Wenn ein Unternehmen eine Zertifizierung nach ISO/IEC 27001 anstrebt, ist die Frage nach den konkreten Nachweisen und Unterlagen besonders wichtig – vor allem vor dem ersten Audit.
Viele Unternehmen – insbesondere KMU oder Mittelständler – unterschätzen den Umfang der erforderlichen Dokumentation. In diesem Artikel geben wir Ihnen einen praxisnahen Überblick, welche Dokumente, Nachweise und Informationen im Audit durch die Zertifizierungsstelle geprüft werden.
1. Allgemeine Anforderungen an die Dokumentation
Die ISO/IEC 27001 schreibt an mehreren Stellen ausdrücklich vor, dass bestimmte Informationen dokumentiert und verfügbar gemacht werden müssen. Ohne diese Dokumente ist eine erfolgreiche Zertifizierung kaum möglich.
Dazu gehören u. a.:
- ISMS-Leitlinie / Informationssicherheitspolitik
- Geltungsbereich (Scope) des ISMS
- Risikoanalyse & Risikobehandlung
- Maßnahmenplan & Umsetzungsstand
- Nachweise der Wirksamkeit (KPIs, Monitoring)
- Auditberichte und Managementbewertungen
2. Konkret geprüfte Nachweise im Audit (Stage 1 & Stage 2)
Stage 1 Audit (Dokumentenprüfung)
Im ersten Schritt werden vorrangig formale Dokumente geprüft:
- Geltungsbereich des ISMS
- Informationssicherheitspolitik
- Rollen & Verantwortlichkeiten
- Verzeichnis gesetzlicher, vertraglicher und regulatorischer Anforderungen
- Verfahren zur Risikoanalyse
- Liste der identifizierten Risiken
- Risikobehandlungsplan
- Übersicht der implementierten Maßnahmen (Annex A-Kontrollen)
Die Auditoren achten hierbei besonders auf Vollständigkeit, Nachvollziehbarkeit und Anpassung an die Unternehmensrealität.
Stage 2 Audit (Wirksamkeitsprüfung vor Ort)
Im zweiten Schritt liegt der Fokus auf der praktischen Umsetzung:
- Protokolle der Schulungen & Awareness-Maßnahmen
- Nachweise der Kommunikation (z. B. mit Stakeholdern)
- Aufzeichnungen über sicherheitsrelevante Vorfälle
- Ergebnisse interner Audits
- Management-Review-Berichte
- Monitoringberichte & Maßnahmenkontrolle
- Dokumentierte Verfahren (z. B. Backup, Zugangskontrolle, Incident Management)
Außerdem wird geprüft, ob Mitarbeiter ihre Rollen kennen, und ob Maßnahmen im Alltag tatsächlich angewendet werden.
3. Was passiert, wenn Nachweise fehlen?
Fehlende oder unzureichende Nachweise führen in der Regel zu sogenannten:
- Abweichungen (Nonconformities) oder
- Beobachtungen (Observations)
Je nach Schwere kann das Zertifizierungsverfahren unterbrochen oder verzögert werden. Besonders kritisch wird es bei fehlender Risikoanalyse, nicht durchgeführtem internen Audit oder fehlender Managementbewertung.
Deshalb empfiehlt es sich, die erforderlichen Unterlagen frühzeitig und systematisch aufzubereiten – idealerweise begleitet durch erfahrene ISMS-Berater.
4. Unsere Empfehlung für Unternehmen in Bayern und ganz Deutschland
Ganz gleich ob in München, Nürnberg, Augsburg, Stuttgart oder Regensburg – wir unterstützen Unternehmen aus Bayern und bundesweit dabei, ein ISMS nach ISO/IEC 27001 aufzubauen und auditfähig zu dokumentieren.
Unsere Leistungen:
- Audit-Vorbereitung & Dokumentenprüfung
- Erstellung oder Review der ISMS-Dokumentation
- Durchführung interner Audits
- Begleitung beim Zertifizierungsaudit
- Stellung eines externen Informationssicherheitsbeauftragten
Sie möchten wissen, ob Ihre Unterlagen bereits auditfähig sind?
Sprechen Sie mit uns – wir helfen Ihnen, Ihre ISMS-Dokumentation vollständig und praxistauglich aufzubauen.
👉 Jetzt unverbindliches Erstgespräch vereinbaren!
Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003
Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:
– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen
tec4net GmbH – Datenschutz und IT-Sicherheit praktikabel umsetzen.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com
Alle unsere NEWS -> http://news.tec4net.com – https://x.com/tec4net