ISMS Audit – Prüfung der Informationssicherheit nach ISO 27001

Ein ISMS Audit ist eine systematische Überprüfung des Informationssicherheitsmanagementsystems (ISMS), um zu prüfen, ob es den Anforderungen der ISO/IEC 27001 entspricht – sowohl in der Dokumentation als auch in der praktischen Umsetzung. In diesem Kontext spricht man auch vom ISO 27001 Audit oder schlicht Auditprozess ISMS.

Nur durch regelmäßige Bewertungen lassen sich Schwachstellen identifizieren, Maßnahmen validieren und das Vertrauen von Kunden, Partnern und Aufsichtsbehörden stärken. Zudem sind Audits essentiell, wenn Sie eine Zertifizierung nach ISO 27001 anstreben.

Nachfolgend erfahren Sie:

  • worin sich internes ISMS Audit und externes ISMS Audit unterscheiden,
  • wie der typische Auditprozess ISMS abläuft,
  • wie Sie sich ideal auf ein ISMS Audit / ISO 27001 Audit vorbereiten,
  • und wer befähigt ist, solche Audits durchzuführen.

Unterschied zwischen internem und externem ISMS Audit

Bei der Durchführung eines Audits zur Prüfung eines ISMS unterscheidet man grundsätzlich zwischen internen und externen Audits. Beide Formen verfolgen das Ziel, Konformität, Effektivität und Verbesserungspotenzial zu prüfen – aber sie unterscheiden sich in Akteuren, Zweck und Formalitäten.

Internes ISMS Audit

Ein internes ISMS Audit wird von Mitarbeitern im eigenen Unternehmen durchgeführt. Es ist Bestandteil der ISO 27001-Anforderung in Abschnitt 9.2, wonach interne Audits in geplanten Intervallen zu erfolgen haben.

Der interne Auditansatz dient primär dazu, nonkonforme Prozesse frühzeitig zu erkennen, Korrekturmaßnahmen einzuleiten und das ISMS kontinuierlich zu verbessern – also als ein Teil des internen Steuerungs- und Kontrollmechanismus.

Wichtig ist, dass interne Auditoren möglichst unabhängig von den Bereichen sind, die sie auditieren, um Interessenkonflikte zu vermeiden.

Externes ISMS Audit

Das externe ISMS Audit erfolgt durch externe, unabhängige Auditoren – beispielsweise durch akkreditierte Zertifizierungsstellen – mit dem Ziel einer offiziellen ISO 27001 Zertifizierung oder zur Überwachung (Surveillance).

Diese Audits sind formeller und anspruchsvoller: Dokumentation, Maßnahmen, Wirksamkeit und Nachweise werden im Detail geprüft.

Das externe Audit gliedert sich häufig in mehrere Phasen: ein Dokumentenprüfungsteil (Stage 1) und eine Vor-Ort-Prüfung (Stage 2).

Nach erfolgreichem Abschluss erhalten Organisationen die ISO 27001-Zertifizierung. Um diese zu behalten, sind regelmäßige Überwachungsaudits und letztlich eine Rezertifizierung notwendig.

Ablauf eines ISMS Audits

Der Auditprozess des ISMS folgt typischerweise einem strukturierten Schema, das Vorbereitung, Durchführung und Nachbereitung umfasst.

1. Vorbereitung (Plan / Pre-Audit)

Zu Beginn werden Umfang und Scope des Audits festgelegt: Welche Geschäftsbereiche, Prozesse, Standorte sollen geprüft werden? Außerdem definiert man die Auditziele, Kriterien und Zeitpläne.

Ein Auditplan oder Auditprogramm wird erstellt, Verantwortliche benannt und notwendige Vorab-Unterlagen (Richtlinien, Verfahrensanweisungen) angefordert.

Auch eine „Readiness Review“ oder interne Gap-Analysen können helfen, Schwachstellen vorher zu identifizieren und zu korrigieren – bevor externe Auditoren beginnen.

2. Durchführung (Do / Audit Execution)

In dieser Phase führen die Auditoren Interviews, Dokumentenprüfungen und Stichprobenprüfungen durch. Sie fordern Nachweise ein, untersuchen Prozesse und Kontrollen und bewerten, ob diese wirksam und normkonform sind.

Die Auditoren dokumentieren ihre Feststellungen – insbesondere Abweichungen (Nonkonformitäten), Beobachtungen und Empfehlungen.

3. Bericht & Analyse (Check)

Nach Abschluss der Auditaktivitäten erstellen die Auditoren einen Auditbericht mit Ergebnissen, Abweichungen und Vorschlägen für Korrekturmaßnahmen. Dieser Bericht wird der Leitung vorgelegt.

Das Unternehmen bewertet die Abweichungen, definiert Maßnahmen zur Korrektur und legt Fristen fest.

4. Nachbereitung und Korrekturmaßnahmen (Act)

Die identifizierten Abweichungen werden bearbeitet, dokumentiert und auf ihre Wirksamkeit hin geprüft. Oft wird in späteren Audits nachgeprüft, ob die Maßnahmen wirklich greifen.

Bei externen Audits kann es vorkommen, dass eine Zertifizierung nur bei Beseitigung der Haupt-Nonkonformitäten vergeben wird.

Tipps zur Vorbereitung auf ein ISMS Audit

Ein exzellenter Audit gelingt selten spontan – eine sorgfältige Vorbereitung ist entscheidend. Hier sind die wichtigsten Dinge, auf die Sie achten sollten:

  • Führen Sie vorab ein internes ISMS Audit oder eine Gap-Analyse durch, um Schwachstellen frühzeitig zu erkennen
  • Stellen Sie sicher, dass alle relevanten Dokumente aktuell sind (Sicherheitsrichtlinie, Verfahrensanweisungen, Records)
  • Halten Sie Nachweise bereit: Protokolle, Logs, Schulungsunterlagen, Änderungsverfahren
  • Schulen Sie Audit-Teams und Verantwortliche im Ablauf und in typischen Fragestellungen
  • Kommunizieren Sie offen mit Auditoren und stellen Sie Ansprechpartner für Rückfragen bereit
  • Vermeiden Sie Überraschungen: unklare Prozesse oder fehlende Nachweise wirken schnell negativ
  • Sorgen Sie für Management-Unterstützung und Ressourcen – Zeit, Personal, Zugriff auf Systeme

Wenn in Audits Schwachstellen entdeckt werden, sind schnelle und nachvollziehbare Korrekturmaßnahmen - deren Wirksamkeit dokumentiert werden sollte - essentiell.

Wer darf ein ISMS Audit durchführen?

Die Qualifikation eines Auditors ist entscheidend – sowohl bei internen als auch externen Audits.

Für interne Audits sollte die Person auditmethodisch kompetent sein, Erfahrung im ISMS haben und möglichst neutral gegenüber dem geprüften Bereich stehen.

Für ISO 27001 Audits im externen Rahmen müssen Auditoren für Zertifizierungsaudits durch akkreditierte Stellen zugelassen sein – entsprechend der Norm ISO/IEC 27006 (Anforderungen an Zertifizierungsstellen) und basierend auf Leitlinien wie ISO/IEC 27007 für Auditprogramme.

Zusätzlich sind Schulungen, Auditorenausbildungen, praktische Erfahrung und Unabhängigkeit zentrale Kriterien für die Kompetenz eines Auditors.

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte addieren Sie 3 und 2.

Copyright 2026. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung