhang A zu. Mit dem richtigen Ansatz gestalten Managed Service Provider (MSPs) Audits wiederholbar, transparent und schnell erklärbar – und stärken so das Kundenvertrauen und die interne Qualitätssicherung.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum Managed Service Provider (MSPs) Schwierigkeiten mit ISO 27001-Nachweisen haben

Die meisten Managed Service Provider (MSPs) haben Schwierigkeiten mit dem Nachweis der ISO 27001-Konformität, da die Belege für bewährte Verfahren über verschiedene Tools, E-Mail-Postfächer und Kundenumgebungen verstreut sind, anstatt zentral und übersichtlich zusammenzufassen. Fordert ein Auditor oder ein wichtiger Kunde eine Bestätigung an, muss man Ticketsysteme, E-Mail-Verläufe und Portal-Exporte durchsuchen, obwohl die meisten Nachweise bereits vorhanden sind; sie sind nur schwer zu finden, zu erklären oder zu wiederholen.

Für einen typischen MSP befinden sich die Beweise an vielen verschiedenen Orten:

  • Ticket- und PSA-Systeme zur Verwaltung von Störungs-, Änderungs- und Serviceanfragen
  • RMM- und Überwachungstools zeigen Patch-Status, Warnmeldungen und Verfügbarkeit an.
  • Backup- und DR-Plattformen protokollieren Backup-Aufträge, Wiederherstellungstests und Fehler.
  • Identitäts- und Zugriffssysteme zur Erfassung von Neuzugängen, Versetzungen und Austritten
  • HR-Tools und Lernsysteme zur Anzeige von Verträgen, Geheimhaltungsvereinbarungen und Schulungen
  • Vertragsdatenbanken, die Rahmenverträge und Sicherheitspläne enthalten
  • E-Mail, Chat und persönliche Dateifreigaben, bei denen Genehmigungen und Ausnahmen unsichtbar bleiben

Zusammen ergeben diese Quellen ein umfassendes Bild Ihrer Sicherheitsmaßnahmen. ISO 27001 erwartet dokumentierte Informationen, die Ihre tatsächliche Arbeitsweise widerspiegeln, nicht ein künstliches, paralleles Konformitätsmodell. Leitlinien nationaler Normungsorganisationen, wie beispielsweise die BSI-Übersicht zu ISO 27001, betonen durchgängig, dass dokumentierte Informationen ein effektives, risikobasiertes ISMS unterstützen und nicht nur eine reine Dokumentationsübung darstellen sollten. Das Problem besteht darin, dass diese Aufzeichnungen selten:

  • Zuordnung zu ISO 27001-Klauseln oder Anhang A-Kontrollen
  • einheitlich benannt oder versionskontrolliert
  • vollständig über alle im Leistungsumfang enthaltenen Dienstleistungen und Kunden hinweg
  • Für jemanden außerhalb des ursprünglichen Teams leicht zu finden und zu verstehen

Die Auswirkungen zeigen sich schnell:

In der Studie „State of Information Security 2025“ gaben nur etwa ein Fünftel der Organisationen an, im vergangenen Jahr jeglichen Datenverlust vermieden zu haben.

  • Ingenieure werden tagelang von ihrer eigentlichen Arbeit abgezogen, um Screenshots und Exporte anzufertigen.
  • Die Antworten, die Prüfern oder Kunden gegeben werden, sind zwischen verschiedenen Teams oder Zeiträumen inkonsistent.
  • Die Führungsebene kann nicht überprüfen, ob wichtige Kontrollmechanismen, wie z. B. Zugriffsüberprüfungen oder Wiederherstellungstests, tatsächlich wie versprochen durchgeführt werden.
  • Wenn Mitarbeiter das Unternehmen verlassen, verschwinden wichtige Genehmigungen und Risikoentscheidungen zusammen mit ihren Postfächern.

Die Optimierung des Beweisverfahrens ist oft einfacher als die Änderung der Unternehmenskultur und führt in der Regel zu einer Verbesserung beider Aspekte.

Die Mandantenfähigkeit von Managed Service Providern (MSPs) erschwert dies. Dieselben Kontrollmaßnahmen, wie z. B. Datensicherung oder Patching, müssen für viele Kunden gleichzeitig und über verschiedene On-Premise-, Private-Cloud- und Public-Cloud-Plattformen hinweg nachgewiesen werden. Ohne ein strukturiertes Nachweismodell fühlt sich jedes neue Audit oder jeder Sicherheitsfragebogen wie ein Neustart an. Ein ISO-27001-konformes Audit-Nachweispaket schafft hier Abhilfe und wandelt verstreute Nachweise in eine strukturierte, wiederholbare Dokumentation Ihrer Maßnahmen zum Schutz von Kundenservices und Kundendaten um.


Was ein ISO 27001-Auditnachweispaket wirklich ist

Ein ISO 27001-Auditnachweispaket ist eine sorgfältig zusammengestellte Sammlung von Dokumenten und Aufzeichnungen, die dem Auditor die Konzeption und Funktionsweise Ihres Informationssicherheitsmanagementsystems verdeutlicht. Anstatt einen unstrukturierten Ordner mit Richtlinien und Screenshots zu übergeben, stellen Sie eine strukturierte Arbeitsdatei bereit, die dem Auditor einen einfachen Überblick verschafft und es ihm ermöglicht, die Zusammenhänge zwischen Risiken, Kontrollen und realen Aktivitäten ohne Rätselraten zu erkennen.

ISO 27001 legt in den Abschnitten vier bis zehn (Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und -verbesserung) fest, was Ihr ISMS leisten muss, und verweist auf Anhang A als Kontrollkatalog. Öffentliche Zusammenfassungen der Norm, beispielsweise auf iso27000.com, beschreiben die Abschnitte 4–10 als die Kernanforderungen an das Managementsystem und Anhang A als Referenzkatalog für Kontrollen. Die Norm beschreibt außerdem, welche dokumentierten Informationen Sie führen (z. B. Richtlinien und Verfahren) und aufbewahren müssen (z. B. Aufzeichnungen über durchgeführte Tätigkeiten). Sie schreibt jedoch kein festes Format für die Nachweisdokumentation vor. Das bedeutet, Sie können die Dokumentation an Ihren Anwendungsbereich, Ihre Dienstleistungen und Ihre Risiken anpassen, solange sie die Konformität überzeugend belegt.

Trotz des zunehmenden Regulierungsdrucks nennen fast alle Befragten in der Studie „State of Information Security 2025“ das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 als oberste Priorität.

Für ein MSP enthält dieses Paket üblicherweise drei Haupttypen von Artefakten.

  1. Kern-ISMS-Dokumentation

Diese Punkte beweisen, dass ein funktionierendes Managementsystem vorhanden ist:

  • ISMS-Geltungsbereichserklärung
  • Informationssicherheitspolitik und zugehörige Richtlinien
  • Risikobewertungs- und Risikobehandlungsdokumentation
  • Erklärung zur Anwendbarkeit (SoA)
  • Interne Prüfungspläne und -berichte
  • Tagesordnungen, Protokolle und Maßnahmen der Managementbewertung
  • Aufzeichnungen über Abweichungen, Korrekturmaßnahmen und kontinuierliche Verbesserung
  1. Nachweise für die Kontrollgestaltung

Diese zeigen, wie die Steuerelemente funktionieren sollen:

  • Verfahren und Leitfäden, zum Beispiel Zugriffsverwaltung, Reaktion auf Sicherheitsvorfälle, Datensicherung und Wiederherstellung
  • Rollen und Verantwortlichkeiten, einschließlich RACI-Diagrammen für wichtige Prozesse
  • Netzwerkdiagramme, Datenflussdiagramme und Dienstbeschreibungen
  • Sicherheitsklauseln für Lieferanten und Kunden, Service-Level-Vereinbarungen und Datenverarbeitungsvereinbarungen
  1. Nachweise über die Kontrolloperation

Diese Ergebnisse zeigen, dass die Kontrollmechanismen im Laufe der Zeit effektiv funktionieren:

  • Beispiele für Störungs-, Änderungs- und Servicebelege
  • Sicherungs- und Wiederherstellungsberichte über einen definierten Zeitraum
  • Zugriffsprüfungsunterlagen und Protokolle von Eintritten/Versetzungen/Austritten
  • Ergebnisse von Schwachstellenscans und Nachverfolgung von Behebungsmaßnahmen
  • Anwesenheits- und Abschlussnachweise für Schulungen
  • Lieferantenbewertungsnotizen und Besprechungsprotokolle

Der entscheidende Unterschied zwischen einem Beweismittelpaket und einer unstrukturierten Dokumentensammlung liegt im Zweck. Jedes Dokument sollte einen klaren Zweck in verständlicher Sprache haben, den ISO-27001-Klauseln und den Kontrollen in Anhang A zugeordnet sein, einen Verantwortlichen und eine Aktualisierungsvorgabe haben und zu einem ausreichenden, angemessenen und nicht übermäßigen Datensatz beitragen.

