Internes Audit nach ISO 27001:2022

Interne Audits sind ein zentraler Bestandteil der ISO 27001-Compliance (aktuell ISO 27001:2022 bzw. ISO 27001:2024) und bilden die Grundlage für ein robustes Informationssicherheits-Managementsystem (ISMS) in Ihrem Unternehmen. Sie ermöglichen es Ihnen, proaktiv Schwachstellen zu erkennen, bevor es zu Sicherheitsvorfällen kommt, und liefern dem Management die notwendigen Informationen für fundierte Entscheidungen zur kontinuierlichen Verbesserung.

Im Folgenden beantworten wir die fünf wichtigsten Themen, die im Zusammenhang mit der Durchführung interner Audits nach ISO 27001 am häufigsten zu Fragen führen.

1. Die Anforderungen der ISO 27001:2022

Die grundlegenden Anforderungen an das interne Audit sind in Kapitel 9.2 der ISO 27001 festgelegt. Hierbei handelt es sich um eine normative Anforderung des Standards.

Ihre Organisation muss in festgelegten Abständen interne Audits durchführen. Dabei empfehlen wir dies mindestens einmal jährlich zu tun.

Das Ziel des Audits, wie in Klausel 9.2 beschrieben, ist es, zu ermitteln, ob Ihr ISMS folgende Kriterien erfüllt:

  • Konformität mit den eigenen Anforderungen: Das ISMS muss den eigenen Anforderungen, Richtlinien und Verfahren Ihrer Organisation entsprechen.
  • Konformität mit der ISO 27001: Das ISMS muss die Anforderungen der internationalen Norm ISO 27001 (einschließlich der normativen Klauseln 4 bis 10 und der Kontrollmaßnahmen in Anhang A) erfüllen.
  • Wirksame Implementierung und Aufrechterhaltung: Es muss ordnungsgemäß umgesetzt und regelmäßig überprüft werden.

Darüber hinaus fordert die Norm, dass Sie folgende Punkte sicherstellen:

  • Auditprogramm: Sie müssen ein Auditprogramm planen, festlegen, durchführen und aufrechterhalten.
  • Kriterien und Umfang: Für jedes Audit müssen die Auditkriterien und der Umfang festgelegt werden.
  • Auditoren: Die Auditoren müssen so ausgewählt werden, dass Objektivität und Unparteilichkeit gewährleistet sind.
  • Berichterstattung: Die Ergebnisse der Audits müssen dem relevanten Management gemeldet werden.
  • Dokumentation: Die Audit-Ergebnisse müssen dokumentiert und als Nachweis aufbewahrt werden.

2. Interne Audits richtig umsetzen

Ein internes Audit ist ein strukturierter Prozess, der typischerweise in fünf Phasen unterteilt wird: Planung, Durchführung, Berichterstattung/Analyse, Nachbereitung/Management Review und Nachprüfung der Feststellungen.

Inhalt des Audits

Im Fokus des Audits steht das Informationssicherheits-Managementsystem Ihrer Organisation. Die Überprüfung muss Folgendes umfassen:

  1. Die Management-System-Elemente (Klauseln 4 bis 10 der ISO 27001).
  2. Die Kontrollen des Anhang A auf Basis der SoA.
  3. Die internen Richtlinien und Prozesse Ihrer Organisation (Policy Validation).

Der Auditplan und das Auditprogramm

Das Auditprogramm legt den Rahmen für alle internen Audits fest, einschließlich der Ziele, des Umfangs und der Häufigkeit über einen bestimmten Zeitraum. Das Programm sollte die Wichtigkeit der Prozesse und die Ergebnisse früherer Audits berücksichtigen.

Der Auditplan ist das detailliertere Dokument für ein spezifisches Audit. Bei der Erstellung des Auditplans müssen Sie den Zeitrahmen und die benötigten Ressourcen festlegen, die Ziele definieren und die Auditoren benennen.

Der Umfang (Scope) des Audits

Der Umfang eines internen Audits muss mit dem festgelegten Geltungsbereich Ihres Managementsystems übereinstimmen. Bei der Planung des Auditumfangs sollten die Ergebnisse des Risikomanagements einfließen:

  • Risikobasierte Priorisierung: Bereiche und Kontrollen, die höhere Risiken für die Organisation darstellen, sollten häufiger und detaillierter auditiert werden.
  • Abstimmung: Der Umfang muss mit den Anforderungen Ihrer Organisation übereinstimmen. Er kann Prozesse (z. B. Änderungen an IT-Systemen), Funktionen (z. B. Personalabteilung), physische Standorte oder Systeme (z. B. CRM) umfassen.
  • Flexibilität: Der Auditplan sollte flexibel sein, um auf wesentliche Änderungen in der Organisation, neue Produkte, Vorfälle oder externe Änderungen (z. B. in der Gesetzgebung) reagieren zu können.

3. Die Anforderungen an den Auditor

Ein internes Audit wird im Gegensatz zum externen Zertifizierungsaudit typischerweise von internen Mitarbeitenden der Organisation durchgeführt (auch als "1st Party Audit" bezeichnet).

Anforderungen an Auditoren

Die ISO 27001 stellt klare Anforderungen an die Auswahl der Auditoren, um die Qualität und Verlässlichkeit der Ergebnisse zu sichern.

  1. Unabhängigkeit und Unparteilichkeit: Der Auditor muss unparteiisch und unabhängig sein. Dies bedeutet, dass die Person nicht den Bereich bewerten darf, den sie selbst mitgestaltet oder implementiert hat oder operative Kontrolle darüber besitzt, um Interessenskonflikte zu vermeiden.
  2. Kompetenz: Der Auditor sollte über die erforderliche Sachkenntnis (Kompetenz) verfügen, um die Rolle auszuführen. Es ist üblich, Kriterien für die Auswahl kompetenter, unabhängiger und objektiver Auditoren festzulegen.

Optionen für Auditoren

  • Interne Mitarbeiter: Sie können interne Kräfte auswählen, die entsprechend ausgebildet wurden oder bereits Erfahrung als Auditoren besitzen.
  • Externe Hilfe: Sie können die Aufgabe an einen spezialisierten Dienstleister oder externen Berater auslagern. Selbst wenn eine externe Partei das Audit durchführt, gilt es dennoch als internes Audit. Die Auslagerung kann die erforderliche Unabhängigkeit bieten.

TÜV-zertifizierter Lead-Auditor

Als TÜV-zertifizierter Lead-Auditor unterstützt ND Concepts Unternehmen bei der Planung und Durchführung von Audits. Unsere Audits richten sich dabei stets nach dem internationalen Standard ISO 19011:2018, um eine hohe Qualität zu gewährleisten. Bei Bedarf unterstützen wir Sie in den verschiedenen Phasen Ihrer internen Audits.

Vereinbaren Sie ein unverbindliches Kennenlernen und sprechen Sie mit uns über Ihre Anforderungen. Jetzt anfragen!

4. Interne Audits erfolgreich nachweisen

Die Ergebnisse und Nachweise des internen Audits müssen dokumentiert und als Aufzeichnungen aufbewahrt werden. Fehlende Auditberichte können bei der externen Zertifizierungsprüfung zu einer signifikanten Hauptabweichung führen, welche die Ausstellung eines Zertifikats verhindern könnte.

Ein Auditbericht dient als Nachweis für ein gelebtes Managementsystem der Informationssicherheit nach ISO 27001 und als wichtige Informationsquelle für das Management Review.

Wesentliche Dokumentationen und Ergebnisse

Zu den wesentlichen Nachweisen, die aus dem Auditprozess resultieren sollten, gehören:

  • Auditbericht: Ein umfassender Bericht über die Ergebnisse. Dieser sollte eine Zusammenfassung der wichtigsten Ergebnisse, eine detaillierte Analyse der Ergebnisse, Schlussfolgerungen und Vorschläge zur Verbesserung enthalten.
  • Festgestellte Nichtkonformitäten (Abweichungen): Der Bericht muss festgestellte Nichtkonformitäten (Abweichungen von den Soll-Anforderungen) und Möglichkeiten zur Verbesserung erfassen und klassifizieren.
  • Korrekturmaßnahmen und deren Umsetzung: Alle erkannten Abweichungen sollten in einer Liste gesammelt und priorisiert angegangen werden. Die Organisation muss die Umsetzung der Verbesserungen und Korrekturen dokumentieren.
  • Audit-Protokolle/Gesprächsaufzeichnungen: Dokumentation darüber, wer kontaktiert wurde, was besprochen wurde und welche Nachweise vorliegen. Der Auditor sammelt Beweise durch Beobachtungen, Interviews und Dokumentanalysen.

5. Internes Audit vs. Zertifizierungs-Audit

Auf dem Weg zur ISO 27001-Compliance unterscheidet sich das interne Audit fundamental vom Zertifizierungsaudit.

Das interne Audit, oft als "1st Party Audit" bezeichnet, dient primär der internen Selbstüberprüfung. Es wird von eigenen internen Auditoren oder einem beauftragten externen Berater durchgeführt, muss aber die Objektivität und Unparteilichkeit des Prüfers gewährleisten. Der Zweck ist die detaillierte Bewertung Ihres ISMS und die Identifizierung von Schwachstellen und Verbesserungspotenzialen.

