ISO/IEC 27001:2022 · Audit
ISO 27001 Zertifizierung vorbereiten – Audit & SoA
Das Zertifizierungsaudit entscheidet, ob die Arbeit der vergangenen Monate trägt. Wer den Ablauf aus Stage-1- und Stage-2-Audit kennt, das Auditprogramm gepflegt hat und die häufigsten Abweichungen kennt, geht ohne böse Überraschungen in die Prüfung. Diese Seite zeigt, wie die Vorbereitung strukturiert gelingt.
Unverbindlich testen – keine Verpflichtung, keine automatische Vertragsbindung.
Ablauf
Stage-1- und Stage-2-Audit verstehen
Die externe Zertifizierung läuft in zwei Stufen. Beide haben einen klar unterschiedlichen Fokus – das Stage-1-Audit prüft die Dokumentation und die Auditbereitschaft, das Stage-2-Audit die gelebte Wirksamkeit.
Stage-1-Audit (Dokumentenprüfung)
Der Auditor prüft, ob das ISMS dokumentiert und auditbereit ist: Scope, Leitlinien, Risikomethodik, Statement of Applicability, Nachweise interner Audits und der Managementbewertung. Ergebnis ist meist eine Liste von Punkten, die bis Stage 2 zu schließen sind.
Stage-2-Audit (Wirksamkeitsprüfung)
Vor Ort wird geprüft, ob das ISMS tatsächlich gelebt wird: Stichproben zu Maßnahmen, Interviews mit Verantwortlichen, Abgleich von Aufzeichnungen. Am Ende stehen die Auditfeststellungen und – bei Erfolg – die Zertifizierungsempfehlung.
Zwischen Stage 1 und Stage 2 liegen typischerweise einige Wochen, in denen die offenen Punkte des Stage-1-Audits abgearbeitet werden. Nach erfolgreicher Zertifizierung folgen jährliche Überwachungsaudits und nach drei Jahren die vollständige Rezertifizierung. Die Normgrundlage dazu beschreiben wir auf der ISO-27001-Hauptseite.
Pflichtnachweise
Was im Audit vorliegen muss
Bestimmte Nachweise sind zertifizierungskritisch – fehlt einer davon, droht eine Abweichung. Vor dem Stage-2-Audit sollte jeder Punkt vollständig und aktuell vorliegen.
| Nachweis | Was der Auditor sehen will |
|---|---|
| Anwendungsbereich (Scope) | Klar abgegrenzter Geltungsbereich mit Standorten, Prozessen und Schnittstellen. |
| Statement of Applicability | Alle 93 Controls mit Begründung für Anwendung oder Ausschluss. |
| Risikobeurteilung und -behandlung | Dokumentierte Methodik, bewertete Risiken und nachvollziehbare Behandlungsentscheidungen. |
| Internes Audit | Mindestens ein durchgeführtes internes Audit mit Bericht und Feststellungen. |
| Managementbewertung | Protokollierte Bewertung durch die Leitung inklusive Entscheidungen. |
| Korrektur- und Verbesserungsmaßnahmen | Nachverfolgte Maßnahmen aus Audits, Vorfällen und Abweichungen. |
Stolpersteine
Die häufigsten Abweichungen – und wie man sie vermeidet
Viele Nichtkonformitäten wiederholen sich von Audit zu Audit. Wer sie im Vorfeld kennt, kann sie gezielt ausräumen, bevor der externe Prüfer kommt.
SoA passt nicht zur Risikobehandlung
Controls werden ausgeschlossen, obwohl ein Risiko sie erfordert. SoA und Risikoregister müssen konsistent sein.
Internes Audit fehlt oder ist zu dünn
Ohne durchgeführtes internes Audit vor Stage 2 ist die Zertifizierung praktisch ausgeschlossen.
Managementbewertung nicht dokumentiert
Die Leitung muss das ISMS nachweislich bewerten und Entscheidungen protokollieren.
Maßnahmen ohne Wirksamkeitsnachweis
Eine Policy auf Papier reicht nicht – der Auditor will sehen, dass sie gelebt wird.
Veraltete Dokumente
Nicht versionierte oder überholte Richtlinien führen schnell zu Feststellungen.
Unklare Verantwortlichkeiten
Zu jedem Control und jeder Maßnahme gehört eine benannte verantwortliche Person.
Zeitplan
Zeitplan der letzten Monate vor der Zertifizierung
Die heiße Phase der Auditvorbereitung lässt sich gut in Etappen takten. Der folgende Plan ist ein bewährter Rahmen für die letzten Monate bis zum Stage-2-Audit.
- 1
ca. 4–6 Monate vorher
Gap-Analyse abschließen, offene Maßnahmen einplanen, Auditprogramm und Zertifizierungsstelle festlegen.
- 2
ca. 3 Monate vorher
Risikobehandlung und Statement of Applicability final abstimmen, Dokumentenlenkung aufräumen.
- 3
ca. 2 Monate vorher
Internes Audit durchführen, Feststellungen erfassen und Korrekturmaßnahmen starten.
- 4
ca. 4–6 Wochen vorher
Managementbewertung durchführen und protokollieren, Nachweise vollständig zusammenstellen.
- 5
Stage-1-Audit
Dokumentenprüfung; offene Punkte des Auditors strukturiert abarbeiten.
- 6
Stage-2-Audit
Wirksamkeitsprüfung vor Ort; abschließende Feststellungen schließen, Zertifizierungsempfehlung erhalten.
MGMSYS hält Nachweise, internes Audit und Managementbewertung als geführte Workflows bereit, sodass zum Audittermin nichts fehlt.
Häufige Fragen
- Was ist der Unterschied zwischen Stage-1- und Stage-2-Audit?
Das Stage-1-Audit ist eine Dokumentenprüfung auf Auditbereitschaft. Das Stage-2-Audit prüft vor Ort die gelebte Wirksamkeit des ISMS durch Stichproben und Interviews. Zwischen beiden Stufen werden die offenen Punkte aus Stage 1 geschlossen.
- Ist ein internes Audit vor der Zertifizierung Pflicht?
Ja. Klausel 9.2 verlangt interne Audits. Ohne mindestens ein durchgeführtes internes Audit mit Bericht ist eine Zertifizierung praktisch nicht möglich – das Fehlen führt regelmäßig zu einer Hauptabweichung.
- Wie lange dauert die Vorbereitung auf das Audit?
Die heiße Phase umfasst meist die letzten vier bis sechs Monate: Gap-Analyse schließen, SoA und Risikobehandlung finalisieren, internes Audit und Managementbewertung durchführen, anschließend Stage-1- und Stage-2-Audit.
- Was passiert bei einer Abweichung im Audit?
Hauptabweichungen müssen vor der Zertifizierung behoben werden, Nebenabweichungen über einen Maßnahmenplan mit Frist. Bei kleineren Befunden genügt häufig ein nachgereichter Korrekturnachweis, ohne dass das Audit wiederholt wird.
Ohne Überraschungen ins Zertifizierungsaudit
Wer Stage 1 und Stage 2 kennt, die Pflichtnachweise vollständig hat und die typischen Abweichungen vorab ausräumt, geht souverän in die Prüfung. Der Testzugang ist unverbindlich – keine automatische Vertragsbindung.