Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

ISO-27001-AUDIT

ISO-27001-Audit: so werden Sie wirklich zertifizierungsbereit

Ein ISO/IEC-27001-Compliance-Audit, durchgeführt von Sicherheitspraktikern, nicht nur von Dokumentenprüfern. Wir zeigen die Lücken in Ihrem Managementsystem und Ihren Maßnahmen auf, bevor es die Zertifizierungsstelle tut.

Bewertung des ISMS und der Annex-A-MaßnahmenEine konkrete Liste von Lücken und BehebungDie Sicht eines Praktikers, nicht nur PapierUnterstützung vor dem Zertifizierungsaudit

WARUM ES WICHTIG IST

Ein Zertifikat bestätigt ein System, das funktioniert, keinen Ordner mit Verfahren

ISO 27001 ist kein Satz Dokumente, sondern ein funktionierendes Informationssicherheits-Managementsystem. Die Zertifizierungsstelle prüft, ob die Maßnahmen tatsächlich funktionieren, nicht nur, ob sie auf dem Papier existieren.

Unser Audit betrachtet Compliance mit den Augen eines Praktikers. Wir prüfen nicht nur, ob ein Verfahren existiert, sondern ob es angewendet wird und das Risiko wirklich senkt. Diese Perspektive offenbart die Lücken, die sonst erst im Zertifizierungsaudit auftauchen.

WAS WIR PRÜFEN

Vom Managementsystem bis zu technischen Maßnahmen

01
Kontext und Risiko
Wir bewerten den Risikomanagementprozess, den ISMS-Umfang und die Anwendbarkeitserklärung.
02
Maßnahmen A.5-A.8
Wir prüfen organisatorische, personelle, physische und technologische Maßnahmen.
03
Nachweis des Betriebs
Wir verifizieren, dass Maßnahmen angewendet und nicht nur beschrieben werden.
04
Lücken und Prioritäten
Wir liefern eine Liste von Abweichungen mit Prioritäten und konkreten Maßnahmen.

Wir passen den Umfang daran an, ob Sie sich auf die Zertifizierung vorbereiten oder ein bestehendes System pflegen.

UNSER ANSATZ

Wir achten auf Wirksamkeit, nicht nur auf formale Compliance

Ein Auditor, der nur die Norm kennt, prüft, ob die Dokumente zusammenpassen. Wir prüfen zusätzlich, ob die Maßnahmen tatsächlich schützen, denn wir testen sie täglich in der Praxis bei anderen Kunden.

Wir beschreiben jede Lücke konkret: worum es geht, warum sie wichtig ist und wie man sie vor dem Zertifizierungsaudit schließt. Sie erhalten einen echten Maßnahmenplan, keine allgemeine Bewertung.

NORMUMFANG

Das volle Managementsystem, nicht ausgewählte Klauseln

Das Audit deckt sowohl die Systemanforderungen der Norm als auch die Annex-A-Maßnahmen in der aktuellen Version ab.

ISO/IEC 27001
Anforderungen an das Informationssicherheits-Managementsystem (Klauseln 4-10).
Annex A
Bewertung organisatorischer, personeller, physischer und technologischer Maßnahmen.
ISO/IEC 27002
Bezug auf die Umsetzungshinweise für einzelne Maßnahmen.

STANDARDS & ZERTIFIZIERUNGEN

Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl

Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.

Zertifizierungen des Teams
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Normen
ISO/IEC 27001ISO/IEC 27002ISO/IEC 27005
Zertifizierungen des Teams
ISO 27001 Lead AuditorOSCP

Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.

SO GEHEN WIR VOR

Ein Audit in Phasen

01
Umfang
Wir vereinbaren die ISMS-Grenzen und das Auditziel, bevor wir starten.
02
Review
Wir analysieren Dokumentation, Risiko und die Anwendbarkeitserklärung.
03
Verifizierung
Wir prüfen anhand von Nachweisen, dass Maßnahmen in der Praxis angewendet werden.
04
Lückenbewertung
Wir identifizieren Abweichungen und ihre reale Bedeutung.
05
Bericht
Wir liefern einen priorisierten Maßnahmenplan vor der Zertifizierung.

NACHWEISE

Zahlen hinter jedem Versprechen

Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.

500+
durchgeführte Sicherheitstests und Audits
5.0
Durchschnittsbewertung aus 10 verifizierten Clutch-Bewertungen
20+
offensive Zertifizierungen im Team
01
Zertifiziertes Team
20+ offensive Zertifizierungen im Team (OSCP, OSEP, OSWE, CREST). Tests führen unsere Leute durch, keine anonymen Subunternehmer.
02
Manuelle Tests
Wir arbeiten von Hand nach PTES und OWASP und führen scheinbar kleine Fehler zu einem realen, belegten Angriffspfad zusammen.
03
Nachweis statt Versprechen
Jeder Fund mit Reproduktionsschritten und einem funktionierenden Nachweis. Ein Bericht, der vor dem Auditor standhält.
04
Retest inklusive
Nach Umsetzung der Korrekturen bestätigen wir schriftlich, dass die Lücken geschlossen sind. Wir verschwinden nicht nach dem PDF.

WISSEN

Ein ISO-27001-Compliance-Audit in der Praxis

Was ein ISO-27001-Compliance-Audit ist

Ein ISO-27001-Audit bewertet, ob Ihr Informationssicherheits-Managementsystem die Anforderungen der Norm erfüllt. Wir prüfen nicht nur die Dokumente, sondern ob die Maßnahmen wirklich so funktionieren wie beschrieben.

Die Norm umfasst sowohl Prozesse und Richtlinien als auch die konkreten Mechanismen aus Anhang A. Unsere Aufgabe ist zu zeigen, wo Sie konform sind und wo eine echte Lücke zwischen Papier und Praxis besteht.

Was wir in der Praxis prüfen

Wir prüfen Risikomanagement, Richtlinien, Rollen und Verantwortlichkeiten sowie die Auswahl und Umsetzung der Maßnahmen aus Anhang A. Für jeden Bereich sammeln wir Nachweise, dass eine Maßnahme tatsächlich funktioniert, nicht nur in einem Verfahren steht.

Wir sprechen mit den Verantwortlichen und prüfen Konfigurationen, um den tatsächlichen statt den erklärten Zustand zu bewerten. So hält das Auditergebnis einem Zertifizierungsauditor stand.

Ein Audit ist nicht dasselbe wie ein Penetrationstest

Ein Compliance-Audit bewertet, ob Prozesse und Maßnahmen etabliert und aufrechterhalten werden. Ein Penetrationstest prüft, ob sie sich technisch umgehen lassen. Beide Ansätze sind nötig und ergänzen einander.

Compliance allein garantiert keine Widerstandsfähigkeit, und technische Widerstandsfähigkeit allein reicht nicht für eine Zertifizierung. Daher helfen wir, diese Elemente so zu ordnen, dass sie die Sicherheit wirklich erhöhen, nicht nur Anforderungen erfüllen.

Was Sie erhalten und wann Sie das Audit durchführen sollten

Sie erhalten einen Gap-Bericht gegen die Norm und eine priorisierte Roadmap zur Konformität, mit klarer Angabe, was zu tun ist und in welcher Reihenfolge. Das ist ein echter Plan, keine Liste allgemeiner Empfehlungen.

Ein Audit lohnt sich vor Beginn der Zertifizierung, bei wesentlichen organisatorischen Änderungen oder periodisch, um das System in Form zu halten. Je früher Sie Lücken erkennen, desto günstiger ist ihr Schließen.

FAQ

Die häufigsten Fragen

Stellen Sie das ISO-27001-Zertifikat aus?

Nein. Das Zertifikat stellt eine akkreditierte Zertifizierungsstelle aus. Wir bereiten Sie auf dieses Audit vor und zeigen Lücken auf, bevor es stattfindet.

Wie unterscheidet sich das von einem internen Audit?

Wir verbinden die Sicht eines Auditors mit der Perspektive eines Sicherheitspraktikers. Wir prüfen nicht nur die Dokumenten-Compliance, sondern die reale Wirksamkeit der Maßnahmen.

Helfen Sie bei der Umsetzung der Korrekturen?

Wir zeigen konkrete Maßnahmen und Prioritäten auf. Die Umsetzung können Sie selbst oder mit unserer beratenden Unterstützung durchführen.

Wie lange dauert das Audit?

Das hängt vom ISMS-Umfang und der Größe der Organisation ab. Den genauen Zeitrahmen legen wir nach einem kurzen Gespräch fest.

VERWANDT

Verwandte Beiträge

REFERENZEN

Referenzen in diesem Bereich

REFERENZEN

“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”

ERSTER SCHRITT

Starten Sie mit einer kostenlosen Beratung

Sagen Sie uns, was Sie testen möchten. Innerhalb von 24 Stunden erhalten Sie einen Vorschlag zum Umfang und zu den nächsten Schritten. Sie sprechen mit einem Berater, der die technische Seite versteht, nicht mit einem Verkäufer.

Kontakt aufnehmen
Unverbindlich · Antwort innerhalb von 24 Stunden · Ihre Daten bleiben vertraulich
Methodik
PTES · OWASP
Team
20+ Zertifizierungen
Bewertung
5.0 auf Clutch
Das erhalten Sie
Ein auf Ihr Risiko zugeschnittener Umfangsvorschlag
Ein Bericht mit Nachweisen und Reproduktionsschritten
Behebungsprioritäten nach realer Auswirkung
Ein Retest nach Umsetzung der Korrekturen
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Jemand aus unserem Team führt das Gespräch, und wir melden uns innerhalb von 24 Stunden. Keine Bots, kein Callcenter.