Viele Unternehmen sind vor dem ersten Zertifizierungsaudit nervös. Das ist normal.
Die gute Nachricht: Das Audit ist kein Überraschungsangriff. Es folgt einer klaren Logik. Wer versteht, was in Stage 1 und Stage 2 geprüft wird, kann sich gezielt vorbereiten und geht deutlich entspannter hinein.
Die kurze Antwort
Ein ISO 27001-Zertifizierungsaudit läuft in zwei Stufen ab:
- Stage 1 prüft, ob Ihr ISMS grundsätzlich reif genug für die eigentliche Zertifizierung ist.
- Stage 2 prüft, ob Ihr ISMS in der Praxis tatsächlich so funktioniert, wie Sie es darstellen.
Genau darin liegt der Unterschied: Erst geht es um Reife und Vollständigkeit, dann um gelebte Umsetzung.
Das Audit beginnt nicht erst am Audittag
Viele denken beim Zertifizierungsaudit nur an die eigentlichen Audittage. Praktisch beginnt die Vorbereitung aber deutlich früher.
Schon die Auswahl des Zertifizierers ist wichtig. Sie legen sich damit nicht nur auf eine Organisation fest, sondern meist für mehrere Jahre auf einen Auditzyklus. Deshalb lohnt es sich, frühzeitig zu planen und nicht erst kurz vor dem Wunschdatum nach freien Terminen zu suchen.
Stage 1: Worum es in der ersten Auditstufe geht
Stage 1 wird oft als Dokumenten- oder Readiness-Audit verstanden. Das trifft den Kern ganz gut, aber nur teilweise.
In dieser Phase prüft der Auditor vor allem:
- ob Ihr ISMS grundsätzlich vorhanden und nachvollziehbar aufgebaut ist;
- ob Scope, Politik, Verfahren und zentrale Nachweise zusammenpassen;
- ob Sie die Normanforderungen verstanden und in Regelungen übersetzt haben;
- ob Sie reif genug sind, um in Stage 2 sinnvoll geprüft zu werden.
Das Ziel von Stage 1 ist also nicht, Ihnen schon das Zertifikat zu geben. Das Ziel ist festzustellen, ob Sie bereit für die eigentliche Zertifizierungsprüfung sind. Genau so beschreiben Zertifizierer und Audit-Leitfäden die erste Stufe
Was vor Stage 1 sinnvollerweise fertig sein sollte
Vor Stage 1 sollten die Grundlagen nicht nur begonnen, sondern belastbar vorbereitet sein.
Dazu gehören in der Praxis vor allem:
- ein klarer Anwendungsbereich;
- die wesentlichen ISMS-Regelungen;
- eine belastbare Risikobetrachtung;
- die Anwendbarkeitserklärung;
- ein internes Audit;
- ein Management Review.
Gerade internes Audit und Management Review werden auch von Zertifizierern ausdrücklich als wichtige Vorarbeit genannt.
Stage 2: Jetzt geht es um die gelebte Praxis
In Stage 2 prüft der Auditor nicht mehr nur, ob Ihre Unterlagen ordentlich aussehen. Jetzt will er wissen, ob Ihr Managementsystem im Alltag wirklich funktioniert.
Das bedeutet konkret:
- Arbeiten Ihre Mitarbeiter nach den festgelegten Regelungen?
- Sind Verantwortlichkeiten klar?
- Werden Maßnahmen wirklich umgesetzt?
- Leben Sie das ISMS oder existiert es nur als Dokumentensammlung?
Stage 2 ist deshalb der Teil des Audits, den viele als eigentliche Feuerprobe empfinden. Das ist nachvollziehbar. Denn jetzt reichen schöne Unterlagen allein nicht mehr aus.
Wie Stage 2 typischerweise abläuft
Der Auditor sammelt in Stage 2 vor allem über drei Dinge Erkenntnisse:
Interviews
Er spricht mit den Personen, die die relevanten Themen tatsächlich verantworten oder anwenden.
Beobachtungen
Er schaut sich an, wie Dinge in der Praxis gehandhabt werden.
Nachweise
Er lässt sich zeigen, dass Prozesse, Kontrollen und Entscheidungen nicht nur behauptet, sondern tatsächlich belegt werden können.
Das bedeutet für Sie: Niemand muss alles auswendig wissen. Aber die relevanten Personen sollten wissen, was geregelt ist und wo sie belastbare Nachweise finden.
Der Auditplan ist wichtiger als viele denken
Sowohl vor Stage 1 als auch vor Stage 2 erhalten Sie in der Regel einen Auditplan. Darin steht, wann welche Themen geprüft werden und wer dafür eingeplant sein sollte.
