ISO 27001: Internes Audit und Überwachungsaudit – Was ist der Unterschied?

Internes Audit oder Überwachungsaudit – wann prüft wer was?

Unternehmen, die nach ISO 27001 zertifiziert werden, stehen vor der Frage, wie sich interne Audits von den jährlichen Überwachungsaudits der Zertifizierungsstelle unterscheiden. Beide sind wichtige Instrumente, um die Wirksamkeit des ISMS sicherzustellen, unterscheiden sich jedoch in Ziel, Umfang und Vorgehensweise.

Internes Audit (Pflicht nach ISO 27001, Kapitel 9.2)

Ziel:
Prüfen, ob das ISMS normkonform und wirksam implementiert ist.

Umfang:

  • Über den gesamten Zertifizierungszyklus von 3 Jahren muss die komplette Norm intern geprüft werden.
  • Jedes Kapitel sowie die relevanten Controls müssen intern auditiert werden – wann genau, ist flexibel.

Vorgehen in der Praxis:

  • Häufig wird die Norm nicht in einem einzigen Audit komplett geprüft, sondern über mehrere Termine verteilt.

Beispiel für einen Auditplan:

  • Jahr 1: Kapitel 4–6
  • Jahr 2: Kapitel 7–8
  • Jahr 3: Kapitel 9–10 und Annex A

Die Durchführung erfolgt oft durch interne Auditoren oder externe Dienstleister.

Das interne Audit stellt also sicher, dass das ISMS laufend geprüft und verbessert wird – über die Jahre hinweg deckt es die gesamte Norm ab.

 

Überwachungsaudit

Ziel:
Das Überwachungsaudit stellt sicher, dass das ISMS fortlaufend den Normanforderungen entspricht.

Umfang:

  • Nicht jedes Jahr wird die komplette Norm geprüft, sondern risikobasiert ausgewählte Teile.
  • Über den gesamten Zertifizierungszyklus hinweg (2 Überwachungsaudits + 1 Rezertifizierungsaudit) wird jedoch alles abgedeckt.

Vorgehen in der Praxis:

Auditoren prüfen gezielt Änderungen seit dem letzten Audit, bekannte Schwachstellen und kritische Bereiche wie:

  • Risikobewertung
  • Umsetzung von Sicherheitsmaßnahmen
  • Interne Audits
  • Managementbewertung

Die Durchführung erfolgt durch eine Zertifizierungsstelle.

Das Überwachungsaudit überprüft also jährlich Teilbereiche, während die Norm über mehrere Jahre hinweg vollständig abgedeckt.

 

Wir begleiten Unternehmen praxisnah, von der Einführung der Norm bis zum Zertifizierungsaudit.

👉 Kontaktieren Sie uns für ein kostenfreies Erstgespräch!

✉ Kostenloses Erstgespräch

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen

Kostenloses Erstgespräch – unverbindlich & transparent -> www.tec4net.com/web/impressum

tec4net GmbH – Datenschutz und IT-Sicherheit praktikabel umsetzen.

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.comhttps://x.com/tec4net