Das ISO 27001-Audit erfolgreich meistern

Die Zertifizierung nach ISO 27001 ist ein wichtiger Schritt, um die Informationssicherheit Ihres Unternehmens zu gewährleisten. Doch der Weg dahin führt durch mehrere Audits, die gut vorbereitet sein wollen. In diesem Artikel erfahren Sie, worauf Sie sich einstellen sollten und wie Sie das ISO 27001 Audit erfolgreich meistern

Was ist ein ISO 27001-Audit?

Umgangssprachlich wird das ISO 27001-Audit oft auch als ISMS-Audit bezeichnet. Und es stimmt: auditiert wird genau genommen das ISMS eines Unternehmens. Die ISO 27001 ist die internationale Norm für den Aufbau solcher Managementsysteme. Bei einem ISO 27001-Audit wird geprüft, inwiefern die im Sinne der ISO 27001 implementierten Prozesse und Maßnahmen im Unternehmen umgesetzt werden.

Ein ISO 27001-Audit besteht aus…

  • der Dokumentenprüfung,
  • Mitarbeiterinterviews
  • und einer Inspektion, also dem Einblick in entsprechende Systeme.

Als Ergebnis werden Haupt- und Nebenabweichungen festgehalten, ein Verbesserungsprozess definiert und unter Umständen ein Nachaudit festgelegt.

Einen ausführlichen Beitrag zum Thema Informationssicherheits-Managementsysteme (ISMS) finden Sie hier.

Die unterschiedlichen Auditarten im Überblick

Beim ISO 27001-Audit denken die meisten zuerst an das Zertifizierungsaudit. Hier entscheidet sich schließlich, ob ein Unternehmen die ersehnte ISO 27001-Zertifzierung  bekommt. Oft wird diese von Kunden gefordert oder muss im Rahmen einer Due-Diligence-Prüfung durch einen Investor vorgelegt werden.

Doch bevor es zum Zertifizierungsaudit kommen kann, muss mindestens ein internes Audit durchgeführt werden. Und auch nach Erhalt der Zertifizierung sind weitere interne sowie externe Audits vorgesehen. Externe Audits wiederum teilen sich ebenfalls in fünf Audit-Typen auf.

Typ Funktion Ziel

Internes Audit durch interne Mitarbeiter, die vom Betrieb des ISMS unabhängig sind oder durch Dritte

Internes Audit - Funktion des ISMS überprüfen
- Informationssicherheitsrisiken bewerten
- Mängel identifizieren und Korrekturmaßnahmen einleiten
- Vereinbarung von Korrekturmaßnahmen
- Vorlage der Ergebnisse im Management-Review
Externes Audit durch eine unabhängige akkreditierte Zertifizierungsstelle
Zertifizierungsaudit Stage 1 (remote möglich) - Dokumentenprüfung: sind alle im ISMS erwarteten Dokumente produziert?
- Dadurch indirekte Prüfung der Prozesse (weil diese Prozesse Dokumente produzieren)
Zulassung zum Stage 2 Audit
Zertifizierungsaudit Stage 2 - Faktenlage vor Ort prüfen
- Einhaltung von ISMS-Richtlinien und -Maßnahmen in der Praxis bestätigen (stichprobenartiges Verfahren)
- Inspektion der Systeme
- Sofern bestanden (keine Hauptabweichungen): Zertifizierung nach ISO 27001 🥳
- Identifikation von Mängeln und Festlegen von Verbesserungsmaßnahmen
- Vorlage der Ergebnisse im Management-Review
- Bei Hauptabweichung: Nachaudit notwendig
Nachaudit Prüfen, ob Hauptabweichungen aus dem Zertifizierungsaudit behoben werden konnten - Sofern Hauptabweichung behoben: Zertifizierung nach ISO 27001
- Vorlage der Ergebnisse im Management-Review
Überwachungsaudit
(jährlich)
Bewertung des ISMS zwischen den Zertifizierungs- und Rezertifizierungsaudits - Bei Abweichungen ggf. Veränderung des Zertifizierungsstatus
- Vorlage der Ergebnisse im Management-Review
Rezertifizierungsaudit (alle drei Jahre) Umfassendere Beurteilung als bei Überwachungsaudit, Auditierung des ISMS in vollem Umfang - Erneuerung der ISO 27001-Zertifzierung
- Vorlage der Ergebnisse im Management-Review

 

 

Anleitung für ein internes ISO 27001-Audit

Bei einem internen ISO27001-Audit wird Ihr ISMS im Gegensatz zu einem Zertifizierungsaudit von Ihren eigenen Mitarbeitern bewertet.

In kleineren Unternehmen (mit weniger als 200 Mitarbeitern) ist es oft schwierig, einen internen Auditor zu finden, der vom Betrieb des ISMS unabhängig ist. Daher entscheiden solche Unternehmen sich oft, externe Dienstleister wie Berater oder unser Expertenteam von DataGuard heranzuziehen. Die Ergebnisse werden zur Weiterentwicklung Ihres ISMS herangezogen.

 

Schritt 1: Überprüfung der Dokumentation

Wie beim externen Audit sollten Sie auch im internen Audit zunächst die Dokumentation überprüfen, die während der Einführung Ihres ISMS erstellt wurde. So wird der Anwendungsbereich Ihres Audits klar abgegrenzt und gewährleistet, dass dieser dem Umfang Ihrer Organisation entspricht. Identifizieren Sie außerdem die Haupt-Stakeholder des ISMS, um u. U. benötigte Unterlagen anfordern zu können.

Schritt 2: Management-Review 

Hier beginnt das eigentliche Audit. Vor der Umsetzung Ihres Auditplans sollten Sie mit der Geschäftsleitung sprechen, um Zeitpunkt und benötigte Ressourcen abzustimmen. Dazu ist es oft erforderlich, regelmäßige Checkpoints einzurichten, an denen Sie Zwischenergebnisse abgeben.

Schritt 3: Vor-Ort-Prüfung

Anschließend können Sie die Einhaltung von Vorschriften, Verfahren und Standards stichprobenartig überprüfen.

  1. Im Rahmen von Mitarbeitergesprächen können Sie beobachten, wie das ISMS in der Praxis funktioniert.
  2. Validieren Sie die gesammelten Informationen.
  3. Erstellen Sie Audit-Berichte, um die Ergebnisse der einzelnen Prüfungen zu dokumentieren.
  4. Überprüfen Sie die ISMS-Dokumentation und sonstigen relevanten Daten.

Schritt 4: Analyse

Nun folgt die Analyse der Auditdaten vor dem Hintergrund der allgemeinen Risikomanagementstrategie und der Maßnahmen Ihrer Organisation. Mitunter kann diese Überprüfung Unstimmigkeiten in den Nachweisen aufdecken oder die Notwendigkeit weiterer Audits aufzeigen.

Schritt 5: Reporting

Abschließend müssen Sie die Ergebnisse des Audits an Ihr Management weiterleiten. Ein internes ISO 27001-Audit-Reporting sollte Folgendes beinhalten:

  • Detaillierte Angaben zum Anwendungsbereich, zu den Zielen, zum zeitlichen Rahmen und zum Umfang des Audits
  • Eine Zusammenfassung der wichtigsten Ergebnisse – eine High-Level-Auswertung
  • Die Zielgruppe für den Bericht und falls erforderlich Regeln für die Kategorisierung und Verteilung
  • Eine eingehende Analyse der Ergebnisse, Schlussfolgerungen und empfohlene Korrekturmaßnahmen
  • Dokumentation, aus der spezifische Vorschläge oder Einschränkungen hervorgehen

Eine weiterführende Überprüfung und Überarbeitung ist unter Umständen erforderlich, bis dieUnternehmensleitung mit den nächsten Schritten einverstanden ist.

Ein internes Audit ist insbesondere dafür wichtig, vorhandene Risikolücken in der Informationssicherheit aufzudecken und vor dem externen Audit einzudämmen.

Um eine Zertifizierung nicht zu gefährden, haben wir in unserem Leitfaden die vier häufigsten Fehler bei der Umsetzung der ISO 27001 und wie Sie diese vermeiden können dargestellt. 

 

Ablauf von externen Audits

Wenn Ihr internes Audit erfolgreich verlaufen ist, sind Sie gut auf das externe Audit vorbereitet. Der Ablauf ist nicht wesentlich anders, allerdings kommt eben ein externer Auditor zu Ihnen ins Haus.

Schritt 1: Dokumentenprüfung

Auch beim externen Audit werden im ersten Schritt (Stage 1) alle Dokumente überprüft, die Ihr ISMS produziert. Das geschieht häufig remote, gerade in Pandemiezeiten. Es ist aber keine schlechte Idee, den Auditor schon hier persönlich einzuladen und eine persönliche Beziehung aufzubauen.

Schritt 2: Vor-Ort-Audit 

Im zweiten Schritt (Stage 2) wird vor Ort geprüft. Dafür werden einige Ihrer Mitarbeiter befragt und auch Ihre Systeme stichprobenartig unter die Lupe genommen. Neben Mitarbeitern wie Ihrem CISO / ISB, die sich natürlich ganz direkt mit dem ISMS beschäftigen, sollte auch Ihr CFO oder CEO zumindest kurz vorbeischauen und dem Auditor gegenüber bestätigen, dass die finanziellen Ressourcen zum Betrieb des ISMS weiter fest eingeplant sind.

Bereits während der Begehung Ihres Betriebs wird sich abzeichnen, ob Sie mit einem positiven Ausgang rechnen können. Neben- und ggf. Hauptabweichungen werden direkt angesprochen und Verbesserungsprozesse gemeinsam besprochen. Eine Hauptabweichung führt automatisch zu einem nicht bestandenen Audit. Dann legen Sie gemeinsam den Termin und die Bedingungen für ein Nachaudit fest. Die Ergebnisse sollten Sie direkt mit in den nächsten Management-Review nehmen.

Schritt 3: Audit-Bericht und ISO 27001-Zertifikat

Schließlich bekommen Sie von Ihrem Auditor einen Auditbericht und das Zertifikat zugeschickt. Viele Zertifizierungsunternehmen sind derzeit ausgelastet, daher kann das Ganze ein paar Monate dauern. Die Deutsche Akkreditierungsstelle (Dakks) muss nämlich jedes Auditergebnis noch einmal prüfen und kann Auditergebnisse auf Basis der eingereichten schriftlichen Unterlagen sogar noch einmal verändern – z. B., indem eine Nebenabweichung zur Hauptabweichung erklärt wird.

 

 

Vorbereitung auf ein ISO 27001-Audit

Beantworten Sie sich in Vorbereitung auf Ihr Audit folgende Fragen:

Sind die Prozesse des ISMS korrekt implementiert und funktionsfähig?

  1. Kontext der Organisation – Dazu gehört es, das organisatorische Umfeld und die Anforderungen an die Informationssicherheit zu verstehen und zu dokumentieren, wobei auch die interessierten Stakeholder einbezogen werden. Auf diese Weise wird der Anwendungsbereich des ISMS dokumentiert.
  2. Risiko- und Chancenmanagement – Identifizierung und Analyse der Bedrohungen und Chancen für die Informationssicherheit Ihrer Organisation und Erstellung eines Handlungskonzepts.
  3. Leadership – Die Sicherheitsrichtlinien Ihrer Organisation sollten eine schriftliche Erklärung und einen Nachweis über die für die Einrichtung einer starken Führung auf höchster Ebene erforderlichen Ressourcen enthalten.
  4. Management-Review – Das ISMS Ihrer Organisation muss einem formellen Management-Review gemäß (Abschnitt 9.3) unterzogen werden
  5. Korrigierende Maßnahmen und kontinuierliche Verbesserung – Ihre Organisation muss kontinuierliche Korrektur- und Verbesserungsmaßnahmen effizient und effektiv steuern und umsetzen. 

Liegen die erforderlichen Unterlagen vor?

Um die Einhaltung der ISO 27001 nachzuweisen, muss Ihre Organisation die folgenden Dokumente vorlegen:

Achten Sie außerdem darauf, dass Ihre Mitarbeiter und Unterauftragnehmer leichten Zugang zu Unterlagen und Nachweisen über Fragen der Informationssicherheit haben.

Eine Übersicht aller notwendigen Dokumentationen im Rahmen einer ISO 27001-Zertifizierung finden Sie in der folgenden Checkliste.

Schauen Sie unser Webinar über die erfolgreiche Vorbereitung auf Ihr Informationssicherheitsaudit an, um wertvolle Einblicke und Tipps zu bekommen. 

 

Sind Ihre Mitarbeiter auf Auditgespräche vorbereitet?

Eine gute Strategie ist es dafür zu sorgen, dass die geprüften Personen im Voraus wissen, worauf sie sich einstellen müssen und wie sie reagieren können. Beachten Sie dabei unbedingt die Tipps in der unten stehenden Infobox.

Eine ISO 27001 Checkliste finden Sie als detaillierten Leitfaden in diesem Artikel. 

 

Unsere Tipps: So können Sie Ihr Auditergebnis positiv beeinflussen

1.     Nicht zu früh zertifizieren: Eigentlich sollte Ihr ISMS mindestens ein Jahr erfolgreich laufen, bevor Sie ein Zertifizierungsaudit ansetzen. Wir wissen aber, dass es oft schneller gehen muss – beispielweise, weil Ihre Kunden eine Zertifizierung einfordern. Dann müssen Sie immer mit einer gewissen Anzahl an Nebenabweichungen rechnen.

2.     Wahrheitsgemäß antworten: Gehen Sie offen in den Prozess und lügen Sie auf keinen Fall. Auditoren wissen selbst, dass viele Unternehmen eher zu früh zertifizieren und haben Verständnis dafür, dass noch nicht alles perfekt läuft. Geben Sie also ruhig zu, wenn Sie eine Frage nicht sicher beantworten können oder eine ISMS-Richtlinie eben noch nicht perfekt implementiert wurde. Auf Lügen reagieren Auditoren sensibel.

3.     Persönliche Verbindung aufbauen: Verstehen Sie Ihren Auditor als Kooperationspartner. Auditoren sind keine verständnislosen Autoritäten wie man sie vom Finanzamt kennt. Zeigen Sie, dass Sie ehrlich am Thema Informationssicherheit interessiert sind.

4.     Auditor ggf. ablehnen: Sie können sowohl einen Wunschauditor angeben (falls Sie bereits persönlich jemanden kennen) als auch Auditoren ablehnen. Letzteres sollten Sie unbedingt tun, wenn Ihr Auditor hauptberuflich bei der Konkurrenz oder einem Kunden arbeitet. Ihnen wird immer ein Lebenslauf mitgeschickt, den Sie auf Interessenkonflikte hin prüfen sollten.

Kosten für ein ISO 27001-Zertifzierungsaudit

Wir schlüsseln in diesem Beitrag die Gesamtkosten für eine ISO 27001-Zertifzierung auf. Die Kosten für das externe Audit durch eine Zertifzierungsstelle sind nur ein kleiner Teil der Kosten insgesamt und lassen sich pauschal nicht beziffern. Wie teuer die Auditierung wird, hängt maßgeblich von folgenden Faktoren ab:

  • Anwendungsbereich des ISMS
  • Unternehmensgröße
  • Komplexität der Prozesse
  • Anzahl der Standorte (da jeder Standort eigens besichtigt werden muss)

Ein Auditor von einer akkreditierten Zertifzierungsstelle kostet um die 1.600 € / Tag. Im Erstaudit ist eine Mindestdauer von 29 Stunden angesetzt, das Audit dauert jedoch eher ein bis zwei Wochen. Ein Rezertifizierungsaudit dauert weniger länger (ca. zwei bis drei Tage) und ist demnach günstiger als das Erstaudit.

Das könnte Sie auch interessieren: Alles über die Controls aus Anhang A der ISO 27001. 

Als grobe Orientierung können Sie mit folgenden Zertifizierungskosten rechnen:

Ein mittelständisches Unternehmen mit 100 Mitarbeitern und relativ geringer Prozesskomplexität kann pro 15 bis 20 Mitarbeitern mit einem Audit-Tag rechnen – also rund fünf bis sieben Audit-Tagen insgesamt. Dabei fallen üblicherweise Kosten von bis zu 25.000€ an.

Bei größeren Unternehmen sind Auditkosten von 50.000€ durchaus normal.

Für ein kleines Unternehmen mit einem Standort können erfahrungsgemäß Zertifizierungskosten von rund 10.000 € anfallen. Ein verbindliches Angebot bekommen Sie aber nur im direkten Kontakt mit Ihrer Zertifizierungsstelle.

 

Das ISO 27001 Audit erfolgreich meistern

Die Zertifizierung nach dem Standard ISO 27001 bringt einige Vorteile mit sich, darunter unter anderem die Minimierung von Risiken und die Optimierung von Prozessen. Sie bietet sich zudem ideal dafür an, einen international anerkannten Informationssicherheitsstandard nach außen zu kommunizieren.  

Und wer die Zertifizierung erfolgreich erlangen und behalten möchte, kommt an regelmäßigen internen und externen Audits nicht vorbei. Diese bieten immer auch eine Chance, das eigene ISMS neu zu evaluieren und immer weiter zu verbessern.

Sie brauchen Hilfe, um sich in der Welt der Informationssicherheit zurechtzufinden oder um sich auf ein Zertifizierungsaudit vorzubereiten? Wir helfen Ihnen gerne weiter – nehmen Sie noch heute Kontakt mit einem unserer Experten auf. 

 

Sprechen Sie uns an

 

 

Übersicht der Dokumentation nach ISO 27001 – Preview

Checkliste: ISO 27001 Dokumentation

Vollständige Übersicht der notwendigen Dokumentation für die ISO 27001 Zertifizierung mit hilfreichen Tipps

Checkliste herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren