Häufig gestellte Fragen zu ISO-Audits
Kurze, ehrliche Antworten auf die Fragen, die Organisationen uns am häufigsten zu ISO 27001, NEN 7510 und ISO 9001 Audits stellen — von Kosten und Dauer bis hin zu Zertifizierung, internen Audits und der Beauftragung eines unabhängigen Lead Auditors in den Niederlanden.
ISO-Audits: die Grundlagen
Ein ISO-Audit ist eine systematische, nachweisbasierte Bewertung, bei der ein Auditor prüft, ob Ihr Managementsystem einer ISO-Norm (wie ISO 27001 oder ISO 9001) entspricht und in der Praxis funktioniert. Der Auditor sammelt Nachweise über Dokumente, Interviews und Stichproben, vergleicht sie mit den Anforderungen der Norm und berichtet über Feststellungen. Audits folgen den Leitlinien von ISO 19011.
Grob gibt es drei Arten. Ein First-Party-Audit ist ein internes Audit, das Sie selbst (oder über einen beauftragten Auditor) durchführen. Ein Second-Party-Audit führen Sie bei einem Lieferanten oder Partner durch. Ein Third-Party-Audit wird von einer unabhängigen Zertifizierungsstelle durchgeführt und führt zu einem Zertifikat. Daneben gibt es vorbereitende Formen wie die Gap-Analyse und das Pre-Audit.
Ein internes Audit führen Sie selbst oder über einen beauftragten Auditor als verpflichtenden Teil Ihres Managementsystems durch (ISO 27001 Abschnitt 9.2). Ein Zertifizierungsaudit wird von einer akkreditierten Zertifizierungsstelle durchgeführt und führt zum offiziellen Zertifikat. Ein gutes internes Audit und Pre-Audit machen das Zertifizierungsaudit deutlich reibungsloser, weil Sie Abweichungen vorab beheben.
Eine Gap-Analyse ist eine Bestandsaufnahme zu Beginn Ihres Wegs: Der Auditor erfasst, wo Sie im Vergleich zur Norm stehen, welche Maßnahmen und Dokumente fehlen und was realistisch für die Zertifizierung nötig ist. Das Ergebnis ist eine konkrete Prioritätenliste, sodass Sie gezielt und ohne Verschwendung loslegen können.
Ein Pre-Audit ist eine Generalprobe kurz vor dem Zertifizierungsaudit. Wir auditieren so, wie es die Zertifizierungsstelle tut, und weisen auf Abweichungen hin, die Sie noch rechtzeitig beheben können. So gehen Sie mit Vertrauen und ohne Überraschungen ins echte Audit. Ein Pre-Audit ist besonders wertvoll bei einer Erstzertifizierung oder nach großen Veränderungen.
Ein Lead Auditor leitet das gesamte Audit nach ISO 19011: Er legt mit Ihnen den Geltungsbereich fest, erstellt den Auditplan, führt Interviews und Stichproben durch, wertet Feststellungen objektiv aus und berichtet klar. Ein guter Lead Auditor verbindet Normkenntnis mit Praxiserfahrung und spricht sowohl die Sprache der Technik als auch die der Geschäftsführung.
Ein externer Lead Auditor bringt Unabhängigkeit, Normkenntnis und einen frischen Blick, der intern oft fehlt. Er kann Ihr verpflichtendes internes Audit objektiv durchführen, mit einem Pre-Audit Überraschungen vor dem Zertifizierungsaudit beseitigen und mit einer Gap-Analyse Ihre Ausgangslage bestimmen. Zudem bringt er Vergleichswerte aus anderen Organisationen und Branchen mit. Mehr zum Beauftragen.
Ja. Secrotec auditiert für ausländische Unternehmen mit einer Niederlassung, Kunden oder Lieferanten in den Niederlanden sowie für internationale Organisationen, die ISO 27001, NEN 7510 oder ISO 9001 im niederländischen Kontext prüfen lassen möchten. Wir arbeiten vor Ort oder remote und berichten auf Niederländisch, Englisch, Deutsch oder Französisch. Kontaktieren Sie uns.
Beides. Viele Auditaktivitäten — Dokumentenprüfung, Interviews und Stichproben — funktionieren remote gut über Videocalls und sichere Dokumentenfreigabe. Für bestimmte Elemente wie physische Sicherheit oder einen Rundgang vor Ort ist ein Besuch wertvoll. Wir stimmen die Mischung vorab mit Ihnen ab, passend zu Geltungsbereich, Standorten und Zeitplan.
ISO 27001
Ein ISO 27001 Audit prüft, ob Ihr Informationssicherheits-Managementsystem (ISMS) ISO 27001 entspricht und in der Praxis funktioniert. Der Auditor beurteilt unter anderem die Risikoanalyse, das Statement of Applicability, die Maßnahmen, die Richtlinien, die internen Audits und das Management Review und berichtet über Feststellungen und Verbesserungspunkte.
Der Auditor prüft sowohl die Gestaltung als auch die Wirksamkeit: ISMS-Richtlinie und Geltungsbereich, Risikobeurteilung und -behandlung, das Statement of Applicability, die Maßnahmen aus Anhang A, Sensibilisierung und Schulung, Lieferantenmanagement, Incident Management, Logging und Monitoring, interne Audits, Management Review und kontinuierliche Verbesserung. Für jeden Bereich sucht er Nachweise, dass es wirklich geschieht.
Das hängt vom Geltungsbereich, der Anzahl der Mitarbeitenden und Standorte sowie der Komplexität ab. Ein internes Audit bei einer kleineren Organisation ist oft in einem bis wenigen Tagen möglich, während ein Zertifizierungsaudit (Stufe 1 plus Stufe 2) bei größeren Organisationen mehr Tage erfordert. Zertifizierungsstellen nutzen dafür Richtlinien auf Basis Ihrer Größe. Wir geben Ihnen vorab eine realistische Einschätzung.
Die Kosten hängen vom Geltungsbereich, der Anzahl der Standorte, dem Reifegrad des ISMS und der Art des Audits (Gap-Analyse, internes Audit oder Pre-Audit) ab. Die Beauftragung pro Audit ist meist günstiger und flexibler als die Anstellung eines festen internen Auditors: Sie zahlen nur für die Audits, die Sie benötigen. Fordern Sie eine unverbindliche Einschätzung an.
Häufige Abweichungen sind: eine Risikobeurteilung, die nicht zur Praxis passt, ein Statement of Applicability, das nicht zu den umgesetzten Maßnahmen passt, fehlende oder oberflächliche interne Audits und Management Reviews, schwaches Lieferanten- und Zugriffsmanagement, unzureichende Nachweise zur Sensibilisierung und Korrekturmaßnahmen, die nicht abgeschlossen werden. Der rote Faden: Richtlinien auf dem Papier, die in der Praxis nicht nachweisbar funktionieren.
Eine Major-Abweichung ist ein schwerwiegender oder systematischer Mangel, der zeigt, dass eine Normanforderung nicht erfüllt ist — etwa ein vollständig fehlender Pflichtprozess. Sie muss vor der Zertifizierung behoben werden. Eine Minor-Abweichung ist ein kleinerer, isolierter Mangel; Sie erhalten Zeit, ihn mit einem Korrekturmaßnahmenplan zu beheben. Viele Minors zusammen können wie eine Major wirken.
Ja, durchaus. ISO 27001 ist risikobasiert und skaliert mit Ihrer Größe: Ein kleines Unternehmen braucht nicht denselben Umfang an Dokumentation wie ein Konzern. Die Kunst besteht darin, die Maßnahmen angemessen und machbar zu halten, ohne feste Security-Abteilung. Viele KMU streben das Zertifikat gerade an, um Enterprise-Kunden oder Ausschreibungen zu gewinnen. Siehe ISO 27001 für KMU.
Für die meisten Organisationen dauert der Weg vom Start bis zum Zertifikat etwa drei bis neun Monate, abhängig von Ausgangslage, verfügbarer Kapazität und Komplexität. Das ISMS muss zudem eine Zeit lang nachweisbar laufen (einschließlich mindestens eines internen Audits und Management Reviews), bevor das Zertifizierungsaudit sinnvoll ist. Eine Gap-Analyse zu Beginn hilft bei einer realistischen Planung.
