ISO 27001 Audit-Vorbereitung

Die ISO 27001 Zertifizierung läuft immer zweistufig: Stage 1 (Documentation Review) und Stage 2 (Certification Audit). Wer die beiden Audits als isolierte Prüfungen versteht, unterschätzt ihren Zusammenhang. Stage 1 prüft die Norm-Konformität deiner Dokumentation, Stage 2 prüft, ob das dokumentierte ISMS auch tatsächlich gelebt wird. Dieser Leitfaden zeigt dir die kompletten Prüfpunkte beider Stages, die typischen Nonconformities und wie du dich mit zwei strukturierten Checklisten (Stage 1 mit 40 Punkten, Stage 2 mit 60 Punkten) vorbereiten kannst. Beide Checklisten stehen als CC-BY-4.0 PDF zum Download bereit.

Stage 1: Documentation Review (Readiness Audit)

Der Stage 1 Audit ist ein Readiness-Check durch den externen Auditor. Typisch läuft er remote oder bei ein bis zwei Tagen vor Ort ab. Ziel ist nicht, Findings zu sammeln, sondern zu bewerten, ob dein ISMS reif genug für den Stage 2 Certification Audit ist. Der Auditor prüft die vollständige ISMS-Dokumentation, stellt gezielte Fragen zu Scope, Risikomethodik und zur Umsetzung zentraler Management-Klauseln und identifiziert Lücken, die vor Stage 2 geschlossen werden müssen.

Typischer Abstand zwischen Stage 1 und Stage 2: 4 bis 8 Wochen. Diese Zeit brauchst du, um etwaige Major Findings zu adressieren und um zwischenzeitliche Evidenzen aufzubauen (etwa weitere Management-Review-Iterationen oder interne Audits). Wer den Abstand zu kurz wählt, hat keine Zeit für Korrekturen. Wer zu lange wartet, muss Evidenz aus dem ersten Zeitraum nachziehen.

Stage 1 Prüfpunkte: Die Pflichtdokumente

Der Auditor arbeitet eine feste Liste von Pflichtdokumenten ab. Jede ISO 27001 Klausel generiert mindestens ein Dokument oder einen Nachweis. Die folgenden Positionen sind die Kerndokumente, die vor dem Stage 1 vollständig und aktuell vorliegen müssen:

• •ISMS-Scope Statement (Klausel 4.3): Welche Bereiche, Standorte, Systeme und Prozesse fallen unter dein ISMS. Grenzen müssen dokumentiert sein, auch die Schnittstellen zu Out-of-Scope-Bereichen.
• •Risk Assessment Methodology (Klausel 6.1.2): Wie identifizierst und bewertest du Risiken. Kriterien für Wahrscheinlichkeit, Auswirkung und Risikoakzeptanz müssen schriftlich fixiert sein.
• •Statement of Applicability (Klausel 6.1.3 d): Alle 93 Annex A Controls mit Begründung pro Control. Mehr dazu in unserem SoA-Leitfaden.
• •Risk Treatment Plan: Welche Maßnahmen werden für welche Risiken umgesetzt, mit Verantwortlichkeiten und Terminen.
• •Informationssicherheitsrichtlinie (Klausel 5.2): Von der Geschäftsführung freigegebene Security Policy mit Verpflichtungserklärung.
• •Internal Audit Plan (Klausel 9.2): Mehrjähriger Auditplan, mindestens ein durchgeführter interner Audit mit Bericht.
• •Management Review Minutes (Klausel 9.3): Mindestens ein vollständiger Review-Zyklus! Ohne Management-Review-Protokoll wirst du nicht nach Stage 2 durchgelassen.
• •Corrective Action Process (Klausel 10.1): Dokumentiertes Verfahren für Korrekturmaßnahmen, Beispiele für geschlossene Nonconformities.
• •Evidence of Security Awareness Training (A.6.3): Schulungsnachweise für alle Mitarbeitenden, inklusive Onboarding-Nachweise.

Stage 2: Certification Audit (On-Site)

Der Stage 2 Audit ist das eigentliche Zertifizierungsaudit und findet vor Ort statt. Dauer: je nach Mitarbeiterzahl und Scope 3 bis 8 Tage. Für ein mittelständisches Unternehmen mit 100 bis 300 Mitarbeitenden sind typisch 4 bis 5 Tage zu erwarten. Der Auditor prüft nicht mehr die Dokumentation, sondern die operative Umsetzung: er führt Stichproben, Interviews und technische Verifikationen durch.

