Heimat der Akademie
Blogs
ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?

ISO 27001-Sammlung
ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?
NIS2-Sammlung
ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?
Cyberday Blog
ISO 27001-Zertifizierung: Was passiert beim Zertifizierungsaudit?

Der Hauptzweck von Audits besteht darin, unabhängige und systematische Bewertungen des ISMS und der Informationssicherheit einer Organisation vorzunehmen.

Audits will help you find outdated parts in your ISMS, that are not anymore accurate. They will help you find areas for improvement and identify gaps. They are one method for ensuring continuous improvement and accountability related to your information security. Audits keep you honest (when done well).

Dieser Blog-Beitrag bietet eine allgemeine Einführung in die Prüfung der Informationssicherheit und einen detaillierten Durchgang durch den Prüfungsprozess der ISO 27001-Zertifizierung.

Was sind Audits der Informationssicherheit?

Audits der Informationssicherheit sind systematische Bewertungen der Informationssicherheit einer Organisation. Dabei können entweder bestimmte Systeme oder allgemein die Richtlinien, Verfahren und Kontrollen der Organisation im Bereich der Informationssicherheit geprüft werden.

Audits sollen sicherstellen, dass die Organisation tatsächlich gemäß den festgelegten Anforderungen oder ausgewählten bewährten Verfahren arbeitet, um ihre Informationswerte zu schützen.

Zu den Zielen einer Prüfung der Informationssicherheit gehören in der Regel:

  1. Bewertung der Konformität: Überprüfen Sie, ob die Organisation tatsächlich die festgelegten oder internen Richtlinien oder gewählten Rahmenwerke (z. B. ISO 27001, NIS2, GDPR, HIPAA) einhält.
  2. Identifizierung von Nichtkonformitäten: Erkennen von Teilen der Richtlinien, die nicht ordnungsgemäß umgesetzt werden, oder von eher technischen Schwachstellen in Systemen oder Anwendungen, die von Bedrohungen ausgenutzt werden könnten.
  3. Bewerten Sie die Kontrollen: Analysieren Sie, ob die definierten Kontrollen den Informationsbestand wirksam schützen, und finden Sie Bereiche, in denen Verbesserungen am dringendsten erforderlich sind.
  4. Nachweis der Verantwortlichkeit: Nachweis der Sorgfaltspflicht beim Betrieb des ISMS und beim Risikomanagement.

Audits können intern von kompetenten und mit den entsprechenden Befugnissen ausgestatteten Mitarbeitern (internes Audit) oder extern von ausgewählten unabhängigen Partnern (externes Audit) durchgeführt werden. Einige Audits werden hauptsächlich unter dem Gesichtspunkt der Einhaltung von Vorschriften durchgeführt (Compliance-Audits), andere unter eher technischen Gesichtspunkten (technische Audits), z. B. mit Schwerpunkt auf bestimmten Datensystemen oder Themen (z. B. Netzsicherheit, Anwendungssicherheit).

Was ist ein ISO 27001-Zertifizierungsaudit?

Das ISO 27001-Zertifizierungsaudit ist ein spezifisches Informationssicherheitsaudit, das von einem akkreditierten Auditor und gemäß den in der ISO 27000-Normenreihe definierten Auditierungsrichtlinien durchgeführt wird.

Ziel des ISO 27001-Zertifizierungsaudits ist es, zu überprüfen, ob das Informationssicherheitsmanagementsystem (ISMS) der Organisation die Anforderungen der ISO 27001-Norm erfüllt.

Was geschieht beim ISO 27001-Zertifizierungsaudit?

Ein ISO 27001-Zertifizierungsaudit ist ein strukturierter Prozess, bei dem eine dritte Zertifizierungsstelle das ISMS einer Organisation anhand der Anforderungen der Norm ISO/IEC 27001 bewertet. In der Regel gibt es in jedem Land viele Organisationen, die akkreditiert sind durch

Das eigentliche Audit wird in zwei Hauptphasen durchgeführt: einer vorläufigen Bewertung (Phase 1) und einer detaillierten Überprüfung (Phase 2). Darüber hinaus kann eine Organisation vor dem eigentlichen Audit optional eine Bereitschaftsbewertung durchlaufen. Die Aktivitäten nach dem Audit stellen dann sicher, dass das ISMS kontinuierlich verbessert und ordnungsgemäß aufrechterhalten wird.

Im Folgenden werden die einzelnen Phasen des Zertifizierungsaudits näher erläutert.

1. Vorbereitung auf die Prüfung

Bevor das Zertifizierungsaudit beginnt, sollte sich die Organisation natürlich vorbereiten und sicherstellen, dass sie die ISO 27001-Norm angemessen erfüllt.

Mehr über die wichtigsten ISMS-Implementierungsschritte können Sie in einem separaten Artikel lesen.

2. Bereitschaftsbewertung (fakultativ)

Eine Bewertung der Bereitschaft für ein ISO 27001-Zertifizierungsaudit ist eine optionale, vorbereitende Bewertung, die durchgeführt wird, um festzustellen, ob eine Organisation angemessen auf das formale Zertifizierungsaudit vorbereitet ist.

Diese Bewertung kann von demselben Prüfer durchgeführt werden, der auch die letzten Teile des Prozesses durchführt.

Die Bereitschaftsbewertung kann helfen, die größten Lücken im ISMS in Bezug auf die Anforderungen von ISO 27001 zu ermitteln.

Die Bereitschaftsbewertung ist freiwillig. Sie sollte in Anspruch genommen werden, wenn die Organisation unsicher ist, ob sie die Anforderungen der ISO 27001 erfüllt.

3. Audit der Stufe 1: Überprüfung der wichtigsten ISMS-Dokumentation

Das Audit der Stufe 1 wird durchgeführt, um die Bereitschaft der Organisation für Stufe 2 zu bewerten und kritische Lücken zu ermitteln.

Diese Phase konzentriert sich hauptsächlich auf Ihre wichtigsten ISMS-Dokumente und kann auch aus der Ferne durchgeführt werden. Der Prüfer wird einige Schlüsseldokumente prüfen, um festzustellen, ob die wichtigsten ISMS-Prozesse vorhanden sind und ordnungsgemäß ablaufen.

Zu den wichtigsten Dokumenten, die Sie einem Auditor bei einem ISO 27001-Audit der Stufe 1 in der Regel vorlegen müssen, gehören: 

  • Erklärung zur Anwendbarkeit (SoA): Auflistung aller Kontrollen der ISO 27002 und Details zum Status jeder Kontrolle (z.B. Ihr Implementierungsstatus der Kontrolle, kurze Beschreibung der Implementierung und Kontrollen, die als nicht anwendbar gelten).
  • Beschreibung und Umfang des ISMS: Dieses Dokument muss dem Prüfer erklären, wie das ISMS der Organisation strukturiert ist, betrieben und überwacht wird. Es erklärt auch, welche Teile der Organisation das ISMS abdeckt, welche Schlüsselrollen damit verbunden sind, welche Art von Informationen mit dem ISMS verbunden sind und wie diese kontrolliert werden. Anhand dieses Dokuments weiß der Auditor, wie er die wichtigsten Informationen im Zusammenhang mit dem Zertifizierungsaudit finden kann.
  • Informationssicherheitspolitik: Ein Dokument auf höchster Ebene, das die Verpflichtung Ihres Unternehmens zur Einhaltung der Vorschriften und z. B. die Rolle der obersten Führungsebene bei der Gewährleistung der Einhaltung der Vorschriften und der erforderlichen Unterstützung für diese Arbeit beschreibt.
  • Verfahren zum Risikomanagement: Beschreibt Ihr Verfahren zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken.
  • Verfahren für interne Audits (+ wichtigste Ergebnisse): Beschreibt Ihr Verfahren zur Durchführung interner Audits und zur Erstellung eines Auditplans. Sie müssen in der Lage sein, die Ergebnisse eines internen Audits, das gemäß dem Verfahren durchgeführt wurde, vor dem Zertifizierungsaudit vorzulegen (sonst handelt es sich um eine schwerwiegende Nichtkonformität).
  • Verfahren der Managementbewertung (+ wichtigste Ergebnisse): Beschreibt Ihr Verfahren zur Durchführung von Management-Reviews. Dies ist eine der wichtigsten Möglichkeiten, wie die oberste Führungsebene Ihrer Organisation an der Informationssicherheit beteiligt wird. Sie müssen in der Lage sein, die Ergebnisse einer Managementbewertung, die gemäß dem Verfahren durchgeführt wurde, vor dem Zertifizierungsaudit vorzulegen (sonst handelt es sich um eine schwerwiegende Nichtkonformität)
  • Verfahren zur Sensibilisierung des Personals: Beschreibt Ihr Verfahren, mit dem Sie sicherstellen, dass Mitarbeiter, Auftragnehmer und relevante Dritte sich ihrer Rolle und Verantwortung bei der Aufrechterhaltung der Informationssicherheit bewusst sind. Dieses Dokument sollte z. B. beschreiben, wie Sie Ihre Mitarbeiter schulen, ihnen Richtlinien für sicheres Arbeiten an die Hand geben und sicherstellen, dass sie sich zur Einhaltung der Richtlinien verpflichten.

Am Ende des Audits der Stufe 1 legt der Prüfer eine Liste von Feststellungen vor, die größere oder kleinere Nichtkonformitäten enthalten können. Nichtkonformitäten müssen durch Korrekturmaßnahmen behoben werden, bevor der Auditprozess fortgesetzt werden kann.

Wenn Auditoren Nichtkonformitäten melden, verweisen sie immer auf den Abschnitt der Norm (z. B. 9.1.1), der nicht eingehalten wird.

4. Audit der Stufe 2: Überprüfung der Umsetzung und Wirksamkeit des ISMS

Stage 2 audit is the main part of the certification audit. It is carried out to confirm whether the ISMS is fully implemented, effective, and compliant with ISO 27001.

Diese Phase wird vor Ort durchgeführt, was nicht nur für einen besseren Informationsaustausch, sondern auch für die Bestätigung der physischen Sicherheitskontrollen wichtig ist.

Grundsätzlich muss der Auditor in dieser Phase geeignete Nachweise für die Einhaltung Ihrer eigenen ISMS-Dokumentation und der ISO 27001-Norm erhalten. Um dies zu ermöglichen, wird der Auditor:

  • Führen Sie Interviews:
    • Die Auditoren werden die Verantwortlichen für die verschiedenen ISMS-Bereiche auffordern, die Umsetzung der Richtlinien und Kontrollen zu erläutern, zu zeigen und näher zu erläutern.
    • Die Auditoren werden auch mit "einfachen" Mitarbeitern, die nicht unbedingt eine besondere Rolle bei der Aufrechterhaltung des ISMS spielen, interagieren, um ihr Bewusstsein für die Sicherheitsrichtlinien und -maßnahmen zu bewerten.
  • Beweise überprüfen:
    • Überprüfen Sie den Inhalt des ISMS, untersuchen Sie relevante Protokolle, Aufzeichnungen über Zwischenfälle, Schulungsunterlagen, Risikobehandlungspläne, Auditberichte und alles, was für den Nachweis der tatsächlichen Umsetzung der festgelegten Maßnahmen relevant ist.
  • Bewertung der Angemessenheit der Kontrollen:
    • Überprüfung, ob die im SoA aufgeführten Sicherheitskontrollen implementiert und wirksam sind.
    • Testen Sie Kontrollen in Bezug auf die physische Sicherheit, die Zugangsverwaltung, die Reaktion auf Zwischenfälle und mehr.

Das Hauptergebnis seiner Arbeit wird sein, dass der Prüfer:

  • Identifizierung von Nichtkonformitäten:
    • Wesentliche Nichtkonformitäten: Kritische Punkte, die mit Korrekturmaßnahmen behoben und dem Prüfer vor der Zertifizierung vorgelegt werden müssen.
    • Geringfügige Nichtkonformitäten: Weniger kritische Probleme, die Korrekturmaßnahmen erfordern (z. B. einen Plan, der dem Auditor in den nächsten drei Monaten vorgelegt werden muss), aber die Zertifizierung nicht verhindern.
  • Geben Sie Empfehlungen und andere relevante Beobachtungen ab: 
    • Insgesamt werden die Prüfer auch Ihre Erklärungen beachten und Ihre täglichen Abläufe beobachten, um die Einhaltung der Vorschriften zu überprüfen.
    • Wenn Auditoren Themen entdecken, die verbessert werden sollten, können sie diese als Empfehlungen oder andere Beobachtungen aufzeigen. Empfehlungen sind Dinge, die aus Sicht der Auditoren verbessert werden könnten, aber (zumindest noch) keine Nichtkonformitäten. Wenn auf Empfehlungen nicht reagiert wird, z. B. vor dem nächsten Audit, können sie zu Nichtkonformitäten werden.

Wenn keine wesentlichen Nichtkonformitäten mehr festgestellt werden, wird die Organisation zur Zertifizierung empfohlen.

Die Prüfer fassen die Ergebnisse der Prüfung in einem Prüfungsbericht zusammen, in dem die verschiedenen Feststellungen erläutert werden und der den geprüften Stellen zugesandt wird.

