ISO/IEC 27001 ist der international anerkannte Standard für ein Informationssicherheits-Managementsystem. Ein Zertifikat belegt gegenüber Kunden, Partnern und Aufsichtsbehörden, dass Sie Informationssicherheit systematisch steuern – nicht zufällig. Als berufener Lead-Auditor prüfe ich Ihr ISMS fair und nachvollziehbar und liefere Befunde, mit denen Sie tatsächlich arbeiten können.
Was im Audit geprüft wird
Geprüft wird die Wirksamkeit Ihres Managementsystems entlang der normativen Anforderungen (Kapitel 4–10) sowie die Angemessenheit der Maßnahmen aus Anhang A. Im Zentrum stehen Ihr Geltungsbereich, die Risikobeurteilung und -behandlung, das Statement of Applicability (SoA) sowie der Nachweis, dass die festgelegten Maßnahmen im Alltag gelebt werden.
Ablauf in zwei Stufen
Das Zertifizierungsaudit erfolgt in zwei Stufen: In Stufe 1 bewerte ich die Dokumentation und Ihre Audit-Reife. In Stufe 2 prüfe ich vor Ort oder remote die Wirksamkeit im Betrieb. Nach erfolgreicher Zertifizierung folgen jährliche Überwachungsaudits und nach drei Jahren die Rezertifizierung.
Schwerpunkte, die wir u. a. betrachten
- Kontext, Geltungsbereich und Führungsverantwortung
- Risikobeurteilung und Risikobehandlungsplan
- Statement of Applicability (SoA) und Begründung der Maßnahmen
- Organisatorische, personelle, physische und technologische Controls (Anhang A:2022)
- Internes Audit, Managementbewertung und kontinuierliche Verbesserung
- Lieferantensteuerung, Vorfallmanagement und Business-Continuity-Bezug