ISO-27001-AUDIT
ISO-27001-Audit: so werden Sie wirklich zertifizierungsbereit
Ein ISO/IEC-27001-Compliance-Audit, durchgeführt von Sicherheitspraktikern, nicht nur von Dokumentenprüfern. Wir zeigen die Lücken in Ihrem Managementsystem und Ihren Maßnahmen auf, bevor es die Zertifizierungsstelle tut.
WARUM ES WICHTIG IST
Ein Zertifikat bestätigt ein System, das funktioniert, keinen Ordner mit Verfahren
ISO 27001 ist kein Satz Dokumente, sondern ein funktionierendes Informationssicherheits-Managementsystem. Die Zertifizierungsstelle prüft, ob die Maßnahmen tatsächlich funktionieren, nicht nur, ob sie auf dem Papier existieren.
Unser Audit betrachtet Compliance mit den Augen eines Praktikers. Wir prüfen nicht nur, ob ein Verfahren existiert, sondern ob es angewendet wird und das Risiko wirklich senkt. Diese Perspektive offenbart die Lücken, die sonst erst im Zertifizierungsaudit auftauchen.
WAS WIR PRÜFEN
Vom Managementsystem bis zu technischen Maßnahmen
Wir passen den Umfang daran an, ob Sie sich auf die Zertifizierung vorbereiten oder ein bestehendes System pflegen.
UNSER ANSATZ
Wir achten auf Wirksamkeit, nicht nur auf formale Compliance
Ein Auditor, der nur die Norm kennt, prüft, ob die Dokumente zusammenpassen. Wir prüfen zusätzlich, ob die Maßnahmen tatsächlich schützen, denn wir testen sie täglich in der Praxis bei anderen Kunden.
Wir beschreiben jede Lücke konkret: worum es geht, warum sie wichtig ist und wie man sie vor dem Zertifizierungsaudit schließt. Sie erhalten einen echten Maßnahmenplan, keine allgemeine Bewertung.
NORMUMFANG
Das volle Managementsystem, nicht ausgewählte Klauseln
Das Audit deckt sowohl die Systemanforderungen der Norm als auch die Annex-A-Maßnahmen in der aktuellen Version ab.
STANDARDS & ZERTIFIZIERUNGEN
Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl
Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.
Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.
SO GEHEN WIR VOR
Ein Audit in Phasen
NACHWEISE
Zahlen hinter jedem Versprechen
Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.
WISSEN
Ein ISO-27001-Compliance-Audit in der Praxis
Was ein ISO-27001-Compliance-Audit ist
Ein ISO-27001-Audit bewertet, ob Ihr Informationssicherheits-Managementsystem die Anforderungen der Norm erfüllt. Wir prüfen nicht nur die Dokumente, sondern ob die Maßnahmen wirklich so funktionieren wie beschrieben.
Die Norm umfasst sowohl Prozesse und Richtlinien als auch die konkreten Mechanismen aus Anhang A. Unsere Aufgabe ist zu zeigen, wo Sie konform sind und wo eine echte Lücke zwischen Papier und Praxis besteht.
Was wir in der Praxis prüfen
Wir prüfen Risikomanagement, Richtlinien, Rollen und Verantwortlichkeiten sowie die Auswahl und Umsetzung der Maßnahmen aus Anhang A. Für jeden Bereich sammeln wir Nachweise, dass eine Maßnahme tatsächlich funktioniert, nicht nur in einem Verfahren steht.
Wir sprechen mit den Verantwortlichen und prüfen Konfigurationen, um den tatsächlichen statt den erklärten Zustand zu bewerten. So hält das Auditergebnis einem Zertifizierungsauditor stand.
Ein Audit ist nicht dasselbe wie ein Penetrationstest
Ein Compliance-Audit bewertet, ob Prozesse und Maßnahmen etabliert und aufrechterhalten werden. Ein Penetrationstest prüft, ob sie sich technisch umgehen lassen. Beide Ansätze sind nötig und ergänzen einander.
Compliance allein garantiert keine Widerstandsfähigkeit, und technische Widerstandsfähigkeit allein reicht nicht für eine Zertifizierung. Daher helfen wir, diese Elemente so zu ordnen, dass sie die Sicherheit wirklich erhöhen, nicht nur Anforderungen erfüllen.
Was Sie erhalten und wann Sie das Audit durchführen sollten
Sie erhalten einen Gap-Bericht gegen die Norm und eine priorisierte Roadmap zur Konformität, mit klarer Angabe, was zu tun ist und in welcher Reihenfolge. Das ist ein echter Plan, keine Liste allgemeiner Empfehlungen.
Ein Audit lohnt sich vor Beginn der Zertifizierung, bei wesentlichen organisatorischen Änderungen oder periodisch, um das System in Form zu halten. Je früher Sie Lücken erkennen, desto günstiger ist ihr Schließen.
FAQ
Die häufigsten Fragen
Stellen Sie das ISO-27001-Zertifikat aus?
Wie unterscheidet sich das von einem internen Audit?
Helfen Sie bei der Umsetzung der Korrekturen?
Wie lange dauert das Audit?
VERWANDT
Verwandte Beiträge
REFERENZEN
Referenzen in diesem Bereich
REFERENZEN
“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”
