5. Post-Audit-Aktivitäten

Nachdem das eigentliche Zertifizierungsaudit abgeschlossen ist, gibt es noch einige wichtige Dinge zu tun:‍

  • Ausstellung des Zertifikats:
    • Nachdem die Organisation das Audit bestanden hat, stellt die Zertifizierungsstelle das ISO 27001-Zertifikat aus.
    • Das Zertifikat ist drei Jahre lang gültig und wird regelmäßig überprüft.
  • Jährliche Überwachungsaudits durchführen:
    • Jährlich durchgeführte Kurzaudits, um sicherzustellen, dass das ISMS konform bleibt.
    • Konzentration auf ausgewählte Bereiche des ISMS und relevante Änderungen seit dem letzten Audit.
  • Führen Sie alle 3 Jahre ein Rezertifizierungsaudit durch:
    • Wird alle drei Jahre zur Erneuerung der Zertifizierung durchgeführt.
    • Beinhaltet eine umfassende Bewertung, ähnlich wie bei der Erstzertifizierung.
Die Nachricht des Zertifikats lautet: "Prüforganisation X hat bestätigt, dass Organisation Y diesen Standard Z einhält" (Beispiel von Cyberday.ai)

Beliebte Fragen im Zusammenhang mit ISO 27001-Zertifizierungsaudits

Wie lange brauchen Organisationen, um sich auf ein ISO 27001-Zertifizierungsaudit vorzubereiten?

Wir arbeiten derzeit mit rund 600 Organisationen über unsere Cyberday zusammen. Wir haben erlebt, dass der anfängliche Weg zur Konformität von ein paar Wochen bis zu 12 Monaten und alles dazwischen dauert. Und ja, es gibt auch diese Initiativen, die nie abgeschlossen werden.

In der Regel dauert der Prozess zwischen 3 und 9 Monaten. Die wichtigsten Faktoren, die sich auf den Zeitplan auswirken, sind die Komplexität und die Größe Ihres Betriebs, der aktuelle Reifegrad der Informationssicherheit, die Ressourcen und das Fachwissen, die Sie für die Arbeit bereitstellen können, und die Werkzeuge, die für die Umsetzung des ISMS verwendet werden.

Wie lange dauert das eigentliche ISO 27001-Zertifizierungsaudit?

Für akzeptabel durchgeführte ISO 27001-Zertifizierungsaudits gibt es klare Mindestzeiten für die Dauer des Audits, die in der ISO 27000-Normenreihe beschrieben sind.

In einer kleinen Organisation (weniger als 10 Mitarbeiter) benötigen Sie insgesamt 7-14 Tage Audittätigkeit in einem einzigen 3-jährigen Zertifizierungszeitraum. In einer großen Organisation (mehr als 10.000 Beschäftigte) beträgt die Anzahl der Audittage in einem einzigen 3-jährigen Zertifizierungszeitraum etwa 50 Tage.

Organization size Stage 1 Stage 2 Audit duration
Small (10–50 employees) 1–2 days 2–3 days 3–5 days
Medium (50–500 employees) 2–3 days 3–7 days 5–10 days
Large (500+ employees) 3–4 days 7–12 days 10–15+ days

Wie hoch sind die Kosten der ISO 27001-Zertifizierung?

Die direkten Kosten eines Audits für die ISO 27001-Zertifizierung lassen sich leicht abschätzen, wenn Sie sich die obige Frage nach der Auditdauer ansehen. Die Hauptkosten sind die Kosten für die Arbeit des Auditors, die in der EU grob mit 1000 € pro Tag veranschlagt werden können.

Die direkten Kosten für die Prüforganisationen, die das Zertifizierungsaudit durchführen, belaufen sich also auf 10 000 € bis 50 000 € für den gesamten Dreijahreszeitraum, je nach Größe Ihrer Organisation.

Die internen Kosten (z. B. erforderliche ISMS-Arbeiten, Personalzeit, Software-Lösungen, andere Technologie-Investitionen, erforderliche Schulungen) hängen ganz von der Reife Ihrer Informationssicherheit ab.

Wie oft werden ISO 27001-Audits durchgeführt?

Zertifizierungs- (oder Rezertifizierungs-) Audits werden einmal alle 3 Jahre durchgeführt. Überwachungsaudits sind kürzere jährliche Audits, die in den verbleibenden Jahren durchgeführt werden, um eine kontinuierliche Verbesserung und eine ordnungsgemäße Pflege des ISMS zu gewährleisten.

Was passiert, wenn Sie das ISO 27001-Zertifizierungsaudit "nicht bestehen"?

Ein "Nichtbestehen" eines ISO 27001-Zertifizierungsaudits kann grundsätzlich bedeuten, dass die Organisation zum Zeitpunkt des Audits nicht alle Anforderungen der Norm erfüllt hat und daher einige Nichtkonformitäten festgestellt wurden.

Danach hat die Organisation die Möglichkeit, die Nichtkonformitäten mit Korrekturmaßnahmen zu beheben und den Zertifizierungsprozess fortzusetzen. Dies bedeutet, dass ein Plan für Korrekturmaßnahmen erstellt und diese Korrekturen umgesetzt werden müssen. Bei schwerwiegenden Nichtkonformitäten müssen die Korrekturen vom Auditor überprüft werden. Bei geringfügigen Nichtkonformitäten reicht es aus, den Plan zu überprüfen.

Wenn die Weiterverfolgung der Abhilfemaßnahmen die Einhaltung der Vorschriften belegt, kann die Zertifizierung erteilt werden.

Es ist wichtig zu verstehen, dass es bei einem Zertifizierungsaudit kein Versagen gibt. Der Prüfer hilft Ihnen lediglich, Nichtkonformitäten zu erkennen, die Sie verbessern müssen. Selbst wenn Nichtkonformitäten festgestellt werden (was ganz normal ist), haben Sie eine To-do-Liste für die Zertifizierung und haben Ihre Informationssicherheit verbessert.

{ "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [ { "@type": "Question", "name": "How long does it take from organizations to get ready for ISO 27001 certification audit?", "acceptedAnswer": { "@type": "Answer", "text": "The initial road towards compliance can take anywhere from a couple of weeks to 12 months, though typically it's between 3 to 9 months. Factors influencing the timeline include the complexity and size of operations, current information security maturity level, dedicated resources and expertise, and the tools used to run the ISMS." } }, { "@type": "Question", "name": "How long does the actual ISO 27001 certification audit take?", "acceptedAnswer": { "@type": "Answer", "text": "The duration of the actual ISO 27001 certification audit depends on the organization's size. For a small organization (under 10 employees), it's typically 7-14 days of auditor work over a 3-year certification period. For a large organization (10,000+ employees), this can be around 50 days of auditor work over the same period. More detailed breakdown by organization size for Stage 1, Stage 2, and total audit duration is as follows: Small (10–50 employees): Stage 1: 1–2 days, Stage 2: 2–3 days, Total: 3–5 days; Medium (50–500 employees): Stage 1: 2–3 days, Stage 2: 3–7 days, Total: 5–10 days; Large (500+ employees): Stage 1: 3–4 days, Stage 2: 7–12 days, Total: 10–15+ days." } }, { "@type": "Question", "name": "What are the costs of ISO 27001 certification?", "acceptedAnswer": { "@type": "Answer", "text": "The direct cost of the ISO 27001 certification audit is primarily the auditor's work, estimated at roughly 1000 € per day in the EU. This means the direct bill for auditing organizations will range from 10,000 € to 50,000 € over a 3-year period, depending on the organization's size. Internal costs, such as ISMS work, personnel time, software solutions, technology investments, and training, vary significantly based on your starting information security maturity." } }, { "@type": "Question", "name": "How often are ISO 27001 audits conducted?", "acceptedAnswer": { "@type": "Answer", "text": "A full certification (or re-certification) audit is carried out once every 3 years. Shorter surveillance audits are conducted yearly during the remaining years to ensure continuous improvement and proper ISMS maintenance." } }, { "@type": "Question", "name": "What happens, if you \"fail\" the ISO 27001 certification audit?", "acceptedAnswer": { "@type": "Answer", "text": "If an organization doesn't meet all the requirements during an ISO 27001 certification audit, non-conformities will be identified. The organization then has the opportunity to address these non-conformities with corrective actions. This involves creating and implementing corrective action plans. For major non-conformities, the corrections need auditor verification, while for minor ones, verifying the plan is sufficient. Once the follow-up on corrective actions demonstrates compliance, certification can be granted. It's important to view this process not as a failure, but as an opportunity to identify areas for improvement in information security." } } ] }

Check your ISO 27001 readiness

Take our free assessment and get a quick view of how your organization aligns with ISO 27001 – and where to focus next.

Take the assessment
Geschrieben von
Aleksi Pulkkanen
22.1.2025
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Andere ähnliche Inhalte von Academy

Blogs

What is a vCISO? Understanding the role of virtual CISO

What is a vCISO, what they do, and why the virtual CISO model is growing fast among companies and cybersecurity consultants.
12.6.2025

What is a modular cyber security framework and why they are essential for consultants

Modular cyber security frameworks make compliance management easier, and helps consultants scale faster, win more deals, and build recurring revenue.
12.6.2025

Cyberday app outage on Tuesday 10/6/2025: Explanation and follow-up

This message goes through the details of the recent incident that produced downtime in Cyberday during 10.6.2025, and related early mitigation.
11.6.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekNewsletterCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit