Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 Audit – Fragenkatalog

ISO 27001 Audit – Fragenkatalog

Ihre Sicherheitslösung für die digitale Zukunft

Vollumfängliche Checkliste zur aktuellen ISO 27001:2022

ISO 27001 Audit – Vollständiger Fragenkatalog für interne Audits & Zertifizierung

Dieser erweiterte Fragenkatalog deckt alle Bereiche des Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001:2022 ab. Er dient Auditoren, Informationssicherheitsbeauftragten und Unternehmen als praxisorientierte Checkliste zur Bewertung von Reifegrad, Wirksamkeit und Konformität.

1Allgemeine Fragen & Kontext

Scope: Ist der Geltungsbereich des ISMS klar beschrieben, abgegrenzt und nachvollziehbar dokumentiert?
Kontextanalyse: Wurden interne und externe Themen sowie Stakeholder-Anforderungen identifiziert und bewertet?
Politik: Existiert eine gültige Informationssicherheitspolitik, die regelmäßig überprüft und kommuniziert wird?

2Führung & Management

Rollen: Sind Verantwortlichkeiten, Zuständigkeiten und Befugnisse für Informationssicherheit klar geregelt?
Engagement: Wie zeigt die Geschäftsleitung Unterstützung für Informationssicherheit (z. B. Ressourcen, Kommunikation, Ziele)?
Strategie: Ist Informationssicherheit Teil der Unternehmensstrategie und regelmäßig im Management-Review Thema?

3Risikomanagement

Risikoprozess: Ist der Prozess zur Identifikation, Bewertung und Behandlung von Risiken dokumentiert?
Kriterien: Gibt es definierte Bewertungskriterien für Eintrittswahrscheinlichkeit und Schadenshöhe?
Risikobehandlung: Werden Risikobehandlungsmaßnahmen regelmäßig überprüft und bewertet?

4Annex A & Statement of Applicability

Kontrollen: Sind alle 93 Controls geprüft und risikobasiert auf Anwendbarkeit bewertet?
SoA: Ist das Statement of Applicability vollständig, begründet und aktuell?
Dokumentation: Wird das SoA als Nachweis in internen Audits und externen Prüfungen genutzt?

5Personalsicherheit

On-/Offboarding: Gibt es strukturierte Verfahren zur Aufnahme, Versetzung und Beendigung von Arbeitsverhältnissen?
Awareness: Wie werden Mitarbeitende regelmäßig sensibilisiert und geschult?
Vertraulichkeit: Unterzeichnen alle Mitarbeitenden Vertraulichkeitsvereinbarungen?

6Asset Management

Inventar: Wird ein aktuelles Asset-Register gepflegt (inkl. Klassifizierung & Owner)?
Klassifizierung: Werden Informationswerte nach Vertraulichkeit, Integrität und Verfügbarkeit eingestuft?
Schutzbedarf: Gibt es nachvollziehbare Schutzmaßnahmen für kritische Assets?

7Zugangskontrolle

Richtlinien: Gibt es schriftliche Zugriffsrichtlinien für Benutzer, Administratoren und Dritte?
Authentifizierung: Werden Mehrfaktor-Authentifizierung und Passwort-Policies umgesetzt?
Rezertifizierung: Werden Benutzerrechte regelmäßig überprüft und angepasst?

8Kryptografie

Standards: Welche kryptografischen Verfahren werden genutzt und nach welchen Normen ausgewählt?
Schlüsselmanagement: Wie werden Schlüssel generiert, gespeichert, rotiert und gelöscht?

9Physische & Umgebungssicherheit

Zutritt: Welche Maßnahmen verhindern unbefugten Zutritt (z. B. Karten, Besucherbuch)?
Umgebungsschutz: Gibt es Brandschutz, Klimakontrolle, Alarm- und Überwachungssysteme?

10Betrieb & Wartung

Änderungen: Ist das Change-Management dokumentiert und nachvollziehbar?
Patch-Management: Wie werden Sicherheitsupdates verwaltet und geprüft?
Logs: Werden System-Logs regelmäßig überwacht und ausgewertet?

11Kommunikationssicherheit

Netzwerksegmente: Sind interne Netze voneinander getrennt und durch Firewalls geschützt?
Transportverschlüsselung: Werden E-Mails und Datenübertragungen verschlüsselt?
Externe Partner: Existieren Richtlinien für den sicheren Informationsaustausch mit Dritten?

12Systementwicklung & Wartung

Secure Coding: Werden Sicherheitsprinzipien (z. B. OWASP) in Entwicklung und Testing umgesetzt?
Pen-Tests: Werden Anwendungen regelmäßig auf Schwachstellen geprüft?
Change-Doku: Sind Änderungen an Quellcode versioniert und nachvollziehbar?

13Lieferantenbeziehungen

Bewertung: Werden Lieferanten nach Sicherheitsrisiko eingestuft?
Vertragliche Regelung: Sind Datenschutz- und Sicherheitsklauseln in AVV oder SLAs festgelegt?

14Sicherheitsvorfälle & Schwachstellen

Prozess: Gibt es einen dokumentierten Incident-Prozess (Erkennung, Meldung, Nachverfolgung)?
Lessons Learned: Werden nach Vorfällen Ursachenanalysen durchgeführt?

15Business Continuity Management

Notfallplanung: Existieren Wiederanlauf- und Notfallpläne?
Tests: Werden BCM-Übungen regelmäßig durchgeführt und bewertet?
Kommunikation: Gibt es klare Eskalationswege im Krisenfall?