Ein ISMS (Information Security Management System) ist die Gesamtheit aus Richtlinien, Prozessen, Menschen und Maßnahmen, mit denen Sie Informationssicherheit strukturell steuern. Es ist kein Softwarepaket, sondern eine Arbeitsweise: Sie ermitteln Risiken, wählen passende Maßnahmen, setzen sie um, messen ihre Wirksamkeit und verbessern kontinuierlich (der Plan-Do-Check-Act-Zyklus). ISO 27001 legt die Anforderungen an ein solches ISMS fest.
Das Statement of Applicability (SoA) ist ein verpflichtendes Kerndokument, in dem Sie für jede Maßnahme aus Anhang A der ISO 27001 festhalten, ob sie anwendbar ist, warum oder warum nicht, und wie sie umgesetzt wird. Das SoA verbindet Ihre Risikobeurteilung mit den gewählten Maßnahmen und ist eines der ersten Dokumente, die ein Auditor anfordert. Es muss mit der Realität übereinstimmen.
Die Risikobeurteilung ist das Herz von ISO 27001. Sie identifizieren Risiken für Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, schätzen Eintrittswahrscheinlichkeit und Auswirkung ein und entscheiden, welche Risiken Sie akzeptieren, vermindern, übertragen oder vermeiden. Die gewählte Behandlung übersetzen Sie in konkrete Maßnahmen, die im Statement of Applicability festgehalten werden. Der Auditor prüft, ob dieser Prozess logisch, wiederholbar und aktuell ist.
In der Version 2022 wurde vor allem Anhang A überarbeitet: Die Maßnahmen wurden auf 93 Controls zusammengefasst, gruppiert in vier Themen (organisatorisch, personenbezogen, physisch und technologisch), mit elf neuen Maßnahmen wie Threat Intelligence, Cloud-Sicherheit und Data Leakage Prevention. Die Kernanforderungen (Abschnitte 4 bis 10) blieben weitgehend gleich. Bestehende zertifizierte Organisationen mussten innerhalb der Übergangsfrist migrieren.
ISO 27001 schreibt keine feste Frequenz vor, verlangt aber interne Audits in geplanten Abständen (Abschnitt 9.2). In der Praxis bedeutet das mindestens einmal jährlich, wobei über einen Zertifizierungszyklus der gesamte Geltungsbereich abgedeckt wird. Bei höheren Risiken oder großen Veränderungen auditieren Sie häufiger oder gezielter. Ein mehrjähriges Auditprogramm hilft, dies nachweisbar zu planen.
Ein Zertifizierungsaudit läuft in zwei Stufen. In Stufe 1 prüft die Zertifizierungsstelle vor allem Ihre Dokumentation und ob das ISMS für die eigentliche Prüfung bereit ist (ein Readiness Review). In Stufe 2 prüft der Auditor die Wirksamkeit in der Praxis durch Interviews, Beobachtung und Stichproben und hält etwaige Abweichungen fest. Nach erfolgreichem Abschluss und Schließung der Abweichungen folgt das Zertifikat, danach jährliche Überwachungsaudits.
ISO 27001 ist an sich nicht gesetzlich verpflichtend. In der Praxis wird das Zertifikat jedoch häufig vertraglich oder in Ausschreibungen von Kunden, Partnern und Behörden verlangt. Zudem hilft es, gesetzliche Rahmen wie die DSGVO und NIS2 nachweisbar zu erfüllen. Für viele Organisationen ist ISO 27001 daher 'de facto' Voraussetzung für Geschäfte, auch wenn es nicht im Gesetz steht.
ISO 27001 und die DSGVO überschneiden sich stark, sind aber nicht dasselbe. ISO 27001 konzentriert sich auf Informationssicherheit im weiten Sinne, die DSGVO auf den Schutz personenbezogener Daten. Ein gutes ISMS liefert viele Nachweise, die auch für die DSGVO nützlich sind (Zugriffsmanagement, Incident Management, Auftragsverarbeitung). Für vollständige Datenschutzabdeckung empfiehlt sich die Erweiterung ISO 27701 oder ein gezielter Ansatz.
NIS2 ist eine europäische Gesetzgebung, die wesentliche und wichtige Organisationen zu Risikomanagement, Vorfallmeldung und Verantwortung auf Leitungsebene im Bereich Cybersicherheit verpflichtet. ISO 27001 ist kein gesetzlicher Ersatz für NIS2, aber ein ausgezeichnetes Fundament: Ein funktionierendes ISMS deckt einen großen Teil der NIS2-Pflichten nachweisbar ab. Mehr zu NIS2 und Compliance.
NEN 7510 (Gesundheitswesen)
NEN 7510 ist die niederländische Norm für Informationssicherheit im Gesundheitswesen. Sie baut auf ISO 27001 und ISO 27002 auf, ergänzt aber Anforderungen, die speziell dem Schutz von Patientendaten und anderen Gesundheitsinformationen dienen. Organisationen, die personenbezogene Gesundheitsdaten verarbeiten, nutzen NEN 7510, um den sorgfältigen Umgang mit diesen sensiblen Daten nachzuweisen. Siehe unser NEN 7510 Audit.
In der Praxis ist NEN 7510 in den Niederlanden für Gesundheitsdienstleister und andere Parteien, die personenbezogene Gesundheitsdaten verarbeiten, verpflichtend: Die Norm ist gesetzlich als der anzuwendende Standard für Informationssicherheit im Gesundheitswesen ausgewiesen. Aufsichtsbehörden erwarten, dass Gesundheitsorganisationen NEN 7510 nachweisbar erfüllen. Prüfen Sie die aktuellen Anforderungen über NEN.
Beide Normen teilen dieselbe Basis (ein Informationssicherheits-Managementsystem), aber NEN 7510 ist auf das Gesundheitswesen zugeschnitten. Während ISO 27001 sektorneutral ist, ergänzt NEN 7510 gesundheitsspezifische Maßnahmen und Anforderungen rund um Patientendaten, Zugriff auf Patientenakten und Logging. In der Praxis lassen sich beide gut kombinieren: Ein ISO-27001-konformes ISMS ist eine hervorragende Basis für NEN 7510.
NEN 7510 gilt für alle Organisationen, die personenbezogene Gesundheitsdaten verarbeiten: Krankenhäuser, Hausärzte, psychiatrische und Pflegeeinrichtungen, aber auch Zahnärzte, Apotheken und Pflegedienste. Zudem wird die Norm zunehmend von Zulieferern des Gesundheitswesens verlangt, etwa Softwareanbietern, Hosting-Anbietern und Auftragsverarbeitern, die mit medizinischen Daten arbeiten. Wir beraten Sie gern.
Ja. Da NEN 7510 auf derselben Struktur wie ISO 27001 basiert, ist ein kombinierter Ansatz effizient: Sie prüfen die gemeinsame Basis einmal und widmen den gesundheitsspezifischen Anforderungen zusätzliche Aufmerksamkeit. Das spart Zeit, Doppelarbeit und Kosten. Siehe unser Kombi-Audit für mehrere Normen gleichzeitig.
Beginnen Sie mit einer Risikobeurteilung, die wirklich zu Ihren Versorgungsprozessen passt, und sorgen Sie dafür, dass der Zugriff auf medizinische Daten streng geregelt und protokolliert wird. Häufige Stolpersteine sind Berechtigungsmanagement, Protokollierung von Akteneinsicht und Vereinbarungen mit Auftragsverarbeitern. Ein internes Audit oder Pre-Audit im Vorfeld bringt diese Punkte rechtzeitig ans Licht.
ISO 9001
Ein ISO 9001 Audit prüft Ihr Qualitätsmanagementsystem: Erfüllt Ihre Organisation nachweisbar die Anforderungen von Kunden sowie Gesetzen und Vorschriften, und verbessern Sie sich kontinuierlich? Der Auditor beurteilt unter anderem Kontext und Ziele, Prozesse, Kundenzufriedenheit, risikobasiertes Denken, die Lenkung von Abweichungen und das Management Review und sucht Nachweise, dass es in der Praxis funktioniert.
ISO 9001 befasst sich mit Qualitätsmanagement — konsequent das liefern, was Kunden erwarten, und sich kontinuierlich verbessern. ISO 27001 befasst sich mit Informationssicherheit — Risiken für Vertraulichkeit, Integrität und Verfügbarkeit von Informationen steuern. Beide teilen dieselbe Managementsystemstruktur (High Level Structure), wodurch sie sich gut nebeneinander oder kombiniert umsetzen und auditieren lassen.
Häufig hakt es bei: Zielen, die nicht messbar sind oder nicht nachverfolgt werden, Prozessen, die anders ablaufen als beschrieben, schwacher Lenkung von Abweichungen und Korrekturmaßnahmen, unzureichender Analyse der Kundenzufriedenheit und zu oberflächlichen Management Reviews. Wie bei ISO 27001 ist der rote Faden die Lücke zwischen dem System auf dem Papier und der tatsächlichen Arbeitsweise.
Risikobasiertes Denken bedeutet, dass Sie Risiken und Chancen, die die Qualität Ihrer Produkte oder Dienstleistungen beeinflussen, im Voraus erfassen und gezielt steuern — statt erst nachträglich auf Probleme zu reagieren. Seit ISO 9001:2015 zieht sich dies wie ein roter Faden durch die gesamte Norm. Der Auditor erwartet kein umfangreiches Risikoregister, aber nachweisbares Nachdenken darüber, was schiefgehen kann und was Sie dagegen tun.
Ja. Dank der gemeinsamen Managementsystemstruktur lassen sich ISO 9001 und ISO 27001 (und z. B. NEN 7510) gut in einem integrierten Programm kombinieren. Ein Kombi-Audit prüft die gemeinsamen Elemente — Kontext, Führung, Ziele, internes Audit, Management Review — in einem Durchgang und behandelt die normspezifischen Anforderungen separat. Das spart Zeit und vermeidet Doppelarbeit.
Der Auditprozess & Zusammenarbeit mit Secrotec
Sorgen Sie dafür, dass Ihre Dokumentation aktuell ist und zur Praxis passt, dass Pflichtbestandteile nachweisbar durchgeführt wurden (Risikobeurteilung, internes Audit, Management Review, Korrekturmaßnahmen) und dass Mitarbeitende wissen, was von ihnen erwartet wird. Sammeln Sie Nachweise im Voraus, nicht während des Audits. Ein internes Audit oder Pre-Audit ist die beste Generalprobe.
Für ISO 27001 gehören dazu unter anderem: der Geltungsbereich des ISMS, die Informationssicherheitsrichtlinie, die Risikobeurteilung und der Risikobehandlungsplan, das Statement of Applicability, Nachweise der Maßnahmen, die Ergebnisse interner Audits und das Management Review sowie das Verzeichnis der Abweichungen und Korrekturmaßnahmen. Andere Normen verlangen vergleichbare Kerndokumente. Wir senden Ihnen vorab eine klare Checkliste.
Sie erhalten einen klaren Auditbericht mit den Feststellungen, priorisiert nach Risiko und Auswirkung, sowie einen konkreten Verbesserungsplan mit machbaren nächsten Schritten. Wir berichten in zwei Ebenen: eine Management-Zusammenfassung für die Leitung und detaillierte Feststellungen für die operativen Teams. Danach wissen Sie genau, wo Sie stehen, was noch zu tun ist und in welcher Reihenfolge Sie verbessern.
Eine Feststellung ist das allgemeine Ergebnis der Prüfung von Nachweisen gegen die Norm. Eine Abweichung (Nonconformity) ist eine Feststellung, bei der eine Anforderung nachweisbar nicht erfüllt ist; diese müssen Sie korrigieren. Eine Beobachtung oder ein Verbesserungspotenzial ist keine Abweichung, sondern eine Chance zur Stärkung oder ein Hinweis auf eine mögliche künftige Abweichung. Gute Auditberichte machen diesen Unterschied deutlich.
Nein. Nur eine akkreditierte Zertifizierungsstelle darf das offizielle ISO-Zertifikat ausstellen. Secrotec ist ein unabhängiger Lead Auditor und führt Gap-Analysen, interne Audits, Pre-Audits und Lieferantenaudits durch. Gerade weil wir nicht zertifizieren und keine selbst umgesetzte Arbeit beurteilen, bleibt unser Urteil unparteiisch und für Ihre Zertifizierungsstelle nutzbar. Wir bereiten Sie optimal vor; sie stellt das Zertifikat aus.
Ja. Unabhängigkeit ist der Kern eines nutzbaren Auditurteils. Wir beurteilen keine Beratungs- oder Umsetzungsarbeit, die wir selbst geliefert haben, und arbeiten nach den Grundsätzen der Objektivität und Unparteilichkeit der ISO 19011. Dadurch erfüllt unser internes Audit die Unparteilichkeitsanforderung der ISO 27001 (Abschnitt 9.2) und unser Urteil ist im Vorfeld Ihrer Zertifizierung nutzbar.
Oft innerhalb weniger Wochen, abhängig vom Geltungsbereich und Ihrer Planung. Ein unverbindliches Kennenlernen ist meist kurzfristig möglich. Darin legen wir gemeinsam den Geltungsbereich, die passende Auditform und einen realistischen Zeitplan fest. Haben Sie eine Frist von einem Kunden oder aus einer Ausschreibung? Sagen Sie es uns, wir berücksichtigen das. Kontaktieren Sie uns.
Secrotec arbeitet unter anderem für IT- und SaaS-Unternehmen, Gesundheitseinrichtungen (auch NEN 7510), KMU und Zulieferer von Behörden und Großkunden. Für IT/SaaS knüpfen wir an Cloud und Entwicklung an; im Gesundheitswesen an Patientendaten; für KMU halten wir den Ansatz schlank und machbar ohne feste Security-Abteilung. Wir passen Umfang und Tiefe immer an Ihre Größe, Risiken und Branche an.
Als unabhängiger Auditor dürfen wir keine Arbeit umsetzen, die wir danach selbst beurteilen würden — das würde die Unparteilichkeit beeinträchtigen. Was wir tun: Wir liefern Ihre Feststellungen klar und priorisiert mit einem konkreten, umsetzbaren Verbesserungsplan, sodass Ihr eigenes Team oder ein separater Beratungspartner sofort loslegen kann. So behalten Sie die Steuerung und das Auditurteil bleibt sauber.
Ein Überwachungsaudit ist ein periodisches Kontrollaudit durch die Zertifizierungsstelle, meist jährlich, zwischen den dreijährlichen Rezertifizierungen. Dabei wird stichprobenartig geprüft, ob Ihr Managementsystem weiterhin konform ist und sich weiter verbessert. Mit guten internen Audits und einem funktionierenden ISMS verlaufen Überwachungsaudits in der Regel reibungslos, weil Sie kontinuierlich 'audit-ready' bleiben.
Bei einem Lieferantenaudit prüfen Sie im Namen Ihrer Organisation die Informationssicherheit eines Lieferanten oder Auftragsverarbeiters, zum Beispiel gegen ISO 27001 oder Ihr eigenes Anforderungsraster. Das wird immer wichtiger, da viele Risiken in der Lieferkette liegen: Cloud, Hosting und Software Dritter. Secrotec führt diese Audits unabhängig für Sie durch und gibt Ihnen ein klares, fundiertes Urteil über den Lieferanten.
Wir führen Audits durch und berichten auf Niederländisch und Englisch, auf Anfrage auch auf Deutsch oder Französisch. Für internationale Organisationen liefern wir den Auditbericht auf Englisch, sodass Zentrale und lokale Teams dasselbe Dokument nutzen können. Geben Sie bei Ihrer Anfrage Ihre bevorzugte Sprache an.
Ganz einfach: Kontaktieren Sie uns über das Formular, per E-Mail oder Telefon und beschreiben Sie kurz Ihre Situation (Norm, Größe, Ziel und eventuelle Frist). Wir planen einen unverbindlichen Audit-Scan, geben Ihnen darauf basierend eine passende Einschätzung und schlagen die richtige Auditform vor. Sie gehen keine Verpflichtung ein, bis Sie zustimmen.
Ihre Frage ist nicht dabei?
Buchen Sie einen unverbindlichen Audit-Scan. In einem Gespräch wissen Sie, wo Sie stehen, welche Auditform passt und was der nächste Schritt ist.
Offizielle Quellen
Möchten Sie die Normen und Rahmenwerke selbst nachlesen? Dies sind die maßgeblichen Quellen hinter unseren Antworten:
