11 Module
Was es tut, was reingeht, was rauskommt und warum es im Audit relevant ist.
Annex-A Controls sind oft nur als Liste vorhanden, ohne Kontext zu Status, Verantwortung oder Maßnahmen.
Controls verwalten, SOA-Entscheidungen mit Begründung dokumentieren, Reifegrad tracken.
Vollständige SOA mit Begründung pro Control, Reifegradübersicht, Maßnahmenbezug.
Nachvollziehbare SOA-Entscheidungen mit Historie. Auditor sieht pro Control: Status, Owner, Maßnahmen.
Risiken werden in separaten Excel-Listen geführt, ohne Bezug zu Assets, Controls oder Maßnahmen.
Risiken identifizieren, bewerten (Eintrittswahrscheinlichkeit × Auswirkung), behandeln und nachverfolgen.
Risikomatrix, Behandlungspläne, Restrisiko-Bewertung, Verknüpfung zu Controls und Assets.
Nachvollziehbare Risikobewertung mit Behandlungsnachweis. Durchgängige Kette von Risiko zu Maßnahme.
Rollen und Verantwortungen sind unklar oder nur in Organigrammen abgebildet, die niemand pflegt.
Rollen definieren, Personen zuordnen, Verfügbarkeiten erfassen, modulübergreifend referenzieren.
Zentrale Rollendatenbank, Owner-Zuordnungen, Verfügbarkeitsübersicht.
Eindeutige Verantwortungszuordnung pro Control, Asset und Maßnahme nachweisbar.
Maßnahmen existieren als To-Do-Listen ohne Priorisierung, Abhängigkeiten oder Fortschrittstracking.
Maßnahmen aus Controls ableiten, priorisieren, Abhängigkeiten setzen, im Gantt visualisieren.
Maßnahmenplan mit Gantt-Ansicht, Fortschrittsübersicht, Bezug zu Controls und Verantwortlichen.
Nachweis geplanter und umgesetzter Maßnahmen mit Zeitverlauf und Verantwortung.
Asset-Inventare sind unvollständig, veraltet oder auf mehrere Systeme verteilt.
IT/OT/physische Assets in einem Register erfassen, C-I-A Bewertung, Kritikalität, Owner-Zuordnung.
Vollständiges Asset-Register mit Bewertung, Bezug zu Prozessen und Controls.
Nachweisbare Asset-Identifikation und -Bewertung als Grundlage für Risikoanalyse.
BIA fehlt oder ist einmalig erstellt und nie aktualisiert worden.
Kritische Prozesse identifizieren, Zeit-/Impact-Bewertung durchführen, RTO/RPO/MTPD definieren.
Priorisierte Prozessliste mit Wiederherstellungszielen, Basis für BCM-Planung.
Dokumentierte BIA als Nachweis für risikobasierte BCM-Strategie.
Richtlinien liegen als Word-Dateien auf Fileservern — inkonsistent, veraltet, schwer auffindbar.
Richtlinien erstellen und verwalten, Konsistenz-Checks, Glossar pflegen, AI-unterstützte Textarbeit.
Aktuelle Policy Library mit Versionshistorie und Glossar.
Nachweisbare, aktuelle und konsistente Richtlinienbasis.
Standortbestimmung erfolgt ad-hoc oder mit externen Beratern — teuer und nicht wiederholbar.
4 Standards, 207 Fragen, CMMI 0–5 Reifegrad, Kategorie-Scores, Import/Export.
Gap-Analyse pro Standard, Reifegrad-Dashboard, Export für Management-Reporting.
Nachweisbare, wiederholbare Standortbestimmung mit klarem Bezug zu Maßnahmen.
Notfallpläne existieren auf Papier, Übungen finden nicht statt, NIS-2 Fristen sind unklar.
Notfallpläne erstellen, Übungen planen/dokumentieren, Krisenstab definieren, Incidents tracken.
Operative Notfallpläne, Übungshistorie, Incident-Log mit NIS-2 Fristen-Tracking.
Nachweisbare BCM-Strategie mit Übungsdokumentation und regulatorischer Fristeneinhaltung.
Lieferantenrisiken werden nicht systematisch bewertet, Security-Klauseln fehlen.
Lieferanten erfassen und bewerten, deterministischer Risiko-Score, Security-Klauseln und Vertragskontext.
Lieferanten-Register mit Risiko-Scores, Handlungsbedarf pro Lieferant.
Dokumentierte Lieferantenbewertung als Nachweis für Supply-Chain-Risk-Management.
Bedrohungsinformationen werden manuell gesammelt und nicht in den ISMS-Kontext eingebettet.
RSS Feed Monitoring (serverseitig), AI-Relevanzanalyse mit MITRE ATT&CK Mapping, CVE-Watchlist.
Priorisierte Threat-Feeds, CVE-Watchlist mit Bezug zu eigenen Assets, MITRE-Mapping.
Nachweisbare Threat-Monitoring-Prozesse und dokumentierte Relevanzentscheidungen.
Wir zeigen Ihnen normly live — zugeschnitten auf Ihren Use Case.