Heimat der Akademie
Blogs
ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?

ISO 27001-Sammlung
ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?
NIS2-Sammlung
ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?
Cyberday Blog
ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?

Der Hauptzweck von Audits besteht darin, unabhängige und systematische Bewertungen des ISMS und der Informationssicherheit einer Organisation vorzunehmen.

Audits helfen Ihnen, veraltete Teile in Ihrem ISMS zu finden, die nicht mehr stimmen. Sie helfen Ihnen, verbesserungsbedürftige Bereiche zu finden und Lücken zu ermitteln. Sie sind eine Methode, um eine kontinuierliche Verbesserung und Rechenschaftspflicht in Bezug auf Ihre Informationssicherheit zu gewährleisten. Audits machen Sie ehrlich (wenn sie gut durchgeführt werden).

Dieser Blog-Beitrag bietet eine allgemeine Einführung in die Prüfung der Informationssicherheit und einen detaillierten Durchgang durch den Prüfungsprozess der ISO 27001-Zertifizierung.

Was sind Audits der Informationssicherheit?

Audits der Informationssicherheit sind systematische Bewertungen der Informationssicherheit einer Organisation. Dabei können entweder bestimmte Systeme oder allgemein die Richtlinien, Verfahren und Kontrollen der Organisation im Bereich der Informationssicherheit geprüft werden.

Audits sollen sicherstellen, dass die Organisation tatsächlich gemäß den festgelegten Anforderungen oder ausgewählten bewährten Verfahren arbeitet, um ihre Informationswerte zu schützen.

Zu den Zielen einer Prüfung der Informationssicherheit gehören in der Regel:

  1. Bewertung der Konformität: Überprüfen Sie, ob die Organisation tatsächlich die festgelegten oder internen Richtlinien oder gewählten Rahmenwerke (z. B. ISO 27001, NIS2, GDPR, HIPAA) einhält.
  2. Identifizierung von Nichtkonformitäten: Erkennen von Teilen der Richtlinien, die nicht ordnungsgemäß umgesetzt werden, oder von eher technischen Schwachstellen in Systemen oder Anwendungen, die von Bedrohungen ausgenutzt werden könnten.
  3. Bewerten Sie die Kontrollen: Analysieren Sie, ob die definierten Kontrollen den Informationsbestand wirksam schützen, und finden Sie Bereiche, in denen Verbesserungen am dringendsten erforderlich sind.
  4. Nachweis der Verantwortlichkeit: Nachweis der Sorgfaltspflicht beim Betrieb des ISMS und beim Risikomanagement.

Audits können intern von kompetenten und mit den entsprechenden Befugnissen ausgestatteten Mitarbeitern (internes Audit) oder extern von ausgewählten unabhängigen Partnern (externes Audit) durchgeführt werden. Einige Audits werden hauptsächlich unter dem Gesichtspunkt der Einhaltung von Vorschriften durchgeführt (Compliance-Audits), andere unter eher technischen Gesichtspunkten (technische Audits), z. B. mit Schwerpunkt auf bestimmten Datensystemen oder Themen (z. B. Netzsicherheit, Anwendungssicherheit).

Was ist ein ISO 27001-Zertifizierungsaudit?

Das ISO 27001-Zertifizierungsaudit ist ein spezifisches Informationssicherheitsaudit, das von einem akkreditierten Auditor und gemäß den in der ISO 27000-Normenreihe definierten Auditierungsrichtlinien durchgeführt wird.

Ziel des ISO 27001-Zertifizierungsaudits ist es, zu überprüfen, ob das Informationssicherheitsmanagementsystem (ISMS) der Organisation die Anforderungen der ISO 27001-Norm erfüllt.

Was geschieht beim ISO 27001-Zertifizierungsaudit?

Ein ISO 27001-Zertifizierungsaudit ist ein strukturierter Prozess, bei dem eine dritte Zertifizierungsstelle das ISMS einer Organisation anhand der Anforderungen der Norm ISO/IEC 27001 bewertet. In der Regel gibt es in jedem Land viele Organisationen, die akkreditiert sind durch

Das eigentliche Audit wird in zwei Hauptphasen durchgeführt: einer vorläufigen Bewertung (Phase 1) und einer detaillierten Überprüfung (Phase 2). Darüber hinaus kann eine Organisation vor dem eigentlichen Audit optional eine Bereitschaftsbewertung durchlaufen. Die Aktivitäten nach dem Audit stellen dann sicher, dass das ISMS kontinuierlich verbessert und ordnungsgemäß aufrechterhalten wird.

Im Folgenden werden die einzelnen Phasen des Zertifizierungsaudits näher erläutert.

1. Vorbereitung auf die Prüfung

Bevor das Zertifizierungsaudit beginnt, sollte sich die Organisation natürlich vorbereiten und sicherstellen, dass sie die ISO 27001-Norm angemessen erfüllt.

Mehr über die wichtigsten ISMS-Implementierungsschritte können Sie in einem separaten Artikel lesen.

2. Bereitschaftsbewertung (fakultativ)

Eine Bewertung der Bereitschaft für ein ISO 27001-Zertifizierungsaudit ist eine optionale, vorbereitende Bewertung, die durchgeführt wird, um festzustellen, ob eine Organisation angemessen auf das formale Zertifizierungsaudit vorbereitet ist.

Diese Bewertung kann von demselben Prüfer durchgeführt werden, der auch die letzten Teile des Prozesses durchführt.

Die Bereitschaftsbewertung kann helfen, die größten Lücken im ISMS in Bezug auf die Anforderungen von ISO 27001 zu ermitteln.

Die Bereitschaftsbewertung ist freiwillig. Sie sollte in Anspruch genommen werden, wenn die Organisation unsicher ist, ob sie die Anforderungen der ISO 27001 erfüllt.

3. Audit der Stufe 1: Überprüfung der wichtigsten ISMS-Dokumentation

Das Audit der Stufe 1 wird durchgeführt, um die Bereitschaft der Organisation für Stufe 2 zu bewerten und kritische Lücken zu ermitteln.

Diese Phase konzentriert sich hauptsächlich auf Ihre wichtigsten ISMS-Dokumente und kann auch aus der Ferne durchgeführt werden. Der Prüfer wird einige Schlüsseldokumente prüfen, um festzustellen, ob die wichtigsten ISMS-Prozesse vorhanden sind und ordnungsgemäß ablaufen.

Zu den wichtigsten Dokumenten, die Sie einem Auditor bei einem ISO 27001-Audit der Stufe 1 in der Regel vorlegen müssen, gehören: 

  • Erklärung zur Anwendbarkeit (SoA): Auflistung aller Kontrollen der ISO 27002 und Details zum Status jeder Kontrolle (z.B. Ihr Implementierungsstatus der Kontrolle, kurze Beschreibung der Implementierung und Kontrollen, die als nicht anwendbar gelten).
  • Beschreibung und Umfang des ISMS: Dieses Dokument muss dem Prüfer erklären, wie das ISMS der Organisation strukturiert ist, betrieben und überwacht wird. Es erklärt auch, welche Teile der Organisation das ISMS abdeckt, welche Schlüsselrollen damit verbunden sind, welche Art von Informationen mit dem ISMS verbunden sind und wie diese kontrolliert werden. Anhand dieses Dokuments weiß der Auditor, wie er die wichtigsten Informationen im Zusammenhang mit dem Zertifizierungsaudit finden kann.
  • Informationssicherheitspolitik: Ein Dokument auf höchster Ebene, das die Verpflichtung Ihres Unternehmens zur Einhaltung der Vorschriften und z. B. die Rolle der obersten Führungsebene bei der Gewährleistung der Einhaltung der Vorschriften und der erforderlichen Unterstützung für diese Arbeit beschreibt.
  • Verfahren zum Risikomanagement: Beschreibt Ihr Verfahren zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken.
  • Verfahren für interne Audits (+ wichtigste Ergebnisse): Beschreibt Ihr Verfahren zur Durchführung interner Audits und zur Erstellung eines Auditplans. Sie müssen in der Lage sein, die Ergebnisse eines internen Audits, das gemäß dem Verfahren durchgeführt wurde, vor dem Zertifizierungsaudit vorzulegen (sonst handelt es sich um eine schwerwiegende Nichtkonformität).
  • Verfahren der Managementbewertung (+ wichtigste Ergebnisse): Beschreibt Ihr Verfahren zur Durchführung von Management-Reviews. Dies ist eine der wichtigsten Möglichkeiten, wie die oberste Führungsebene Ihrer Organisation an der Informationssicherheit beteiligt wird. Sie müssen in der Lage sein, die Ergebnisse einer Managementbewertung, die gemäß dem Verfahren durchgeführt wurde, vor dem Zertifizierungsaudit vorzulegen (sonst handelt es sich um eine schwerwiegende Nichtkonformität)
  • Verfahren zur Sensibilisierung des Personals: Beschreibt Ihr Verfahren, mit dem Sie sicherstellen, dass Mitarbeiter, Auftragnehmer und relevante Dritte sich ihrer Rolle und Verantwortung bei der Aufrechterhaltung der Informationssicherheit bewusst sind. Dieses Dokument sollte z. B. beschreiben, wie Sie Ihre Mitarbeiter schulen, ihnen Richtlinien für sicheres Arbeiten an die Hand geben und sicherstellen, dass sie sich zur Einhaltung der Richtlinien verpflichten.