Das Zertifizierungsaudit ist hingegen ein externes "3rd Party Audit", das von einer akkreditierten externen Zertifizierungsstelle durchgeführt wird. Es dient der formellen, unabhängigen Bewertung zur Erteilung oder Aufrechterhaltung der ISO 27001-Zertifizierung.

Umfang des internen Audit vor der Erstzertifizierung

Die Durchführung interner Audits ist eine normative Anforderung der ISO 27001 (Klausel 9.2). Das interne Audit ist die wichtigste Informationsquelle für das Management-Review, das die Eignung und Bereitschaft für das externe Audit bewertet.

Vor dem externen Stage 2 Zertifizierungsaudit muss das interne Audit abgeschlossen sein. Der Umfang muss dabei die gesamte Konformität Ihres ISMS abdecken, einschließlich der normativen Klauseln 4 bis 10 und der Kontrollmaßnahmen in Anhang A (basierend auf der SoA). Dies gibt dem Unternehmen Zeit, festgestellte Probleme zu beheben.

Wenn die Auditberichte in der Dokumentation des Managementsystems fehlen, wird der leitende Auditor der Zertifizierungsstelle dies als signifikante Hauptabweichung melden, was die Ausstellung eines Zertifikats verhindern würde. Wir empfehlen, das interne Audit etwa zwei bis drei Monate vor der externen Zertifizierung abzuschließen.

Fazit

Das interne Audit ist der entscheidende Indikator für die dauerhafte Wirksamkeit Ihres gesamten Informationssicherheits-Managementsystems. Es ist nicht lediglich eine formelle Anforderung der ISO 27001, sondern die zentrale, proaktive Selbstprüfung Ihrer Organisation.

Wer interne Audits systematisch und risikobasiert plant und die Unabhängigkeit und Unparteilichkeit der Auditoren sicherstellt, erhält belastbare Nachweise über die Funktionalität und damit Wirksamkeit der umgesetzten Sicherheitsmaßnahmen und des Managementsystems. Diese Nachweise dienen dem Management als Grundlage, um im Rahmen des Management Review fundierte Entscheidungen zur kontinuierlichen Verbesserung treffen zu können.

Als Berater betonen wir stets: Betrachten Sie das interne Audit als strategischen Vorteil. Denn die identifizierten Abweichungen sorgen nicht nur für Nichtkonformitäten im Zertifizierungsaudit, sondern stellen oft Schwachstellen dar, die Ihr Unternehmen gefährden. Sorgen Sie demnach stets dafür, dass Ihre internen Audits von höchster Qualität sind.

Sollten Sie Bedarf an einer persönlichen Beratung zum Thema Audits haben, kommen Sie gerne auf uns zu.

ND Concepts • 26. Oktober 2025

Informationssicherheit aus Köln

Sie brauchen Unterstützung?

ND Concepts unterstützt Sie in den Bereichen Informationssicherheit, Security Awareness und IT-Compliance. Durch die Umsetzung nachweisbarer und alltagstauglicher Informationssicherheit schützen Sie Ihr Unternehmen effektiv vor Cyberbedrohungen und erfüllen vertragliche und regulatorische Anforderungen. 

In unserem unverbindlichen Expertengespräch können Sie Ihre Fragen und aktuellen Herausforderungen mit uns besprechen. Gemeinsam finden wir die passende Lösung zum Schutz Ihres Unternehmen.

Kostenloses Expertengespräch vereinbaren

Mehr über Informationssicherheit

10 Tipps für Informationssicherheit: alltagstauglich & nachweisbar

von ND Concepts 14. Oktober 2025
So verankern Sie Informationssicherheit alltagstauglich und nachweisbar: Daten klug klassifizieren, Rollen klären, Meldekultur stärken, KI-Einsatz steuern und Lieferanten absichern.

Metadaten, Schatten-IT, NIS-2: Was heute alles zu sicherer Kommunikation gehört

von Teamwire (Gastbeitrag) 6. Oktober 2025
Sichere Kommunikation im Kontext von NIS-2 und DSGVO. Schatten-IT vermeiden und Metadaten schützen. Reicht eine Ende-zu-Ende-Verschlüsselung aus?

Cybersicherheit ist Chefsache: Die Rolle der Geschäftsführung

von ND Concepts 30. Mai 2025
Cybersicherheit beginnt nicht in der IT. Sie entsteht dort, wo die Geschäftsleitung klare Signale setzt und das Thema regelmäßig aufgreift.
Mehr anzeigen