ISO 27001 Audit & ISMS-Zertifizierung
Von der Gap-Analyse bis zur Zertifizierung: Alles für ein erfolgreiches ISO 27001 Audit in der Schweiz, Deutschland oder Österreich. Gap-Analyse ab CHF 1'400.
ISO 27001 Audit ab CHF 1'400Was ist ein ISO 27001 Audit?
Ein ISO 27001 Audit prüft, ob Ihr Information Security Management System (ISMS) die Anforderungen der ISO/IEC 27001:2022 erfüllt. Es gibt drei Audit-Typen:
- Internes Audit (1st Party): Selbstprüfung vor der Zertifizierung. Pflicht laut Standard, idealerweise durch externe Berater wie mich.
- Externes Audit (2nd/3rd Party): Durchgeführt von einer akkreditierten Zertifizierungsstelle (z.B. SGS, TÜV, Bureau Veritas).
- Re-Zertifizierungs-Audit: Alle 3 Jahre, mit jährlichen Überwachungsaudits (Surveillance).
ISMS: Das Fundament des Audits
Das Information Security Management System (ISMS) ist der systematische Ansatz, Informationssicherheit zu managen. Ein ISO 27001 Audit bewertet nicht nur technische Controls, sondern den gesamten Managementzyklus:
- Plan: Risikoanalyse, Schutzbedarfsfeststellung, Massnahmenplanung
- Do: Implementierung der Controls, Schulung, Dokumentation
- Check: Überwachung, interne Audits, Management Review
- Act: Korrekturmassnahmen, kontinuierliche Verbesserung
Ein Audit ohne fundiertes ISMS ist wertlos — das ISMS ist das Warum und Wie, der Audit das Ob.
ISO 27001 in der Schweiz — Spezifika
- FINMA-Rundschreiben 2018/3: Erwartet ein "angemessenes IKS" — ISO 27001 erfüllt diesen Nachweis.
- nDSG (neues Datenschutzgesetz): Art. 8 verlangt TOMs. Ein ISO 27001 ISMS deckt diese systematisch ab.
- Swiss ICT & Export: Viele Schweizer Enterprise-Kunden und internationale Partner verlangen ISO 27001-Zertifizierung.
Schweizer Tipp: Wählen Sie eine akkreditierte Zertifizierungsstelle mit Schweizer Niederlassung (SGS, TÜV SÜD, Bureau Veritas). Auditoren mit lokalem Know-how verstehen gleichzeitig FINMA- und nDSG-Anforderungen.
Audit-Prozess Schritt-für-Schritt
- Vorbereitung (4-8 Wochen): Gap-Analyse, Scope-Definition, Auditoren-Auswahl.
- Stage 1 Audit (Dokumentenprüfung): ISMS-Dokumentation, Verfahren, Risikoanalyse. Dauer: 1-2 Tage.
- Stage 2 Audit (Vor-Ort): Interviews, Prozessbeobachtung, technische Stichproben. Dauer: 2-5 Tage.
- Massnahmen & Follow-up: Behebung von Major/Minor Non-Conformities.
- Zertifikat & Überwachung: 3 Jahre gültig, jährliche Surveillance Audits.
Kosten für ISO 27001 Audits im DACH-Raum
| Leistung | CHF (Schweiz) | EUR (DE/AT) |
|---|---|---|
| Security Gap-Analyse (1 Tag) | ab CHF 1'400 | ab EUR 1'200 |
| ISMS Gap-Analyse (2-3 Tage) | CHF 3'000 – 6'000 | EUR 2'500 – 5'000 |
| Stage 1 + 2 Audit (extern) | CHF 8'000 – 25'000 | EUR 7'000 – 22'000 |
| Jährliches Surveillance | CHF 3'000 – 8'000 | EUR 2'500 – 7'000 |
Häufige Findings bei ISO 27001 Audits
- Risikoanalyse unvollständig: Fehlende Bedrohungsakteure, keine quantifizierten Eintrittswahrscheinlichkeiten.
- Statement of Applicability (SoA): Begründungen für ausgeschlossene Controls fehlen.
- Incident Management: Keine klaren Eskalationswege, keine dokumentierten Uebungen.
- Management Review: Formal ohne echte Entscheidungen oder Ressourcenallokation.
Audit-Tipp: Bereiten Sie für das Stage 2 Audit 3 konkrete Incident-Beispiele vor (auch geübte Tabletops). Auditoren fragen gezielt nach "Wie haben Sie reagiert, als...". Echte, anonymisierte Fälle überzeugen mehr als theoretische Playbooks.
Weiterführende Links
- ISMS-Audit — der systematische Aufbau eines Informationssicherheits-Managementsystems
- BSI IT-Grundschutz Audit — deutsche Alternative mit Schweizer Kompatibilität
- NIS2 & KRITIS Audit — für Unternehmen kritischer Infrastruktur
- Penetrationstest — technische Ergänzung zum Prozess-Audit
ISO 27001 Audit vorbereiten?
Ich führe Gap-Analysen durch, begleite bei der Zertifizierung und kombiniere Audits mit technischen Pentests.
Kontakt aufnehmen