Genau deshalb ist der Plan nicht bloß Terminorganisation. Er ist Ihre Chance, die richtigen Personen zur richtigen Zeit im Audit zu haben. Wenn der Auditor ein Thema prüfen will und der zuständige Ansprechpartner fehlt, entsteht unnötige Unruhe.
Das Eröffnungsgespräch ist schon Teil des Eindrucks
Formal beginnt Stage 2 meist mit einem Eröffnungsgespräch. Inhaltlich ist das bereits mehr als nur Begrüßung.
Der Auditor bekommt dort einen ersten Eindruck davon,
- welchen Stellenwert das Thema im Unternehmen hat,
- ob die Geschäftsführung dahintersteht,
- und ob das Audit für Sie nur lästige Pflicht oder ein ernst genommenes Vorhaben ist.
Deshalb lohnt es sich, dieses Gespräch nicht als Formalie abzutun.
Die häufigsten Fehler im Zertifizierungsaudit
Es wirkt alles zu sehr nach Beraterprojekt
Der Auditor muss sehen, dass das ISMS Ihr eigenes System ist und nicht bloß etwas, das von außen aufgesetzt wurde.
Die falschen Leute sitzen im Audit
Wenn die zuständigen Personen fehlen oder sichtbar unvorbereitet sind, entsteht schnell ein unnötig schwacher Eindruck.
Es wird zu viel diskutiert
Widerspruch hilft selten, wenn er nur aus Reflex kommt. Besser ist es, ruhig zu erklären, warum eine Regelung so gestaltet wurde und warum sie wirksam ist.
Es wird zu perfekt gespielt
Auditoren merken schnell, ob sie echte Praxis sehen oder eine kurz einstudierte Aufführung.
Wie Sie auf kritische Rückfragen reagieren sollten
Es wird im Audit fast immer Momente geben, in denen ein Auditor Zweifel äußert oder etwas kritisch hinterfragt.
Die beste Reaktion ist meistens nicht Abwehr, sondern Sachlichkeit:
- zuhören;
- genau verstehen, worauf sich der Auditor bezieht;
- die eigene Logik ruhig erklären;
- bei Bedarf den konkreten Normbezug erfragen.
Damit kommen Sie fast immer weiter als mit reflexhaftem Widerspruch.
Was am Ende des Audits passiert
Am Ende eines Audittages oder spätestens am Ende des gesamten Audits gibt es ein Abschlussgespräch.
Dort erfahren Sie typischerweise:
- welche Feststellungen der Auditor getroffen hat;
- welche Schlussfolgerungen er daraus zieht;
- ob es Abweichungen gibt;
- und ob er die Zertifikatserteilung empfehlen wird.
Die eigentliche Zertifizierungsentscheidung fällt danach formal bei der Zertifizierungsstelle, nicht im Abschlussgespräch. Der Auditor kann eine Zertifizierung nur empfehlen.
FAQ
Stage 1 prüft Ihre grundsätzliche Reife und Dokumentation. Stage 2 prüft die tatsächliche Umsetzung in der Praxis.
Nein. Stage 1 ist die Prüfung, ob Ihr System reif genug für Stage 2 ist. Größere Lücken fallen genau dort auf.
Das ist in der Praxis sehr wichtig und wird von Zertifizierern ausdrücklich als Vorbereitung empfohlen. Gleiches gilt für ein vollständiges Management Review.
Nein. Wichtiger ist, dass die zuständigen Personen ihre Themen verstehen und wissen, wo sie im Zweifelsfall nachlesen könnten.
Mindestens die Geschäftsführung und die zentral Verantwortlichen. Das zeigt, dass das Thema im Unternehmen ernst genommen wird.
Dass das ISMS wie ein Fremdkörper wirkt: zu sehr Beraterprojekt, zu wenig eigenes System. Das Unternehmen kann es nicht erklären und schiebt die Schuld auf den Berater.
Unser Tipp
Das ISO-27001-Zertifizierungsaudit ist kein Hexenwerk. Aber es ist auch kein reiner Dokumentencheck. Stage 1 prüft, ob Ihr ISMS reif genug für die eigentliche Zertifizierung ist. Stage 2 prüft, ob Ihr System in der Praxis wirklich trägt. Wer diesen Unterschied versteht und sich darauf gezielt vorbereitet, geht deutlich souveräner ins Audit.
Weitere Tipps zum Zertifizierungsaudit haben wir hier . Lesen Sie doch mal rein.
Sie haben noch Fragen zum Zertifizierungsaudit oder wollen mal eines "simulieren"? Mit richtig fiesen Fragen? Nehmen Sie doch einfach Kontakt zu uns auf oder schreiben Sie in den Chat (unten rechts).