Stage 2 Prüfpunkte: Operational Evidence

Für den Stage 2 brauchst du nicht nur Dokumente, sondern Nachweise, dass dein ISMS auch gelebt wird. Die wichtigsten Evidenz-Artefakte:

• •Asset Inventory (A.5.9): Vollständiges Inventar aller Informationsvermögenswerte mit Owner, Klassifizierung und Update-Datum.
• •Access Control Matrix (A.5.15 bis A.5.18): Wer hat welche Zugänge. Der Auditor zieht Stichproben und prüft, ob privilegierte Accounts einem klaren Need-to-know folgen.
• •Supplier Register (A.5.19 bis A.5.22): Liste aller kritischen Dienstleister mit Risikobewertung, DPA und vertraglichen Security-Zusagen.
• •Incident Log (A.5.24 bis A.5.27): Liste aller Sicherheitsvorfälle mit Erkennung, Reaktion und Lessons Learned. Auch wenn du keine Vorfälle hattest, brauchst du das Log und eine dokumentierte Eskalationskette.
• •Backup Records (A.8.13): Nachweise über erfolgreiche Backups und, entscheidend, über mindestens einen getesteten Restore. Backup ohne Restore-Test ist kein Backup.
• •Change Management Records (A.8.32): Change-Request-Historie mit Risikobewertung, Freigabe und Rollback-Plan.
• •Vulnerability Scans (A.8.8): Idealerweise mindestens 6 Monate Scan-Historie mit dokumentierter Remediation. Ein einzelner Scan direkt vor dem Audit ist ein Warnsignal.
• •Penetration Test: Optional, aber von TÜV und anderen Zertifizierungsstellen gerne gesehen, besonders für externe Systeme und Web-Anwendungen.
• •BCM / DR Test Results (A.5.30): Nachweise eines durchgeführten Business-Continuity- oder Disaster-Recovery-Tests mit Protokoll und Lessons Learned.
• •Audit Interviews: Der Auditor interviewt typisch CISO, IT-Administratoren, Entwickler, HR und Einkauf. Jede Rolle muss die für sie relevanten Prozesse beschreiben können.

Typische Nonconformities und Remediation-Fristen

Auditfeststellungen werden in drei Kategorien eingeordnet. Die Kategorie bestimmt, wie viel Zeit du für die Nachbesserung hast.

Bei einem Major-Finding wird das Zertifikat nicht ausgestellt, bis die Korrekturmaßnahme vom Auditor verifiziert wurde. Das geschieht entweder durch Nachreichung von Nachweisen oder durch einen Folgeaudit. Minor Findings werden in der Regel im nächsten Surveillance-Audit nachgeprüft.

Download: Audit-Checklisten (CC-BY-4.0)

Für die strukturierte Vorbereitung stehen zwei Checklisten als druckfertige PDF zum Download bereit. Beide sind unter CC-BY-4.0 lizenziert, also frei nutzbar mit Quellenangabe Kopexa GmbH.

Tipps für die Audit-Woche

Auch bei bester Vorbereitung entscheidet die Audit-Woche über den Verlauf. Die folgenden Prinzipien kommen aus der Praxis und sparen Findings:

1. 1.Audit-Host benennen: Meist der CISO oder ISMS-Manager. Der Audit-Host begleitet den Auditor permanent, moderiert Interviews, zieht passende SMEs zu und kümmert sich um die Raumlogistik.
2. 2.Pre-Audit-Walk-Through: Eine Woche vor dem Audit gemeinsam mit allen Interviewten die wahrscheinlichen Fragen durchgehen. Nicht zum Auswendiglernen, sondern um Unsicherheiten zu klären.
3. 3.Nie improvisieren: Der Satz "wir machen das, aber haben es nicht dokumentiert" ist ein Finding. Wenn etwas nicht dokumentiert ist, existiert es für den Auditor nicht.
4. 4.Auditor hat Recht in der Stunde: Widerspruch während des Audits bringt nichts. Fachliche Einwände kommen NACH dem Audit in die offene Punkte-Liste. Im Raum gilt: zuhören, dokumentieren, klarstellen, nicht diskutieren.
5. 5.Interviewte vorbereiten: Mitarbeitende sollten wissen, dass der Auditor nach ihren Prozessen fragt, nicht nach dem Wortlaut der Policy. Ehrliche, konkrete Antworten sind besser als auswendig gelernte Floskeln.

Häufige Fragen zur Audit-Vorbereitung

Verwandte Ressourcen