Struktur statt Chaos - Unser Weg zum IMS

Cyber-Risiken nehmen zu. Anforderungen steigen. Und wer als IT-Dienstleister ernst genommen werden will, braucht mehr als gute Technik. Wir bei ayedo haben früh gemerkt: Wachsen ohne Struktur funktioniert nicht. Sicherheit, Qualität und Effizienz entstehen nicht von selbst – sie brauchen ein belastbares Fundament.

Für uns heißt das: ein integriertes Managementsystem (IMS), das nicht nur der ISO genügt, sondern dem Alltag standhält.

ISO 27001 war unser Wendepunkt

Angefangen hat alles nicht mit einem Plan – sondern mit offenen Fragen:

• Wie laufen unsere Projekte wirklich ab?

• Wo geht Wissen verloren?

• Wer entscheidet eigentlich was?

  \

2024 kam die Zäsur: Wir haben die Zertifizierung nach ISO/IEC 27001:2022 erfolgreich abgeschlossen. Damit hatten wir zum ersten Mal:

• ein nachvollziehbares Risikomanagement

• dokumentierte Verantwortlichkeiten

• klar definierte Anforderungen an Prozesse, Assets und Nachweise

  \

Was als Rahmen für Informationssicherheit begann, wurde zur Grundlage unseres gesamten Managementsystems.

Struktur, die trägt

Auf der Basis von ISO 27001 haben wir unser IMS aufgebaut – und es mit den Anforderungen von ISO 9001 verbunden. Unser Ziel war von Anfang an klar: Praxisnah. Schlank. Digital.

Konkrete Schritte:

• Einheitliches Regelungsformat, von Verfahrensanweisungen bis Leitlinien
• Zentrale Verwaltung über ein IMS-Dokumentenverzeichnis
• Rollen und Zuständigkeiten entlang der Normstrukturen verankert
• Alle relevanten Prozesse dokumentiert – von Incidents bis Kundenauslieferung
• Integration in unsere Tools: MIRA, MOCO, GitOps, VaultWarden

Vom Regelwerk zum Werkzeug

Heute umfasst unser IMS über 90 Regelungen. Kein Selbstzweck, sondern ein lebendiges System:

• Vollständige thematische Abdeckung: Kontext, Führung, Risiko, Prozesse, Awareness
• Verlinkung zu ISO 27001 und ISO 9001
• Eingebettet in eine Prozesslandkarte mit Schulungen, Checklisten und Audits

Wir wollten kein ISO-Museum. Also haben wir Prozesse in unsere Toollandschaft integriert, visuell modelliert und einen klaren KVP-Rhythmus eingeführt – unter anderem mit quartalsweisen Gruppen-Check-ins.

Doppelte Zertifizierung als Meilenstein

Im Mai 2025 war es dann soweit: Erfolgreiches Audit, gleich zwei Zertifikate.

• ISO/IEC 27001:2022 – unser Anker für Informationssicherheit
• ISO 9001:2015 – unsere Basis für nachhaltige Qualität

Beide Normen ergänzen sich, beide prägen heute unsere Arbeitsweise.

Was wir unterwegs gelernt haben

1. ISO 27001 bringt Klarheit – nicht nur in der IT, sondern im ganzen Unternehmen.
2. Prozesse sind kein Selbstzweck. Sie gehören den Teams, nicht den Auditor:innen.
3. Ohne Schulung und Awareness bleibt alles Theorie.
4. Ein gutes IMS ist kein Kontrollinstrument – sondern ein Navigationssystem.

Und jetzt?

Wir bauen weiter. Konkret:

• Rollenspezifische Schulungen

• Erweiterung unseres Kennzahlensystems

• Ausbau von Business Continuity

• Automatisierte Auditvorbereitung

• Verknüpfung mit strategischer Unternehmensentwicklung

  \

Fazit:

Ein IMS ist keine Pflichtübung. Es ist eine Entscheidung für Klarheit, Verantwortlichkeit und Zukunftsfähigkeit – wenn man es richtig angeht.