Wie sieht ein Plan für ein Vorbereitungsaudit gem. ISO 27001 aus?

Ein Vorbereitungsaudit nach ISO 27001 wird in der Regel einige Zeit vor dem eigentlichen Zertifizierungsaudit durchgeführt – häufig mit Unterstützung externer Dienstleister. Ziel ist es, das ISMS noch einmal systematisch auf Schwachstellen zu prüfen und Abweichungen von der Norm rechtzeitig zu korrigieren.

Im Ablauf und in der Methodik ähnelt das Vorbereitungsaudit stark dem späteren Zertifizierungsaudit. Dauer und Umfang hängen dabei wesentlich von der Unternehmensgröße, der Komplexität der Prozesse und der Anzahl der Standorte ab.

Während das Zertifizierungsaudit ausschließlich von durch die Deutsche Akkreditierungsstelle (DAkkS) akkreditierten Zertifizierungsstellen durchgeführt werden darf, können Vorbereitungsaudits auch von sachkundigen Personen oder spezialisierten Beratungsunternehmen übernommen werden. Entscheidend ist die Objektivität: Ein externer Blick ist oft sinnvoll, da interne Teams, die das ISMS aufgebaut haben, mögliche Lücken leicht übersehen.

Die folgende Planung vermittelt Unternehmen, die kurz vor der ISO 27001-Zertifizierung stehen, einen praxisnahen Eindruck davon, wie ein Vorbereitungsaudit typischerweise abläuft und durchgeführt wird.

Das dargestellte Beispiel mit fünf Audittagen orientiert sich an einem mittelständischen Unternehmen mit rund 250 Mitarbeitern. Kleinere Organisationen benötigen in der Regel weniger Zeit, während größere oder international aufgestellte Unternehmen deutlich mehr Tage einplanen sollten.

 

Tag 1 – Dokumentensichtung und Auditvorbereitung

  • Sichtung aller ISMS-relevanten Dokumente:
    • ISMS-Handbuch / Policies
    • Risikobewertung & Statement of Applicability (SoA)
    • Prozesse, Verfahrensanweisungen, Notfallpläne
    • Nachweise zu internen Audits und Managementbewertungen
  • Erstellung eines Auditplans mit Schwerpunkten & Fragenkatalog
  • Abstimmung des Ablaufplans mit dem Unternehmen

 

Tag 2 – Mitarbeiterbefragungen Teil 1 (Vor-Ort/Videochat)

  • Audit Kick-off mit Management und ISMS-Verantwortlichen
  • Prüfung Kapitel 4–6: Unternehmenskontext, Scope, Führung, Risikomanagement
  • Prüfung Kapitel 7: Ressourcen, Kompetenzen, Bewusstsein, Kommunikation, Dokumentation
  • Erste Stichprobenprüfung von Nachweisen und Dokumenten

 

Tag 3 – Mitarbeiterbefragungen Teil 2 (Vor-Ort/Videochat)

  • Prüfung Kapitel 8–10: Betrieb, Monitoring, internes Audit, Managementbewertung, Verbesserung
  • Annex A Controls – Stichproben relevanter Controls:
    • Asset Management
    • Zugriffskontrolle
    • Kryptografie
    • Lieferantenbeziehungen
  • Interviews mit Fachbereichen (z. B. IT, HR, Einkauf, BCM)

 

Tag 4 – Vertiefung & Abschlussgespräche vor Ort

  • Weitere Stichproben zu Annex A Controls (z. B. Incident Management, Business Continuity, Physical Security)
  • Überprüfung der Wirksamkeit in der Praxis („Prozesse in Aktion“)
  • Sammlung aller Findings (Abweichungen, Beobachtungen, Potenziale)
  • Abschlussgespräch vor Ort mit erster Rückmeldung zur Auditbewertung

 

Tag 5 – Nachbereitung und Auditbericht

  • Konsolidierung aller Notizen & Nachweise
  • Erstellung des Auditberichts mit:
    • Übersicht der geprüften Normkapitel
    • Bewertung des Umsetzungsgrads (z. B. Ampelmodell oder %-Bewertung)
    • Auflistung der Abweichungen & Empfehlungen
    • Handlungsempfehlungen zur Schließung von Lücken vor Zertifizierung
  • Abschluss-Review (Abstimmung des Entwurfs mit ISMS-Beauftragtem)
  • Finalisierung & Freigabe des Auditberichts

 

Ergebnis nach 5 Tagen

✔ Vollständige Prüfung der ISO 27001 (Kapitel 4–10 + Annex A)
✔ Dokumentensichtung und Interviews systematisch durchgeführt
✔ Schriftlicher Auditbericht mit Bewertung und klaren Handlungsempfehlungen

Planung schafft Sicherheit

Ein Vorbereitungsaudit ist die Generalprobe vor dem Zertifizierungsaudit.
Es zeigt, wie reif das ISMS tatsächlich ist, und bietet wertvolle Hinweise, um Lücken rechtzeitig zu schließen.

 

Wir beraten und auditieren Unternehmen in München, Bayern, und ganz Deutschland – effizient, verständlich und auditfest.

👉 Kontaktieren Sie uns für ein kostenfreies Erstgespräch!

✉ Kostenloses Erstgespräch

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen

Kostenloses Erstgespräch – unverbindlich & transparent -> www.tec4net.com/web/impressum

tec4net GmbH – Datenschutz und IT-Sicherheit praktikabel umsetzen.

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.comhttps://x.com/tec4net