ISO 27001 Audit: Arten, Ablauf und Checkliste für Unternehmen
ISO 27001 Audit: Arten, Ablauf und Checkliste für Unternehmen
Bettina Stearn
ISO/IEC 27001 Auditorin & QM-Fachexpertin (ISO 9001)
01 Apr 2026
12 min
Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.
Key Takeaways
Ein ISO 27001 Audit prüft systematisch, ob Ihr ISMS die Anforderungen der Norm erfüllt, und deckt Verbesserungspotenziale auf.
Vier Audit-Arten begleiten den gesamten Zertifizierungszyklus: internes Audit, Stage 1 und 2, Überwachungsaudit und Rezertifizierungsaudit.
Die häufigsten Findings betreffen lückenhafte Dokumentation, fehlende Nachweise und nicht getestete Notfallpläne.
Eine strukturierte Audit-Checkliste verkürzt die Vorbereitung und senkt das Risiko für Abweichungen im Zertifizierungsaudit.
Ein ISO 27001 Audit ist der zentrale Prüfmechanismus für jedes Informationssicherheits-Managementsystem (ISMS). Ob Sie sich erstmals zertifizieren lassen, ein internes Audit planen oder sich auf ein Überwachungsaudit vorbereiten: Der Ablauf, die Anforderungen und die typischen Stolpersteine sind bei jeder Audit-Art unterschiedlich. Dieser Artikel erklärt alle vier Audit-Typen, den konkreten Ablauf Schritt für Schritt und die zehn Punkte, die Ihre Checkliste abdecken sollte.
Was ist ein ISO 27001 Audit?
Ein ISO 27001 Audit ist die systematische Überprüfung eines ISMS gegen die Anforderungen der Norm ISO/IEC 27001:2022. Ziel ist es, festzustellen, ob die definierten Sicherheitsmaßnahmen tatsächlich umgesetzt werden, ob sie wirksam sind und wo Verbesserungsbedarf besteht. Die Norm fordert in Kapitel 9.2 ausdrücklich, dass Organisationen in geplanten Abständen interne Audits durchführen.
Im Kern verfolgt jedes ISO 27001 Audit drei Ziele: Erstens prüft es die Konformität, also ob das ISMS die Anforderungen der Norm und die eigenen Vorgaben erfüllt. Zweitens deckt es Lücken auf, etwa fehlende Dokumentation, nicht umgesetzte Controls oder Abweichungen zwischen Richtlinie und Praxis. Drittens identifiziert es Verbesserungspotenziale, die in den kontinuierlichen Verbesserungsprozess (PDCA-Zyklus) einfließen.
Konkret prüft ein Auditor dabei unter anderem, ob die Sicherheitsrichtlinien aktuell sind, ob die Controls aus Anhang A tatsächlich umgesetzt werden, ob Mitarbeiter ihre Verantwortlichkeiten kennen und ob Nachweise für Schulungen, Risikobehandlungen und Vorfallbearbeitungen vorliegen. Der Prüfungsumfang richtet sich nach dem definierten Geltungsbereich des ISMS und dem Auditprogramm, das die Organisation selbst festlegt.
Praxisbeispiel
Ein mittelständischer IT-Dienstleister führt sein internes Audit durch und stellt fest, dass die Zugriffskontrollrichtlinie zwar dokumentiert ist, aber drei Mitarbeiter seit einem Abteilungswechsel noch Zugriff auf Systeme haben, die sie nicht mehr benötigen. Ohne das Audit wäre diese Abweichung erst im externen Zertifizierungsaudit aufgefallen, mit deutlich höherem Korrekturaufwand.
Wichtig ist die Perspektive: Für den Auditierten ist das Audit eine Gelegenheit, Schwachstellen zu finden, bevor es ein externer Prüfer tut. Für den Auditor (ob intern oder extern) ist es ein strukturierter Prozess, der auf Nachweisen basiert, nicht auf Annahmen. Was zählt, ist dokumentiert und nachvollziehbar umgesetzt. Alles andere ist im Audit ein Finding.
Die Ergebnisse eines Audits fließen direkt in das Management Review nach Kapitel 9.3 ein. Die Geschäftsleitung bewertet dort, ob das ISMS weiterhin angemessen ist, und entscheidet über Ressourcen für Korrekturmaßnahmen. Audit und Management Review bilden zusammen das "Check" im PDCA-Zyklus. Ohne beides fehlt der Nachweis, dass das ISMS tatsächlich gesteuert wird.
ISO 27001 Audits lassen sich in vier Typen einteilen, die im folgenden Abschnitt einzeln erläutert werden. Jeder Typ hat einen anderen Zweck, einen anderen Umfang und eine andere Frequenz.
Audit-Arten im Überblick
Der Zertifizierungszyklus nach ISO 27001 umfasst vier Audit-Arten. Jede Art hat einen eigenen Zweck, einen eigenen Umfang und eine eigene Frequenz. Die folgende Übersicht zeigt, wann welcher Audit-Typ relevant wird und was ihn von den anderen unterscheidet.
Internes Audit (Kapitel 9.2)
Das interne Audit ist die einzige Audit-Art, die ISO 27001 direkt fordert. Kapitel 9.2 verlangt, dass Organisationen in geplanten Abständen prüfen, ob ihr ISMS den eigenen Vorgaben und den Normanforderungen entspricht. In der Praxis bedeutet das: mindestens einmal jährlich, häufig häufiger.
Durchgeführt wird das interne Audit entweder von geschulten internen Mitarbeitern oder von externen Auditoren, die im Auftrag der Organisation handeln. Die Unabhängigkeit des Auditors ist dabei Pflicht: Wer einen Prozess verantwortet, darf ihn nicht selbst auditieren. Für KMU ohne eigene Audit-Abteilung bedeutet das oft, dass ein externer Berater die internen Audits übernimmt.
Der größte Nutzen des internen Audits liegt in der Vorbereitung auf das externe Zertifizierungsaudit. Wer intern sauber auditiert, findet Abweichungen frühzeitig und kann sie korrigieren, bevor der Zertifizierer vor Ort ist.
Stage 1 und Stage 2 (Zertifizierungsaudit)
Das Zertifizierungsaudit besteht aus zwei Stufen, die eine akkreditierte Zertifizierungsstelle durchführt. Im Stage-1-Audit (Dokumentenaudit) prüft der Auditor die ISMS-Dokumentation: Sind die Sicherheitsrichtlinien vorhanden? Ist der Geltungsbereich des ISMS klar definiert? Gibt es ein Risikomanagement nach ISO 27001 mit Risikobehandlungsplan? Das Stage-1-Audit dauert in der Regel zwei bis fünf Tage und endet mit einer Readiness-Einschätzung.
Im Stage-2-Audit (Implementierungsaudit) geht es um die Realität: Der Auditor prüft vor Ort, ob die dokumentierten Prozesse tatsächlich gelebt werden. Dazu gehören Interviews mit Mitarbeitern, Begehungen und die Prüfung von Nachweisen. Das Stage-2-Audit dauert drei bis sieben Tage, je nach Unternehmensgröße und Scope. Wer die Details zum gesamten Zertifizierungsprozess braucht, findet sie im Artikel zur ISO 27001 Zertifizierung.
Überwachungsaudit
Nach der erfolgreichen Zertifizierung folgt in den Jahren zwei und drei je ein Überwachungsaudit. Zweck ist die Stichprobenprüfung: Der Zertifizierer prüft, ob das ISMS weiterhin konform betrieben wird, und konzentriert sich auf ausgewählte Bereiche. Der Umfang ist deutlich kleiner als beim Zertifizierungsaudit, die Dauer liegt typischerweise bei ein bis zwei Tagen. Die Kosten betragen etwa ein Drittel des Erstaudits.
Überwachungsaudits sind keine Formalität. Wenn der Auditor Hauptabweichungen feststellt, kann er die Zertifizierung aussetzen, bis die Korrekturmaßnahmen nachgewiesen sind.
Rezertifizierungsaudit
Das ISO 27001 Zertifikat ist drei Jahre gültig. Danach ist ein Rezertifizierungsaudit erforderlich, das im Umfang einer Kombination aus Stage 1 und Stage 2 entspricht. Der Auditor prüft erneut das gesamte ISMS, einschließlich aller Änderungen seit der Erstzertifizierung. Ohne bestandenes Rezertifizierungsaudit erlischt das Zertifikat.
Die Vorbereitung auf das Rezertifizierungsaudit sollte frühzeitig beginnen, idealerweise sechs Monate vor Ablauf. Unternehmen, die ihre internen Audits und Überwachungsaudits sauber dokumentiert haben, reduzieren den Aufwand erheblich.
