Was ist ein ISO 27001-Audit?

Umgangssprachlich wird das ISO 27001-Audit häufig auch als ISMS-Audit bezeichnet. Und es stimmt: Genau genommen wird das Informationssicherheits-Managementsystem (ISMS) eines Unternehmens auditiert. Die ISO 27001 ist die internationale Normfür den Aufbau solcher Managementsysteme. Bei einem ISO 27001-Audit wird geprüft, inwiefern die im Sinne der ISO 27001 implementierten Prozesse und Maßnahmen im Unternehmen umgesetzt werden. 

Ein ISO 27001-Audit besteht aus 

  • Dokumentenprüfung 

  • Prüfung der Konformität des Managementsystems gegenüber den Anforderungen der Norm 

  • Vor-Ort-Prüfung 

  • Prüfung und Verifizierung der Umsetzung des ISMS 

Als Ergebnis werden Haupt- und Nebenabweichungen, Verbesserungspotenziale und je nach Zertifizierungsstelle auch Beobachtungen festgehalten und unter Umständen ein Nachaudit festgelegt. 

Weitere Informationen zu Informationssicherheits-Managementsystemen (ISMS) finden Sie hier. 

 

Die unterschiedlichen Auditarten im Überblick

Beim ISO 27001-Audit denken Sie vermutlich zuerst an das Zertifizierungsaudit. Hier entscheidet sich schließlich, ob ein Unternehmen die angestrebte Zertifizierung nach ISO 27001erhält. Oft wird diese von Kunden gefordert oder muss im Rahmen einer Due-Diligence-Prüfung durch einen Investor vorgelegt werden. 

Doch vor dem Zertifizierungsaudit, auch externes Audit genannt, muss mindestens ein internes Audit von Mitarbeitenden, die vom Betrieb des ISMS unabhängig sind, oder von Dritten durchgeführt werden. Nach Erhalt der Zertifizierung sind weitere interne und externe Audits notwendig. Letztere werden durch unabhängige, akkreditierte Zertifizierungsstellen durchgeführt und können wiederum in fünf Typen untergliedert werden.  

Sehen wir uns genauer an, welche Funktionen und Zielsetzungen die unterschiedlichen Audit-Typen haben. 

Typ Funktion Ziel
Internes Audit
  • Konformität, Wirksamkeit und Effizienz des ISMS überprüfen 
  • Informationssicherheitsrisiken bewerten 
  • Mängel identifizieren und Korrekturmaßnahmen einleiten
  • Vereinbarung von Korrekturmaßnahmen 
  • Vorlage der Ergebnisse im Management-Review 
Externes Zertifizierungsaudit Stage 1 (remote möglich) 
  • Dokumentenprüfung: Sind alle im ISMS erwarteten Dokumente erstellt? 
  • Dadurch indirekte Prüfung der Prozesse (weil diese Prozesse Dokumente produzieren) 
  • Zulassung zur Stage 2 Audit
Externes Zertifizierungsaudit Stage 2 
  • Faktenlage vor Ort prüfen 
  • Einhaltung von ISMS-Richtlinien und  
    -Maßnahmen in der Praxis bestätigen (stichprobenartiges Verfahren) 
  • Inspektion der Systeme 
  • Sofern bestanden (keine Hauptabweichungen): Zertifizierung nach ISO 27001 
  • Identifikation von Mängeln und Festlegen von Verbesserungsmaß-nahmen 
  • Vorlage der Ergebnisse im Management-Review 
  • Bei Hauptabweichung: Nachaudit notwendig 
Externes Nachaudit  Prüfen, ob Hauptabweichungen aus dem Zertifizierungsaudit behoben werden konnten 
  • Sofern Hauptabweichung behoben: Zertifizierung nach ISO 27001 
  • Vorlage der Ergebnisse im Management-Review 
Externes Überwachungsaudit (jährlich)  Zertifizierung immer 3 Jahre gültig, dementsprechend 2 Überwachungsaudits zwischen Erstzertifizierung und Re-Zertifizierung  
  • Bei Abweichungen ggf. Veränderung des Zertifizierungsstatus

  • Vorlage der Ergebnisse im Management-Review 
Externes Rezertifizierungsaudit (alle drei Jahre)  Umfassendere Beurteilung als beim Überwachungsaudit, Auditierung des ISMS in vollem Umfang 
  • Erneuerung der ISO 27001-Zertifizierung

  • Vorlage der Ergebnisse im Management-Review 

Umsetzung der ISO 27001 Controls und Aufbau eines ISMS 


In bis zu 3 Monaten machen wir Sie bereit für das ISO 27001 Audit. 

Reduzieren Sie dabei Ihren manuellen Aufwand um bis zu 75% 

Laden Sie jetzt Ihren kostenlosen Leitfaden herunter
DG Seal ISO 27001

Anleitung für ein internes ISO 27001-Audit

Bei einem internen ISO 27001-Audit wird Ihr ISMS im Gegensatz zu einem externen Zertifizierungsaudit von einem dedizierten internen Auditteam oder von abhängigen Mitarbeitenden mit Auditorkompetenzen bewertet. 

In kleineren Unternehmen ist es oft schwierig, einen internen Auditor zu finden, der vom Betrieb des ISMS unabhängig ist. Daher entscheiden sich diese Unternehmen oft dazu, externe Dienstleister zur Vorbereitung auf das ISO 27001-Audit heranzuziehen. Die Ergebnisse des internen Audits werden zur Weiterentwicklung Ihres ISMS herangezogen. 

Schritt 1: Überprüfung der Dokumentation 

Wie beim externen Audit sollten Sie auch im internen Audit zunächst die Dokumentation überprüfen, die während der Einführung Ihres ISMS erstellt wurde. So wird der Anwendungsbereich Ihres Audits klar abgegrenzt und gewährleistet, dass dieser dem Umfang Ihrer Organisation entspricht. Identifizieren Sie außerdem die wichtigsten Stakeholder des ISMS, um gegebenenfalls benötigte Unterlagen anfordern zu können. 

Schritt 2: Absprache mit der Geschäftsführung  

Vor der Umsetzung Ihres Auditplans sollten Sie mit der Geschäftsführung sprechen, um den Zeitpunkt und die benötigten Ressourcen abzustimmen. Dazu ist es oft erforderlich, regelmäßige Kontaktpunkte einzuplanen, an denen Sie Zwischenergebnisse abgeben. 

Schritt 3: Vor-Ort-Prüfung 

Anschließend können Sie die Einhaltung von Vorschriften, Verfahren und Standards stichprobenartig überprüfen. Im Rahmen von Mitarbeitergesprächen können Sie beobachten, wie das ISMS in der Praxis funktioniert. 

Validieren Sie die gesammelten Informationen und erstellen Sie Audit-Berichte, um die Ergebnisse der einzelnen Prüfungen zu dokumentieren. Überprüfen Sie zudem die ISMS-Dokumentation und sonstigen relevanten Daten. 

Schritt 4: Analyse 

Nun folgt die Analyse der Auditdaten vor dem Hintergrund der allgemeinen Risikomanagementstrategie und der Maßnahmen Ihrer Organisation. Mitunter kann diese Überprüfung Unstimmigkeiten in den Nachweisen aufdecken oder die Notwendigkeit weiterer Audits aufzeigen. 

Schritt 5: Reporting 

Abschließend müssen Sie die Ergebnisse des Audits an Ihr Management weiterleiten. Das Reporting eines internen ISO 27001-Audits sollte Folgendes beinhalten: 

  • Detaillierte Angaben zum Anwendungsbereich, zu den Zielen, zum zeitlichen Rahmen und zum Umfang des Audits 

  • Die Zielgruppe für den Bericht und falls erforderlich Regeln für die Kategorisierung und Verteilung 

  • Eine Zusammenfassung der wichtigsten Ergebnisse 

  • Eine eingehende Analyse der Ergebnisse, Schlussfolgerungen und empfohlene Korrekturmaßnahmen 

  • Eine Dokumentation, aus der spezifische Vorschläge oder Einschränkungen hervorgehen 

Unter Umständen sind eine weiterführende Überprüfung und eine Überarbeitung erforderlich, bis die Unternehmensleitung mit den nächsten Schritten einverstanden ist. Ein internes Audit ist insbesondere wichtig, um Risikolücken in der Informationssicherheit aufzudecken und vor dem externen Audit schließen. 
 

Ablauf von externen Audits

Wenn Ihr internes Audit erfolgreich verlaufen ist, sind Sie gut auf das externe Audit vorbereitet. Der Ablauf ist nicht wesentlich anders, allerdings kommt eben ein externer Auditor zu Ihnen ins Haus.

Schritt 1: Dokumentenprüfung

Auch beim externen Audit werden im ersten Schritt (Stage 1) alle Dokumente überprüft, die Ihr ISMS produziert. Das geschieht häufig remote, gerade in Pandemiezeiten. Es ist aber keine schlechte Idee, den Auditor schon hier persönlich einzuladen und eine persönliche Beziehung aufzubauen.

Schritt 2: Vor-Ort-Audit 

Im zweiten Schritt (Stage 2) wird vor Ort geprüft. Dafür werden einige Ihrer Mitarbeiter befragt und auch Ihre Systeme stichprobenartig unter die Lupe genommen. Neben Mitarbeitern wie Ihrem CISO / ISB, die sich natürlich ganz direkt mit dem ISMS beschäftigen, sollte auch Ihr CFO oder CEO zumindest kurz vorbeischauen und dem Auditor gegenüber bestätigen, dass die finanziellen Ressourcen zum Betrieb des ISMS weiter fest eingeplant sind.

Bereits während der Begehung Ihres Betriebs wird sich abzeichnen, ob Sie mit einem positiven Ausgang rechnen können. Neben- und ggf. Hauptabweichungen werden direkt angesprochen und Verbesserungsprozesse gemeinsam besprochen. Eine Hauptabweichung führt automatisch zu einem nicht bestandenen Audit. Dann legen Sie gemeinsam den Termin und die Bedingungen für ein Nachaudit fest. Die Ergebnisse sollten Sie direkt mit in den nächsten Management-Review nehmen.

Schritt 3: Audit-Bericht und ISO 27001-Zertifikat

Schließlich bekommen Sie von Ihrem Auditor einen Audit-Bericht und das Zertifikat zugeschickt. Viele Zertifizierungsunternehmen sind derzeit ausgelastet, daher kann das Ganze ein paar Monate dauern. Die Deutsche Akkreditierungsstelle (Dakks) muss nämlich jedes Auditergebnis noch einmal prüfen und kann Auditergebnisse auf Basis der eingereichten schriftlichen Unterlagen sogar noch einmal verändern – indem beispielsweise eine Nebenabweichung zur Hauptabweichung erklärt wird.

Vector-1

ISO 27001-Zertifizierung und DSGVO-Compliance sind entscheidend, um den langfristigen Erfolg unseres Unternehmens zu sichern.


Calin Coman-Enescu
Behaviour Lab

100% unserer Kunden bestehen die
ISO 27001-Zertifizierung beim ersten Mal

Jetzt zertifizieren

Vorbereitung auf ein ISO 27001-Audit

Die Vorbereitung ist der Schlüsselfaktor für ein erfolgreiches ISO 27001-Audit. Dazu sollten die Prozesse Ihres ISMS korrekt implementiert und funktionsfähig sein. Zur Beurteilung dessen können Sie überprüfen, ob die folgenden Faktoren zutreffen: 

  • Kontext der Organisation: Verstehen und dokumentieren Sie das Umfeld der Organisation und die Anforderungen an die Informationssicherheit, beziehen Sie die interessierten Stakeholder ein und dokumentieren Sie auf diese Weise den Anwendungsbereich des ISMS 

  • Risiko- und Chancenmanagement: Identifizieren und analysieren Sie die Risiken und Chancen für die Informationssicherheit in Ihrer Organisation und erstellen Sie ein Handlungskonzept 

  • Leadership: Die Sicherheitsrichtlinien Ihrer Organisation sollten eine schriftliche Erklärung und einen Nachweis über die Ressourcen enthalten, die zur Einrichtung einer starken Führung auf höchster Ebene erforderlich sind 

  • Management-Review: Das ISMS Ihrer Organisation muss einem formellen Management-Review gemäß (Abschnitt 9.3) unterzogen werden 

  • Korrigierende Maßnahmen und kontinuierliche Verbesserung: Ihre Organisation muss kontinuierliche Korrektur- und Verbesserungsmaßnahmen effizient und effektiv steuern und umsetzen 

Weitere Informationen zur Implementierung der ISO 27001-Norm erhalten Sie in unserer ISO 27001-Checkliste

 

Liegen die erforderlichen Unterlagen vor?

Um die Einhaltung der ISO 27001 nachzuweisen, muss Ihre Organisation eine Reihe von Dokumenten vorlegen. Zu diesen zählen unter anderem: 

  • Erklärung zum Anwendungsbereich des ISMS (Abschnitt 4.3) 

  • Informationssicherheitspolitik der Organisation (Abschnitt 5.2) 

  • Risikomanagementmethode (Abschnitt 6.1.2 & 6.1.3) 

  • Risikoregister und Risikobehandlungsplan (Abschnitt 6.1.3 e) 

  • Erklärung zur Anwendbarkeit (Abschnitt 6.1.3 d) 

  • Richtlinien und Prozesse, die gemäß Anhang A erforderlich sind, wenn die Maßnahmen anwendbar sind 

Achten Sie außerdem darauf, dass Ihre Mitarbeitenden und Unterauftragnehmer leichten Zugang zu Unterlagen und Nachweisen über die Informationssicherheit haben. Eine Übersicht aller notwendigen Dokumentationen im Rahmen einer ISO 27001-Zertifizierung finden Sie in unserer Checkliste. 

