ISMS Begleitung als interner Auditor nach ISO 27001:2022

ISO/IEC 27001:2022 interner Auditor

pecb iso/iec 27001 lead auditor certification badge

Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.

  • Objektiv, bodenständig und 100 % persönlich.
  • Ohne den Teufel an die Wand zu malen.
  • Dinge genau unter die Lupe nehmen, Fehler beim Namen nennen und vorausschauend arbeiten.
  • Technik und Compliance aus einer Hand.
  • Immer in Zusammenarbeit mit Ihrem IT-Team.
  • Mit tiefgreifendem IT-Security Wissen aus der Praxis.
  • Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
  • Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
  • Mit intensivem Know-how der CIS Critical Security Controls®.
  • Bei Bedarf, 24x7!
  • In Oberhausen/NRW ansässig, in Deutschland zu Hause.

ISMS Begleitung als interner Auditor nach ISO/IEC 27001:2022

Interne Audits und dessen Planung sind verpflichtend (siehe auch Abschnitt 9.2 der ISO/IEC 27001:2022) und können sehr komplex sein. Wie bei einem ISMS üblich, richtet sich ein internes Auditprogramm

nach der Größe und Komplexität des Unternehmens. 1:1 Vorlagen gibt es nicht (jedes Unternehmen ist einzigartig), daher ist eine gemeinsame Planung mit allen beteiligten Personen eines ISMS nötig.


Interne Audits haben unter anderen das Ziel, zu prüfen, ob ein ISMS funktioniert und ggf. Optimierungen vorzuschlagen (bevor ein Zertifizierungsaudit stattfindet). Um dies zu erreichen, müssen interne Auditoren fachlich geeignet und objektiv sein. Interne Auditoren sollten nicht Tätigkeiten bzw. Abschnitte bewerten, für die diese selbst verantwortlich sind. Auch ist es unabdingbar, dass interne Auditoren Zugang zu allen Ressourcen erhalten.


Grob geschildert, läuft ein internes Audit wie folgt ab:

Planung und Vorbereitung, Durchführung, Bewertung der Ergebnisse, Report erstellen, Kontrolle der Verbesserung.


Die ISO/IEC 27001:2022 schreibt nicht vor, wie häufig ein internes Audit stattfinden muss. Im Internet liest man häufig „1x im Jahr“ oder auch „alle 3x Jahre“. Solche pauschalen Aussagen halte ich für unpassend.


Lassen Sie mich das wie folgt begründen:
Ein ISMS nach ISO/IEC 27001:2022 ist extremst komplex und umfangreich, dessen Wirksamkeit nur 1x im Jahr zu überprüfen ist meiner Meinung nach fernab des machbaren. 1x im Jahr, da kann man Stichprobenartig manche Abschnitte prüfen, jedoch nicht das komplette ISMS. Eine Tätigkeit des internen Auditors ist u.a., die zahlreichen Dokumente und Richtlinien zu überprüfen. Dies alles „auf einmal“, einmal pro Jahr zu tun, sehe ich als unrealistisch an. Man beachte, zwischen dem ersten internen Audit und dem zweiten, liegen 12 Monate! Die essenzielle Prozess-Routine kann mit einmaligen Abläufen sich nicht festigen, schlimmer noch, Ungereimtheiten bei einem Auditprogramm können so nicht wirklich festgestellt bzw. korrigiert werden.


Meine Empfehlung ist es, kurzfristige und langfristige Prüfungsziele zu definieren und gemeinsam einen realistischen Prüfplan zu entwickeln. Und, interne Audits kontinuierlich durchzuführen. Individuelle Auditprogramme, können sich so entwickeln und werden zur Routine. Der Kerngedanke eines jeden ISMS ist die dauerhafte Überwachung, Kontrolle und Optimierung.


Gerne unterstütze ich Sie hierbei. Projektbezogen und strukturiert, begleite ich Sie gerne über Jahre hinweg. Kontaktieren Sie mich und wir besprechen die individuellen Optionen.


Kontaktieren Sie mich
Share by: