ISO 27001 AUDIT

ISO 27001 Audit.
Bestanden im ersten Anlauf.

Vom Stage-1-Audit bis zur Rezertifizierung — der komplette 3-Jahres-Zyklus plus Software-Unterstützung. Matproof-Kunden bestehen die Erstzertifizierung zu über 95 Prozent im ersten Anlauf.

Audit-Demo buchenKosten verstehen

3-Jahres-Zyklus · Stage 1 + Stage 2 · Überwachungsaudits · Rezertifizierung

Der 3-Jahres-Audit-Zyklus.

Jahr 0 · Stage 11-2 TageDokumentations-Audit: SoA, Richtlinien, Risikoanalyse, Management-Review auf Auditreife geprüft.
Jahr 0 · Stage 23-5 TageZertifizierungs-Audit: operative Umsetzung, Interviews, Evidenz, Prozessverfolgung.
Jahr 1 · Überwachung1-2 TageReduzierte Prüfung: Controls-Stichprobe, Veränderungen, Findings aus Vorjahr.
Jahr 2 · Überwachung1-2 TageFokus auf neue Bereiche und Follow-up Findings.
Jahr 3 · Rezertifizierung2-3 TageVollständige Prüfung zur Verlängerung des Zertifikats um drei weitere Jahre.

Die acht häufigsten Audit-Findings — und wie Matproof sie verhindert.

01

Richtlinien veraltet

Versionshistorie fehlt, letzte Review >12 Monate her.

02

Risikoanalyse nicht aktuell

Keine klare Behandlungsentscheidung pro Risiko dokumentiert.

03

Asset-Inventar lückenhaft

Cloud-Ressourcen, Shadow IT, ausgeschiedene Assets nicht gepflegt.

04

Zugriffsrechte ungeprüft

Keine regelmäßigen Access-Reviews. Ex-Mitarbeiter noch aktiv.

05

Lieferanten-Due-Diligence unvollständig

Keine Dokumentation zu kritischen Dienstleistern.

06

Incident-Log fehlt

Sicherheitsvorfälle nicht revisionssicher erfasst.

07

Schulungsnachweise unvollständig

Keine personenbezogene Dokumentation von Awareness-Trainings.

08

Management-Review nicht dokumentiert

Protokoll, Beschlüsse und Follow-ups nicht nachvollziehbar.

Häufige Fragen

Was ist der Unterschied zwischen Stage 1 und Stage 2 Audit?+

Das Stage-1-Audit (auch Vorbereitungs- oder Dokumentations-Audit) prüft, ob Ihr ISMS auditreif ist: Richtlinien vollständig, SoA (Statement of Applicability) erstellt, Risikoanalyse durchgeführt, Managementreview stattgefunden. Dauer: 1-2 Tage. Wird Stage 1 bestanden, folgt Stage 2 (Zertifizierungs-Audit): detaillierte Prüfung der operativen Umsetzung — Interviews mit Mitarbeitenden, Evidenz-Kontrolle, Prozess-Nachverfolgung. Dauer: 3-5 Tage bei mittelständischen Unternehmen.

Wie oft finden ISO-27001-Audits statt?+

Der Zertifizierungs-Zyklus dauert drei Jahre: Stage-1- und Stage-2-Erstaudit (Jahr 0), Überwachungsaudits in Jahr 1 und 2 (je 1-2 Tage), Rezertifizierungsaudit in Jahr 3 (2-3 Tage). Zwischen den externen Audits sind interne Audits Pflicht — mindestens ein umfassendes internes Audit pro Jahr, idealerweise quartalsweise auf Teilbereiche. Matproof automatisiert die interne Audit-Planung und dokumentiert die Durchführung.

Welche typischen Findings tauchen in ISO-27001-Audits auf?+

Die häufigsten Non-Conformities: (1) Unvollständige oder veraltete Richtlinien. (2) Risikoanalyse nicht aktuell oder ohne klare Behandlungsentscheidung. (3) Asset-Inventar lückenhaft oder nicht gepflegt. (4) Zugriffsrechte nicht regelmäßig überprüft. (5) Lieferanten-Due-Diligence unvollständig. (6) Incident-Log fehlt oder ist nicht revisionssicher. (7) Schulungsnachweise unvollständig. (8) Managementreview nicht dokumentiert. Alle acht Bereiche werden durch Matproof automatisch überwacht und pro-aktiv gewarnt, bevor der Auditor sie findet.

Wie bereite ich mich auf ein ISO-27001-Audit vor?+

Vier Wochen vor dem Audit: (1) SoA und Risikoanalyse aktualisieren und vom Management freigeben lassen. (2) Internes Audit durchführen, Findings schließen. (3) Nachweise zentral ablegen und indizieren — jede Control muss mit Evidenz belegbar sein. (4) Stichprobe von Mitarbeiter-Interviews simulieren. (5) Dokumenten-Check: alle Richtlinien aktuell, versioniert, freigegeben. Matproof automatisiert 60-80 % dieser Vorbereitung. Kunden berichten typisch von 2-3 Tagen statt 2-3 Wochen Audit-Prep.

Was kostet ein externes ISO-27001-Audit?+

Die Tagessätze akkreditierter Auditoren in Deutschland liegen bei 1.500-2.500 EUR. Typisches Erstaudit für ein Unternehmen mit 100 MA: Stage 1 (1-2 Tage, 3.000-5.000 EUR), Stage 2 (3-5 Tage, 7.500-12.500 EUR). Summe: 10.000-17.500 EUR. Jährliche Überwachungsaudits: 1-2 Tage, 3.000-5.000 EUR jeweils. Rezertifizierung: 2-3 Tage, 5.000-7.500 EUR. Zertifizierungsstellen wie TÜV Süd, TÜV Rheinland, DEKRA, DQS, LRQA bieten vergleichbare Preise — Angebote vergleichen spart typisch 20-30 %.

Was ist ein akkreditierter ISO-27001-Auditor?+

Nur Audit-Gesellschaften, die von einer nationalen Akkreditierungsstelle (in Deutschland: DAkkS) für ISO 27001 akkreditiert sind, dürfen Zertifikate ausstellen. Auditoren benötigen eigene Qualifikationen: IRCA-, BSI- oder ISC2-Zertifizierungen wie CISA, CISM, ISO 27001 Lead Auditor. Vor der Auswahl eines Auditors prüfen: aktuelle DAkkS-Akkreditierung (öffentlich auf dakks.de), Referenzen in Ihrem Sektor, Sprachkompetenz (DE/EN), Verfügbarkeit innerhalb Ihres Zeitplans. Matproof hat ein Partner-Netzwerk aus akkreditierten Audit-Gesellschaften.

Wie unterstützt Matproof das ISO-27001-Audit?+

Fünf Bereiche: (1) Auditfähige Nachweis-Pakete auf Knopfdruck — vollständig, indiziert, mit Zeitstempel. (2) SoA- und Risikoanalyse-Templates, die automatisch aktualisiert werden, wenn Controls sich ändern. (3) Pre-Audit-Checkliste, die typische Non-Conformities pro-aktiv warnt. (4) Prüfer-Portal mit zeitlich begrenztem Read-only-Zugriff — kein Nachweis-Hin-und-Her per E-Mail. (5) Internes Audit-Modul mit Workflow-Unterstützung. Matproof-Kunden bestehen die Erstzertifizierung im ersten Anlauf zu über 95 Prozent.

Audit-Bereitschaft auf Knopfdruck.

Matproof zeigt Ihnen jeden Tag Ihren aktuellen Audit-Status. Vor dem externen Audit liefert das System ein komplettes Nachweis-Paket auf Knopfdruck — 60-80 % weniger Audit-Vorbereitungsaufwand.

Demo buchenISO 27001 Software ansehen →