ISO 27006 – Orientierungshilfe für Auditdurchführung Tage, Erst- und Rezertifizierungen

Die ISO/IEC 27006 legt die Anforderungen an Zertifizierungsstellen für ISO 27001 fest, macht aber keine starren Vorgaben, wie lange ein Audit dauern muss oder sollte. In der Praxis hängt die Auditdauer von einer Vielzahl von Faktoren ab – darunter Unternehmensgröße, Komplexität der Geschäftsprozesse, Umfang des Informationssicherheits-Managementsystems (ISMS) und Risikoprofil.

In diesem Artikel erklären wir, wie Zertifizierungsstellen die Audit-Tage nach ISO 27006 planen, welche Unterschiede es zwischen Erstzertifizierung, Überwachungs- und Rezertifizierungsaudits gibt und welche praxisüblichen Orientierungshilfen Auditoren verwenden, um Aufwand und Zeit gemäß den Anforderungen der Norm realistisch einzuschätzen.

 

1. Audit-Tage ISO/IEC 27006

Keine festen Vorgaben:

  • Die Norm sagt nicht, dass z. B. ein Audit 5, 10 oder 15 Tage dauern muss.

Auditdauer:

  • Die Anzahl der Audittage werden nach Risikoprofil, Unternehmensgröße, Komplexität und Umfang des ISMS bestimmt.

Faktoren, die die Norm nennt, um den Aufwand abzuschätzen:

  • Anzahl der Mitarbeiter im Scope
  • Anzahl der Standorte
  • Komplexität der IT- und Geschäftsprozesse
  • Umfang des ISMS (wie viele Abteilungen, Prozesse, Schnittstellen)
  • Art und Menge der Dokumentation

ISO 27006 verweist auf ISO/IEC 27001 und die internationalen Vorgaben für Auditplanung, wo die Zertifizierungsstelle den Auditaufwand systematisch ableiten muss.

 

2. Unterschiedliche Zeitplanung für Erst- vs. Rezertifizierung

ISO 27006 schreibt vor, dass Erstzertifizierung, Überwachungsaudit und Rezertifizierung unterschiedlich zu planen sind.

Grundprinzip:

  • Erstzertifizierung: Vollständiges Audit, alle Anforderungen werden geprüft → Dauer höher
  • Überwachungsaudit: Prüft nur ausgewählte Bereiche / Stichproben → kürzer
  • Rezertifizierung: Prüft das ganze Managementsystem erneut, ggf. basierend auf Erfahrungen → mittlere Dauer

Die Norm gibt keine fixen Zahlen, nur dass die Auditplanung dokumentiert, begründet und nach Risikokriterien erfolgen muss.

 

3. Praxisübliche Orientierung (ISO-27006-konform)

Viele Zertifizierungsstellen verwenden Checklisten & Tabellen, z. B.:

1–100 Mitarbeiter → ca. 5 Audit-Tage

101–250 Mitarbeiter → ca. 7 Audit-Tage

250+ Mitarbeiter → ca. 10–15+ Audit-Tage

Rezertifizierung meist 10–30 % kürzer als Erstzertifizierung, je nach Reifegrad des ISMS.

Das alles muss von der Zertifizierungsstelle begründet werden – ISO 27006 verlangt Transparenz und Nachvollziehbarkeit.

 

Wir unterstützen Unternehmen bei der Einführung und Umsetzung von Managementsystemen – von ISO 27001, TISAX, NIS-2. Dabei bieten wir Beratung, interne Audits und begleiten Sie bei externen Zertifizierungen.

 

➡️ Termin vereinbaren Audit vereinbaren und Informationssicherheit stärken!

✉ Kostenloses Erstgespräch

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– Durchführung von internen Audits zur ISO 27001
– der Vorbereitung auf Audits und Zertifizierungen

 

Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.com