Question 1

Wie läuft der ISO-27001-Zertifizierungsprozess mit Factorial IT ab?

Accepted Answer

Der Prozess gliedert sich in fünf Phasen. In mehreren davon werden die aufwendigsten Aufgaben (wie das Asset-Inventar oder die Sammlung von Nachweisen) automatisch aus den realen Daten Ihres Unternehmens erledigt.

Diagnose und ISMS-Definition. Wir bewerten Ihren regulatorischen und technischen Reifegrad und definieren den Geltungsbereich des Informationssicherheits-Managementsystems, die Sicherheitsrichtlinie und die verantwortlichen Rollen. So kennen Sie Ihren Ausgangspunkt vom ersten Tag an.

Asset-Inventar und Risikoanalyse. Factorial IT erstellt automatisch ein Echtzeit-Inventar von Geräten und Zugängen. Auf Basis dieser Daten erstellen wir Ihre Risikolandkarte – ohne manuelle Inventare.

Risikobehandlung und Auswahl der Maßnahmen. Wir wählen die anwendbaren Maßnahmen aus Anhang A aus und dokumentieren die Erklärung zur Anwendbarkeit (SoA), die nur noch Ihre Freigabe benötigt.

Umsetzung und Dokumentation. Richtlinien für Verschlüsselung, Sperrung und Zugriffsverwaltung werden über MDM angewendet, und jede Maßnahme erzeugt automatisch ihren exportierbaren Nachweis. So werden Umsetzen und Nachweisen zu einem einzigen Schritt.

Audit und Zertifizierung. Wir begleiten Sie beim internen Audit und bei der Zertifizierungsstelle. Sobald Sie das Siegel erhalten haben, werden die Nachweise für jedes Überwachungsaudit weiterhin automatisch erzeugt.

Question 2

Wie unterscheidet sich Factorial IT von einer Beratung oder einer Compliance-Automation-Plattform?

Accepted Answer

Wir lassen Sie nicht mit einem Zertifikat und einem PDF zurück und beschränken uns auch nicht darauf, Daten aus anderen Tools auszulesen. Die Grundlage unseres Ansatzes ist, dass Ihre Compliance nachgewiesen und nicht nur erklärt wird – und dass sie auf Ihrer eigenen Infrastruktur beruht. Die wichtigsten Unterschiede:

Wir sind die Infrastruktur, keine Schicht darüber. Compliance-Automation-Plattformen arbeiten auf Ihren bestehenden Tools und sammeln Nachweise über Integrationen; Ihr MDM, Ihr Inventar, Ihre SaaS-Zugänge oder Ihr Virenschutz bleiben in getrennten Systemen. Bei Factorial IT erzeugt dieselbe Plattform, die Geräte, Zugänge, Inventar, EDR und Offboardings verwaltet, auch die Nachweise: eine einzige Quelle der Wahrheit, ohne Informationen, die zwischen Systemen abgeglichen werden müssen.

Echte Nachweise. Jede Maßnahme aus Anhang A wird durch exportierbare Nachweise gestützt, die die Plattform selbst erzeugt – nicht durch Erklärungen auf Papier.

Automatisierte technische Basis. Geräte, Zugänge, MDM und EDR werden an einem einzigen Ort verwaltet, sodass die operative Basis Ihres ISMS nicht von Hand aufgebaut werden muss.

Dedizierte Lead Auditors. Anders als ein Tool, das nur Daten zusammenführt, begleitet Sie ein spezialisiertes Team von Anfang bis Ende.

Kontinuierliche Begleitung. Eine Beratung verschwindet meist, sobald Sie das Siegel haben; wir halten Ihre Compliance am Leben, damit Sie jedes jährliche Überwachungsaudit ohne böse Überraschungen erreichen.

Question 3

Wie verteilen sich die Verantwortlichkeiten zwischen Factorial IT und meinem Unternehmen?

Accepted Answer

Wir übernehmen den Großteil des Prozesses, aufgeteilt auf zwei Bereiche:

Was wir automatisieren. Geräteinventar, Zugriffskontrolle, Durchsetzung von Richtlinien über MDM, Vorfallerkennung mit EDR und Sammlung von Nachweisen – ohne eine einzige Tabellenkalkulation.

Was wir verfassen. Unser Team aus Lead Auditors erstellt die Richtlinien, die Risikoanalyse und die Erklärung zur Anwendbarkeit auf Basis Ihrer realen Daten.

Ihre Rolle beschränkt sich auf Prüfen, Freigeben und Unterschreiben. Ohne ein paralleles Projekt über mehrere Monate und ohne Ihr Team mit manuellen Aufgaben zu binden, die Zeit für das Wesentliche kosten.

Question 4

Wenn ich bereits Sicherheitsmaßnahmen umgesetzt habe, warum sollte ich Factorial IT brauchen?

Accepted Answer

Weil die meisten Unternehmen ISO 27001 nicht aus Mangel an Sicherheit nicht bestehen, sondern weil sie sie nicht nachweisen können. Wahrscheinlich haben Sie Ihre Geräte bereits verwaltet, die Zugänge kontrolliert und die Richtlinien verfasst; das Problem zeigt sich meist am Audit-Tag, wenn der Mangel nicht technischer, sondern dokumentarischer Natur ist. Die häufigsten kritischen Punkte sind:

1) Veraltetes Inventar. Die Asset-Liste lebt in einer Tabelle, die die reale Situation zum Zeitpunkt des Audits nicht widerspiegelt.

2) Nicht entzogene Zugänge. Es bestehen weiterhin aktive Konten oder Berechtigungen von Personen, die nicht mehr zum Unternehmen gehören.

3) Fehlende Nachweise. Es gibt keinen Nachweis dafür, dass die Maßnahmen wirksam und kontinuierlich angewendet werden.

Factorial IT schließt genau diese Lücke: Es verwandelt Ihren täglichen Betrieb automatisch und kontinuierlich in Nachweise, damit das, was Sie ohnehin tun, gegenüber dem Auditor belegbar ist.

Question 5

Muss ich Factorial HR gebucht haben, um mich zertifizieren zu lassen?

Accepted Answer

Nein. Factorial IT funktioniert unabhängig und lässt sich mit mehr als 40 HRIS am Markt integrieren. Der entscheidende Punkt liegt im Offboarding:

- Mit Integration (Factorial HR oder einem anderen HRIS). Sobald ein Austritt in der Personalabteilung erfasst wird, werden die Zugänge automatisch entzogen, das Gerät aus der Ferne gesperrt und der Abschluss mit Zeitstempel dokumentiert.

- Warum das wichtig ist. Es ist eine der Maßnahmen, die der Auditor am genauesten prüft und bei der am häufigsten Abweichungen festgestellt werden.

Mit einem externen HRIS funktioniert es gleichwertig, solange die Integration aktiv bleibt.

Question 6

Wo werden die Daten gespeichert, und ist Factorial IT eine sichere Lösung?

Accepted Answer

Ja. Factorial ist ein europäisches Unternehmen mit Sitz in Barcelona, unterliegt der DSGVO und betreibt seine Infrastruktur auf AWS-Servern in Deutschland. Darüber hinaus wendet das Unternehmen auf seinen eigenen Betrieb dieselben Standards an, für die es seine Kunden bei der Zertifizierung unterstützt:

- Zertifizierungen. ISO/IEC 27001:2023, SOC 2 Typ I und II sowie ENS Stufe Hoch.

- Regulatorische Compliance. DSGVO, UK-GDPR und gleichwertige Vorschriften in anderen Regionen.

Question 7

Ist Factorial IT eine erschwingliche Lösung für kleinere Organisationen?

Accepted Answer

Ja. Unabhängig von der Größe Ihrer Organisation entwerfen wir einen individuellen Plan, der sich an Ihre Realität anpasst – und nicht umgekehrt. Wir wenden keinen Einheitspreis und keine festen Pakete an: Wir passen den Umfang an Ihre konkrete Situation an, egal ob Sie ein kleines Unternehmen oder eine Umgebung mit mehreren Einheiten sind. In der Praxis wird das Angebot anhand folgender Faktoren dimensioniert:

- Größe und Komplexität Ihrer Organisation. Ein kleines Unternehmen übernimmt nicht denselben Umfang wie ein Großkonzern, und sein Plan spiegelt das auch nicht wider.

- Die Rahmenwerke, die Sie abdecken müssen. Wir dimensionieren nur das, was Ihr Fall erfordert (ISO 27001, ENS, NIS2 …), ohne für Nicht-Anwendbares zu zahlen.

- Ihr Ausgangspunkt. Wenn ein Teil der Arbeit bereits erledigt ist, bauen wir darauf auf, statt bei null anzufangen.

Zudem lohnt es sich, die Kosten als Ganzes zu betrachten: Ein Großteil der Arbeit ist automatisiert und die Compliance erhält sich Jahr für Jahr von selbst, was die Hunderte internen Stunden und den wiederkehrenden Aufwand des manuellen Wegs oder einer klassischen Beratung vermeidet. Der beste Weg, die Investition in Ihrem Fall zu erfahren, ist die Anfrage eines individuellen Angebots, unverbindlich: Wir erstellen es auf Basis Ihrer realen Situation und mit voller Transparenz.

ISO 27001 in Wochen zertifiziert

Alles, was Sie für die ISO 27001 brauchen

Schaffen Sie Kontrollen, die Risiken steuern – nicht nur Vorschriften erfüllen

Was andere Teams sagen, die den Wechsel bereits vollzogen haben

Wie weit fehlt Ihnen noch bis ISO 27001?

Häufig gestellte Frage