Erfolgreiches ISO 27001-Audit – So klappt es mit der Zertifizierung

1. Vorbereitung des Audits

a) Audit-Ziel festlegen

  • Prüfen, ob das Informationssicherheits-Managementsystem (ISMS) den Anforderungen der ISO 27001 entspricht.
  • Identifizieren von Verbesserungspotenzialen.

Überprüfen der Umsetzung von Maßnahmen aus vorherigen Audits.

b) Auditumfang definieren

  • Welche Bereiche, Abteilungen oder Prozesse sollen auditiert werden?
  • Beispiele: IT-Services, Personalmanagement, Zugriffskontrollen, Backup-Verfahren.

c) Auditplan erstellen

  • Zeitplan, Auditdauer, beteiligte Personen.
  • Zu prüfende Kontrollen aus Anhang A der ISO 27001 zuordnen.

d) Auditteam bestimmen

  • Auditoren sollten unabhängig vom auditierten Bereich sein.
  • Auditoren müssen Kenntnisse in ISO 27001 und Audittechniken haben.

e) Dokumentenprüfung

  • Vorab: Richtlinien, Prozesse, Risikoanalysen, Sicherheitsmaßnahmen prüfen.
  • Beispiel: Informationssicherheitsrichtlinie, Zugriffskontrollrichtlinien, Notfallpläne.

 

2. Durchführung des Audits

a) Eröffnungsmeeting

  • Vorstellung der Auditoren und des Auditplans.
  • Ziele, Umfang und Vorgehensweise erläutern.

b) Interviews und Beobachtungen

  • Mitarbeiter befragen, Prozesse beobachten.

Beispiel-Fragen:

  • „Wie wird sichergestellt, dass Passwörter regelmäßig geändert werden?“
  • „Wer hat Zugriff auf sensible Daten?“
  • Prüfen von Aufzeichnungen (Logfiles, Protokolle, Nachweise von Schulungen).

c) Stichprobenprüfung

  • Nicht alles muss 100% geprüft werden, Stichproben genügen.
  • Fokus auf Risikobereiche.

d) Auditnachweise sammeln

Dokumentierte Nachweise:

  • Richtlinien/Policies
  • Verfahren/Prozesse
  • Umsetzungskonzepte
  • Protokolle
  • Logs
  • Schulungsnachweise

 

3. Nachbereitung

a) Auditfeststellungen dokumentieren

  • Positiv: Gute Umsetzung von Kontrollen.
  • Verbesserungspotenziale: „Empfehlung“ oder „Feststellung“.
  • Nichtkonformitäten: Verstöße gegen ISO 27001-Anforderungen.

b) Abschlussmeeting

  • Ergebnisse präsentieren, Feedback einholen.
  • Diskutieren von Korrekturmaßnahmen bei Nichtkonformitäten.

c) Auditbericht erstellen

Er enthält:

  • Auditumfang und -ziel
  • Auditmethodik
  • Festgestellte Konformitäten und Nichtkonformitäten
  • Empfehlungen zur Verbesserung
  • Verantwortliche für Korrekturmaßnahmen

d) Follow-up

  • Überprüfen, ob Korrekturmaßnahmen umgesetzt wurden.
  • Dokumentation aktualisieren.

 

Tipp

Die Anforderungen der ISO 27001 basieren stark auf Risiken und Kontrollen. Ein systematisches Vorgehen sorgt für Klarheit und Nachvollziehbarkeit:

Dokumentation → Interview → Nachweisprüfung → Feststellung

 

Oder Sie gehen den einfachen Weg: Kontaktieren Sie uns noch heute, und wir unterstützen Sie praxisnah bei Auditierung, Umsetzung und Optimierung Ihrer Informationssicherheit.

 

 

➡️ Termin vereinbaren und Informationssicherheit stärken!

✉ Kostenloses Erstgespräch

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen

 

Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.com