norm·werk
EN

// ISO 27001 · ISMS · Informationssicherheit

Informationssicherheit, handwerklich gemacht.

norm-werk baut Informationssicherheits-Managementsysteme so auf, dass sie zur Organisation passen — nicht umgekehrt. Pragmatisch, verständlich, ohne Aktenberg und ohne Tool-Zwang.

Erstgespräch vereinbaren Leistungen ansehen
// ISO 27001 / ISMS / Risiko­management / Awareness / Externer ISB

// Leistungen

Vier Werkzeuge. Ein gemeinsames Ziel: tragfähige Informationssicherheit.

Norm-werk konzentriert sich auf das, was im Alltag wirkt. Keine Standard-Pakete von der Stange, sondern eine Auswahl klar zugeschnittener Leistungen, die sich ergänzen.

01 norm·werk

ISMS-Beratung & Aufbau

Vom ersten Scoping bis zur Zertifizierungsreife: Wir bauen Ihr Informationssicherheits-Managementsystem Schritt für Schritt auf — entlang der ISO/IEC 27001 und mit Blick auf das, was Ihr Geschäft wirklich braucht.

  • Geltungsbereich, Kontext und Stakeholder klären
  • Risiken bewerten, Maßnahmen priorisieren
  • Richtlinien & Verfahren schlank halten
  • Begleitung bis zum externen Zertifizierungs-Audit
02 norm·werk

Externer ISB / ISMS-Beauftragter

Sie brauchen Verantwortung, aber keine Vollzeitstelle. Als externer Informationssicherheitsbeauftragter übernehme ich die operative Rolle — mit klarer Berichtslinie an Ihre Geschäftsführung.

  • Management-Reviews und Berichtspflicht
  • Schnittstelle zu Auditor:innen und Behörden
  • Steuerung von Maßnahmen und Risiken
  • Laufende Weiterentwicklung Ihres ISMS
03 norm·werk

IT- & Projektberatung mit Sicherheitsfokus

Sicherheit gehört ins Projekt, nicht erst nach Go-Live. Bei Cloud-Migrationen, Lieferantenwechseln oder neuen Systemen bringe ich die Sicherheitsperspektive früh ein — bevor sie teuer wird.

  • Anforderungs- und Architektur-Reviews
  • Vendor- und Cloud-Bewertung
  • Begleitung in laufenden IT-Projekten
  • Sparringspartner für CIO/CTO
04 norm·werk

Schulungen & Awareness

Sicherheit ist Verhalten, kein Dokument. Maßgeschneiderte Formate für Geschäftsführung, IT-Teams und die Belegschaft — verständlich und ohne erhobenen Zeigefinger.

  • Management-Briefings (60–90 Min.)
  • Awareness-Workshops für Teams
  • Onboarding-Module für neue Mitarbeitende
  • Phishing- und Vorfallsübungen auf Wunsch

Hinweis: Externe Zertifizierungs-Audits führe ich bewusst nicht selbst durch — aus Gründen der Unabhängigkeit. Dafür arbeite ich eng mit erfahrenen Zertifizierungsstellen zusammen und begleite Sie bis zum Audit.

// Vorgehen

In fünf Schritten von der Idee zur tragfähigen Struktur.

Ein klares Vorgehen ist die halbe Miete. Norm-werk arbeitet entlang eines Modells, das sich in der Praxis bewährt hat — schlank genug für KMU, gründlich genug für eine Zertifizierung.

  1. 01

    Erstgespräch

    Kostenfrei und unverbindlich. Wir klären Ihren Bedarf, mögliche Wege und ob die Zusammenarbeit passt. Dauer: rund 30 Minuten.

  2. 02

    Bestandsaufnahme

    Wo stehen Sie heute? Wir sichten vorhandene Strukturen, Dokumente und Prozesse — und benennen Lücken, Risiken und Quick Wins ehrlich.

  3. 03

    Roadmap

    Sie erhalten einen priorisierten Fahrplan mit realistischen Aufwänden und Terminen. Kein Wolkenkuckucksheim, sondern eine Liste, die man abarbeiten kann.

  4. 04

    Umsetzung

    Wir setzen gemeinsam um — mit Ihrem Team, nicht ohne. Verantwortlichkeiten bleiben transparent, Dokumente bleiben lesbar.

  5. 05

    Betrieb & Weiterentwicklung

    Ein ISMS lebt. Auf Wunsch begleite ich Sie auch danach — als externer ISB, im Management-Review oder einfach als verlässlicher Ansprechpartner.

// Für wen

Für Organisationen, die Sicherheit ernst nehmen — und Aufwand realistisch.

Besonders passend ist die Zusammenarbeit für:

  • 01

    Mittelständische Unternehmen mit 50–500 Mitarbeitenden, die Strukturen brauchen, aber keinen Konzernapparat wollen.

  • 02

    Organisationen mit Compliance-Anforderungen von Kund:innen, Aufsicht oder Mutterkonzern.

  • 03

    IT-Abteilungen ohne eigene Sicherheitsrolle, die einen externen Kopf mit Erfahrung suchen.

  • 04

    Geschäftsführungen, die ISO 27001 angehen wollen, ohne sich in Tools und Dokumenten zu verlieren.

// Mythen

Fünf hartnäckige Missverständnisse über Informationssicherheit.

In Erstgesprächen begegnen mir immer wieder dieselben Annahmen. Hier sind die häufigsten — und wie ich sie einordne.

Mythos 01

„ISO 27001 ist nur etwas für Großkonzerne."

// Realität

Die Norm ist bewusst skalierbar formuliert. Ein gut zugeschnittenes ISMS für 80 Mitarbeitende sieht anders aus als das eines DAX-Konzerns — aber es funktioniert.

Mythos 02

„Wir brauchen erst ein teures GRC-Tool."

// Realität

Tools helfen, wenn Strukturen stehen. Ohne Konzept produzieren sie nur teure Dokumente. Für den Einstieg reichen oft Tabellen, Vorlagen und ein klarer Kopf.

Mythos 03

„Das wird ein Jahr nur Aktenarbeit."

// Realität

Dokumente sind Mittel, kein Selbstzweck. Norm-werk hält Richtlinien so kurz, dass sie gelesen — und gelebt — werden.

Mythos 04

„Ein Audit reicht, dann sind wir sicher."

// Realität

Ein Audit ist ein Stichtag. Sicherheit ist ein Prozess. Ein ISMS lebt von kontinuierlicher Pflege, nicht von einmaligen Anstrengungen.

Mythos 05

„Informationssicherheit ist Sache der IT."

// Realität

Verantwortung liegt bei der Geschäftsführung. Die IT setzt um — aber Entscheidungen, Budgets und Risikotragfähigkeit gehören an die Spitze.

Portrait Oliver Müller — norm-werk // portrait

// Über mich

Hinter norm-werk steht ein Mensch — kein Beratungsapparat.

[Platzhalter] Seit über [X] Jahren bewege ich mich zwischen IT, Projektarbeit und Informationssicherheit. Norm-werk bündelt diese Erfahrung in einem klaren Angebot: Beratung, die ankommt — fachlich tief und sprachlich verständlich.

[Platzhalter] Mein Anspruch: Sicherheit muss zur Organisation passen, nicht umgekehrt. Ein gutes ISMS ist nicht das mit den meisten Dokumenten, sondern das, das im Alltag noch genutzt wird, wenn der Auditor lange weg ist.

// Qualifikation
  • [Platzhalter] ISO/IEC 27001 Lead Implementer
  • [Platzhalter] Weitere relevante Qualifikationen
  • [Platzhalter] Branchenfokus / besondere Erfahrung

// FAQ

Fragen, die in fast jedem Erstgespräch auftauchen.

01 Was unterscheidet Beratung von einem Audit?
Beratung baut auf, ein Audit prüft. Beides hat seinen Platz — aus Unabhängigkeitsgründen sollten beide Rollen aber nicht in einer Hand liegen. Norm-werk übernimmt bewusst nur die Beratungsseite und arbeitet mit unabhängigen Zertifizierungsstellen zusammen.
02 Wie lange dauert es bis zur Zertifizierungsreife?
Realistisch sind sechs bis zwölf Monate — abhängig von Größe, Reifegrad und verfügbaren internen Kapazitäten. In der ersten Bestandsaufnahme bekommen Sie eine ehrliche Einschätzung statt einer Wunschzahl.
03 Lohnt sich ISO 27001 für ein KMU überhaupt?
Wenn Kunden, Konzernmutter oder Aufsicht es einfordern: ja, in der Regel klar. Wenn nicht, lohnt sich oft eine angelehnte Vorgehensweise — also die Struktur der Norm nutzen, ohne sofort auf das Zertifikat hinzuarbeiten.
04 Brauchen wir wirklich externe Beratung — oder reicht ein Tool?
Tools sind hilfreich, ersetzen aber kein Verständnis. Ohne ein klares Konzept produzieren sie überwiegend Dokumente, die niemand liest. Beratung lohnt sich vor allem dort, wo die Struktur fehlt.
05 Wie läuft die Zusammenarbeit konkret ab?
Nach einem kostenfreien Erstgespräch erhalten Sie ein klares Angebot mit Aufwandsschätzung. Die Zusammenarbeit erfolgt remote, hybrid oder vor Ort — je nach Bedarf und Standort.

// Kontakt

Reden wir 30 Minuten — unverbindlich.

Erzählen Sie mir kurz, wo Sie stehen und was ansteht. Ich melde mich in der Regel innerhalb eines Werktags zurück.

E-Mail schreiben Bevorzugen Sie ein Telefonat? Auch das geht — die Nummer steht im Footer.