Prüfer sind darin geschult, Stichproben zu erstellen. Sie benötigen selten alle jemals erstellten Änderungstickets, sondern möchten sehen, dass Sie schnell eine repräsentative Auswahl für einen bestimmten Zeitraum bereitstellen können und dass diese Stichproben Ihrem dokumentierten Prozess entsprechen. Professionelle Leitlinien für Prüfungsnachweise, wie beispielsweise internationale Einführungen zu Prüfungsnachweisen, betonen die Angemessenheit und Vollständigkeit der Nachweise und nicht die Vollständigkeit der Dokumentation. Ein gut ausgearbeitetes Nachweispaket vereinfacht dies, indem es angibt, welche Dokumente immer bereitgestellt werden (z. B. die Analyseergebnisse, die Risikomethodik und die Ergebnisse der Managementbewertung), welche auf Anfrage stichprobenartig geprüft werden (z. B. Tickets, Protokolle und Berichte) und woher neue Stichproben entnommen werden können und wer dafür verantwortlich ist.

Wenn man das Paket als dynamischen Bestandteil des ISMS betrachtet, anstatt als statisches Paket für die Auditwoche, trägt dies zu einer realistischeren Ausrichtung bei und hält den Wartungsaufwand überschaubar. Für CISOs oder Serviceleiter wird es zudem zu einem praktischen Werkzeug, um Vorstände und Kunden über die Sicherheitsrichtlinien der verwalteten Services zu informieren.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Warum Abgeordnete des schottischen Parlaments ein spezielles Beweismaterial benötigen

Managed Service Provider (MSPs) benötigen ein spezialisiertes ISO 27001-Nachweispaket, da geteilte Verantwortung, Multi-Tenant-Dienste und regulatorische Vorgaben Muster erzeugen, die ein allgemeines Handbuch nicht abdeckt. Ihr Paket muss klar darlegen, was Sie, Ihre Kunden und Lieferanten tun und wie Nachweise in verschiedenen Umgebungen gesammelt werden. So können Auditoren und Kunden nachvollziehen, wo die Sicherheitsverantwortung beginnt und endet und warum Ihr Ansatz glaubwürdig ist.

Managed Service Provider (MSPs) nutzen gemeinsam genutzte Plattformen, betreuen parallel zahlreiche Kunden und sind in komplexe Verantwortungsketten mit Cloud-Anbietern, Softwareherstellern und Endkunden eingebunden. Ein spezieller Nachweiskatalog erfasst diese Zusammenhänge und macht sie leicht verständlich. Auditoren, die regelmäßig MSPs prüfen, erwarten diese Transparenz in der Darstellung Ihres Informationssicherheitsmanagementsystems (ISMS), und große Kunden stützen sich oft auf dieselben Unterlagen, wenn sie entscheiden, ob sie Ihnen kritische Workloads anvertrauen.

Die erste MSP-spezifische Besonderheit ist geteilte VerantwortungBei vielen Kontrollmaßnahmen handeln Sie nicht allein:

  • Die Infrastruktur und Teile der Plattformsicherheit werden von Cloud-Anbietern oder Rechenzentren übernommen.
  • Die Konfiguration und Betriebssicherheit von Systemen im Besitz des Kunden kann in der Verantwortung des Kunden liegen.
  • Einige Kontrollmechanismen, wie etwa das Vorfallmanagement oder die Zugriffsgenehmigung, werden tatsächlich geteilt.

Wenn Ihre Dokumentation den Eindruck erweckt, Sie würden alles tun, schaffen Sie rechtliche und wirtschaftliche Risiken. Verschweigt sie hingegen den Anteil des Kunden oder Lieferanten, werden die Prüfer unangenehme Fragen stellen. Ein besserer Ansatz ist:

  • Erstellen Sie eine einfache Matrix zur gemeinsamen Verantwortungsverteilung für wichtige Dienste wie verwaltetes Microsoft 365, verwaltete Endpunkte oder gehostete private Cloud-Dienste.
  • Verknüpfen Sie diese Matrix direkt mit den Kontrollen in Anhang A und mit bestimmten Artikeln in Ihrem Paket.
  • Beziehen Sie Zusicherungen von Lieferanten, beispielsweise Zertifizierungen oder Prüfberichte, als unterstützende Nachweise mit ein, ohne jedoch anzunehmen, dass diese Ihre eigenen Kontrollen beweisen.

Die zweite Wendung ist Mehr-Tenant-BetriebEin Patch-Management-Prozess beispielsweise findet auf vielen Servern und in verschiedenen Kundenumgebungen Anwendung. Der Nachweis muss auf zwei Ebenen funktionieren:

Die Mehrheit der im Bericht „State of Information Security 2025“ aufgeführten Organisationen gab an, im vergangenen Jahr bereits von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

  • Flottenweite Kennzahlen und Berichte, die die Gesamtabdeckung und Ausnahmen aufzeigen
  • Stichproben pro Kunde oder pro Anlagegut, die von Wirtschaftsprüfern oder Kunden angefordert werden können

Ihr Paket sollte daher sowohl organisationsweite Ansichten wie monatliche Patch-Compliance-Berichte und zusammenfassende Dashboards als auch kundenspezifische oder assetspezifische Beispiele wie Änderungstickets für die kritischen Server eines bestimmten Kunden über einen bestimmten Monat enthalten oder deutlich darauf hinweisen.

Die dritte Wendung ist regulatorische und vertragliche ÜberlagerungViele Ihrer Kunden sind selbst reguliert, beispielsweise im Finanzdienstleistungs- oder Gesundheitswesen, und verlassen sich auf Sie als wichtigen IT-Dienstleister oder -Auftragsverarbeiter. Outsourcing- und IT-Risikoleitlinien von Branchenaufsichtsbehörden, wie beispielsweise die Outsourcing-Leitlinien der Europäischen Bankenaufsichtsbehörde, stufen Cloud- und IT-Anbieter ausdrücklich als kritische Dritte in der Sicherungskette ein. Das bedeutet, dass Ihre Nachweise Folgendes umfassen müssen:

  • Vertragliche Verpflichtungen in Rahmenverträgen, Service-Levels und Sicherheitsplänen
  • Datenschutzpflichten im Datenschutzrecht, wie z. B. die Dokumentation von Verarbeitungsvorgängen und die Meldung von Datenschutzverletzungen.
  • Branchenleitfaden zu Outsourcing, Cloud-Risiken und kritischen Drittanbietern

Für CISOs oder Datenschutzbeauftragte ist hier ein einheitliches Bild entscheidend. Ein spezialisiertes MSP-Dokumentationspaket verknüpft daher ISO-27001-Klauseln und Annex-A-Kontrollen, Modelle zur gemeinsamen Verantwortung für jeden wichtigen Dienst, Lieferantenzusagen, Kundenverträge und Betriebsaufzeichnungen aus Ihrem Toolset zu einer schlüssigen Darstellung, die sowohl in Audits als auch in Kundengesprächen Bestand hat.



Gestaltung einer MSP-freundlichen Evidenzstruktur

Eine MSP-freundliche Nachweisstruktur spiegelt sowohl ISO 27001 als auch Ihre Dienstleistungen wider, sodass Auditoren, Ingenieure und Account-Teams schnell finden, was sie benötigen. Wenn Ihre Struktur für diejenigen verständlich ist, die in Klauseln, Kontrollen, Dienstleistungen oder Kunden denken, fühlt sich die Nachweissuche nicht mehr wie eine Reihe von einmaligen Suchen an, sondern wird zu einem vorhersehbaren Bestandteil Ihrer Geschäftsprozesse.

Nachdem Sie die Notwendigkeit eines MSP-spezifischen Pakets verstanden haben, geht es im nächsten Schritt darum, eine praxistaugliche Struktur zu entwickeln. Zwei Prinzipien sind dabei hilfreich: die Einhaltung des Standards und die Abbildung Ihrer Services. Wenn Sie Ihre Ordner, Register und Verknüpfungen entsprechend gestalten, müssen Ihre Mitarbeiter keine separate Compliance-Sprache erlernen; sie können dasselbe Denkmodell verwenden, das sie bereits für Bereitstellung und Betrieb nutzen.

Ein praktischer Ausgangspunkt ist die Strukturierung Ihres Beweisarchivs auf drei Ebenen.

  1. ISMS / Managementsystemebene

Diese Ebene spiegelt die Abschnitte vier bis zehn der ISO 27001 wider und enthält organisationsweite Dokumentationen und Aufzeichnungen, wie zum Beispiel:

  • Kontext, interessierte Parteien und Geltungsbereich des ISMS
  • Richtlinien und Ziele
  • Risikobewertungs- und Behandlungsartefakte
  • SoA und Kontrollkatalog
  • Interne Audits, Managementbewertungen und Verbesserungsmaßnahmen
  1. Steuerungsimplementierungsschicht

Diese Ebene erweckt die Steuerelemente aus Anhang A in Ihren Diensten zum Leben:

  • Verfahren, Leitfäden und Standardarbeitsanweisungen
  • Architekturdiagramme und Konfigurationsgrundlagen
  • Leistungsbeschreibungen und Betriebsmodelle
  1. Ebene der operativen Datensätze

Diese Ebene enthält oder verweist auf reale Daten Ihrer Werkzeuge:

  • Exporte oder gespeicherte Ansichten von Tickets, Protokollen und Berichten
  • Unterzeichnungen und Genehmigungen
  • Beispiele für Überwachungsalarme, Untersuchungen und Reaktionen

Diese Struktur lässt sich in einer Ordnerstruktur, einem Dokumentenmanagementsystem, einer ISMS-Plattform wie ISMS.online oder einer Kombination dieser Systeme abbilden, solange die Beziehungen klar bleiben. Die Zentralisierung in einer dedizierten ISMS-Plattform erleichtert oft die Zusammenarbeit verschiedener Rollen, ohne die Nachvollziehbarkeit zu beeinträchtigen, da Risiken, Richtlinien, Kontrollen und Datensätze verknüpft statt verstreut sind.

Ihre Struktur sollte mindestens drei Fragen zu jedem Beweisstück beantworten:

  • Was ist das? (Art und kurze Beschreibung)
  • Welche Kontrollmaßnahme oder Klausel wird dadurch unterstützt?
  • Woher stammt es und wem gehört es?

Diese Vorgehensweise hilft einem CISO, Service Manager oder Auditor, eine unbekannte Datei zu erfassen und ihre Rolle zu verstehen, selbst wenn sie neu in Ihrer Umgebung sind.

Eine klare Struktur ist oft der wichtigste Schritt hin zu ruhigeren Audits und weniger Überraschungen.

Empfohlene Top-Level-Struktur: Organisation, Governance und Risiko

Ein einfaches, an den Klauseln ausgerichtetes Layout ist für Managed Service Provider (MSPs) oft gut geeignet, da es der Lesart von ISO 27001 durch Auditoren und dem Governance-Verständnis von Führungskräften entspricht. Indem Sie die Nachweise nach Organisation, Geltungsbereich, Governance und Risiko gruppieren, ermöglichen Sie jedem, der Ihre Unterlagen prüft, schnell zu verstehen, was zum Geltungsbereich gehört, wer verantwortlich ist und wie wichtige Entscheidungen getroffen werden, ohne sich zunächst durch technische Details arbeiten zu müssen.

Ordner / Ansicht Zweck Inhaltsbeispiele
Organisation & Umfang Wer Sie sind, was zum Geltungsbereich gehört Geltungsbereichsbeschreibung, Organigramme, Interessensanalyse
ISMS-Governance Wie Sie die Sicherheit insgesamt verwalten Richtlinien, Ziele, Rollen, Ausschüsse
Risikomanagement Wie Sie Risiken erkennen und behandeln Risikomethodik, Risikoregister, Behandlungspläne
Anhang A Kontrollen & SoA Kontrollkatalog und Entscheidungen SoA, Kontrollnarrative, Matrix der geteilten Verantwortung
Personalwesen & Sensibilisierung Personenbezogene Kontrollen und Aufzeichnungen Stellenbeschreibungen, Sicherheitsüberprüfungen, Schulungsnachweise

Dieses erste Layout konzentriert sich darauf, wie Sie die Sicherheit organisieren und steuern. Es hilft Führungskräften, Auditoren und Kunden zu verstehen, wie Ihr ISMS aufgebaut ist und wer für was verantwortlich ist, bevor sie sich mit dem Tagesgeschäft befassen.

Empfohlene Top-Level-Struktur: Betrieb, Lieferanten und Überwachung

Eine betriebsorientierte Sichtweise ergänzt die Governance-Sichtweise, indem sie aufzeigt, wie Dienste funktionieren, wie Lieferanten eingebunden sind und wie Systeme und Daten überwacht werden. Dies spiegelt die Denkweise von Ingenieuren und Servicemanagern wider und erleichtert ihnen die Wartung des Systems sowie die Beantwortung auftretender Fragen erheblich.

Ordner / Ansicht Zweck Inhaltsbeispiele
Betrieb und Technologie Tägliche Sicherheitsimplementierung Verfahren, Diagramme, Werkzeugübersichten
Lieferanten & Kunden Sicherheitsvorkehrungen für Dritte und Kunden Register, Sorgfaltsprüfung, Verträge, Überprüfungen
Überwachung, Vorfälle, BC Protokollierung, Vorfälle, Kontinuität und Wiederherstellung Protokolle, Tickets, Testergebnisse, Nachbesprechungen von Vorfällen

Zusammen ergeben diese Ansichten ein vollständiges Schema für Ihre Beweismittelbibliothek, das sich an praktischen Gegebenheiten orientiert. Standardisieren Sie innerhalb jedes Ordners die Benennung, sodass die Dateien selbsterklärend sind, und halten Sie die Struktur stabil, damit Mitarbeiter und Prüfer sie einmal erlernen und sich langfristig darauf verlassen können.

Innerhalb jedes Ordners sollte die Benennung standardisiert werden, sodass die Dateien selbsterklärend sind. Zum Beispiel:

  • `A.5.7_Threat_Intelligence_Procedure_v1.2_2024-03_Approved`
  • `Access_Review_Admin_Accounts_Q1_2025_Client-A`

Eine zentrale Nachweisregister Das hält alles zusammen. Jede Zeile könnte Folgendes enthalten:

  • ISO 27001-Klausel oder Anhang A Kontrollkennung
  • Anforderungszusammenfassung in einfacher Sprache
  • Beschreibung, wie Sie es treffen
  • Primäre Beweismittel, wie beispielsweise ein Dokument oder eine Aufzeichnung
  • Quellsystem für Betriebsdatensätze
  • Eigentümer und Bewertungshäufigkeit

Ob dieses Register nun in einer Tabellenkalkulation, einem Dokumentations-Wiki oder einer ISMS-Plattform wie ISMS.online geführt wird – es dient Prüfern und internen Stakeholdern als Index, um sich zurechtzufinden. Für IT- oder Sicherheitsexperten ist es zudem der schnellste Weg, um zu erkennen, bei welchen Kontrollen noch Nachweise fehlen und um die Schwerpunkte für den kommenden Monat festzulegen.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Obligatorische Dokumente und MSP-kritische Aufzeichnungen

Die obligatorischen ISO-27001-Dokumente bilden das Fundament Ihrer Nachweisdokumentation, während MSP-spezifische Aufzeichnungen die von Auditoren und Kunden erwarteten operativen Details liefern. Wenn Sie diese beiden Ebenen – die zwingend erforderlichen und nachzuweisenden Dokumente – klar definieren, können Sie Ihre Anstrengungen auf das Wesentliche konzentrieren, anstatt in unwichtigem Papierkram zu versinken, den niemand liest oder dem niemand vertraut.

Kerninformationen, die zwingend dokumentiert werden müssen

Die obligatorischen Kerndokumente umfassen die gemäß ISO 27001 erforderlichen und aufzubewahrenden Dokumente, auf die sich Auditoren verlassen, um Ihr Managementsystem zu verstehen. Sie bilden das Grundgerüst Ihrer Nachweisdokumentation, insbesondere für Ihren CISO, Compliance-Beauftragten oder virtuellen CISO, und verankern die späteren Betriebsaufzeichnungen in einem kohärenten ISMS-Design. Daher erwarten Auditoren in der Praxis fast immer mindestens Folgendes:

  • ISMS-Geltungsbereichserklärung
  • Informationssicherheitspolitik und -ziele
  • Beschreibung des Risikobewertungs- und Risikobehandlungsprozesses
  • Ergebnisse der Risikobewertung und Entscheidungen zur Risikobehandlung
  • Anwendbarkeitserklärung für alle in Anhang A aufgeführten Kontrollen mit Begründung
  • Rollen und Verantwortlichkeiten für Informationssicherheit
  • Kompetenz- und Kenntnissesnachweise, wie z. B. Schulungspläne und Anwesenheitslisten
  • Überwachungs- und Messergebnisse, die für das ISMS relevant sind
  • Internes Prüfungsprogramm und Berichte
  • Input und Output der Managementbewertung
  • Aufzeichnungen über Abweichungen und Korrekturmaßnahmen

Für einen Managed Service Provider (MSP) sollten diese Dokumente explizit auf Ihre Dienstleistungen und Ihr Bereitstellungsmodell Bezug nehmen und nicht nur allgemeine Unternehmenssprache verwenden. Beispielsweise sollte der Geltungsbereich die verwalteten Dienstleistungen und Umgebungen benennen, die Risikomethodik Bedrohungen für Management-Tools und Kundenplattformen umfassen und die Leistungsbeschreibung (SoA) Entscheidungen zur gemeinsamen Verantwortung widerspiegeln, damit Auditoren und Kunden nachvollziehen können, wie Ihre Zusagen in Kontrollen umgesetzt werden. Listen mit „obligatorischen Dokumenten“, die von ISO-27001-Spezialisten veröffentlicht werden, wie z. B. Zusammenfassungen der obligatorischen Dokumentation, entsprechen weitgehend diesem Schema und decken sich mit der typischen Vorgehensweise von Zertifizierungsauditoren bei der Bewertung eines Informationssicherheitsmanagementsystems (ISMS).

MSP-kritische Datensätze

MSP-kritische Aufzeichnungen sind die operativen Artefakte, die belegen, wie Ihre Sicherheitskontrollen in der Praxis bei einer Vielzahl von Kunden funktionieren. Prüfer und Großkunden stützen sich maßgeblich darauf, um zu beurteilen, ob Sie Ihre Richtlinienversprechen tatsächlich einhalten, insbesondere wenn Sie regulierte Kunden betreuen, die auf Sie als zentralen Bestandteil ihrer eigenen Sicherheitsstrategie angewiesen sind.

Zusätzlich zu den obligatorischen Punkten prüfen MSP-Prüfer Folgendes genau:

  • Anlagenverzeichnisse, die interne Infrastruktur, gemeinsam genutzte Plattformen und kundenbezogene Anlagen umfassen, mit Eigentümern, Klassifizierungen und Standorten.
  • Nachweise zum Zugriffsmanagement, einschließlich Benutzer- und privilegierter Kontolisten, Workflows für Eintritt/Versetzung/Austritt von Mitarbeitern, regelmäßige Überprüfungen und Aktivitätsprotokolle der Administratoren
  • Betriebs- und Überwachungsprotokolle wie Backup- und Wiederherstellungstests, Patch- und Schwachstellenmanagement, Überwachung und Alarmbearbeitung sowie relevante Leistungsberichte
  • Vorfälle und Probleme, einschließlich Störungsmeldungen, Untersuchungen, Ursachenanalysen und gewonnenen Erkenntnissen sowie Nachweise darüber, dass Kunden wie vereinbart benachrichtigt wurden.
  • Geschäftskontinuitäts- und Notfallwiederherstellungspläne, Testszenarien und -ergebnisse, einschließlich Wiederherstellungszeit- und Wiederherstellungspunktleistung für Managed Services
  • Artefakte des Lieferantenmanagements wie Lieferantenregister, Ergebnisse der Due-Diligence-Prüfung, Verträge und Sicherheitsklauseln, Prüfvermerke und Leistungsübersichten für wichtige Drittparteien
  • Kundenanforderungen einschließlich Sicherheitsanhängen, Datenverarbeitungsvereinbarungen, kundenspezifischen Kontrollverpflichtungen und Zuordnungen, die zeigen, wie Ihre ISO 27001-Kontrollen diese Verpflichtungen abdecken

Arbeitsprogramme für Audits nach ISO 27001, einschließlich Community-Vorlagen wie den ISO 27001-Auditprogrammen, betonen regelmäßig die Bedeutung dieser Art von Betriebsaufzeichnungen als wichtigen Nachweis für die Wirksamkeit der Kontrollen. Diese Aufzeichnungen ermöglichen Auditoren und Kunden einen präzisen Einblick in die praktische Funktionsweise Ihrer Managed Services. Viele dieser Aufzeichnungen werden automatisch von Tools generiert. Entscheidend ist, festzulegen, wie oft repräsentative Momentaufnahmen erfasst und wie lange diese aufbewahrt werden, damit Audits und Kundenbefragungen stets ein aktuelles und präzises Bild erhalten und nicht eine veraltete oder willkürliche Auswahl.

Ein einfacher Test für jede Kontrollgruppe ist:

  • Können Sie mir das Dokument nennen, das die Funktionsweise dieser Steuerung beschreibt?
  • Können Sie anhand datierter Aufzeichnungen belegen, dass es über einen definierten Zeitraum hinweg so funktioniert hat?
  • Kann jemand, der mit Ihren Tools nicht vertraut ist, die Ergebnisse anhand einer kurzen Erklärung verstehen?

Wenn Sie nicht alle drei Fragen mit „Ja“ beantworten können, muss dieser Bereich Ihrer Nachweisdokumentation überarbeitet werden. Eine ISMS-Plattform wie ISMS.online kann diese Zusammenhänge verdeutlichen, indem sie Kontrollen, Risiken, Dokumente und Aufzeichnungen zentral verknüpft. So müssen Sie sich nicht mehr merken, in welchem ​​Ordner oder System sich welcher Nachweis befindet. Zudem erhalten Sie eine Übersicht, die Ihnen zeigt, wo die Beweislage stark und wo sie schwach ist.



Schritt-für-Schritt-Anleitung zum Erstellen des Pakets

Sie erstellen ein überzeugendes ISO 27001-Nachweispaket in überschaubaren Phasen, die sich am PDCA-Zyklus (Planen-Durchführen-Überprüfen-Anpassen) orientieren, anstatt alles auf einmal perfektionieren zu wollen. Jede Phase hat klar definierte Verantwortliche und Ergebnisse, sodass Ihr Team kontinuierlich arbeiten, Stress reduzieren und hektische Aktionen in letzter Minute vermeiden kann, die das Vertrauen gegenüber Auditoren oder strategischen Kunden untergraben.

Der Versuch, in einem einzigen Schritt die perfekte Dokumentation zu erstellen, führt unweigerlich zu Frustration. Ein schrittweises Vorgehen, das sich am PDCA-Zyklus (Planen-Durchführen-Überprüfen-Anpassen) der ISO 27001 orientiert, ist realistischer und einfacher zu handhaben. CISOs und Serviceleiter übernehmen in der Regel die frühen Planungsphasen, Servicemanager und -mitarbeiter steuern üblicherweise die operativen Phasen. Eine strukturierte Vorgehensweise sorgt dafür, dass alle an einem Strang ziehen.

Phase 1 – Umfang und Kontext klären

In Phase eins wird sichergestellt, dass alle Beteiligten Einigkeit darüber erzielen, was zum Geltungsbereich gehört und warum. So wird vermieden, dass Nachweise für die falschen Dienste gesammelt oder kritische Umgebungen übersehen werden. Ein klar definierter Geltungsbereich und Kontext gehören zu den ersten Punkten, die Auditoren prüfen. Eine frühzeitige Klärung dieser Punkte verhindert spätere Unstimmigkeiten darüber, welche Kunden, Standorte und Systeme tatsächlich unter das Zertifikat fallen.

Beginnen Sie mit der Bestätigung:

  • welche Dienste, Standorte und Systeme in den Geltungsbereich fallen
  • Welche Kundentypen sind eingeschlossen, beispielsweise alle Kunden, die bestimmte Managed Services nutzen?
  • Welche Interessengruppen und Anforderungen, wie z. B. Kunden, Aufsichtsbehörden und Versicherer, Ihre Kontrollmechanismen beeinflussen.

Passen Sie Ihre Leistungsbeschreibung und die Analyse der beteiligten Parteien entsprechend an und stellen Sie sicher, dass Führungskräfte, Vertrieb und operative Abteilungen dieselbe Auffassung vertreten. Bei vielen Managed Service Providern (MSPs) treten hier Missverständnisse zwischen kommerziellen Versprechen und der technischen Umsetzung zutage und können behoben werden, bevor sie zu Beanstandungen im Rahmen von Audits oder zu Kundenproblemen führen.

Schritt 1 – Erfassen, wer und was in den Geltungsbereich fällt

Definieren Sie die Organisationen, Dienstleistungen, Standorte und Technologien, die Sie abdecken werden, und dokumentieren Sie diese klar, damit später keine Unklarheiten entstehen, wenn Sie entscheiden, welche Unterlagen in das Beweismaterial gehören.

Schritt 2 – Erfassen, wer sich dafür interessiert und warum

Listen Sie Kunden, Aufsichtsbehörden, Partner und interne Stakeholder auf und fassen Sie deren wichtigste Sicherheitserwartungen in einfacher Sprache zusammen, damit Kontrollen und Nachweise auf tatsächliche Bedürfnisse und nicht auf erfundene Anforderungen zurückgeführt werden können.

Phase 2 – Aktualisierung der Risikobewertung und Behandlung

In Phase zwei werden Ihre Nachweise mit realen Risiken verknüpft, sodass die Prüfer erkennen können, dass Ihre Kontrollen und Aufzeichnungen auf tatsächlichen Bedrohungen und nicht auf Standardvorgaben beruhen. Außerdem wird deutlich, welche Risiken die Führungskräfte akzeptiert haben und welche durch konkrete Maßnahmen minimiert werden müssen. Dies wiederum beeinflusst, welche Nachweise Sie sammeln und wie oft Sie diese überprüfen.

Ihre Beweismittelsammlung muss reale, nicht allgemeine Risiken widerspiegeln. Überprüfen oder führen Sie eine Risikobewertung durch, die Folgendes berücksichtigt:

  • berücksichtigt Bedrohungen, die spezifisch für Managed Service Provider (MSPs) sind, wie z. B. die Kompromittierung von Management-Tools, Angriffe auf die Lieferkette und Insiderrisiken.
  • definiert Risikokriterien und Risikobereitschaft so, dass Entscheidungsträger sie verstehen können.
  • führt zu eindeutigen Behandlungsentscheidungen, die jeweils mit den Kontrollen gemäß Anhang A und später mit den entsprechenden Nachweisen verknüpft sind.

Vervollständigen oder bereinigen Sie Ihr Risikoregister, sodass jedes Risiko einen Verantwortlichen, einen Status und eine Historie aufweist. Für einen CISO bildet dies die zentrale Verbindung zwischen Risikosprache und Kontrollgestaltung, und für Anwender erklärt es, warum bestimmte Aufgaben und Berichte im Nachweisdokument besonders hervorgehoben werden.

Phase 3 – Erstellung oder Angleichung der zentralen ISMS-Dokumente

Phase drei stellt sicher, dass Ihre Richtlinien, Verfahren und Governance-Dokumente Ihre tatsächliche Arbeitsweise beschreiben, sodass operative Nachweise im Kontext dieser Dokumente schlüssig sind. Sind diese Dokumente veraltet oder zu allgemein gehalten, wirkt Ihr Paket auf Prüfer und Mitarbeiter unzulänglich und künstlich, und es wird ihnen schwerfallen, die schriftlichen Erwartungen mit der gelebten Praxis in Einklang zu bringen.

Auf Grundlage des aktualisierten Umfangs und der Risiken sollten Sie sicherstellen, dass Ihre wichtigsten ISMS-Dokumente Folgendes enthalten:

  • im Einklang mit dem, was Sie tatsächlich in den Bereichen Lieferung und Betrieb tun.
  • Sinnvolle Querverweise, beispielsweise Risikomethodik, die auf Risikoregister verweist, und Richtlinien, die auf Verfahren verweisen.
  • in einer Sprache verfasst, die Ingenieure und Servicemitarbeiter erkennen

Hier setzen viele Berater an. Für die Nachweisführung ist es entscheidend, dass diese Dokumente die Funktionsweise der Kontrollen erläutern, sodass die Betriebsaufzeichnungen später damit verglichen werden können. Als Servicemanager haben Sie hier außerdem die Möglichkeit, überkomplexe Prozesse zu vereinfachen, die in der Praxis ohnehin nicht eingehalten werden. Dadurch reduziert sich der Nachweisaufwand, da Sie nur noch Ihre tatsächlichen Vorgehensweisen belegen müssen.

Phase 4 – Gestaltung der Evidenzstruktur und des Registers

Phase vier schafft das Grundgerüst für Ihre Unterlagen: Ordnerstruktur, Namenskonventionen und das Beweisregister, das alles zusammenführt. Ohne dieses Gerüst bleiben selbst umfangreiche Dokumente und Aufzeichnungen unter Zeitdruck schwer zu durchsuchen, und Audits werden zu Gedächtnisübungen statt zu Prozessübungen.

Nachdem die Grundlagen geschaffen sind, geht es an die Planung:

  • die Ordner- oder Repository-Struktur, die Sie verwenden werden
  • die Namenskonventionen und Metadaten für Beweismittel
  • das Beweisregister, das Kontrollen Artefakten zuordnet

Füllen Sie das Register zunächst mit Pflichtdokumenten und einer ersten Auswahl an MSP-kritischen Datensätzen. Versuchen Sie nicht, sofort alle Lücken zu füllen; konzentrieren Sie sich auf Struktur und Übersichtlichkeit. Oftmals wird das Register von einem Compliance-Beauftragten oder einem virtuellen CISO geführt, wobei die Anwender Einträge für ihre jeweiligen Bereiche beisteuern, sodass die Verantwortung geteilt wird und das Wissen nicht in einer einzelnen Person konzentriert ist.

Phase 5 – Integration der operativen Tools

Phase fünf verbindet Ihr Paket mit den Systemen, die Echtzeitdaten generieren, sodass Sie nicht mehr auf Ad-hoc-Screenshots und -Exporte angewiesen sind. Hier haben IT- und Sicherheitsexperten die größte Bedeutung und können ihren zukünftigen Arbeitsaufwand erheblich reduzieren, indem sie die Dateneingabe von Berichten und Protokollen in das Paket standardisieren.

Zusammenarbeit mit den Bereichen Servicebereitstellung und Sicherheitsbetrieb, um:

  • Identifizieren Sie in jedem Tool Standardberichte und Dashboards, die mit Kontrollmechanismen wie Patch-Compliance, Backup-Erfolg oder Incident-Warteschlangen übereinstimmen.
  • Vereinbarung zur Kennzeichnung von Vorfällen, Änderungen und Problemen im Ticketsystem, die Kontrollen zugeordnet sind
  • Definieren Sie Routinen für den Export oder die Erfassung von Daten in sinnvollen Abständen, beispielsweise monatlich oder vierteljährlich.

Konfigurieren Sie Tools nach Möglichkeit so, dass Berichte automatisch an einem zentralen Ort oder auf einer ISMS-Plattform veröffentlicht werden, anstatt auf manuelle Uploads angewiesen zu sein. ISMS.online kann beispielsweise als diese zentrale Plattform dienen, indem hochgeladene Nachweise direkt mit Kontrollen und Risiken verknüpft werden. Dies reduziert den Aufwand für Anwender und ermöglicht Führungskräften einen besseren Überblick über die Gesamtsicherheit.

Phase 6 – Interne Audits gegen das Paket durchführen

Phase sechs beweist Ihnen vor einem externen Audit, dass Ihre Nachweise tatsächlich wirksam sind. Interne Audits dienen als Generalprobe, um Schwachstellen aufzudecken, solange das Risiko noch gering ist, und geben Ihrem Team Sicherheit im Umgang mit kritischen Fragen von Zertifizierungsauditoren oder wichtigen Kunden.

Vor jedem Besuch eines externen Prüfers sollten Sie Ihre Nachweisunterlagen so behandeln, als wären Sie die Zertifizierungsstelle:

  • Wählen Sie eine Auswahl an Kontrollmechanismen aus verschiedenen Bereichen wie Zugriffsverwaltung, Datensicherung, Vorfallsmanagement und Lieferantenmanagement.
  • Verwenden Sie für jeden einzelnen Fall ausschließlich das Beweisregister und die Beweisstruktur, um Beweise zu finden.
  • Prüfen Sie, ob die Nachweise mit dem dokumentierten Verfahren übereinstimmen und ausreichend aktuell sind.

Halten Sie Erkenntnisse, Lücken und Verbesserungsvorschläge fest. Dies stärkt nicht nur Ihre Argumentation, sondern gibt Ihnen auch die Gewissheit, dass Sie Rückfragen souverän beantworten können. Für Praktiker ist dieser Schritt oft der Moment, in dem sie den Wert der Struktur erkennen und sie nicht länger als zusätzliche Verwaltungsaufgabe betrachten, da sie unmittelbar erleben, wie viel schneller sie reagieren können, wenn die Nachweise bereits erfasst und dokumentiert sind.

Phase 7 – Vorbereitung auf Phase 1 und Phase 2

Phase sieben bereitet Ihre Unterlagen optimal auf den Zertifizierungsprozess vor, sodass sich Phase 1 und Phase 2 eher wie strukturierte Begehungen als wie Verhöre anfühlen. Hier fließen die Aufmerksamkeit der Führungsebene und die Auditbereitschaft auf eine Weise zusammen, die Auditoren üblicherweise bemerken und schätzen.

Für die Erstzertifizierung prüfen die Auditoren der Stufe 1 hauptsächlich, ob Ihr Managementsystem angemessen konzipiert und dokumentiert ist und ob Sie für eine umfassende Bewertung bereit sind. Stufe 2 konzentriert sich stärker auf den Betrieb und die Nachweise. Leitfäden von Zertifizierungsstellen und Fachartikel, wie beispielsweise unabhängige Leitfäden zur ISO 27001-Zertifizierung, beschreiben Stufe 1 als Bereitschafts- und Konzeptprüfung und Stufe 2 als vertiefende Prüfung der Implementierung und Wirksamkeit.

Nutze dein Paket für:

  • Den Prüfern der Phase 1 sollten im Voraus die wichtigsten Dokumente und ein übergeordnetes Inhaltsverzeichnis zur Verfügung gestellt werden.
  • Das Evidenzregister wird so angepasst, dass es jegliches Feedback aus Phase 1 widerspiegelt.
  • wo möglich, Stichprobenverfahren wie Zeitfenster und Kundengruppen vereinbaren
  • Informieren Sie Ihre Teams darüber, wo sich die Beweismittel befinden und wer zu welchen Themen sprechen wird.

Bis zum Beginn von Phase 2 sollten Sie die meisten Anfragen souverän beantworten können, ohne improvisieren zu müssen. Dieses Selbstvertrauen macht einen deutlichen Unterschied für Prüfer und Ihren Vorstand, und in der Regel ist es der Zeitpunkt, an dem Compliance sich nachhaltig und nicht mehr wie eine Heldentat anfühlt. Wenn Sie diese Woche praktisch starten möchten, wählen Sie einen kritischen Kontrollbereich, z. B. Datensicherungen oder Zugriffsüberprüfungen, und erstellen Sie die vollständige Kette von der Richtlinie bis zu den Stichprobendatensätzen. Der einmalige Nachweis der vollständigen Umsetzung gibt oft den Anstoß für die weiteren Schritte.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Wiederverwendung und Instandhaltung der Packung

Den größten Nutzen aus Ihrem ISO 27001-Nachweispaket ziehen Sie, wenn Sie es als Produkt mit einem Lebenszyklus und nicht als einmaliges Projekt betrachten. Ein gut konzipiertes Paket zahlt sich weit über die erste Zertifikatserteilung hinaus aus: Die gleichen strukturierten Nachweise unterstützen jährliche Überwachungs- und dreijährliche Rezertifizierungsaudits, Kundenfragebögen zur Sicherheit und Vor-Ort-Bewertungen, Anträge und Verlängerungen von Cyberversicherungen sowie die Reaktion auf Vorfälle, Anfragen von Aufsichtsbehörden oder Anfragen des Vorstands – alles ohne wiederholte Nachbearbeitung oder widersprüchliche Aussagen, die das Vertrauen in Ihre Sicherheitsstrategie untergraben. Wenn Sie das Paket als Ressource und nicht als lästige Pflicht betrachten, zahlt sich der Zeitaufwand schnell aus.