Am Ende des Audits der Stufe 1 legt der Prüfer eine Liste von Feststellungen vor, die größere oder kleinere Nichtkonformitäten enthalten können. Nichtkonformitäten müssen durch Korrekturmaßnahmen behoben werden, bevor der Auditprozess fortgesetzt werden kann.

Wenn Auditoren Nichtkonformitäten melden, verweisen sie immer auf den Abschnitt der Norm (z. B. 9.1.1), der nicht eingehalten wird.

4. Audit der Stufe 2: Überprüfung der Umsetzung und Wirksamkeit des ISMS

Das Audit der Stufe 2 ist der wichtigste Teil des Zertifizierungsaudits. Es wird durchgeführt, um zu bestätigen, dass das ISMS vollständig implementiert, effektiv und konform mit ISO 27001 ist.

Diese Phase wird vor Ort durchgeführt, was nicht nur für einen besseren Informationsaustausch, sondern auch für die Bestätigung der physischen Sicherheitskontrollen wichtig ist.

Grundsätzlich muss der Auditor in dieser Phase geeignete Nachweise für die Einhaltung Ihrer eigenen ISMS-Dokumentation und der ISO 27001-Norm erhalten. Um dies zu ermöglichen, wird der Auditor:

  • Führen Sie Interviews:
    • Die Auditoren werden die Verantwortlichen für die verschiedenen ISMS-Bereiche auffordern, die Umsetzung der Richtlinien und Kontrollen zu erläutern, zu zeigen und näher zu erläutern.
    • Die Auditoren werden auch mit "einfachen" Mitarbeitern, die nicht unbedingt eine besondere Rolle bei der Aufrechterhaltung des ISMS spielen, interagieren, um ihr Bewusstsein für die Sicherheitsrichtlinien und -maßnahmen zu bewerten.
  • Beweise überprüfen:
    • Überprüfen Sie den Inhalt des ISMS, untersuchen Sie relevante Protokolle, Aufzeichnungen über Zwischenfälle, Schulungsunterlagen, Risikobehandlungspläne, Auditberichte und alles, was für den Nachweis der tatsächlichen Umsetzung der festgelegten Maßnahmen relevant ist.
  • Bewertung der Angemessenheit der Kontrollen:
    • Überprüfung, ob die im SoA aufgeführten Sicherheitskontrollen implementiert und wirksam sind.
    • Testen Sie Kontrollen in Bezug auf die physische Sicherheit, die Zugangsverwaltung, die Reaktion auf Zwischenfälle und mehr.