Audit-Art
Durchführung
Umfang
Dauer
Frequenz
Internes Audit
Intern oder beauftragter Auditor
Gesamtes ISMS oder Teilbereiche
1–5 Tage
Mindestens jährlich
Stage 1 (Dokumentenaudit)
Akkreditierte Zertifizierungsstelle
ISMS-Dokumentation
2–5 Tage
Einmalig vor Stage 2
Stage 2 (Implementierungsaudit)
Akkreditierte Zertifizierungsstelle
Implementierung vor Ort
3–7 Tage
Einmalig zur Erstzertifizierung
Überwachungsaudit
Akkreditierte Zertifizierungsstelle
Stichprobe
1–2 Tage
Jährlich (Jahr 2 + 3)
Rezertifizierungsaudit
Akkreditierte Zertifizierungsstelle
Gesamtes ISMS
3–7 Tage
Alle 3 Jahre
Die vier Audit-Arten im ISO 27001 Zertifizierungszyklus über drei Jahre.
Ablauf eines ISO 27001 Audits Schritt für Schritt
Unabhängig von der Audit-Art folgt jedes ISO 27001 Audit einem dreiphasigen Ablauf: Vorbereitung, Durchführung und Nachbereitung. Die ISO 19011 (Leitfaden zur Auditierung von Managementsystemen) beschreibt diesen Ablauf im Detail. In der Praxis unterscheiden sich die Phasen je nach Audit-Art im Umfang, nicht in der Struktur.
1
Vorbereitung (4–6 Wochen vor dem Audit)
Der Auditprogrammleiter erstellt den Auditplan: Welche Bereiche werden geprüft, wer ist der Auditor, welche Termine gelten? Die auditierten Abteilungen erhalten den Plan mindestens vier Wochen vorher, damit sie ihre Dokumentation zusammenstellen können. Der Auditor erstellt auf Basis des ISMS-Scopes und der 93 Controls des Anhang A eine Auditcheckliste. Eine Vorbereitung unter zwei Wochen ist riskant, weil die Dokumentenprüfung erfahrungsgemäß die meiste Vorlaufzeit braucht. In dieser Phase sollten auch die Ergebnisse des letzten Audits und der offene Korrekturmaßnahmenplan gesichtet werden, damit der Auditor den Umsetzungsstand prüfen kann.
2
Durchführung (2–7 Tage je nach Audit-Art)
Das Audit beginnt mit einer Eröffnungsbesprechung, in der Scope, Ziele und Ablauf bestätigt werden. Dann sammelt der Auditor Nachweise: Er prüft Dokumente, führt Interviews mit Verantwortlichen und Prozesseignern, begeht Standorte und vergleicht dokumentierte Prozesse mit der gelebten Praxis. Typische Interviewfragen lauten: "Wie gehen Sie mit einem Sicherheitsvorfall um?", "Wann wurde Ihr letztes Backup getestet?" oder "Wer genehmigt Zugriffe auf das Produktivsystem?". Abweichungen werden laufend an die Auditierten zurückgemeldet, damit diese bereits während des Audits erste Erläuterungen liefern können. Am Ende steht ein Abschlussgespräch, in dem der Auditor die vorläufigen Ergebnisse präsentiert und offene Punkte klärt.
3
Nachbereitung (2–4 Wochen nach dem Audit)
Der Auditor verfasst den Auditbericht und klassifiziert die Ergebnisse: Hauptabweichungen (Major Nonconformities) erfordern Korrekturmaßnahmen vor der Zertifizierung. Nebenabweichungen (Minor Nonconformities) müssen bis zum nächsten Audit behoben werden. Beobachtungen (Observations) sind Verbesserungshinweise ohne Korrekturpflicht. Für jede Abweichung erstellt die Organisation einen Korrekturmaßnahmenplan mit konkreten Terminen und Verantwortlichen. Die Wirksamkeit der Maßnahmen wird in einem Follow-up geprüft. Bei Hauptabweichungen muss dieser Nachweis in der Regel innerhalb von 90 Tagen erbracht werden, bevor die Zertifizierungsstelle das Zertifikat ausstellt.
Der Ablauf eines ISO 27001 Audits in drei Phasen mit typischen Zeitrahmen.
In KMU laufen interne Audits oft weniger formell ab als in Konzernen. Statt einer eigenen Audit-Abteilung übernimmt häufig ein externer Berater oder ein geschulter Mitarbeiter aus einer anderen Abteilung die Prüfung. Die Grundstruktur (Plan, Durchführung, Bericht) bleibt aber gleich. Wer sie einhält, hat beim externen Audit einen sauberen Nachweis, dass das interne Audit den Anforderungen von Kapitel 9.2 entspricht.
Ein häufiger Fehler: Unternehmen planen zwar die Durchführung sorgfältig, vernachlässigen aber die Nachbereitung. Der Auditbericht wird geschrieben, die Korrekturmaßnahmen werden jedoch nicht terminiert oder nicht nachverfolgt. Genau das prüft der Zertifizierer im nächsten externen Audit als erstes, weil es den PDCA-Zyklus betrifft.
Typische Findings und wie Sie sie vermeiden
Findings sind Abweichungen, die ein Auditor während des Audits feststellt. Manche kosten die Zertifizierung, andere sind Verbesserungshinweise. Die folgenden zehn Findings tauchen in der Praxis besonders häufig auf. Wer sie kennt, kann sie im Vorfeld abstellen.
Die 10 häufigsten Audit-Findings
1. Lückenhafte oder veraltete Dokumentation Richtlinien existieren, aber die letzte Überarbeitung liegt zwei Jahre zurück. Ohne aktuelle Dokumentation kein Nachweis, dass das ISMS gelebt wird.
2. Dokumentation und Realität stimmen nicht überein Die Zugriffskontrollrichtlinie beschreibt einen Freigabeprozess, der in der Praxis nicht so umgesetzt wird. Auditoren prüfen genau diese Lücke zwischen Papier und Alltag.
3. Fehlende Rollen und Verantwortlichkeiten Es ist nicht dokumentiert, wer für welche Controls verantwortlich ist. Ohne klare Zuordnung kann der Auditor nicht prüfen, ob die Verantwortlichen ihre Aufgaben kennen.
4. Interne Audit-Ergebnisse ohne Folgemaßnahmen Das interne Audit hat Abweichungen festgestellt, aber es gibt keinen Korrekturmaßnahmenplan. Das verletzt den PDCA-Zyklus und zeigt dem Auditor, dass die kontinuierliche Verbesserung nicht funktioniert.
5. Zugriffskontrolle nicht korrekt umgesetzt Ehemalige Mitarbeiter haben noch Zugang zu Systemen, Berechtigungen werden bei Abteilungswechseln nicht angepasst. Controls aus Anhang A zur Zugriffskontrolle gehören zu den am häufigsten beanstandeten.
6. Kein dokumentierter Patch-Prozess Sicherheitsupdates werden eingespielt, aber der Prozess ist nicht dokumentiert. Dem Auditor fehlt der Nachweis, dass Patches systematisch und zeitnah erfolgen.
7. Schulungsnachweise fehlen Mitarbeiterschulungen zur Informationssicherheit finden statt, aber Teilnahmenachweise sind nicht archiviert. Ohne Nachweis gilt die Schulung im Audit als nicht durchgeführt.
8. Incident-Response-Plan nicht getestet Ein Plan für Sicherheitsvorfälle existiert, wurde aber nie in einer Übung getestet. Testen Sie den Plan mit einer Tabletop-Übung. Solche Übungen decken innerhalb von zwei Stunden Lücken auf, die im Alltag nicht auffallen.
9. Lieferantenmanagement ohne IT-Sicherheitsanforderungen Verträge mit IT-Dienstleistern enthalten keine Sicherheitsanforderungen oder SLAs zu Incident-Response-Zeiten. Annex A fordert, dass die Informationssicherheit in der Lieferkette adressiert wird.
10. PDCA-Zyklus nicht nachweisbar Der Auditor findet keine Evidenz dafür, dass das ISMS über Plan und Do hinaus auch Check und Act durchläuft. Ohne Management Review (Kapitel 9.3) und dokumentierte Verbesserungsmaßnahmen fehlt der Nachweis für den geschlossenen Regelkreis.
"Die meisten Findings im Zertifizierungsaudit sind keine Überraschungen. Sie tauchen im internen Audit auf, werden dort notiert, aber nicht konsequent nachverfolgt. Wer den Korrekturmaßnahmenplan aus dem internen Audit sauber abarbeitet, hat im externen Audit selten Probleme."
Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR
Drei Monate vor einem externen Audit empfiehlt sich ein internes Pre-Audit, das gezielt die zehn häufigsten Findings abprüft. Sammeln Sie alle Nachweisdokumente an einem zentralen Ort, indexieren Sie sie und stellen Sie sicher, dass jede Korrekturmaßnahme aus früheren Audits einen dokumentierten Abschluss hat. Plattformen wie SECJUR unterstützen diesen Prozess, indem sie Korrekturmaßnahmen direkt mit den betroffenen Controls verknüpfen und den Umsetzungsstatus transparent machen.
Audit-Checkliste: Die 10 wichtigsten Prüfpunkte
Die folgende Checkliste deckt die zehn Punkte ab, die jedes interne ISO 27001 Audit adressieren sollte. Sie ersetzt kein vollständiges Auditprogramm, gibt aber eine Orientierung für die Vorbereitung und hilft, die häufigsten Lücken frühzeitig zu schließen.
1
Auditplan erstellt und abgestimmt
Der Auditplan definiert Scope, Zeitrahmen, Auditor und auditierte Bereiche. Alle Beteiligten haben ihn mindestens vier Wochen vor dem Audit erhalten.
2
ISMS-Dokumentation vollständig und aktuell
Alle Richtlinien, Verfahrensanweisungen und Arbeitsanweisungen sind auf dem aktuellen Stand. Versionierung und Freigabeprozess sind dokumentiert.
3
ISMS-Scope klar definiert
Der Geltungsbereich ist schriftlich fixiert und umfasst alle relevanten Standorte, Prozesse und Informationswerte. Ausschlüsse sind begründet.
4
Rollen und Verantwortlichkeiten dokumentiert
Für jedes Control und jeden ISMS-Prozess ist ein Verantwortlicher benannt. Die Verantwortlichen kennen ihre Aufgaben und können sie im Interview erläutern.
5
Risikobehandlung durchgeführt und dokumentiert
Das Risikoinventar ist aktuell, Risiken sind bewertet und für jedes Risiko oberhalb der Akzeptanzschwelle existiert ein Behandlungsplan mit Umsetzungsstatus.
6
Zugriffskontrolle korrekt implementiert
Berechtigungen entsprechen dem Least-Privilege-Prinzip. Zugriffe ehemaliger Mitarbeiter und nach Rollenwechseln sind bereinigt. Prüfprotokolle liegen vor.
7
Sicherheitsvorfälle dokumentiert und bearbeitet
Alle Security Incidents sind im Vorfallregister erfasst. Für jeden Vorfall gibt es eine Root-Cause-Analyse und dokumentierte Folgemaßnahmen.
8
Schulungsnachweise archiviert
Awareness-Schulungen sind durchgeführt, Teilnahmenachweise zentral gespeichert. Neue Mitarbeiter haben ihre Erstschulung innerhalb der definierten Frist absolviert.
9
Lieferanten-SLAs mit IT-Sicherheitsanforderungen
Verträge mit IT-Dienstleistern enthalten Anforderungen an Informationssicherheit, Incident-Meldung und Datenlöschung. Die Einhaltung wird regelmäßig geprüft.
10
PDCA-Zyklus nachweisbar geschlossen
Ergebnisse aus internen Audits und Management Reviews sind dokumentiert. Für jede Abweichung gibt es einen Korrekturmaßnahmenplan mit nachgewiesener Wirksamkeit.
Nutzen Sie diese Checkliste als Ausgangspunkt für Ihr internes Audit. Gehen Sie jeden Punkt einzeln durch und prüfen Sie, ob die entsprechenden Nachweise vorliegen. Punkte ohne Nachweis gehören auf den Korrekturmaßnahmenplan, bevor ein externer Auditor sie findet.
Für eine ausführlichere Prüfung aller Normanforderungen empfiehlt sich ein vollständiger Fragenkatalog auf Basis der 93 Annex-A-Controls und der Kapitel 4 bis 10 der Norm. Die Checkliste oben deckt die Kernbereiche ab, in denen Auditoren erfahrungsgemäß die meisten Abweichungen finden. Wer diese zehn Punkte sauber abdeckt, besteht den Großteil eines Überwachungsaudits ohne Beanstandungen.
SECJUR: Audit-Vorbereitung automatisieren
Die Audit-Vorbereitung ist in vielen Unternehmen der zeitaufwendigste Teil des gesamten Zertifizierungsprozesses. Dokumente müssen zusammengetragen, Nachweise organisiert, Checklisten abgearbeitet und Korrekturmaßnahmen nachverfolgt werden. Fehler in der Vorbereitung führen direkt zu Findings im Audit.
ISMS-Plattformen wie das SECJUR Digital Compliance Office setzen an dieser Stelle an. Die Plattform bildet den gesamten ISMS-Betrieb ab: von der Risikoanalyse über das Asset-Inventar bis zur Nachweisführung für Audits. Korrekturmaßnahmen aus internen Audits lassen sich direkt tracken, statt in separaten Tabellen unterzugehen. Das Statement of Applicability wird automatisch generiert, und das Control Mapping über Standards hinweg (ISO 27001, TISAX, NIS2) spart die manuelle Zuordnung.
Erfahrungsgemäß verkürzen Unternehmen mit einer ISMS-Plattform ihre Vorbereitungszeit um bis zu 50 % gegenüber einem rein beratungsgestützten Ansatz. Der interne Aufwand sinkt, weil Vorlagen, Workflows und Mappings bereits in der Plattform hinterlegt sind, statt von Grund auf erstellt werden zu müssen. Besonders bei der Nachweisführung macht sich das bemerkbar: Statt vor jedem Audit Dokumente aus verschiedenen Ablageorten zusammenzusuchen, liegen alle Evidenzen bereits an einem Ort und sind dem jeweiligen Control zugeordnet.
Praxisbeispiel
Ein KMU mit 80 Mitarbeitern bereitet sich auf das Stage-2-Audit vor. Statt sechs Wochen manueller Dokumentensammlung nutzt das Team das zentrale Evidenz-Repository der Plattform. Alle Nachweise, von Schulungszertifikaten über Risikobehandlungspläne bis zu Incident-Logs, sind bereits an einem Ort. Die Vorbereitung dauert drei Wochen statt sechs.
Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.
Über SECJUR
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Ein ISO 27001 Audit ist die systematische Überprüfung eines Informationssicherheits-Managementsystems (ISMS) gegen die Anforderungen der Norm ISO/IEC 27001:2022. Ziel ist es, Konformität zu prüfen, Lücken aufzudecken und Verbesserungspotenziale zu identifizieren.
Welche Audit-Arten gibt es bei ISO 27001?
Es gibt vier Audit-Arten: das interne Audit (mindestens jährlich, Kapitel 9.2), das Zertifizierungsaudit (Stage 1 und Stage 2), das Überwachungsaudit (jährlich in Jahr 2 und 3) und das Rezertifizierungsaudit (alle drei Jahre).
Wie läuft ein ISO 27001 Audit ab?
Jedes ISO 27001 Audit folgt drei Phasen: Vorbereitung (Auditplan, Dokumentenprüfung, ca. 4-6 Wochen vorher), Durchführung (Eröffnung, Interviews, Begehung, Abschluss) und Nachbereitung (Auditbericht, Klassifizierung der Findings, Korrekturmaßnahmenplan).
Was sind typische Findings im ISO 27001 Audit?
Die häufigsten Findings betreffen lückenhafte Dokumentation, Abweichungen zwischen dokumentierten Prozessen und gelebter Praxis, fehlende Rollen und Verantwortlichkeiten, nicht nachverfolgte Korrekturmaßnahmen und nicht getestete Incident-Response-Pläne. ISMS-Plattformen wie SECJUR helfen, diese Findings zu vermeiden, indem sie Korrekturmaßnahmen direkt tracken.
Wie oft muss ein ISO 27001 Audit durchgeführt werden?
Interne Audits müssen laut ISO 27001 mindestens jährlich stattfinden. Nach der Erstzertifizierung folgen jährliche Überwachungsaudits. Alle drei Jahre ist ein Rezertifizierungsaudit erforderlich, um das Zertifikat zu erneuern.
Der EU AI Act endet nicht mit der CE-Kennzeichnung: Für Hochrisiko-KI beginnt danach das verpflichtende Post-Market-Monitoring. Erfahren Sie, warum kontinuierliche Überwachung, Incident-Meldungen und der Umgang mit Data Drift entscheidend sind, um Haftungsrisiken zu vermeiden und langfristige Compliance sicherzustellen. Dieser Leitfaden zeigt praxisnah, wie Sie Monitoring-Prozesse aufbauen, Meldepflichten erfüllen und Vertrauen in Ihre KI-Systeme nachhaltig stärken.
Regulatorische Sandboxen des EU AI Acts ermöglichen es Unternehmen, innovative KI-Systeme sicher unter realen Bedingungen zu testen, ohne Compliance-Risiken. Dieser Leitfaden zeigt, wie Sie Reallabore strategisch nutzen, um Hochrisiko-KI frühzeitig zu validieren, Rechtsklarheit zu gewinnen und kostspielige Nachbesserungen zu vermeiden. So machen Sie aus Regulierung einen Innovationsbeschleuniger und sichern sich einen deutlichen Wettbewerbsvorteil.
KI in der Medizintechnik gilt unter dem EU AI Act fast immer als Hochrisiko mit weitreichenden neuen Pflichten für Hersteller und Anwender. Dieser Leitfaden zeigt praxisnah, warum eine MDR-Zertifizierung allein nicht mehr ausreicht und welche zusätzlichen Anforderungen an Daten, Dokumentation, Transparenz und Cybersicherheit jetzt gelten. Erfahren Sie, wie Sie Ihr KI-System rechtssicher aufstellen und Vertrauen bei Ärzten, Kliniken und Patienten aufbauen.
{"@context":"https://schema.org","@graph":[{"@type":"FAQPage","mainEntity":[{"@type":"Question","name":"Was ist ein ISO 27001 Audit?","acceptedAnswer":{"@type":"Answer","text":"Ein ISO 27001 Audit ist die systematische Überprüfung eines Informationssicherheits-Managementsystems (ISMS) gegen die Anforderungen der Norm ISO/IEC 27001:2022. Ziel ist es, Konformität zu prüfen, Lücken aufzudecken und Verbesserungspotenziale zu identifizieren."}},{"@type":"Question","name":"Welche Audit-Arten gibt es bei ISO 27001?","acceptedAnswer":{"@type":"Answer","text":"Es gibt vier Audit-Arten: das interne Audit (mindestens jährlich, Kapitel 9.2), das Zertifizierungsaudit (Stage 1 und Stage 2), das Überwachungsaudit (jährlich in Jahr 2 und 3) und das Rezertifizierungsaudit (alle drei Jahre)."}},{"@type":"Question","name":"Wie läuft ein ISO 27001 Audit ab?","acceptedAnswer":{"@type":"Answer","text":"Jedes ISO 27001 Audit folgt drei Phasen: Vorbereitung (Auditplan, Dokumentenprüfung, ca. 4-6 Wochen vorher), Durchführung (Eröffnung, Interviews, Begehung, Abschluss) und Nachbereitung (Auditbericht, Klassifizierung der Findings, Korrekturmaßnahmenplan)."}},{"@type":"Question","name":"Was sind typische Findings im ISO 27001 Audit?","acceptedAnswer":{"@type":"Answer","text":"Die häufigsten Findings betreffen lückenhafte Dokumentation, Abweichungen zwischen dokumentierten Prozessen und gelebter Praxis, fehlende Rollen und Verantwortlichkeiten, nicht nachverfolgte Korrekturmaßnahmen und nicht getestete Incident-Response-Pläne. ISMS-Plattformen wie SECJUR helfen, diese Findings zu vermeiden, indem sie Korrekturmaßnahmen direkt tracken."}},{"@type":"Question","name":"Wie oft muss ein ISO 27001 Audit durchgeführt werden?","acceptedAnswer":{"@type":"Answer","text":"Interne Audits müssen laut ISO 27001 mindestens jährlich stattfinden. Nach der Erstzertifizierung folgen jährliche Überwachungsaudits. Alle drei Jahre ist ein Rezertifizierungsaudit erforderlich, um das Zertifikat zu erneuern."}}]},{"@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https://www.secjur.com/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https://www.secjur.com/blog"},{"@type":"ListItem","position":3,"name":"ISO 27001 Audit: Arten, Ablauf und Checkliste für Unternehmen","item":"https://www.secjur.com/blog/iso-27001-audit"}]}]}
.svg)
.svg)
.svg)
.svg){kind=small}