Sehen Sie sich unser Webinar über die erfolgreiche Vorbereitung auf Ihr Informationssicherheitsaudit an, um weitere wertvolle Einblicke und Tipps zu bekommen: 

 

Hilfreiche Tipps für ein erfolgreiches Audit 

Neben einer guten Vorbereitung können Ihnen auch die folgenden Tipps dabei helfen, Ihr ISO 27001-Audit erfolgreich zu meistern: 

1. Nicht zu früh zertifizieren

Eigentlich sollte Ihr ISMS mindestens ein Jahr lang erfolgreich laufen, bevor Sie ein Zertifizierungsaudit ansetzen. Wir wissen aber, dass es oft schneller gehen muss – beispielsweise, weil Ihre Kunden eine Zertifizierung einfordern. In diesem Fall sollten Sie mit einer gewissen Anzahl an möglichen Nebenabweichungen rechnen. 

2. Wahrheitsgemäß antworten

Gehen Sie offen in den Audit-Prozess und lügen Sie auf keinen Fall. Auditoren wissen selbst, dass viele Unternehmen eher zu früh zertifizieren und haben Verständnis dafür, dass noch nicht alles perfekt läuft. Geben Sie also ruhig zu, wenn Sie eine Frage nicht sicher beantworten können oder eine ISMS-Richtlinie noch nicht perfekt implementiert wurde. Auf unwahre Angaben reagieren Auditoren sensibel. 

3. Persönliche Verbindung aufbauen

Verstehen Sie Ihren Auditor als Kooperationspartner. Zeigen Sie, dass Sie ehrlich am Thema Informationssicherheit interessiert sind. 

4. Auditor gegebenenfalls ablehnen

Sie können sowohl einen Wunschauditor angeben als auch Auditoren ablehnen. Letzteres sollten Sie tun, wenn Ihr Auditor hauptberuflich bei einem Konkurrenzunternehmen oder einem Kunden arbeitet. Sie erhalten immer einen Lebenslauf des Auditors, den Sie auf Interessenkonflikte hin prüfen sollten. 

 

Kosten für ein ISO 27001-Zertifizierungsaudit 

Die Kosten für das externe Audit durch eine Zertifizierungsstelle sind nur ein kleiner Teil der Gesamtkosten für die Implementierung eines ISMS nach ISO 27001 und lassen sich nicht pauschal beziffern. Der finanzielle Aufwand der Auditierung hängt maßgeblich von folgenden Faktoren ab: 

  • Anwendungsbereich des ISMS 

  • Unternehmensgröße 

  • Komplexität der Prozesse 

  • Anzahl der Standorte (da jeder Standort eigens besichtigt werden muss) 

Als grobe Orientierung können Sie mit folgenden Zertifizierungskosten rechnen: 

  • Für ein kleines Unternehmen mit einem Standort können erfahrungsgemäß Zertifizierungskosten von etwa 10.000 € anfallen 

  • Ein mittelständisches Unternehmen mit relativ geringer Prozesskomplexität kann üblicherweise mit Kosten von bis zu 25.000 € rechnen 

  • Bei größeren Unternehmen sind Auditkosten von 50.000 € durchaus üblich 

Ein verbindliches Angebot bekommen Sie im direkten Kontakt mit Ihrer Zertifizierungsstelle. Weitere Informationen und eine Aufschlüsselung der gesamten Kosten für die ISO 27001-Zertifizierung erhalten Sie in dieser Übersicht.  

Fazit: Das ISO 27001-Audit erfolgreich meistern

Die Zertifizierung nach ISO 27001 bringt wertvolle Vorteile mit sich. Sie können Risiken mindern, Ihre Prozesse optimieren und nach außen zu kommunizieren, dass Ihre Organisation einen international anerkannten Informationssicherheitsstandard einhält.  

Mit der benutzerfreundlichen Plattform von DataGuard können Sie den Aufwand zur Vorbereitung auf die ISO 27001-Zertifizierung um bis zu 75 % reduzieren. Unsere Experten stehen Ihnen bei Bedarf beratend zur Seite. So sparen Sie Zeit, Kosten und Mühe beim Aufbau Ihres ISMS und erreichen schneller die ISO 27001-Zertifizierung. Kontaktieren Sie uns noch heute. 

Termin vereinbaren