Um diesen Nutzen zu erzielen, sollte das Dokumentationspaket wie ein Produkt mit eigenem Lebenszyklus, einem benannten Verantwortlichen und klar definierten Prüfpunkten behandelt werden. Viele Managed Service Provider (MSPs) haben festgestellt, dass die Aufnahme des Dokumentationspakets in die Tagesordnung regelmäßiger Governance-Meetings die Sichtbarkeit und Aktualität gewährleistet und den Zeitaufwand für dessen Pflege leichter rechtfertigen lässt.

In die reguläre Unternehmensführung integrieren

Ihre Dokumentation sollte in Ihren bestehenden Governance-Prozess integriert werden, damit sie stets aktuell bleibt und nicht an Relevanz verliert. Dies stellt sicher, dass CISOs, Serviceleiter und Anwender ein gemeinsames Verständnis von Best Practices haben und Probleme frühzeitig erkannt werden können, bevor sie zu Abweichungen oder Kundenbeschwerden führen.

Machen Sie den Zustand der Beweismittel zu einem festen Bestandteil in:

  • interne Audits
  • Managementbewertungen
  • Sicherheitslenkungsausschüsse oder gleichwertige

Erfassen Sie einfache Kennzahlen wie:

  • Prozentsatz der Kontrollpersonen mit mindestens einem zugeordneten Evidenzpunkt
  • Alter wichtiger Datensätze, z. B. letzte Zugriffsprüfung oder letzter Wiederherstellungstest
  • Anzahl der im letzten Quartal aktualisierten Beweismittel

Nutzen Sie diese Kennzahlen, um Ihre Anstrengungen gezielt dort einzusetzen, wo sie am wichtigsten sind. Ein Dashboard in einer ISMS-Plattform wie ISMS.online visualisiert diese Indikatoren ohne zusätzlichen manuellen Berichtsaufwand. So können Führungskräfte Fortschritte erkennen, Risikobereiche identifizieren und Investitionsentscheidungen fundiert treffen, ohne jedes Mal zusätzliche Tabellenkalkulationen anfordern zu müssen.

Ausrichtung an Änderungs- und Servicemanagement

Jede Änderung an Ihren Diensten oder Plattformen kann zu einer Dokumentationslücke führen, wenn die Dokumentation nicht aktualisiert wird. Durch die Abstimmung Ihres Dokumentationsregisters mit dem Änderungs- und Servicemanagement halten Sie Risiken unter Kontrolle und können Fragen schnell beantworten, wenn sich etwas an Ihrer Technologieinfrastruktur oder Ihrem Kundenstamm ändert.

Zwei Drittel der Organisationen, die an der ISMS.online-Umfrage „State of Information Security 2025“ teilnahmen, gaben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften zunehmend erschweren.

Immer wenn Sie:

  • einen neuen Dienst hinzufügen
  • eine Schlüsselplattform verändern
  • an Bord eines großen Lieferanten
  • Eintritt in einen neuen regulierten Markt

Überprüfung des Beweisregisters und der Struktur:

  • Werden neue Kontrollmechanismen oder Aufzeichnungen notwendig?
  • Müssen bestehende Zuordnungen aktualisiert werden?
  • Führen neue Parteien Änderungen hinsichtlich der geteilten Verantwortung ein?

So vermeiden Sie, dass im Zuge der Geschäftsentwicklung unbemerkt Lücken in der Dokumentation entstehen. Für Projekt- und Change-Manager ist dies ein einfacher Checklistenpunkt, der die Auditbereitschaft sichert und reibungslosere Kundengespräche ermöglicht, da Sie erläutern können, wie neue Angebote und Lieferanten bereits in Ihr ISMS und Ihre Dokumentationsbibliothek integriert sind.

Wiederverwendung über verschiedene Frameworks und Kunden hinweg

Die Wiederverwendung Ihrer Nachweisdokumentation für verschiedene Frameworks und Kundenanforderungen reduziert Doppelarbeit und gewährleistet eine konsistente Sicherheitsarchitektur. Dies ist besonders wertvoll für Managed Service Provider (MSPs), die regulierte Kunden in verschiedenen Regionen mit sich überschneidenden, aber nicht identischen Anforderungen betreuen, wie z. B. ISO 27001, SOC 2, lokale Cybersicherheitsrichtlinien und branchenspezifische Vorgaben.

Die ISMS.online-Umfrage 2025 zeigt, dass Kunden zunehmend erwarten, dass Lieferanten sich an formale Rahmenwerke wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials und SOC 2 sowie an neue KI-Standards anpassen.

Ordnen Sie Ihre ISO 27001-Kontrollen und -Nachweise folgenden Kategorien zu:

  • SOC-2-Vertrauensdienstkriterien
  • nationale Programme wie Cyber ​​Essentials oder lokale Pendants
  • kundenspezifische Kontrollrahmen, sofern diese existieren

Durch die Verwendung einer zentralen Nachweisbibliothek vermeiden Sie Doppelarbeit und gewährleisten die Konsistenz Ihrer Zusicherungen. Wenn ein Kunde einen Nachweis verlangt, können Sie auf dieselben Dokumente zurückgreifen, die Sie auch den Prüfern vorlegen. Dadurch verringern Sie das Risiko von Widersprüchen und erhöhen das Vertrauen in Ihre Antworten.

Die Wiederverwendung gestaltet sich deutlich einfacher, wenn die Nachweisdokumentation in einer dedizierten ISMS-Umgebung wie ISMS.online verwaltet wird, wo Risiken, Kontrollen, Richtlinien und Nachweise verknüpft sind, anstatt in lose verbundenen Ordnern. Für IT- und Sicherheitsexperten bedeutet dies weniger Aktualisierungsbedarf bei Änderungen von Diensten, Kunden oder Vorschriften. Führungskräften bietet es eine stabilere und wiederholbare Plattform für Sicherheitsgespräche und die Planung zukünftiger Rahmenbedingungen wie Datenschutz oder KI-Governance.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online hilft Ihnen, verstreute ISO 27001-Nachweise in ein strukturiertes, wiederverwendbares Paket zu verwandeln, das Audits, Kundenbewertungen und interne Qualitätssicherung ohne Hektik in letzter Minute unterstützt. Anstatt jedes Mal Tabellen, Ordner und Tool-Exporte mühsam zusammenzufügen, wenn Nachweise angefordert werden, können Sie mit einer Plattform arbeiten, die die Struktur des Standards und die Realität der MSP-Bereitstellung widerspiegelt. So können Sie Sicherheit auf eine ruhigere und glaubwürdigere Weise nachweisen. Mit ISMS.online sehen Sie auf einen Blick, welche Kontrollen bereits mit Nachweisen versehen sind und welche noch Aufmerksamkeit erfordern. Sie erstellen auditfertige Ansichten, ohne Daten aus verschiedenen Tools exportieren zu müssen, und vermitteln Führungskräften und Serviceteams ein einheitliches Bild der Auditbereitschaft. Sie können dieselbe Nachweisbibliothek auch für ISO 27001, andere Frameworks und anspruchsvolle Kundenfragebögen wiederverwenden. So zahlt sich Ihre Investition in Ihr Paket in vielen verschiedenen Gesprächen aus.

Wenn Sie Ihr nächstes Audit, Ihre nächste Verlängerung oder strategische Kundenüberprüfung wie einen organisierten Rundgang und nicht wie ein hektisches Durcheinander erleben möchten, ist die Prüfung, wie eine dedizierte ISMS-Plattform Ihre Nachweisdokumentation unterstützen kann, ein logischer nächster Schritt. Wählen Sie ISMS.online, wenn Sie ISO 27001-Nachweise organisiert, wiederverwendbar und kontrollierbar haben möchten. Wenn Sie Wert auf strukturierte Qualitätssicherung statt aufwändiger Aktionen in letzter Minute legen, steht Ihnen unser Team gerne zur Seite.


Häufig gestellte Fragen (FAQ)

Was ist, einfach ausgedrückt, ein ISO 27001 Audit-Nachweispaket für einen Managed Service Provider (MSP)?

