Zunächst werden wir im Rahmen eines initialen Workshops den Reifegrad der Informationssicherheit und des Datenschutzes aufnehmen und bewerten. Untersucht werden alle Informationssicherheits- und datenschutzrechtlich-relevanten Bereiche der Organisation. Dazu gehören unter anderem Lohnbuchhaltung, Personalwesen, Finanzbuchhaltung, Vertrieb oder Kundendaten. Neben zentralen Verwaltungsbereichen müssen auch ausgelagerte Standorte und ausgelagerte Prozesse (Outsourcing) mit betrachtet werden. Basierend auf diesen Erkenntnissen, werden der weitere Verlauf der Beratung geplant und erste Informationssicherheits- und Datenschutzstrategien entwickelt. Bei der Auswahl der technisch-organisatorischen Maßnahmen orientieren wir uns an den Gefährdungen und Maßnahmen des  BSI IT-Grundschutzkataloges.

Da wir eine kontinuierliche Verbesserung anstreben, planen wir bereits in dieser Phase, in welchen (zeitlichen) Zyklen neuerliche Reifegrad-Analysen erstellt und zum Abgleich mit dem vorab ermittelten Reifegrad herangezogen werden. Diese Widerholungsprüfungen sind vom zeitlichen wie kostenmäßigen Umfang her wesentlich weniger aufwändig als die initiale Prüfung. Die erste Phase der Planung und die Ermittlung des anfänglichen Reifegrades, sind die beiden aufwändigsten Arbeitsschritte. Wichtig ist diese initiale Analyse deshalb, da sie Grundlage der Bewertung aller nachgelagerten Reifegrad-Überprüfungen sein wird und sich an ihr die konkreten Erfolge und umgesetzten Maßnahmen ablesen lassen.