Login Registrieren
Lernen / ISO/IEC 27001 — ISMS-Tutorial / Zertifizierung & Audit

Zertifizierung & Audit

Grundlagen

Was bedeutet „zertifiziert"?

Eine Zertifizierung nach ISO/IEC 27001 ist die unabhängige Bestätigung, dass das ISMS einer Organisation die Anforderungen der Norm erfüllt. Ausgestellt wird das Zertifikat von einer akkreditierten Zertifizierungsstelle – nicht von der Organisation selbst und nicht von ISO. In Deutschland überwacht z. B. die DAkkS die Akkreditierung solcher Stellen.

Interne vs. externe Audits

Audit-TypWer prüftZweck
1st Party (intern)eigene, unabhängige AuditorenSelbstkontrolle (Klausel 9.2)
2nd PartyKunde/Partner prüft LieferantenLieferantenbewertung
3rd Party (extern)akkreditierte ZertifizierungsstelleZertifizierung

Der Weg zum Zertifikat

Die externe Zertifizierung läuft in klaren Stufen:

  • Stage 1 (Dokumentenprüfung): Der Auditor prüft, ob die Pflichtdokumente vorhanden und schlüssig sind (Scope, Politik, Risikobeurteilung, SoA …) und ob die Organisation „audit-reif" ist.
  • Stage 2 (Umsetzungsaudit): Vor Ort wird geprüft, ob das ISMS tatsächlich gelebt wird – durch Stichproben, Interviews und Nachweise.
  • Zertifikat: Bei Erfolg wird es ausgestellt und ist drei Jahre gültig.
  • Überwachungsaudits: In Jahr 1 und 2 prüfen jährliche Surveillance-Audits, dass das ISMS weiterläuft.
  • Re-Zertifizierung: Nach drei Jahren beginnt der Zyklus mit einem vollständigen Audit von vorn.
Stage 1 ─► Stage 2 ─► Zertifikat ─► Surveillance (J1) ─► Surveillance (J2) ─► Re-Zert (J3)
                       └──────────────── 3 Jahre gültig ────────────────┘

Abweichungen (Nonconformities)

Findet der Auditor Lücken, dokumentiert er Abweichungen:

  • Major – schwerwiegend; verhindert die Zertifizierung, bis sie behoben ist.
  • Minor – kleinere Lücke; muss mit einem Korrekturplan adressiert werden.
  • Beobachtung / Verbesserungspotenzial – Hinweis ohne Pflicht zur sofortigen Korrektur.

Wie die Organisation mit Abweichungen umgeht, regelt Klausel 10 (Nichtkonformität & Korrekturmaßnahmen).

Lohnt sich das?

Ein Zertifikat ist oft ein Türöffner: Ausschreibungen verlangen es, Kunden sparen sich eigene Audits, und intern schafft es Struktur. Wichtig: Zertifiziert wird das Managementsystem, nicht jedes einzelne technische Detail – ein Zertifikat ist kein Versprechen absoluter Sicherheit, sondern der Nachweis eines funktionierenden Prozesses.

Wie lange ist ein ISO/IEC-27001-Zertifikat üblicherweise gültig?

Risikoansatz & PDCA Aufbau: Klauseln 4–10