Ein ISO 27001-Auditnachweispaket für einen Managed Service Provider (MSP) ist eine sorgfältig zusammengestellte und strukturierte Sammlung von Dokumenten und Aufzeichnungen, die belegt, dass Ihr Informationssicherheitsmanagementsystem (ISMS) gut konzipiert ist und im täglichen Betrieb tatsächlich angewendet wird. Anstatt mühsam in verschiedenen Tools und Ordnern zu suchen, erhalten Sie eine klare Übersicht darüber, wie Sie Kundensysteme und -daten schützen.

Worin besteht der Unterschied dazu, einfach nur viele Dokumente zu haben?

In den meisten MSPs ist „Beweismaterial“ allgegenwärtig:

  • Richtlinien werden in SharePoint gespeichert.
  • Vorfälle und Änderungen werden in Ihrer PSA gespeichert.
  • Patch-, Backup- und Überwachungsdaten verbleiben in den RMM- und Backup-Tools.
  • Genehmigungen und Risikoentscheidungen finden meist per E-Mail oder Chat statt.

Ein Beweismaterialpaket verwandelt diese Weitläufigkeit in:

  • eine festgelegte Liste von Artefakten (was hineingehört, was nicht)
  • eine Struktur, die den ISO 27001-Klauseln und den Kontrollen in Anhang A entspricht
  • Benannte Eigentümer und Aktualisierungsregeln für jedes Element

Betrachten Sie es als die revisionssichere Version Ihrer Sicherheitsdokumentation: nicht jede Datei, die Sie jemals erstellt haben, sondern nur die relevanten, übersichtlich angeordnet, sodass ein Prüfer – oder ein wichtiger Kunde – Ihrer Logik folgen kann, ohne dass Sie improvisieren müssen.

Wenn Beweise sorgfältig zusammengestellt statt verstreut werden, sieht Ihre Sicherheitsarbeit nicht mehr wie Lärm aus, sondern wie ein Beweis.

Wenn Sie eine ISMS-Plattform wie ISMS.online verwenden, wird dieser „ein Ort“ zu einem Live-Arbeitsbereich anstatt zu einem statischen Ordner. Dadurch wird es wesentlich einfacher, die Nachweise zwischen den Audits aktuell zu halten und den laufenden Betrieb Ihres Informationssicherheitsmanagementsystems (ISMS) nachzuweisen.

Wie sollte ein Managed Service Provider (MSP) seine Unterlagen für das ISO 27001-Audit strukturieren, damit jeder das Benötigte finden kann?

Die besten MSP-Nachweispakete ermöglichen es Auditoren, gemäß den ISO-27001-Klauseln und -Kontrollen zu arbeiten, während Ihre Teams weiterhin service- und kundenorientiert denken können. Sie benötigen keine komplexe Taxonomie, aber eine Struktur, die Sie über mehrere Auditzyklen hinweg konsistent beibehalten können.

Wie sieht eine praxisorientierte Top-Level-Struktur aus?

Die meisten Managed Service Provider (MSPs) erzielen gute Ergebnisse mit drei sich ergänzenden Ansichten, die auf demselben Inhalt basieren:

  1. ISMS-/Governance-Sicht (gemäß ISO-Klausel)
  • Kontext und Umfang
  • ISMS-Governance (Richtlinien, Ziele, Rollen)
  • Risikobewertung und Behandlung
  • Interne Revision und Managementbewertung
  • Verbesserungs- und Korrekturmaßnahmen
  1. Steuerungsansicht (durch die Steuerung nach Anhang A oder das Steuerungsthema)
  • Zugangskontrolle und Identitätsmanagement
  • Betrieb und Überwachung
  • Lieferantenmanagement
  • Business Continuity und Disaster Recovery
  1. Service-/Kundensicht (MSP-spezifisch)
  • Dienstspezifische Ordner, zum Beispiel „Verwaltetes Microsoft 365“, „Verwalteter Endpunkt“, „Hosting“
  • Optionale Muster pro Kunde für namentlich genannte Kunden oder Verträge

Unter diesen Gesichtspunkten sollte eine vorhersehbare Namensgebung verwendet werden, zum Beispiel:

  • `A.8.16_Monitoring_Procedure_v1.3_2025-01`
  • `Access_Review_Admin_Accounts_Q2_2025_Client-B`

Dann pflegen Sie ein einfaches Nachweisregister (Tabellenkalkulation oder, idealerweise, ein ISMS.online-Register), das Folgendes abbildet:

  • Klausel/Kontrolle → Beschreibung in einfacher Sprache → Beweismittel → Eigentümer → Aktualisierungszyklus

Dieses Inhaltsverzeichnis dient Ihnen bei Audits und Kundenbesprechungen als eine Art „Inhaltsverzeichnis“. So kann auch eine andere Person die Sitzung sicher leiten, wenn Sie abwesend sind, und Sie sind nicht mehr auf das Gedächtnis einer einzelnen Person angewiesen, wenn ein Auditor fragt: „Können Sie mir das in der Praxis zeigen?“

In ISMS.online kann dasselbe Register in Ihrem ISMS-Arbeitsbereich gespeichert werden, sodass Klauseln, Kontrollen und Nachweiselemente auch bei der Weiterentwicklung Ihres ISMS miteinander verknüpft bleiben.

Welche Dokumente und Aufzeichnungen müssen im ISO 27001-Nachweispaket eines Managed Service Providers enthalten sein, und welche davon sind nur sinnvoll beizufügen?

Einige Artefakte sind für die ISO 27001-Zertifizierung erforderlich, andere sind besonders wichtig, wenn Sie als Managed Service Provider (MSP) gemeinsam genutzte Plattformen und Kundenumgebungen betreiben.

Welche Dokumente sind universell und unverzichtbar?

Planen Sie mindestens Folgendes ein:

  • ISMS-Geltungsbereichserklärung
  • Informationssicherheitsrichtlinie und wichtige unterstützende Richtlinien
  • Risikobewertungsmethodik und aktuelle Ergebnisse
  • Risikobehandlungsplan, einschließlich akzeptierter und behandelter Risiken
  • Anwendbarkeitserklärung (SoA) mit Begründungen
  • Definierte Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
  • Kompetenz- und Bewusstseinsnachweise (z. B. Schulungsnachweise)
  • Überwachungs- und Messergebnisse im Zusammenhang mit Ihren Sicherheitszielen
  • Internes Prüfungsprogramm und Berichte
  • Input und Output der Managementbewertung
  • Aufzeichnungen über Abweichungen und Korrekturmaßnahmen

Für Managed Service Provider (MSPs) sollten diese Dokumente explizit auf Ihre Managed Services, Toolsets und Kundenumgebungen Bezug nehmen und nicht nur allgemeine Formulierungen zum Thema „unternehmensweit“ verwenden. Diese Klarheit hilft Auditoren zu verstehen, wie Ihr Informationssicherheits-Managementsystem (ISMS) auf konkrete Services wie Endpunktverwaltung, Cloud-Administration und Hosting angewendet wird.

Welche MSP-spezifischen Aufzeichnungen erwarten Prüfer und Kunden?

In der Praxis verlangen Wirtschaftsprüfer und größere Kunden fast immer Nachweise über Folgendes:

  • Anlageninventare für gemeinsam genutzte Plattformen und zugehörige Kundenanlagen
  • Zugriffsverwaltung (Administratorkonten, Workflows für Eintritt, Versetzung und Austritt, Zugriffsüberprüfungen)
  • Backup- und Wiederherstellungsberichte für verwaltete Systeme sowie aktuelle Wiederherstellungstestergebnisse
  • Patch- und Schwachstellenmanagementberichte mit Behebungsverfolgung
  • Tickets zu Vorfällen und Problemen, die Untersuchungen, Kommunikation und gewonnene Erkenntnisse dokumentieren
  • Lieferantenregister, Sorgfaltsprüfungen, Verträge und Sicherheitsklauseln für kritische Lieferanten
  • Geschäftskontinuitäts- und Notfallwiederherstellungspläne sowie Testergebnisse für gehostete oder verwaltete Dienste

Für jeden Bereich sollten Sie sowohl die Soll-Vorgehensweise (Richtlinien oder Verfahren) als auch die tatsächliche Funktionsweise im letzten Monat oder Quartal (Beispielaufzeichnungen) darlegen können. Falls Ihnen dies aktuell nicht problemlos gelingt, sollten Sie diese Lücke schließen, bevor ein Prüfer oder ein wichtiger Kunde Sie darauf hinweist.

ISMS.online hilft dabei, indem es jede Kontrolle gemäß Anhang A mit ihren Richtlinien, Verfahren und Live-Aufzeichnungen verknüpft, sodass Sie diese Beziehungen nicht für jedes Audit oder jede Kundensicherungsmaßnahme von Grund auf neu aufbauen müssen.

Wie kann ein Managed Service Provider (MSP) ein ISO 27001-Nachweispaket von Grund auf erstellen, ohne die Ingenieure zu überfordern?

Sie bauen das System in kontrollierten Schritten auf und nutzen dabei die Aufzeichnungen, die Sie ohnehin täglich erstellen. Die meisten Managed Service Provider (MSPs) stellen fest, dass der Großteil der für ISO 27001 erforderlichen Nachweise bereits vorhanden ist; die eigentliche Herausforderung besteht darin, diese leicht auffindbar, erklärbar und wiederholbar zu machen.

Was ist ein realistischer, schrittweiser Weg?

Eine einfache, praktikable Sequenz sieht folgendermaßen aus:

  1. Klärung des Leistungsumfangs und der Dienstleistungen
    Legen Sie fest, welche Dienste, Standorte, Plattformen und Kundenumgebungen in den Geltungsbereich fallen. Dadurch vermeiden Sie, Nachweise für Systeme außerhalb Ihres ISO 27001-Bereichs zu suchen.

  2. Aktualisieren Sie Ihre Risikobewertung
    Berücksichtigen Sie MSP-spezifische Risiken wie die Kompromittierung von Management-Tools, Lieferantenausfälle, Multi-Tenant-Gefährdung und den Missbrauch privilegierter Konten.

  3. Saubere ISMS-Kerndokumentation
    Richten Sie Ihre wichtigsten Richtlinien, Verfahren und Ihre Geltungsbereichserklärung an der Art und Weise aus, wie Sie heute tatsächlich Dienstleistungen erbringen, und nicht an der Art und Weise, wie Sie vor einigen Jahren gearbeitet haben.

  4. Struktur und Beweisregister entwerfen
    Legen Sie das Ordner- oder Arbeitsbereichslayout, die Namensregeln und das Nachweisregister fest, das Steuerelemente bestimmten Artefakten und Eigentümern zuordnet.

  5. Verdrahten Sie Ihre Werkzeuge
    Definieren Sie Standardberichte oder -exporte aus Ihren PSA-, RMM-, Backup-, IAM- und HR-Systemen, die als primäre Nachweise dienen. Dokumentieren Sie, wo diese Berichte gespeichert werden und wie oft sie aktualisiert werden müssen.

  6. Führen Sie einen kleinen internen Audit-„Testlauf“ durch.
    Wählen Sie einige wenige wichtige Kontrollmechanismen (z. B. Zugriffsverwaltung, Datensicherung, Vorfallmanagement) aus und versuchen Sie, diese ausschließlich mit dem Paket nachzuweisen. Beheben Sie bei Problemen die zugrunde liegende Lücke oder passen Sie die Nachweise an.

  7. Verfeinern für Audits der Stufen 1 und 2
    Nutzen Sie frühzeitiges Feedback der Prüfer und Ihre eigenen Probeläufe, um Zuordnungen anzupassen, fehlende Artefakte hinzuzufügen und Stichprobenfenster abzustimmen, damit Phase 2 eher ein Bestätigungsschritt als ein hektisches Durcheinander ist.

Indem man dies als Weg von jährlicher Panik zu Gelassenheit und kontinuierlicher Bereitschaft darstellt, gewinnt man die Ingenieure für sich. Investiert man jetzt ein paar Tage konzentriert in Strukturierung und Verkabelung, erspart man dem Team wochenlange, improvisierte Beweissuche. Mit ISMS.online wird dieser Plan zu einem wiederholbaren Workflow anstatt einer einmaligen Bereinigung, da alle Nachweise, Aufgaben und Auditmaßnahmen in der Umgebung Ihres Informationssicherheitsmanagementsystems (ISMS) gespeichert sind.

Wie kann ein Managed Service Provider (MSP) feststellen, ob seine ISO 27001-Nachweise für ein Audit ausreichend sind?

Gute Nachweise für ein ISO 27001-Audit als Managed Service Provider (MSP) sind klar, aktuell und direkt mit der Art und Weise verknüpft, wie Sie Ihre Dienstleistungen erbringen. Die Auditoren suchen keine aufwendig gestalteten Marketingpräsentationen; sie prüfen, ob die in Ihrem Informationssicherheitsmanagementsystem (ISMS) beschriebenen Maßnahmen tatsächlich in Ihren Tools und Prozessen umgesetzt werden.

Wie sehen aussagekräftige Prüfungsnachweise in der Praxis aus?

Zur Kontrolle sollten Sie drei einfache Fragen verwenden:

  1. Clarity – Würde jemand, der Ihre Tools nicht kennt, nach dem Lesen einer einzeiligen Bildunterschrift verstehen, was diese Datei zeigt?
  • Falls nicht, fügen Sie eine kurze Erklärung hinzu oder versehen Sie den Screenshot mit einer Anmerkung, damit der Kernpunkt deutlich wird.
  1. Abdeckung – Umfasst die Stichprobe einen aussagekräftigen Zeitraum und spiegelt sie die Realität wider?
  • Zum Beispiel Zugriff auf Überprüfungen aus dem letzten Quartal, Wiederherstellungstests von verschiedenen Kunden und Tickets, die von verschiedenen Technikern erstellt und geschlossen wurden.
  1. Konsistenz – Stimmt der Bericht eindeutig mit dem überein, was in Ihrer Dokumentation als Soll-Prozess beschrieben ist?
  • Wenn in Ihrer Verfahrensanweisung steht, dass „alle Administratorrechte über Änderungstickets genehmigt werden müssen“, sollten Sie diese Genehmigungen für den Beispielzeitraum nachweisen können und nicht nur mündlich darüber sprechen.

Den Prüfern ist ein kleiner, gut erklärter Satz von Aufzeichnungen, der sich nahtlos in Ihre Verfahren einfügt, lieber als ein riesiger, verwirrender Export, den niemand im Raum interpretieren kann.

Eine einfache Checkliste pro Kontrollmaßnahme – „Dokument mit Erläuterung“, „Beweisbeispiel“, „Verantwortlicher“ – hilft Ihren Teams, die Qualität zu beurteilen, bevor Produkte das Gebäude verlassen. In ISMS.online können Sie diese Checkliste in verknüpfte Arbeitsabläufe integrieren, sodass jede Kontrollmaßnahme ihre Erläuterung, Nachweise und ihren Verantwortlichen an einem zentralen Ort hat. Dies optimiert sowohl Audits als auch interne Überprüfungen Ihres Informationssicherheits-Managementsystems nach ISO 27001.

Wie können Managed Service Provider (MSPs) ein ISO 27001-Audit-Nachweispaket für SOC 2, NIS 2, DSGVO oder Kundenfragebögen wiederverwenden?

Wenn Sie Ihre ISO 27001-Nachweisdokumentation anhand von Kontrollen und Ergebnissen und nicht als bloßen „ISO-Dokumentenstapel“ erstellen, können Sie den Großteil davon auch in anderen Rahmenwerken und für Kundenanforderungen wiederverwenden. Ziel ist es, sie als gemeinsame Nachweisbibliothek zu nutzen und anschließend Zuordnungen und externe Ansichten hinzuzufügen.

Wie wandelt man ein Beweispaket in viele Zusicherungen um?

Ein praktischer Ansatz ist:

  • Einmalig nach ISO 27001 erstellen:

Verwenden Sie Anhang A als Basiskontrollsatz und verknüpfen Sie jede Kontrolle mit einem oder mehreren Beweismitteln in Ihrem Register.

  • Füge eine einfache Kreuzkarte hinzu:

Erweitern Sie das Register um zusätzliche Spalten für SOC-2-Kriterien, NIS-2-Verpflichtungen, lokale Cybersicherheitskonzepte oder wichtige Kundenanforderungen. Viele Kernkontrollen – Zugriffskontrolle, Protokollierung, Datensicherung, Reaktion auf Sicherheitsvorfälle, Lieferantenüberwachung – lassen sich direkt abbilden.

  • Definition von „externen Sichtweisen“ auf Evidenz:

Entscheiden Sie, welche Dokumente Sie bedenkenlos außerhalb Ihres Unternehmens weitergeben können (z. B. an Wirtschaftsprüfer, Kunden, Versicherer) und erstellen Sie gegebenenfalls Zusammenfassungen oder redigierte Versionen. So können Sie detaillierte Fragen beantworten, ohne Informationen preiszugeben, die Sie lieber intern behalten möchten.

  • Standardisierte Antworten auf häufig gestellte Fragen:

Nutzen Sie das Paket, um häufig gestellte Fragen zu Sicherheitsfragen vorab zu beantworten (z. B. MFA, Backup-Strategie, DR-Tests, Incident-Handling). Vertriebs- und Account-Teams können dann auf einen einheitlichen, freigegebenen Antwortkatalog zurückgreifen, anstatt jedes Mal neue Formulierungen zu erstellen.

Mit der Zeit wird Ihr ISO 27001-Nachweispaket so zu einer soliden Grundlage für Zertifizierungen, SOC 2-Bescheinigungen, Diskussionen zu NIS 2 und DSGVO, die Erneuerung von Cyberversicherungen und anspruchsvolle Kundenbefragungen. Die Verwaltung erfolgt in ISMS.online: Eine einzige Aktualisierung einer Kontrolle oder eines Artefakts verbessert die Qualität aller davon abhängigen Assurance-Sichtweisen. Genau diesen Vorteil verpassen die meisten Managed Service Provider (MSPs) heute noch, wenn sie versuchen, mehrere Frameworks mit unverbundenen Tabellenkalkulationen und gemeinsam genutzten Laufwerken zu betreiben.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.