Das Hauptergebnis seiner Arbeit wird sein, dass der Prüfer:

  • Identifizierung von Nichtkonformitäten:
    • Wesentliche Nichtkonformitäten: Kritische Punkte, die mit Korrekturmaßnahmen behoben und dem Prüfer vor der Zertifizierung vorgelegt werden müssen.
    • Geringfügige Nichtkonformitäten: Weniger kritische Probleme, die Korrekturmaßnahmen erfordern (z. B. einen Plan, der dem Auditor in den nächsten drei Monaten vorgelegt werden muss), aber die Zertifizierung nicht verhindern.
  • Geben Sie Empfehlungen und andere relevante Beobachtungen ab: 
    • Insgesamt werden die Prüfer auch Ihre Erklärungen beachten und Ihre täglichen Abläufe beobachten, um die Einhaltung der Vorschriften zu überprüfen.
    • Wenn Auditoren Themen entdecken, die verbessert werden sollten, können sie diese als Empfehlungen oder andere Beobachtungen aufzeigen. Empfehlungen sind Dinge, die aus Sicht der Auditoren verbessert werden könnten, aber (zumindest noch) keine Nichtkonformitäten. Wenn auf Empfehlungen nicht reagiert wird, z. B. vor dem nächsten Audit, können sie zu Nichtkonformitäten werden.

Wenn keine wesentlichen Nichtkonformitäten mehr festgestellt werden, wird die Organisation zur Zertifizierung empfohlen.

Die Prüfer fassen die Ergebnisse der Prüfung in einem Prüfungsbericht zusammen, in dem die verschiedenen Feststellungen erläutert werden und der den geprüften Stellen zugesandt wird.

5. Post-Audit-Aktivitäten

Nachdem das eigentliche Zertifizierungsaudit abgeschlossen ist, gibt es noch einige wichtige Dinge zu tun:‍

  • Ausstellung des Zertifikats:
    • Nachdem die Organisation das Audit bestanden hat, stellt die Zertifizierungsstelle das ISO 27001-Zertifikat aus.
    • Das Zertifikat ist drei Jahre lang gültig und wird regelmäßig überprüft.
  • Jährliche Überwachungsaudits durchführen:
    • Jährlich durchgeführte Kurzaudits, um sicherzustellen, dass das ISMS konform bleibt.
    • Konzentration auf ausgewählte Bereiche des ISMS und relevante Änderungen seit dem letzten Audit.
  • Führen Sie alle 3 Jahre ein Rezertifizierungsaudit durch:
    • Wird alle drei Jahre zur Erneuerung der Zertifizierung durchgeführt.
    • Beinhaltet eine umfassende Bewertung, ähnlich wie bei der Erstzertifizierung.
Die Nachricht des Zertifikats lautet: "Prüforganisation X hat bestätigt, dass Organisation Y diesen Standard Z einhält" (Beispiel von Cyberday.ai)

Beliebte Fragen im Zusammenhang mit ISO 27001-Zertifizierungsaudits

Wie lange brauchen Organisationen, um sich auf ein ISO 27001-Zertifizierungsaudit vorzubereiten?

Wir arbeiten derzeit mit rund 600 Organisationen über unsere Cyberday zusammen. Wir haben erlebt, dass der anfängliche Weg zur Konformität von ein paar Wochen bis zu 12 Monaten und alles dazwischen dauert. Und ja, es gibt auch diese Initiativen, die nie abgeschlossen werden.

In der Regel dauert der Prozess zwischen 3 und 9 Monaten. Die wichtigsten Faktoren, die sich auf den Zeitplan auswirken, sind die Komplexität und die Größe Ihres Betriebs, der aktuelle Reifegrad der Informationssicherheit, die Ressourcen und das Fachwissen, die Sie für die Arbeit bereitstellen können, und die Werkzeuge, die für die Umsetzung des ISMS verwendet werden.

Wie lange dauert das eigentliche ISO 27001-Zertifizierungsaudit?

Für akzeptabel durchgeführte ISO 27001-Zertifizierungsaudits gibt es klare Mindestzeiten für die Dauer des Audits, die in der ISO 27000-Normenreihe beschrieben sind.

In einer kleinen Organisation (weniger als 10 Mitarbeiter) benötigen Sie insgesamt 7-14 Tage Audittätigkeit in einem einzigen 3-jährigen Zertifizierungszeitraum. In einer großen Organisation (mehr als 10.000 Beschäftigte) beträgt die Anzahl der Audittage in einem einzigen 3-jährigen Zertifizierungszeitraum etwa 50 Tage.

Typische Audit-Dauer nach Unternehmensgröße

Wie hoch sind die Kosten der ISO 27001-Zertifizierung?

Die direkten Kosten eines Audits für die ISO 27001-Zertifizierung lassen sich leicht abschätzen, wenn Sie sich die obige Frage nach der Auditdauer ansehen. Die Hauptkosten sind die Kosten für die Arbeit des Auditors, die in der EU grob mit 1000 € pro Tag veranschlagt werden können.

Die direkten Kosten für die Prüforganisationen, die das Zertifizierungsaudit durchführen, belaufen sich also auf 10 000 € bis 50 000 € für den gesamten Dreijahreszeitraum, je nach Größe Ihrer Organisation.

Die internen Kosten (z. B. erforderliche ISMS-Arbeiten, Personalzeit, Software-Lösungen, andere Technologie-Investitionen, erforderliche Schulungen) hängen ganz von der Reife Ihrer Informationssicherheit ab.

Wie oft werden ISO 27001-Audits durchgeführt?

Zertifizierungs- (oder Rezertifizierungs-) Audits werden einmal alle 3 Jahre durchgeführt. Überwachungsaudits sind kürzere jährliche Audits, die in den verbleibenden Jahren durchgeführt werden, um eine kontinuierliche Verbesserung und eine ordnungsgemäße Pflege des ISMS zu gewährleisten.

Was passiert, wenn Sie das ISO 27001-Zertifizierungsaudit "nicht bestehen"?

Ein "Nichtbestehen" eines ISO 27001-Zertifizierungsaudits kann grundsätzlich bedeuten, dass die Organisation zum Zeitpunkt des Audits nicht alle Anforderungen der Norm erfüllt hat und daher einige Nichtkonformitäten festgestellt wurden.

Danach hat die Organisation die Möglichkeit, die Nichtkonformitäten mit Korrekturmaßnahmen zu beheben und den Zertifizierungsprozess fortzusetzen. Dies bedeutet, dass ein Plan für Korrekturmaßnahmen erstellt und diese Korrekturen umgesetzt werden müssen. Bei schwerwiegenden Nichtkonformitäten müssen die Korrekturen vom Auditor überprüft werden. Bei geringfügigen Nichtkonformitäten reicht es aus, den Plan zu überprüfen.

Wenn die Weiterverfolgung der Abhilfemaßnahmen die Einhaltung der Vorschriften belegt, kann die Zertifizierung erteilt werden.

Es ist wichtig zu verstehen, dass es bei einem Zertifizierungsaudit kein Versagen gibt. Der Prüfer hilft Ihnen lediglich, Nichtkonformitäten zu erkennen, die Sie verbessern müssen. Selbst wenn Nichtkonformitäten festgestellt werden (was ganz normal ist), haben Sie eine To-do-Liste für die Zertifizierung und haben Ihre Informationssicherheit verbessert.

Geschrieben von
Aleksi Pulkkanen
22.1.2025
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

Die 10 häufigsten Nichtkonformitäten bei ISO 27001-Audits

Audits und Nichtkonformitäten treiben Organisationen zu kontinuierlichen Verbesserungen an. Vor Ihrer ersten ISO 27001-Zertifizierung ist es jedoch gut, einige der häufigsten Nichtkonformitäten zu kennen, damit Sie diese bei Ihrem Zertifizierungsaudit vermeiden können.
18.2.2025

Ich habe eine Anfrage für ein Interview zum ISO 27001-Audit erhalten - was sollte ich erwarten?

In diesem Blog werden wir über die Bedeutung der Teilnahme von Mitarbeitern am Audit-Interview-Prozess sprechen, warum Auditoren Einblicke von Mitarbeitern schätzen, und uns mit möglichen Fragen beschäftigen, die in einem ISO 27001-Interview gestellt werden.
13.2.2025

Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung

Möchten Sie sicherstellen, dass Sie die Anforderungen von ISO 27001 erfüllen? Diese Checkliste enthält klar geordnete Schlüsselschritte, die Ihre Organisation beim Aufbau eines ISMS und bei der Einhaltung der ISO 27001-Norm unterstützen.
6.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit