Das interne Audit ist das wichtigste Selbstkontrollinstrument des ISMS. ISO 27001 macht es zur Pflicht. Ein gut durchgeführtes internes Audit deckt Schwachstellen auf, bevor externe Auditoren sie finden.
Was ist ein internes ISMS-Audit
Das interne Audit prüft ob das ISMS den Anforderungen der ISO 27001 und den eigenen Vorgaben entspricht und ob es wirksam umgesetzt ist. Ziel ist nicht Bestrafung sondern Verbesserung. Auditoren müssen unabhängig sein von den auditierten Bereichen — entweder interne Mitarbeiter anderer Abteilungen oder externe Auditoren.
Wie plant man ein internes Auditprogramm
Auditprogramm nach ISO 27001 Kap. 9.2: Häufigkeit und Umfang basierend auf Risiko und Bedeutung der Prozesse, alle ISMS-Bereiche mindestens jährlich abdecken, Auditoren benennen und schulen, Ressourcen einplanen (Zeitaufwand: 2–5 Tage pro Audit-Zyklus für KMU), Ergebnisse dokumentieren und verfolgen.
Welche Phasen hat ein internes Audit
Phase 1 Vorbereitung: Audit-Scope, Prüffragen, Checklisten, Termine, Dokumente anfordern. Phase 2 Durchführung: Dokumentenprüfung, Interviews mit Verantwortlichen, Stichproben, Beobachtungen. Phase 3 Berichterstattung: Findings klassifizieren (Major/Minor Nonconformity, Observation), Bericht erstellen. Phase 4 Follow-up: Korrekturmaßnahmen verfolgen.
Was sind Major und Minor Nonconformities
Major Nonconformity: wesentliche Abweichung, gefährdet Wirksamkeit des ISMS. Beispiel: keine Risikoanalyse vorhanden. Konsequenz: ISO-27001-Zertifizierung nicht möglich bis behoben. Minor Nonconformity: kleinere Abweichung, ISMS bleibt im Wesentlichen wirksam. Konsequenz: Korrekturmaßnahme erforderlich, aber keine sofortige Sperrung. Observation: kein Verstoß, aber Verbesserungspotenzial.
Wie qualifiziert man interne Auditoren
Interne Auditoren benötigen: Verständnis von ISO 27001 (durch Schulung oder Selbststudium), Audit-Methodenkenntnisse (ISO 19011), Unabhängigkeit vom auditierten Bereich, Vertrauenswürdigkeit und Objektivität. Externe Qualifizierung: ISO-27001-Lead-Auditor-Kurs (5 Tage). Alternativ: externe Auditoren beauftragen wenn intern nicht verfügbar.
✓ Checkliste: Wie läuft ein internes ISMS-Audit ab?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Wie läuft ein internes ISMS-Audit ab? ist für Unternehmen jeder Größe relevant. Professionelle Umsetzung schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen. APASEC begleitet Sie von der ersten Analyse bis zur nachhaltigen Implementierung.
APASEC unterstützt Sie — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Das interne Audit prüft ob das ISMS den Anforderungen der ISO 27001 und den eigenen Vorgaben entspricht und ob es wirksam umgesetzt ist. Ziel ist nicht Bestrafung sondern Verbesserung. Auditoren müssen unabhängig sein von den auditierten Bereichen — entweder interne Mitarbeiter anderer Abteilungen oder externe Auditoren.
Auditprogramm nach ISO 27001 Kap. 9.2: Häufigkeit und Umfang basierend auf Risiko und Bedeutung der Prozesse, alle ISMS-Bereiche mindestens jährlich abdecken, Auditoren benennen und schulen, Ressourcen einplanen (Zeitaufwand: 2–5 Tage pro Audit-Zyklus für KMU), Ergebnisse dokumentieren und verfolgen.
Phase 1 Vorbereitung: Audit-Scope, Prüffragen, Checklisten, Termine, Dokumente anfordern. Phase 2 Durchführung: Dokumentenprüfung, Interviews mit Verantwortlichen, Stichproben, Beobachtungen. Phase 3 Berichterstattung: Findings klassifizieren (Major/Minor Nonconformity, Observation), Bericht erstellen. Phase 4 Follow-up: Korrekturmaßnahmen verfolgen.
Major Nonconformity: wesentliche Abweichung, gefährdet Wirksamkeit des ISMS. Beispiel: keine Risikoanalyse vorhanden. Konsequenz: ISO-27001-Zertifizierung nicht möglich bis behoben. Minor Nonconformity: kleinere Abweichung, ISMS bleibt im Wesentlichen wirksam. Konsequenz: Korrekturmaßnahme erforderlich, aber keine sofortige Sperrung. Observation: kein Verstoß, aber Verbesserungspotenzial.
Interne Auditoren benötigen: Verständnis von ISO 27001 (durch Schulung oder Selbststudium), Audit-Methodenkenntnisse (ISO 19011), Unabhängigkeit vom auditierten Bereich, Vertrauenswürdigkeit und Objektivität. Externe Qualifizierung: ISO-27001-Lead-Auditor-Kurs (5 Tage). Alternativ: externe Auditoren beauftragen wenn intern nicht verfügbar.