Kontakt
Demo vereinbaren

Lektion 12

10 min

Zertifizierung

Der Weg zur Zertifizierung – Wie kann ich mich vorbereiten und was muss ich im Zertifizierungsaudit beachten?

Wissenswertes zum ISO 27001 Zertifizierungsaudit

Eine oft gestellte Frage in diesem Zusammenhang: Wie lange dauert so ein ISO 27001 Zertifizierungsaudit eigentlich? Ein Auditor kann nicht beliebig frei wählen, wie lange er das jeweilige Unternehmen auditiert. Die Leitplanken dafür sind in der ISO 27006 beschrieben. 

Die Auditdauer hängt maßgeblich von der Anzahl der Mitarbeiter, der Anzahl der Standorte und der Komplexität des Unternehmens ab. Bei einem Unternehmen mit 125 Mitarbeitern spricht die ISO 27006 z.B. von einem Richtwert von 12 Audittagen. Wobei ca. 70% der Zeit im Unternehmen vor Ort stattfinden sollten. Die Tage können aber je nach Komplexität des Unternehmens auch geringer oder höher ausfallen. Um das beurteilen zu können, haben die meisten Zertifizierungsstellen eigene Fragebögen um Faktoren wie Anzahl der Server, Anzahl der Standorte oder Anzahl der Workstations abzufragen. 

Ganz wichtig ist, dass die Zertifizierungsstelle durch die Deutsche Akkreditierungsstelle (DAkkS) auch akkreditiert, also berechtigt ist, Zertifizierungsaudits durchzuführen. Im Zweifel kann dieser Umstand in der Datenbank der DAkkS überprüft werden. Viele Auditoren sind über Wochen oder Monate ausgebucht, es sollte sich daher frühzeitig um die Auswahl eines passenden Auditors gekümmert werden.

Das eigentliche Audit startet immer mit einem Begrüßungsgespräch, in dem das weitere Vorgehen besprochen wird und wichtige Begriffe erläutert werden. Zu diesen Begriffen gehören z.B. die verschiedenen Arten der Auditfindings. Die schwächste Form ist die Empfehlung, gefolgt von Nebenabweichungen und Hauptabweichungen.

Empfehlungen des Auditors sollten berücksichtigt werden aber letztendlich bleibt es dem Unternehmen überlassen ob, wann und wie die Empfehlung umgesetzt wird. Man sollte die Entscheidung gegenüber dem Auditor aber fundiert begründen können. 

Bei Nebenabweichungen sieht das Ganze schon ein bisschen anders aus. Für die Behandlung von Nebenabweichungen ist meist der Zeitraum bis zum nächsten Überwachungsaudit, also ein Jahr vorgesehen. Dann sollten entsprechende Maßnahmen und Nachweise aufgezeigt werden können, um die Nebenabweichung zu schließen. 

Hauptabweichungen sind grundsätzlich zertifizierungsverhindernd. Hier wird meist mit dem Auditor eine Nachbesserungsfrist vereinbart. Erst nach einer erfolgreichen Nachprüfung, kann dann das Zertifikat ausgestellt werden.

Wir wünschen in jedem Fall viel Erfolg!

Mit Hilfe des ISMS SmartKit und der ein oder anderen Coaching Session können wir euch optimal auf das ISO 27001 Zertifizierungsaudit vorbereiten. Eine 100% „Bestehen-Quote“ unserer Kunden sprechen für sich.

Zum ISMS SmartKit