16Compliance & Recht

Gesetzeslage: Werden alle gesetzlichen und behördlichen Anforderungen (z. B. DSGVO, ITSiG) eingehalten?
Audit-Trail: Gibt es Nachweise zur Rechtskonformität in Audit-Berichten oder Reviews?

17Überwachung & Performance

KPIs: Werden Kennzahlen zur Informationssicherheit definiert und regelmäßig gemessen?
Reporting: Gibt es regelmäßige Berichte an die Geschäftsführung über den Sicherheitsstatus?

18Kontinuierliche Verbesserung

Korrekturmaßnahmen: Wie wird mit Nichtkonformitäten und Empfehlungen umgegangen?
PDCA: Wird der Plan-Do-Check-Act-Zyklus konsequent gelebt und dokumentiert?

19Dokumentation & Nachweise

Lenkung: Werden alle ISMS-Dokumente versioniert, geprüft und freigegeben?
Archivierung: Wie werden Audit-Protokolle und Nachweise aufbewahrt?

20Zertifizierung & externe Audits

Auditplanung: Gibt es einen Zeitplan für interne/externe Audits und Rezertifizierungen?
Follow-Up: Werden externe Audit-Ergebnisse dokumentiert und Maßnahmen umgesetzt?

21Management-Review

Review-Frequenz: Wird mindestens einmal jährlich ein Management-Review durchgeführt?
Inhalte: Werden Ergebnisse von Audits, Korrekturmaßnahmen und Risiken besprochen?

22Lieferkettenrisiken

Externe Parteien: Wie werden Dienstleister, Cloud-Anbieter und Partner in das ISMS einbezogen?
Vertragliche Bindung: Sind Sicherheitsverpflichtungen in Lieferverträgen geregelt?

23Sicherheitskultur & Awareness

Kommunikation: Wie wird das Thema Informationssicherheit intern kommuniziert?
Erfolgsmessung: Gibt es KPIs oder Feedback zur Wirksamkeit der Awareness-Programme?

24Technische Sicherheitsmaßnahmen

Endpoint-Security: Werden Antivirus, EDR und Patchmanagement zentral gesteuert?
Netzwerkschutz: Gibt es Segmentierung, IDS/IPS und regelmäßige Penetrationstests?

25Lieferantenaudits & Bewertung

Auditierung: Werden kritische Lieferanten regelmäßig auditiert?
Reaktion: Gibt es Maßnahmen bei Nichtkonformitäten oder Sicherheitsverstößen durch Lieferanten?

🔍 Kostenfreies Erstgespräch zur ISO 27001 Zertifizierung

Sie möchten Ihr Unternehmen auditfest aufstellen oder planen ein internes Audit zur ISO 27001? Unsere erfahrenen Lead-Auditoren unterstützen Sie bei der Gap-Analyse, Auditvorbereitung und Umsetzung aller normrelevanten Anforderungen – praxisnah, effizient und verständlich.

Im unverbindlichen Erstgespräch klären wir, wo Sie aktuell stehen, welche Auditstrategie zu Ihnen passt und wie Sie Ihre Zertifizierung erfolgreich vorbereiten.

📅 Jetzt kostenloses Erstgespräch vereinbaren

Ihr Weg zu mehr Informationssicherheit beginnt mit einem Gespräch – persönlich, individuell und praxisorientiert.

How-To: In 5 Schritten zur ISO 27001

Kompakt und praxisnah: So erreichen Sie Auditfähigkeit – mit klaren Zuständigkeiten, belastbarer Dokumentation und wirksamen Kontrollen.

1

Scope & Ausgangslage klären

  • Geltungsbereich (Standorte, Prozesse, Systeme) realistisch definieren
  • Ist-Analyse: Policies, Prozesse, Technik, Verträge
  • Stakeholder & Anforderungen (Kunden, NIS2, BSI, DSGVO) erfassen
2

Risiken bewerten & Controls auswählen

  • Risikoanalyse (Bedrohungen/Schwachstellen, Eintritt, Impact)
  • Annex-A-Kontrollen (93) risikobasiert auswählen
  • SoA (Statement of Applicability) mit Begründungen dokumentieren
3

Dokumentation & Verantwortlichkeiten

  • IS-Policy, Prozesse (Incident, Access, Backup, Supplier)
  • Rollen (ISB, Asset Owner, Prozessverantwortliche) festlegen
  • Awareness & Schulungen: Plan, Inhalte, Nachweise
4

Internes Audit & Management-Review

  • Internes Audit: Prozess-Stichproben, Abweichungen, Maßnahmen
  • KPIs (Incidents, Patching, Awareness, BCM-Tests) berichten
  • Management-Review: Freigabe, Ressourcen, Verbesserungen
5

Zertifizierung & kontinuierliche Verbesserung

  • Stage 1/2-Audit durch Zertifizierer – Nachweise bereithalten
  • Überwachungsaudits jährlich, Rezertifizierung i. d. R. nach 3 Jahren
  • PDCA leben: Risiken, SoA, Prozesse & KPIs regelmäßig aktualisieren

Normenübersicht & Quicklinks

Die wichtigsten Leitlinien und Umsetzungsseiten rund um Informationssicherheit, ISO 27001, TISAX, NIS2 und BSI-Grundschutz – kompakt verlinkt.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel