Struktur statt Chaos - Unser Weg zum IMS

Cyber-Risiken nehmen zu. Anforderungen steigen. Und wer als IT-Dienstleister ernst genommen werden will, braucht mehr als gute Technik. Wir bei ayedo haben früh gemerkt: Wachsen ohne Struktur funktioniert nicht. Sicherheit, Qualität und Effizienz entstehen nicht von selbst – sie brauchen ein belastbares Fundament.

Für uns heißt das: ein integriertes Managementsystem (IMS), das nicht nur der ISO genügt, sondern dem Alltag standhält.

ISO 27001 war unser Wendepunkt

Angefangen hat alles nicht mit einem Plan – sondern mit offenen Fragen:

• Wie laufen unsere Projekte wirklich ab?
• Wo geht Wissen verloren?
• Wer entscheidet eigentlich was?

2024 kam die Zäsur: Wir haben die Zertifizierung nach ISO/IEC 27001:2022 erfolgreich abgeschlossen. Damit hatten wir zum ersten Mal:

• ein nachvollziehbares Risikomanagement
• dokumentierte Verantwortlichkeiten
• klar definierte Anforderungen an Prozesse, Assets und Nachweise

Was als Rahmen für Informationssicherheit begann, wurde zur Grundlage unseres gesamten Managementsystems.

Struktur, die trägt

Auf der Basis von ISO 27001 haben wir unser IMS aufgebaut – und es mit den Anforderungen von ISO 9001 verbunden. Unser Ziel war von Anfang an klar: Praxisnah. Schlank. Digital.

Konkrete Schritte:

• Einheitliches Regelungsformat, von Verfahrensanweisungen bis Leitlinien
• Zentrale Verwaltung über ein IMS-Dokumentenverzeichnis
• Rollen und Zuständigkeiten entlang der Normstrukturen verankert
• Alle relevanten Prozesse dokumentiert – von Incidents bis Kundenauslieferung
• Integration in unsere Tools: MIRA, MOCO, GitOps, VaultWarden

Vom Regelwerk zum Werkzeug

Heute umfasst unser IMS über 90 Regelungen. Kein Selbstzweck, sondern ein lebendiges System:

• Vollständige thematische Abdeckung: Kontext, Führung, Risiko, Prozesse, Awareness
• Verlinkung zu ISO 27001 und ISO 9001
• Eingebettet in eine Prozesslandkarte mit Schulungen, Checklisten und Audits

Wir wollten kein ISO-Museum. Also haben wir Prozesse in unsere Toollandschaft integriert, visuell modelliert und einen klaren KVP-Rhythmus eingeführt – unter anderem mit quartalsweisen Gruppen-Check-ins.

Doppelte Zertifizierung als Meilenstein

Im Mai 2025 war es dann soweit: Erfolgreiches Audit, gleich zwei Zertifikate.

• ISO/IEC 27001:2022 – unser Anker für Informationssicherheit
• ISO 9001:2015 – unsere Basis für nachhaltige Qualität

Beide Normen ergänzen sich, beide prägen heute unsere Arbeitsweise.

Was wir unterwegs gelernt haben

1. ISO 27001 bringt Klarheit – nicht nur in der IT, sondern im ganzen Unternehmen.
2. Prozesse sind kein Selbstzweck. Sie gehören den Teams, nicht den Auditor:innen.
3. Ohne Schulung und Awareness bleibt alles Theorie.
4. Ein gutes IMS ist kein Kontrollinstrument – sondern ein Navigationssystem.

Und jetzt?

Wir bauen weiter. Konkret:

• Rollenspezifische Schulungen
• Erweiterung unseres Kennzahlensystems
• Ausbau von Business Continuity
• Automatisierte Auditvorbereitung
• Verknüpfung mit strategischer Unternehmensentwicklung

Fazit:

Ein IMS ist keine Pflichtübung. Es ist eine Entscheidung für Klarheit, Verantwortlichkeit und Zukunftsfähigkeit – wenn man es richtig angeht. Besonders für IT-Dienstleister, die sich auf kritische Infrastrukturen spezialisieren oder souveräne Cloud-Lösungen anbieten, ist ein solides IMS unverzichtbar. Weitere Einblicke in unsere Compliance-Strategien zeigen, wie strukturierte Ansätze langfristig zum Erfolg führen.