{"id":6610,"date":"2026-01-02T08:27:12","date_gmt":"2026-01-02T07:27:12","guid":{"rendered":"https:\/\/www.tec4net.com\/web\/?p=6610"},"modified":"2025-08-26T13:20:52","modified_gmt":"2025-08-26T11:20:52","slug":"20256","status":"publish","type":"post","link":"https:\/\/www.tec4net.com\/web\/2026\/01\/02\/20256\/","title":{"rendered":"Wird im Zertifizierungsaudit zur ISO 27001 die gesamte Norm gepr\u00fcft?"},"content":{"rendered":"

F\u00fcr viele Unternehmen, die eine ISO 27001-Zertifizierung anstreben, stellt sich die Frage:<\/p>\n

Muss wirklich jede einzelne Anforderung der Norm gepr\u00fcft werden?<\/p>\n

Die kurze Antwort lautet: Ja, die gesamte Norm wird gepr\u00fcft.
\nAber: In der Praxis gehen Auditoren risikobasiert vor und setzen gezielt Schwerpunkte.<\/p>\n

 <\/p>\n

Wie l\u00e4uft ein ISO 27001 Zertifizierungsaudit ab?<\/h4>\n

Damit ein Unternehmen das ISO 27001-Zertifikat erh\u00e4lt, m\u00fcssen alle Anforderungen der Norm erf\u00fcllt sein.<\/p>\n

Der Ablauf ist dabei aber praxisnah gestaltet.<\/p>\n

Risikobasiertes Vorgehen<\/strong><\/p>\n

Auditoren pr\u00fcfen nicht jedes Dokument oder jede Ma\u00dfnahme im Detail. Stattdessen w\u00e4hlen sie stichprobenartig Bereiche aus, um die Wirksamkeit des ISMS zu bewerten.<\/p>\n

Alle Normkapitel abgedeckt<\/strong><\/p>\n

Die Kapitel 4\u201310 der ISO 27001 m\u00fcssen nachweislich ber\u00fccksichtigt werden. Der Auditor entscheidet, in welchen Kapiteln er tiefer einsteigt.<\/p>\n

Annex A Controls<\/strong><\/p>\n

Auch die Controls aus Anhang A werden \u00fcberpr\u00fcft \u2013 jedoch nicht jedes einzelne bis ins Detail. Wichtig ist, dass die Organisation aus ihrer Risikobetrachtung die relevanten Controls abgeleitet und umgesetzt hat.<\/p>\n

Fokus auf Systematik<\/strong><\/p>\n

Entscheidend ist nicht die einzelne Ma\u00dfnahme, sondern ob das gesamte Informationssicherheits-Managementsystem (ISMS) schl\u00fcssig, vollst\u00e4ndig und wirksam ist.<\/p>\n

Auditprogramm \u00fcber 3 Jahre<\/strong><\/p>\n

Bei einer Erstzertifizierung wird sehr breit gepr\u00fcft. In den folgenden \u00dcberwachungsaudits (j\u00e4hrlich) setzt der Auditor dann gezielte Schwerpunkte, h\u00e4ufig nach einem Rotationsprinzip.<\/p>\n

 <\/p>\n

Was bedeutet das f\u00fcr Unternehmen in der Praxis?<\/h4>\n