Internes Audit, Gap-Analyse und Zertifizierungsaudit: was ist der Unterschied?
Eine Gap-Analyse misst im Vorfeld, wo Sie im Verhältnis zur Norm stehen. Ein internes Audit ist eine verpflichtende, regelmäßige Selbstkontrolle Ihres ISMS. Ein Zertifizierungsaudit wird von einer akkreditierten Stelle durchgeführt und führt zum Zertifikat. Kurz gesagt: Die Gap-Analyse plant, das interne Audit übt und sichert ab, und das Zertifizierungsaudit entscheidet.
Gap-Analyse: wo stehe ich jetzt?
Eine Gap-Analyse vergleicht Ihre aktuelle Situation mit der Norm und liefert eine Prioritätenliste und einen Fahrplan. Ideal als Ausgangspunkt, bevor Sie in ein Implementierungsprojekt einsteigen.
Internes Audit: funktioniert es nachweisbar?
Das interne Audit ist innerhalb von ISO 27001 verpflichtend und prüft, ob das ISMS konform und wirksam ist. Sie dürfen es an einen unabhängigen Auditor auslagern — das erhöht die Objektivität.
Zertifizierungsaudit: das offizielle Urteil
Das Zertifizierungsaudit (Phase 1 + Phase 2) wird von einer Zertifizierungsstelle durchgeführt und führt zum ISO 27001-Zertifikat. Wir führen es nicht durch, machen Sie aber über ein Pre-Audit dafür audit-ready.
Entscheidungshilfe
- Gerade erst begonnen? → Gap-Analyse.
- ISMS läuft, jährliche Verpflichtung? → internes Audit.
- Zertifikat fast in Sicht? → Pre-Audit, dann Zertifizierungsaudit.
ISO 19011 — Leitfaden zur Auditierung (offizielle Quelle).
Häufig gestellte Fragen
Kurze, direkte Antworten — geschrieben für Menschen und für KI-Suchfunktionen.
Nein. Eine Gap-Analyse ist eine Momentaufnahme im Vorfeld, die Lücken erfasst, um zu planen. Ein internes Audit ist eine formelle, regelmäßige Überprüfung des funktionierenden ISMS gegen die Norm, einschließlich Nachweisführung und Berichterstattung. Die Gap-Analyse ist Vorbereitung; das interne Audit ist Absicherung.
Nein. Das Zertifizierungsaudit muss von einer unabhängigen, akkreditierten Zertifizierungsstelle durchgeführt werden. Ein Berater oder interner Auditor, der Sie begleitet hat, darf diese Rolle nicht übernehmen. Eine unabhängige Partei darf jedoch Ihr internes Audit und Pre-Audit durchführen.
Für die Zertifizierung benötigen Sie in jedem Fall ein internes Audit und das Zertifizierungsaudit. Eine Gap-Analyse ist nicht verpflichtend, aber dringend empfohlen, da sie Überraschungen und Kosten vermeidet.
Ein Pre-Audit simuliert das Zertifizierungsaudit (Phase 1 und Phase 2), sodass Sie wissen, ob Sie bereit sind. Es ist keine Pflicht, verringert aber das Risiko von Abweichungen während des eigentlichen Zertifizierungsaudits erheblich.
Möchten Sie wissen, ob Sie audit-ready sind?
Vereinbaren Sie einen unverbindlichen Audit-Scan und wissen Sie nach nur einem Gespräch, wo Sie stehen und was der nächste Schritt ist.
