Crest Digital – ISO 27001 Zertifizierung
Branche:
Projektdauer:
Projektumfang:
Rolle:
TPRM & GRC-Software (SaaS)
ca. 8 Monate
ca. 25 Personentage
ISMS-Berater & Zertifizierungsbegleitung
Kurzbeschreibung
Für Crest Digital, Anbieter einer KI-gestützten Third-Party-Risk-Management-Plattform (TPRM/GRC-SaaS) mit SOC2-Fokus, habe ich den vollständigen Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2022 verantwortet — von der Gap-Analyse über die Risikoanalyse und das Maßnahmenmanagement bis zur erfolgreichen Zertifizierung durch eine akkreditierte Stelle.
Ausgangssituation & Zielsetzung
Als TPRM-SaaS-Anbieter unterstützt Crest Digital seine Kunden dabei, Lieferantenrisiken systematisch zu managen — und steht damit selbst unter höchsten Vertrauens- und Sicherheitsanforderungen. Enterprise-Kunden, SOC2-/ISO-Audits seitens Investoren und der eigene Anspruch, Compliance vorbildlich vorzuleben, machten ein nach ISO/IEC 27001:2022 zertifiziertes ISMS unverzichtbar.
Aufbau eines wirksamen ISMS nach ISO/IEC 27001:2022 — risikobasiert & passend zum SaaS-Betriebsmodell
Risikoanalyse, Statement of Applicability (SoA) und Bewertung aller 93 Annex-A-Controls
Verankerung von Informationssicherheit in Produktentwicklung, Cloud-Betrieb und Kundenkommunikation
Sensibilisierung & Awareness-Training für alle Mitarbeiter und Auftragsverarbeiter
Erfolgreiche Erstzertifizierung durch eine akkreditierte Zertifizierungsstelle
Unsere Rolle & Leistungen
Als ISMS-Berater und Zertifizierungsbegleiter verantworte ich die methodische Gesamtsteuerung des Projekts — von Gap-Analyse, Risikomanagement und Policy-Design über die Tool-Einführung der iso-easy-Plattform bis zur Begleitung von Stufe-1- und Stufe-2-Audit. Besonderer Fokus: Übersetzung von Produkt- und Engineering-Realität eines SaaS-Anbieters in ein wirksames, auditfähiges ISMS.
Gap-Analyse & Reifegradbestimmung: Strukturierte Bewertung des Ist-Zustands gegen ISO/IEC 27001:2022 — inklusive Quick-Wins und Roadmap.
Risikomanagement & SoA: Asset-Inventar, Bedrohungsmodelle, Bewertung & Behandlung — vollständig dokumentiert in der iso-easy-Plattform.
Policy- & Prozessdesign: Vollständige Dokumentenpyramide (Politiken, Verfahren, Arbeitsanweisungen) — passgenau für einen SaaS-Anbieter mit Cloud-Stack.
Cloud- & Plattform-Hardening: AWS/Azure-Baseline, Logging/Monitoring, Backup & Wiederherstellung, M365/Atlassian-Konfiguration, IAM.
Secure SDLC & Awareness: SAST/DAST in CI/CD, Dependency-Scanning, Secret-Detection, Phishing-Simulationen, rollenbasierte Schulungen für Engineering & Customer Success.
Audit-Vorbereitung & Begleitung: Internes Audit, Management-Review, Begleitung im Stufe-1- und Stufe-2-Audit der akkreditierten Stelle.
Technologische & methodische Schwerpunkte
ISMS-Plattform iso-easy: zentrale Dokumenten-, Risiko- und Maßnahmenverwaltung mit Mandantentrennung.
Cloud-Security: AWS/Azure-Baseline, Logging, Verschlüsselung, Backup & Wiederherstellung — passend zum SaaS-Betriebsmodell.
Secure SDLC: SAST/DAST in CI/CD, Dependency-Scanning, Secret-Detection, Code-Review-Pflicht.
Identity & Access Management: MFA, SSO, rollenbasierte Berechtigungen, Joiner/Mover/Leaver-Prozess.
Plattform-Hardening: Microsoft 365, Atlassian (Jira/Confluence), GitLab/GitHub, Slack/Teams.
Vendor- & Lieferantenmanagement: passend zum eigenen Produkt-Fokus — strukturierte Bewertung & laufendes Monitoring kritischer Sub-Provider.
Ergebnisse & Mehrwert
Erfolgreiche Erstzertifizierung nach ISO/IEC 27001:2022
Vollständig dokumentiertes ISMS auf der iso-easy-Plattform — auditfähig und nachhaltig pflegbar
Risikoportfolio mit klaren Maßnahmenplänen, Verantwortlichkeiten und Wiedervorlagen
Verbindliche Awareness-Kultur: alle Mitarbeiter geschult, Onboarding-Prozess verankert
Skalierbares Compliance-Framework — vorbereitet für SOC2-Type-2-Mapping, ISO 27017/27018 und NIS-2-Erweiterungen
Kennzahlen / Facts
| Kennzahl | Wert |
| Projektdauer | ca. 8 Monate |
| Projektumfang | ca. 25 Personentage |
| Focus | ISO/IEC 27001:2022 ISMS-Aufbau & Erstzertifizierung — passend zum SaaS-Betriebsmodell |
| Ergebnis | Erfolgreiche Erstzertifizierung & produktiv genutztes ISMS auf iso-easy |
| Technologien | iso-easy ISMS-Plattform · Cloud-Security (AWS/Azure) · SAST/DAST · IAM · M365/Atlassian-Hardening |
Technologien & Tools
iso-easy ISMS-Plattform | Risiko- & Assetmanagement | Statement of Applicability | Cloud-Security (AWS/Azure) | Secure SDLC (SAST/DAST) | Identity & Access Management | M365 & Atlassian Hardening | Vendor- / Lieferantenmanagement | Awareness-Training
Unser Beitrag in Kürze
„Wir haben für Crest Digital ein wirksames ISMS aufgebaut, das nicht nur die ISO 27001-Zertifizierung sichert, sondern Informationssicherheit als selbstverständlichen Teil von Produktentwicklung, Cloud-Betrieb und Kundenkommunikation verankert — passend zum eigenen Anspruch eines Risk-Management-Anbieters.“
