Deutsch
Nederlands English Deutsch Français
Audit, Beratung & Vorbereitung

ISO 27001 Audit für Organisationen, die nachweisbar compliant sein wollen

Ein ISO 27001 Audit prüft, ob Ihr Managementsystem für Informationssicherheit (ISMS) in der Praxis nachweisbar funktioniert — nicht nur auf dem Papier. Ein unabhängiger Auditor beurteilt den Kontext der Organisation, die Risikoanalyse, das Statement of Applicability, die Maßnahmen, das interne Audit, die Managementbewertung und die Verbesserungsmaßnahmen. Sie erhalten einen klaren Feststellungsbericht mit Nachweisen, Risiken und konkreten Verbesserungspunkten. So gelangen Sie von einzelnen Dokumenten zu einem nachweisbar funktionierenden ISMS, das für das Zertifizierungsaudit bereit ist.

Audit-Scan anfragen Checkliste ansehen

Was ist ein ISO 27001 Audit?

Bei einem ISO 27001 Audit beurteilt ein Auditor, ob Ihr ISMS die ISO/IEC 27001:2022 erfüllt und ob es funktioniert. Das geschieht über Dokumentenprüfung, Interviews und Stichproben anhand von Nachweisen. Der Auditor folgt den Prinzipien der ISO 19011: Unabhängigkeit, ein nachweisbasierter Ansatz und eine faire Berichterstattung.

Für wen ist das gedacht?

Für Organisationen, die ISO 27001 erreichen, ihr Zertifikat behalten oder ein unabhängiges internes Audit durchführen lassen möchten. Auch für Unternehmen, die von Kunden oder einer Ausschreibung gebeten werden, die Informationssicherheit nachweisbar zu beherrschen.

Welche Probleme lösen wir?

  • Richtlinien und Risikoanalyse, die nicht zur Praxis passen.
  • Ein Statement of Applicability, das nicht begründet ist.
  • Internes Audit und Managementbewertung, die fehlen oder nur formell sind.
  • Unsicherheit, ob Sie das Zertifizierungsaudit bestehen werden.

Unser Vorgehen in 5 Schritten

  1. Geltungsbereich bestimmen — Grenzen, Ziele und Kontext des ISMS.
  2. Dokumentenprüfung — Richtlinien, Risikoanalyse und SoA gegen die Norm.
  3. Interviews & Stichproben — funktionieren die Richtlinien nachweisbar?
  4. Feststellungsbericht — Nachweise, Risiken und Prioritäten.
  5. Verbesserungsplan & Follow-up — konkrete Maßnahmen Richtung Zertifizierung.
Der ISO 27001 Auditprozess in fünf Schritten: Geltungsbereich bestimmen, Dokumentenprüfung, Interviews und Stichproben, Feststellungsbericht, Verbesserungsplan und Follow-up
Der Auditprozess in 5 Schritten.

Nachweise: was der Auditor sehen will

Ein Auditor sucht Nachweise dafür, dass Richtlinien angewendet werden: ausgefüllte Risikoregister, durchgeführte interne Audits, Protokolle der Managementbewertung, Logging, Zugriffsbewertungen und nachverfolgte Verbesserungsmaßnahmen. Wir helfen Ihnen, diese Nachweise nachweisbar und auffindbar zu machen.

Was Sie erhalten (Deliverables)

  • Feststellungsbericht mit Nichtkonformitäten und Beobachtungen.
  • Priorisierung nach Risiko und Auswirkung.
  • Praktischer Verbesserungsplan mit Zeitplanung.
  • Beratung zum Weg zum Kombi-Audit oder zur Zertifizierung.

ISO/IEC 27001 — offizielle Normseite (offizielle Quelle).

FAQ

Häufig gestellte Fragen

Kurze, direkte Antworten — geschrieben für Menschen und für KI-Suchfunktionen.

Ein ISO 27001 Audit ist eine unabhängige Prüfung Ihres Managementsystems für Informationssicherheit (ISMS). Der Auditor kontrolliert, ob Sie die Anforderungen der ISO/IEC 27001 erfüllen und, noch wichtiger, ob das System nachweisbar funktioniert. Er beurteilt unter anderem den Kontext, die Risikoanalyse, das Statement of Applicability, die Maßnahmen, das interne Audit und die Managementbewertung. Das Ergebnis ist ein Bericht mit Feststellungen, Risiken und Verbesserungspunkten.

Der Auditor prüft, ob Richtlinien nicht nur bestehen, sondern auch angewendet werden. Konkret betrachtet er den Geltungsbereich und Kontext, die Risikobeurteilung und -behandlung, das Statement of Applicability, die Wirksamkeit technischer und organisatorischer Maßnahmen, die Sensibilisierung der Mitarbeitenden, interne Audits, die Managementbewertung und die Nachverfolgung von Verbesserungsmaßnahmen. Er sammelt Nachweise über Dokumente, Interviews und Stichproben in der Praxis.

Die Kosten hängen vom Geltungsbereich, der Anzahl der Standorte, der Anzahl der Mitarbeitenden und der Reife Ihres ISMS ab. Eine Gap-Analyse oder ein internes Audit ist in der Regel begrenzter als ein vollständiger Zertifizierungsprozess. Die Zertifikatskosten selbst werden von der Zertifizierungsstelle bestimmt, nicht von uns. Vereinbaren Sie einen unverbindlichen Audit-Scan für eine passende, auf Ihre Situation zugeschnittene Einschätzung.

Beginnen Sie mit einer Gap-Analyse, um zu sehen, wo Sie stehen. Sorgen Sie dafür, dass der Geltungsbereich klar ist, die Risikoanalyse aktuell und mit dem Statement of Applicability verknüpft ist und dass Richtlinien und Verfahren tatsächlich genutzt werden. Führen Sie mindestens ein internes Audit und eine Managementbewertung durch und halten Sie Verbesserungsmaßnahmen fest. Ein Pre-Audit simuliert das echte Audit und beseitigt Überraschungen im Vorfeld.

Ein internes Audit ist Teil Ihres eigenen ISMS und darf von einem unabhängigen, beauftragten Auditor durchgeführt werden, solange dieser nicht seine eigene Arbeit beurteilt. Das Zertifizierungsaudit wird von einer akkreditierten Zertifizierungsstelle durchgeführt und führt zum offiziellen ISO 27001-Zertifikat. Ein gutes internes Audit und ein Pre-Audit machen dieses Zertifizierungsaudit erheblich reibungsloser.

Das Statement of Applicability ist ein verpflichtendes Dokument, das je Maßnahme aus Annex A (93 Maßnahmen in ISO 27001:2022) angibt, ob diese anwendbar ist, mit Begründung und Implementierungsstatus. Das SoA verknüpft Ihre Risiken mit konkreten Maßnahmen und ist das Herzstück jedes ISO 27001 Audits. Ein unvollständiges oder nicht begründetes SoA ist eine häufige Ursache für Feststellungen.

Ein Implementierungs- und Zertifizierungsprozess dauert in der Regel 3 bis 9 Monate, abhängig von der Größe der Organisation und davon, wie viele Maßnahmen bereits vorhanden sind. Eine separate Gap-Analyse oder ein internes Audit ist meist innerhalb von einer bis zwei Wochen abgeschlossen, inklusive Berichterstattung. Eine Gap-Analyse im Vorfeld gibt Ihnen eine realistische Planung.

Mindestens jährlich, und alle Bestandteile des ISMS müssen innerhalb des Zertifizierungszyklus von drei Jahren behandelt werden. Viele Organisationen arbeiten mit einem Auditprogramm, in dem Themen über das Jahr hinweg auf Basis von Risiken und früheren Feststellungen geplant werden. Wir erstellen gemeinsam mit Ihnen ein passendes Auditprogramm.

Verwandt

Weiterlesen

ISO 27001 Lead Auditor beauftragen

Unabhängiger Lead Auditor nach ISO 19011.

ISO 27001 Gap-Analyse

Nullmessung Ihrer aktuellen Situation.

ISO 27001 Audit-Checkliste

Werden Sie Schritt für Schritt audit-ready.

Vereinbaren Sie einen unabhängigen ISO 27001 Audit-Scan

Innerhalb eines Gesprächs wissen Sie, ob Ihr ISMS audit-ready ist und was der nächste Schritt ist.

Audit-Scan anfragen

Vertraut von Organisationen

Certe Groep Certe Assuradeuren Chatbot Soluck Wattse Nextech Muast