think why – ISO 27001 Zertifizierung
Branche:
Projektdauer:
Projektumfang:
Rolle:
Employer Branding & HR-Consulting
ca. 8 Monate
ca. 25 Personentage
ISMS-Berater & Zertifizierungsbegleitung
Kurzbeschreibung
Für die think why GmbH, eine spezialisierte Employer-Branding-Agentur, habe ich den vollständigen Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2022 verantwortet — von der Gap-Analyse über die Risikoanalyse und das Maßnahmenmanagement bis zur erfolgreichen Zertifizierung durch eine akkreditierte Stelle.
Ausgangssituation & Zielsetzung
think why arbeitet täglich mit hochsensiblen HR-Daten ihrer Auftraggeber — von Mitarbeiterbefragungen über EVP-Workshops bis zu Karriere-Plattformen. Wachsende Compliance-Erwartungen (DSGVO, Arbeitnehmer-Datenschutz, Auftragsverarbeitung) und der Anspruch, Informationssicherheit als Qualitätsmerkmal gegenüber Konzern-Kunden zu zeigen, machten ein nach ISO/IEC 27001:2022 zertifiziertes ISMS notwendig.
Aufbau eines wirksamen ISMS nach ISO/IEC 27001:2022 — risikobasiert & passend zum Agentur-Geschäftsmodell
Risikoanalyse, Statement of Applicability (SoA) und Bewertung aller 93 Annex-A-Controls
Verankerung von Datenschutz & Informationssicherheit in Kreation, Workshops und Kundenprojekten
Sensibilisierung & Awareness-Training für alle Mitarbeiter und externe Freelancer
Erfolgreiche Erstzertifizierung durch eine akkreditierte Zertifizierungsstelle
Unsere Rolle & Leistungen
Als ISMS-Berater und Zertifizierungsbegleiter verantworte ich die methodische Gesamtsteuerung des Projekts — von Gap-Analyse, Risikomanagement und Policy-Design über die Tool-Einführung der iso-easy-Plattform bis zur Begleitung von Stufe-1- und Stufe-2-Audit. Besonderer Fokus: Übertragung der Agentur-Realität (Kreation, Workshops, externe Freelancer) in ein wirksames, auditfähiges ISMS.
Gap-Analyse & Reifegradbestimmung: Strukturierte Bewertung des Ist-Zustands gegen ISO/IEC 27001:2022 — inklusive Quick-Wins und Roadmap.
Risikomanagement & SoA: Asset-Inventar, Bedrohungsmodelle (insbesondere HR-Daten), Bewertung & Behandlung — vollständig dokumentiert in der iso-easy-Plattform.
Policy- & Prozessdesign: Vollständige Dokumentenpyramide (Politiken, Verfahren, Arbeitsanweisungen) — passgenau für eine HR-/Employer-Branding-Agentur.
DSGVO & Auftragsverarbeitung: AVV-Management mit Kunden & Freelancern, Verzeichnis der Verarbeitungstätigkeiten, Datenlebenszyklus.
Technische Hardening & IAM: Microsoft 365, MFA, SSO, rollenbasierte Berechtigungen, sicheres File-Handling für Kreativ-Assets.
Audit-Vorbereitung & Begleitung: Internes Audit, Management-Review, Begleitung im Stufe-1- und Stufe-2-Audit der akkreditierten Stelle.
Technologische & methodische Schwerpunkte
ISMS-Plattform iso-easy: zentrale Dokumenten-, Risiko- und Maßnahmenverwaltung mit Mandantentrennung.
M365-Hardening: Microsoft 365 Security & Compliance Baseline, DLP-Policies, sicheres Sharing.
Identity & Access Management: MFA, SSO, rollenbasierte Berechtigungen, Joiner/Mover/Leaver-Prozess.
DSGVO-Werkzeugkasten: AVV-Repository, Verzeichnis der Verarbeitungstätigkeiten, Betroffenenrechte-Workflow.
Freelancer- & Lieferantenmanagement: Onboarding-Checkliste, Vertraulichkeitsvereinbarungen, Zugriffsentzug.
Awareness & Schulung: rollenbasierte Trainings für Kreation, Beratung, Management — inklusive Phishing-Simulationen.
Ergebnisse & Mehrwert
Erfolgreiche Erstzertifizierung nach ISO/IEC 27001:2022
Vollständig dokumentiertes ISMS auf der iso-easy-Plattform — auditfähig und nachhaltig pflegbar
Risikoportfolio mit klaren Maßnahmenplänen, Verantwortlichkeiten und Wiedervorlagen
Verbindliche Awareness-Kultur: alle Mitarbeiter & Freelancer geschult, Onboarding-Prozess verankert
Skalierbares Compliance-Framework — vorbereitet für DSGVO-Audits, ISO 27017/27018 oder NIS-2-Erweiterungen
Kennzahlen / Facts
| Kennzahl | Wert |
| Projektdauer | ca. 8 Monate |
| Projektumfang | ca. 25 Personentage |
| Focus | ISO/IEC 27001:2022 ISMS-Aufbau & Erstzertifizierung — passend zu einer HR-/Employer-Branding-Agentur |
| Ergebnis | Erfolgreiche Erstzertifizierung & produktiv genutztes ISMS auf iso-easy |
| Technologien | iso-easy ISMS-Plattform · M365-Hardening · DSGVO/AVV-Management · IAM · Awareness |
Technologien & Tools
iso-easy ISMS-Plattform | DSGVO & AV-Vertragsmanagement | Risiko- & Assetmanagement | Statement of Applicability | M365 Security & Compliance | Identity & Access Management | Freelancer- & Lieferantenmanagement | Awareness-Training
Unser Beitrag in Kürze
„Wir haben für think why ein wirksames ISMS aufgebaut, das den Umgang mit sensiblen HR-Daten der Auftraggeber rechtssicher absichert — und Informationssicherheit als Qualitätsmerkmal der Agentur sichtbar macht.“
Schreiben Sie uns