Blog · ISO 27001

Was prüft ein Auditor während eines ISO 27001 Audits?

Während eines ISO 27001 Audits prüft der Auditor, ob Ihr ISMS nachweisbar funktioniert — nicht ob es nur auf dem Papier besteht. Er bewertet unter anderem den Kontext der Organisation, die Risikoanalyse, das Statement of Applicability, die Wirksamkeit von Beherrschungsmaßnahmen, interne Audits, das Management Review und die Nachverfolgung von Verbesserungsmaßnahmen. Der rote Faden: Nachweise, dass Richtlinien in der Praxis angewendet werden.

Fordern Sie einen Audit-Scan an

Worauf achtet der Auditor?

Der Auditor sammelt Nachweise über Dokumente, Interviews und Stichproben. Konkret kommt zur Sprache:

Kontext & Scope — stimmt die Abgrenzung des ISMS mit der Realität überein?
Risikobewertung & -behandlung — aktuell, fundiert, mit Maßnahmen verknüpft?
Statement of Applicability — je Annex-A-Maßnahme begründet?
Beherrschungsmaßnahmen — technisch und organisatorisch, wirken sie nachweisbar?
Internes Audit & Management Review — durchgeführt, berichtet, nachverfolgt?
Verbesserungsmaßnahmen — werden Abweichungen tatsächlich korrigiert?

Der ISO 27001 Auditprozess in fünf Schritten: Scope festlegen, Dokumentenprüfung, Interviews und Stichproben, Befundbericht, Verbesserungsplan und Follow-up — Der Auditprozess in 5 Schritten.

Nachweis vor Papier

Die größte Falle: Dokumente, die ordentlich aussehen, aber nicht gelebt werden. Ein Auditor fragt nach und will Nachweise sehen — ausgefüllte Register, Logging, Protokolle, Tickets. Lesen Sie auch die ISO 27001 Audit-Checkliste, um zu prüfen, ob Sie diese Nachweise in Ordnung haben.

Wie bereiten Sie sich vor?

Beginnen Sie mit einer Gap-Analyse und lassen Sie ein unabhängiges internes Audit durchführen. So wissen Sie im Vorfeld, wo Nachweise fehlen. Mehr über den gesamten Ablauf lesen Sie auf unserer Seite zum ISO 27001 Audit.

ISO/IEC 27001 — offizielle Normseite (offizielle Quelle).

FAQ

Häufig gestellte Fragen

Kurze, direkte Antworten — geschrieben für Menschen und für KI-Suchfunktionen.

Prüft der Auditor auch die Technik oder nur Dokumente?

Beides. Der Auditor bewertet Dokumente und die Umsetzung in der Praxis: Er betrachtet zum Beispiel Zugriffsverwaltung, Logging, Backups und Patch-Management anhand von Stichproben und Interviews. Dokumente allein reichen nicht aus; es geht um nachweisbare Wirksamkeit.

Mit wie vielen Mitarbeitern spricht ein Auditor?

Das hängt von Scope und Größe ab, aber ein Auditor interviewt in der Regel einen Querschnitt: Geschäftsführung, den ISMS-Verantwortlichen, IT und einige Mitarbeiter aus dem operativen Bereich. Ziel ist zu prüfen, ob Richtlinien breit bekannt sind und eingehalten werden.

Was passiert, wenn der Auditor eine Abweichung feststellt?

Eine Abweichung (Nichtkonformität) wird mit Begründung festgehalten. Bei einem Zertifizierungsaudit müssen Sie schwerwiegende Abweichungen korrigieren, bevor das Zertifikat erteilt wird; geringfügige Abweichungen erhalten eine Frist. Ein gutes Pre-Audit räumt diese Überraschungen im Vorfeld aus.

Was ist das Wichtigste, das ein Auditor sehen möchte?

Nachweise, dass das ISMS gelebt wird: dass Risiken gesteuert werden, dass Maßnahmen wirken, dass internes Audit und Management Review tatsächlich stattfinden und dass Verbesserungsmaßnahmen nachverfolgt werden. Kurz gesagt, ein funktionierender Verbesserungszyklus statt eines schönen Ordners.

Verwandt