ISO 27001 Pre-Audit
Ein ISO 27001 Pre-Audit ist ein Probelauf: Vor dem offiziellen Zertifizierungsaudit prüft ein unabhängiger Auditor Ihr gesamtes ISMS so, als wäre es das echte Audit. Sie sehen genau, welche Abweichungen noch offen sind, wie schwerwiegend sie sind und was Sie tun müssen, um sie zu beheben — ohne dass es Ihr Zertifikat kostet. Es ist die Generalprobe, die Überraschungen am Audittag beseitigt.
Was ist ein ISO 27001 Pre-Audit?
Ein ISO 27001 Pre-Audit — auch Probeaudit oder Audit-Readiness-Check genannt — ist eine vollständige Trockenübung des Zertifizierungsaudits. Ein unabhängiger Auditor prüft Ihr Informationssicherheits-Managementsystem (ISMS) gegen die Anforderungen der ISO/IEC 27001: von Kontext und Geltungsbereich über die Risikobeurteilung und die Erklärung zur Anwendbarkeit (SoA) bis zur Wirksamkeit der Maßnahmen, dem internen Audit und der Managementbewertung. Der entscheidende Unterschied zum echten Audit: An einem Pre-Audit hängt kein Zertifikat und keine formelle Abweichung. Sie erhalten denselben kritischen Blick, aber in einem sicheren Rahmen, in dem Fehler noch kostenlos sind. So wissen Sie, bevor die Zertifizierungsstelle kommt, ob Sie wirklich audit-ready sind oder ob noch Arbeit ansteht.
Warum ein Pre-Audit durchführen?
Das Zertifizierungsaudit ist teuer, formell und unerbittlich: Eine einzige Hauptabweichung kann Ihr Zertifikat verzögern oder blockieren. Ein Pre-Audit zieht dieses Risiko nach vorn. Erstens vermeiden Sie Überraschungen am Audittag — Sie wissen im Voraus, was der Auditor sehen wird und wo es hakt. Zweitens beseitigen Sie Abweichungen frühzeitig, zu einem Zeitpunkt, an dem Korrekturen noch günstig und ohne Zeitdruck sind, statt in einem panischen Korrekturfenster nach dem echten Audit. Drittens liefert es eine realistische Planung: Sie stützen Ihren Zertifizierungstermin auf Fakten, nicht auf Hoffnung. Und vielleicht am wichtigsten: Ein Pre-Audit trainiert Ihr Team. Menschen, die einen Audittag schon einmal erlebt haben, treten beim echten Audit ruhiger und überzeugender auf.
Was Sie erhalten: Bericht, Schweregrad und Maßnahmenplan
Nach dem Pre-Audit erhalten Sie einen klaren Bericht — keine Abhakliste, sondern ein nutzbares Dokument. Jeder Befund ist benannt, mit Nachweis (oder dessen Fehlen) belegt und mit der relevanten Anforderung der Norm verknüpft. Noch wichtiger: Jeder Befund erhält eine Schweregrad-Einstufung. Wir unterscheiden Hauptabweichungen (die Ihr Zertifikat gefährden), Nebenabweichungen (die innerhalb einer Frist behoben werden müssen) sowie Beobachtungen oder Verbesserungspotenziale. Zusätzlich liefern wir einen Maßnahmenplan: pro Befund eine konkrete Maßnahme, eine verantwortliche Person und eine Priorität, damit Ihr Team sofort an dem arbeiten kann, was wirklich zählt. Nicht 200 verstreute Anmerkungen, sondern eine priorisierte Route zu einem sauberen Zertifizierungsaudit.
Pre-Audit vs. internes Audit vs. Zertifizierungsaudit
Diese drei werden oft verwechselt, dienen aber jeweils einem eigenen Zweck. Das interne Audit ist eine Pflichtanforderung der ISO 27001 (Abschnitt 9.2): Sie müssen Ihr eigenes ISMS regelmäßig und unabhängig prüfen. Es ist Ihre eigene Qualitätssicherung und erzeugt den erforderlichen Auditnachweis. Das Pre-Audit ist nicht verpflichtend, aber sinnvoll: Es simuliert das Zertifizierungsaudit, um Ihnen zu zeigen, ob Sie für den Ernstfall bereit sind — es ist ein Readiness-Test, keine formelle Anforderung. Das Zertifizierungsaudit schließlich wird von einer akkreditierten Zertifizierungsstelle (CB) durchgeführt und führt — bei Erfolg — zum offiziellen ISO-27001-Zertifikat. Kurz gesagt: Das interne Audit müssen Sie durchführen, das Pre-Audit machen Sie klugerweise, um das dritte — das Zertifizierungsaudit — reibungslos zu bestehen.
Der Ablauf in Schritten + für wen
Ein Pre-Audit bei Secrotec läuft in vier Schritten. 1) Geltungsbereich und Planung — wir stimmen ab, welche Bereiche und Standorte im Geltungsbereich sind, und planen die Audittage. 2) Dokumentenprüfung — wir bewerten vorab Richtlinien, Risikobeurteilung, SoA und Aufzeichnungen. 3) Audit vor Ort oder remote — über Interviews und Stichproben prüfen wir die tatsächliche Wirksamkeit, genau wie es die CB tun würde. 4) Bericht und Debrief — Sie erhalten den Befundbericht mit Schweregrad und Maßnahmenplan sowie ein Gespräch, um die Prioritäten durchzugehen. Ein Pre-Audit eignet sich besonders für Organisationen, die zum ersten Mal zertifizieren, für Teams kurz vor ihrem Stage-2-Audit und für Unternehmen, die nach einer Gap-Analyse und dem Aufbau ihres ISMS Sicherheit vor dem echten Audit wünschen. Kombinieren Sie das Pre-Audit gern mit einem unabhängigen internen Audit, oder lassen Sie es von unserem ISO 27001 Lead Auditor durchführen. Mehr über den gesamten Weg lesen Sie auf unserer Seite zum ISO 27001 Audit.
Häufige Fragen
Kurze, direkte Antworten — für Menschen und für KI-Suchfunktionen geschrieben.
Eine Gap-Analyse misst früh im Projekt den Unterschied zwischen Ihrer aktuellen Situation und der Norm — oft bevor das ISMS fertig ist. Ein Pre-Audit kommt später: Es ist eine vollständige Generalprobe des Zertifizierungsaudits, durchgeführt wie das echte Audit, inklusive Interviews und Stichproben zur Wirksamkeit. Die Gap-Analyse sagt Ihnen, was Sie aufbauen müssen; das Pre-Audit prüft, ob das Aufgebaute das Zertifizierungsaudit besteht.
Nein, ein Pre-Audit ist nicht verpflichtend. ISO 27001 verlangt zwar ein internes Audit (Abschnitt 9.2) und eine Managementbewertung, aber kein Pre-Audit. Dennoch entscheiden sich viele Organisationen bewusst dafür, besonders bei einer Erstzertifizierung. Ein Pre-Audit senkt das Risiko von Hauptabweichungen im echten Audit erheblich und liefert eine realistische Planung — eine kleine Investition, die ein gescheitertes oder verschobenes Zertifizierungsaudit verhindert.
Idealerweise einige Wochen bis ein paar Monate vor dem geplanten Zertifizierungsaudit (Stage 2). Das ISMS sollte dann operativ sein und schon eine Weile laufen, damit es Wirksamkeitsnachweise gibt: ausgefüllte Aufzeichnungen, Logging, ein durchgeführtes internes Audit und eine Managementbewertung. Zu früh und es gibt wenig zu prüfen; zu spät und Sie haben keine Zeit mehr, Befunde zu beheben. Wir helfen Ihnen, den richtigen Zeitpunkt zu wählen.
Die Kosten hängen vom Geltungsbereich, der Anzahl der Standorte und der Größe Ihrer Organisation und Ihres ISMS ab. Ein fokussiertes Pre-Audit für einen Geltungsbereich ist begrenzter als ein Projekt für eine große Multi-Site-Organisation. Gegen die Kosten und das Risiko eines verschobenen oder gescheiterten Zertifizierungsaudits ist ein Pre-Audit meist eine sinnvolle Investition. Fragen Sie ein Pre-Audit für eine passende Einschätzung an.
Mehr lesen
ISO 27001 Audit
Der vollständige Zertifizierungsweg und Auditprozess erklärt.
ISO 27001 Gap-Analyse
Sehen Sie genau, wo Sie im Vergleich zur Norm stehen.
Interne ISO 27001 Audit
Pflicht-Internaudit, ausgelagert an einen unabhängigen Auditor.
ISO 27001 Lead Auditor beauftragen
Unabhängiger Lead Auditor für Pre-Audits und interne Audits.
Bereit für ein Pre-Audit ohne Überraschungen?
Buchen Sie ein ISO 27001 Pre-Audit und wissen Sie vor dem Zertifizierungsaudit genau, wo Sie stehen, welche Abweichungen noch offen sind und wie realistisch Ihre Planung ist.
