Home/ Wissensdatenbank/ ISO 27001/ Wie bereitet man sich auf ein ISO-27001-Audit vor?
ISO 27001

Wie bereitet man sich auf ein ISO-27001-Audit vor?

Viele Unternehmen unterschätzen die Vorbereitung auf ein ISO-27001-Audit. Wer erst 4 Wochen vorher beginnt, wird Nichtkonformitäten kaum noch beheben können. Dieser Artikel gibt einen strukturierten 6-Monats-Vorbereitungsplan und erklärt, worauf erfahrene Auditoren besonders achten.

⏱ Lesedauer: ca. 10 Min. 📅 Aktualisiert: Juni 2026 ✍️ APASEC Consulting

6-Monats-Plan zur Auditvorbereitung

ZeitraumSchwerpunktMaßnahmen
6 Monate vorVollständigkeitsprüfungAlle Pflichtdokumente prüfen, Lücken identifizieren
5 Monate vorRisikobewertung aktualisierenRisikoregister aktualisieren, SoA reviewen
4 Monate vorInternes AuditVollständiges internes Audit durchführen
3 Monate vorKorrekturmaßnahmenAlle Befunde aus internem Audit beheben
2 Monate vorManagement-ReviewFormales Management-Review durchführen und dokumentieren
1 Monat vorFeinschliffNachweise prüfen, Mitarbeiter briefen, Auditor-Fragen üben

Pflichtdokumente: Was der Auditor sehen will

Folgende Dokumente sind in ISO 27001 explizit gefordert und werden von Auditoren immer geprüft:

  • ISMS-Geltungsbereich (Scope)
  • Informationssicherheitsrichtlinie
  • Risikobeurteilungsprozess
  • Risikobehandlungsplan (RTP)
  • Statement of Applicability (SoA)
  • Sicherheitsziele
  • Kompetenznachweis (Schulungen)
  • Interne Audit-Ergebnisse
  • Management-Review-Protokoll
  • Nichtkonformitäten und Korrekturmaßnahmen

Betriebsnachweise: Was der Auditor im Stage-2 sucht

Auditoren prüfen nicht nur Dokumente, sondern Nachweise aus dem Betrieb:

  • Log-Dateien für Sicherheitsereignisse
  • Schulungsnachweise aller relevanten Mitarbeiter
  • Patch-Management-Nachweise (Was wurde gepatcht, wann?)
  • Zugriffsrechtsprüfungen (Wer hat Zugriff auf was?)
  • Lieferantenbewertungen
  • Incident-Register (auch wenn keine Vorfälle — zeigt Betrieb des Prozesses)

Tipp: Sammeln Sie Betriebsnachweise kontinuierlich, nicht erst vor dem Audit. Ein Auditor erkennt sofort, wenn Nachweise kurz vor dem Audit „zusammengestellt“ wurden.

Mitarbeitervorbereitung: Interviews souverän bestehen

Auditoren führen Interviews mit Mitarbeitern aus verschiedenen Abteilungen. Typische Fragen:

  • Welche Sicherheitsrichtlinien kennen Sie?
  • Was tun Sie bei einem Sicherheitsvorfall?
  • Wie erhalten Sie Zugriff auf Systeme?
  • Wer ist für die Informationssicherheit zuständig?

Vorbereitung: Kurze Briefings für Mitarbeiter die Interviews erwarten. Keine Auswendiglernerei — Auditoren schätzen echte Antworten die zeigen, dass Prozesse tatsächlich gelebt werden.

Voraudit: Trockenlauf vor dem Ernst

Ein Voraudit durch einen externen Berater 3–4 Monate vor der Zertifizierung ist eine bewährte Investition. Der Berater prüft das ISMS mit Auditorenblick und identifiziert Schwachstellen bevor der Zertifizierungsauditor sie findet. Kosten: 3.000–8.000 € — gut angelegtes Geld gegenüber einer gescheiterten Zertifizierung.

Fazit: Vorbereitung ist kein Sprint

Sechs Monate Vorlaufzeit sind das Minimum für eine strukturierte Auditvorbereitung. Unternehmen, die kontinuierlich an ihrem ISMS arbeiten, haben den Vorteil: Für sie ist das Audit keine Notfallsituation, sondern die formale Bestätigung gelebter Sicherheit. Wer das ISMS nur für Audits pflegt, wird das immer wieder spüren — in Form von Nichtkonformitäten und Nacharbeiten.

Checkliste: Wie bereitet man sich auf ein ISO-27001-Audit vor?

  • 6-Monats-Vorbereitungsplan erstellen und verfolgen
  • Alle Pflichtdokumente vollständig und aktuell bereitstellen
  • Betriebsnachweise kontinuierlich sammeln
  • Internes Audit 4 Monate vor Zertifizierung durchführen
  • Alle Befunde aus internem Audit vor Stage 2 beheben
  • Management-Review 2 Monate vor Audit abhalten
  • Mitarbeiter auf Auditor-Interviews vorbereiten
  • Voraudit durch externen Berater durchführen
  • SoA und Risikoregister aktualisieren
  • Zertifizierungsstelle rechtzeitig beauftragen und Termine abstimmen

Häufig gestellte Fragen

Ein ISO-27001-Auditor prüft in Stage 1 die Dokumentation (Vollständigkeit, Qualität) und in Stage 2 die Implementierung durch Interviews, Dokumentensichtung, Betriebsnachweise und physische Begehungen.

Eine Nichtkonformität ist eine Abweichung von einer ISO-27001-Anforderung. Major Non-Conformities verhindern die Zertifizierung und müssen behoben werden. Minor Non-Conformities erfordern Korrekturmaßnahmen innerhalb definierter Fristen.

Begrenzt — bei Minor Non-Conformities ist Nachreichung oft möglich. Bei Major Non-Conformities reicht Nachreichung nicht aus; hier ist eine vollständige Behebung und ggf. ein Nachaudit erforderlich.

Ein Voraudit durch einen externen Berater kostet je nach Umfang 3.000–8.000 €. Der Aufwand umfasst typisch 2–4 Beratertage für Dokumentenprüfung, Stichproben-Interviews und Befundbericht.

Stage-2-Audits dauern je nach Scope und Mitarbeiterzahl 2–5 Audittage. Für ein KMU mit 50–100 Mitarbeitern sind typischerweise 3 Audittage einzuplanen.

Verwandte Themen

ISO 27001ISO 27001 ZertifizierungISO 27001Internes Audit ISMSISO 27001ISO 27001 AnforderungenISO 27001Was ist ISO 27001?ISO 27001Security Audit

Verwandte Begriffe

ISO 27001 Audit VorbereitungISMS Zertifizierung vorbereitenISO 27001 PflichtdokumenteAuditvorbereitung ISMSISO 27001 VorauditISMS Audit ChecklisteNichtkonformität ISO 27001Stage 2 AuditISMS BetriebsnachweiseZertifizierungsaudit Vorbereitung