ISO 27001 interner Audit: Checkliste, Vorlage und Ablauf für das gesamte ISMS

Der interne Audit ist nach Abschnitt 9.2 der ISO/IEC 27001:2022 verpflichtender Bestandteil jedes Informationssicherheits-Managementsystems (ISMS). Die Norm verlangt, dass die Organisation in geplanten Abständen interne Audits durchführt, um festzustellen, ob das ISMS die Anforderungen der Norm und die eigenen Anforderungen der Organisation erfüllt und wirksam umgesetzt und aufrechterhalten wird. Die Übergangsfrist zur 2022er-Fassung läuft bis zum 31. Oktober 2026. Wer bis dahin nicht umgestellt hat, verliert die Zertifizierung und muss die Re-Zertifizierung neu starten, was Monate Verzug und einen Vertrauensverlust gegenüber Kunden und Aufsichten bedeuten kann.

Die Suche nach einer fertigen PDF-Checkliste ist verständlich, greift aber zu kurz: Ein interner Audit ist ein Prozess, kein Dokument. Dieser Beitrag liefert die Struktur, die ein interner Audit nach ISO/IEC 27001:2022 haben muss, die Fragen pro Annex-A-Kapitel mit Bezug auf die 93 Controls der neuen Fassung, einen Ablaufplan vom Auditprogramm bis zum Abschlussbericht und die Verknüpfung mit dem Management-Review nach Abschnitt 9.3. Sie erhalten einen pragmatischen Rahmen, der unabhängig von der Branche funktioniert, und sehen, wie eine Compliance-Plattform und Officer-as-a-Service wie CIVAC das Auditprogramm zentral führt, anstatt es in einem PDF-Anhang am E-Mail-Verkehr scheitern zu lassen. Die Auditierung von Cloud-Diensten und Lieferketten erhält in der 2022er-Fassung besonderes Gewicht.

Abschnitt 9.2.1 der ISO/IEC 27001:2022 verlangt, dass die Organisation in geplanten Abständen interne Audits durchführt, um Informationen darüber zu erhalten, ob das ISMS den eigenen Anforderungen und den Anforderungen der Norm entspricht und wirksam umgesetzt und aufrechterhalten wird. Abschnitt 9.2.2 fordert ein Auditprogramm, das die Bedeutung der betroffenen Prozesse, die Ergebnisse vorheriger Audits und Änderungen im Umfeld berücksichtigt. Die Auditkriterien und der Anwendungsbereich jedes Audits sind festzulegen, die Auditoren auszuwählen, die Objektivität und Unparteilichkeit sicherzustellen.

Auf der praktischen Ebene heißt das: Ein interner Audit ist nicht ein einmaliges Ereignis, sondern ein wiederkehrender Prozess. Die meisten Organisationen führen einen jährlichen Vollaudit durch und ergänzen ihn um themenbezogene Teilaudits, etwa zu Lieferantenmanagement, Kryptographie oder physischer Sicherheit. Der Informationssicherheitsbeauftragte verantwortet das Auditprogramm, die operative Durchführung erfolgt entweder durch interne Auditoren mit Zertifikat (etwa nach ISO/IEC 19011) oder durch externe Dienstleister, die nicht in den geprüften Bereich involviert sind.

Der Audit liefert Feststellungen, die nach 9.2.2 e) dem zuständigen Management zur Verfügung zu stellen sind. Wer den Audit als reine Vorbereitung auf die externe Zertifizierungsstelle versteht, verschenkt die wichtigste Funktion: die ehrliche Innensicht auf das eigene ISMS. Audit-fest, dokumentiert, § 9.2-fest beginnt mit einem realistisch besetzten Auditprogramm. Ein Auditprogramm, das nur auf dem Papier existiert, wird in der externen Zertifizierung als nicht-konform bewertet. Der Auditor der Zertifizierungsstelle verlangt Belege zur Durchführung, zu den Feststellungen und zu den abgeschlossenen Maßnahmen. Wer diese Belege nicht zeigen kann, verliert die Zertifizierung. Die operative Verantwortung dafür liegt beim Informationssicherheitsbeauftragten. Eine schriftliche Aufgabenbeschreibung mit Befugnissen, Berichtsweg und Vertretungsregelung schützt vor späteren Unklarheiten und ist im Personalwechsel besonders wertvoll.

Das Auditprogramm ist die übergeordnete Planung. Es deckt einen Zeitraum von ein bis drei Jahren ab und beschreibt, welche Bereiche, Prozesse und Controls in welcher Frequenz auditiert werden. In einer mittelgroßen Organisation hat sich folgender Rhythmus bewährt: alle 93 Controls in Annex A einmal pro Re-Zertifizierungszyklus (drei Jahre), die Pflichtabschnitte 4 bis 10 der Norm einmal jährlich, risikobehaftete Themen wie Cloud, Lieferanten und Identitätsmanagement halbjährlich.

Das Auditprogramm benennt für jeden Audit den verantwortlichen Auditor, den geprüften Bereich, das Auditdatum, die Auditkriterien und das vorgesehene Auditverfahren (Dokumentenprüfung, Interview, Stichprobe, technische Prüfung). Die Auswahl der Auditoren ist ein wiederkehrender Streitpunkt. Eine Person darf nicht ihre eigene Arbeit auditieren. In kleinen Organisationen führt das dazu, dass externe Auditoren beauftragt werden, etwa über CIVAC im Modell Officer-as-a-Service. Der externe Auditor bringt die Objektivität, die intern fehlt, und kennt branchenspezifische Schwerpunkte.

Das Auditprogramm wird vom obersten Management nach Abschnitt 5.1 genehmigt und mindestens jährlich überprüft. Änderungen an den Risiken (neue Cloud-Dienste, neue Lieferanten, neue Geschäftsfelder) lösen eine Anpassung aus. Im CIVAC-Workspace wird das Auditprogramm mit dem Risikoregister verknüpft, sodass Verschiebungen im Risikoprofil automatisch die Audit-Frequenz beeinflussen. Wer das Programm in einer einzelnen Excel-Datei führt, verliert bei jeder Personalrotation den Überblick. Eine Verknüpfung mit dem Risikoregister, der Maßnahmenliste und dem Management-Review hält das Programm lebendig. Versionierung mit Zeitstempel und Autor schafft im externen Audit die nötige Nachvollziehbarkeit. Wer zusätzlich eine Vorschauliste der nächsten zwölf Monate pflegt, hat im Management-Review eine konkrete Diskussionsgrundlage, statt nur über Vergangenes zu sprechen.

Die Vorbereitung beginnt mit der Auditankündigung an den geprüften Bereich, typischerweise zwei bis vier Wochen vor dem Audittermin. Die Ankündigung benennt die Auditkriterien (relevante Abschnitte der Norm und Annex-A-Controls), den Anwendungsbereich, den Zeitplan und die geforderten Unterlagen. Zu den Pflichtunterlagen zählen das ISMS-Handbuch, die Risikobeurteilung und Risikobehandlung nach Abschnitt 6.1, das Statement of Applicability (SoA), die Informationssicherheitspolitik nach Abschnitt 5.2 und die dokumentierten Verfahren zu Personal, Lieferanten, Vorfällen und Notfällen.

Der Auditor erstellt einen Interviewleitfaden mit offenen Fragen. Geschlossene Ja-Nein-Fragen sind im internen Audit ungeeignet, weil sie die geprüfte Person in die Defensive drängen und keine Erkenntnis liefern. Beispiel für eine gute Frage zu Control A.5.7 (Threat Intelligence): "Beschreiben Sie, welche Quellen Sie für aktuelle Bedrohungsinformationen nutzen und wie diese in Ihre Risikobeurteilung einfließen." Stichproben werden vor dem Audit definiert, nicht ad hoc gezogen. Bei Berechtigungsmanagement etwa: zehn zufällig ausgewählte Mitarbeitende, davon mindestens zwei mit administrativen Rechten und mindestens einer mit Wechsel der Funktion in den letzten zwölf Monaten.

Im CIVAC-Workspace liegen 490 Audit-Vorlagen bereit, davon mehrere für die ISO/IEC 27001:2022 mit Fragenkatalogen pro Annex-A-Kapitel. Diese Vorlagen ersetzen nicht den Sachverstand des Auditors, sie strukturieren aber die Vorbereitung. Der Auditor passt die Fragen an die konkrete Organisation an und ergänzt sie um Stichprobenpläne. Bestellurkunde, unterschrieben, abgelegt, belegbar gilt auch für die Ernennung des internen Auditors. Eine schriftliche Ernennung mit Befugnissen, Berichtsweg und Vertraulichkeitsverpflichtung schützt vor späteren Diskussionen über die Reichweite des Audits. Diese Ernennung gehört im CIVAC-Workspace zur Standardausstattung jedes Auditprogramms.

Die Annex-A-Controls der ISO/IEC 27001:2022 sind gegenüber der 2013er-Fassung neu strukturiert: 93 Controls in vier Themenbereichen statt 114 Controls in 14 Bereichen. Die vier Bereiche sind A.5 Organisatorische Controls (37 Controls), A.6 Personelle Controls (8 Controls), A.7 Physische Controls (14 Controls) und A.8 Technologische Controls (34 Controls). Elf Controls sind neu hinzugekommen, etwa A.5.7 Threat Intelligence, A.5.23 Information Security for Cloud Services, A.5.30 ICT Readiness for Business Continuity, A.8.9 Configuration Management, A.8.10 Information Deletion, A.8.11 Data Masking, A.8.12 Data Leakage Prevention.

Im internen Audit prüft der Auditor pro Control: Gibt es eine dokumentierte Umsetzung? Ist diese Umsetzung im SoA als anwendbar gekennzeichnet? Wird sie in der Praxis gelebt? Wie wird die Wirksamkeit gemessen? Die zentrale Falle in Übergangsaudits ist das SoA. Wenn das SoA noch auf die alte Struktur referenziert oder neue Controls als "nicht anwendbar" markiert sind, obwohl sie es eigentlich wären, fällt das im Audit sofort auf.

Für jedes Control gehört in den Auditbericht: Auditfrage, geprüfter Beleg, Beobachtung, Bewertung (konform, geringfügige Abweichung, Hauptabweichung, Verbesserungsvorschlag). Die Compliance-Funktion wirkt hier flankierend, weil sich Annex-A-Controls und allgemeine Compliance-Anforderungen häufig überschneiden, etwa bei Datenschutz, Geheimnisschutz und Hinweisgeberschutz. Eine integrierte Sicht erspart doppelte Audits derselben Belege. Wer für das ISMS und für die DSGVO denselben Mitarbeiter zweimal interviewt, mit verschiedenen Fragenkatalogen, verschwendet Zeit und produziert Lücken zwischen den beiden Berichten. Eine konsolidierte Auditplanung mit gemeinsamen Stichproben für überlappende Themen reduziert den Aufwand erheblich. Sie ist besonders dann nützlich, wenn die Organisation zusätzlich nach NIS-2 reguliert ist und der Informationssicherheitsbeauftragte sowohl die ISO-Pflicht als auch die NIS-2-Aufsichtspflicht koordiniert.

Der Auditdurchführung folgt einer festen Struktur. Die Eröffnungsbesprechung dauert typischerweise dreißig Minuten und benennt Ziel, Umfang, Methodik, Vertraulichkeit und Berichtsweg. Anwesend sind der Auditor, der geprüfte Bereichsleiter und gegebenenfalls weitere Schlüsselpersonen. Die Eröffnung wird protokolliert, das Protokoll archiviert. In der Erhebungsphase führt der Auditor Interviews, sichtet Dokumente und prüft Stichproben.

Die Erhebungsphase dauert je nach Umfang einen halben Tag bis mehrere Tage. Wichtige Regel: Jede Auditfeststellung wird durch mindestens einen objektiven Beleg gestützt (Dokument, Bildschirmaufnahme, Auswertung, schriftliche Aussage). Vermutungen werden nicht als Feststellung aufgenommen, sie werden als Hinweise vermerkt und im nächsten Audit gegebenenfalls vertieft. Der Auditor priorisiert die Feststellungen nach Schwere: Hauptabweichung (Norm wesentlich verletzt), geringfügige Abweichung (Norm teilweise verletzt), Beobachtung (Hinweis ohne Normverletzung), Verbesserungsvorschlag (Empfehlung ohne Pflicht).

Die Abschlussbesprechung folgt unmittelbar nach der Erhebung. Der Auditor stellt die Feststellungen vor, der geprüfte Bereich nimmt Stellung, die Bewertung wird gemeinsam abgestimmt. Eine Hauptabweichung darf nicht in der Abschlussbesprechung verhandelt werden, sie bleibt eine Hauptabweichung. Im CIVAC-Workspace werden die Feststellungen direkt aus dem Auditprotokoll in das Maßnahmenregister übertragen, mit verantwortlicher Person, Fristen und Wirksamkeitskontrolle. Der Prüfer ruft an, der Nachweis liegt bereit gilt auch für den Abschlussbericht: spätestens zehn Werktage nach dem Audit liegt er final vor. Wer länger braucht, verliert die Aktualität der Erinnerung an die Interviews und an die Stichproben. Der Bericht wird dann zur Pflichtaufgabe, nicht zum Werkzeug. Eine standardisierte Berichtsvorlage im Workspace mit vorbefüllten Abschnitten verkürzt die Erstellungszeit erheblich, ohne den Inhalt zu verflachen. Die finale Bewertung trifft der Auditor, die Vorlage gibt nur den Rahmen.

Der Auditbericht ist das zentrale Ergebnisdokument. Er enthält mindestens: Auditrahmen (Datum, Auditor, Anwendungsbereich, Kriterien), Auditmethodik (Interviews, Dokumente, Stichproben), Auditfeststellungen pro geprüftem Kapitel mit Belegen und Bewertung, Zusammenfassung der Hauptabweichungen und geringfügigen Abweichungen, Empfehlungen und Verbesserungsvorschläge. Eine reine PDF-Tabelle reicht nicht. Der Bericht erläutert die Feststellung so, dass auch jemand, der nicht beim Audit dabei war, sie verstehen und nachvollziehen kann.

Adressat ist primär das oberste Management, das die Feststellungen im Management-Review nach Abschnitt 9.3 behandelt. Der Bereichsleiter erhält den Bericht zur Kenntnis und zur Initiierung von Korrekturmaßnahmen. Hauptabweichungen werden binnen kurzer Frist (typischerweise zwei bis sechs Wochen) mit einem Maßnahmenplan beantwortet, geringfügige Abweichungen bis zum nächsten Audittermin. Verbesserungsvorschläge sind freiwillig, sollten aber dokumentiert geprüft werden, um sie im nächsten Auditprogramm wiederzufinden.

Der Bericht wird im ISMS-Dokumentenmanagement gespeichert. Versionierung, Zugriffsrechte und Aufbewahrungsfrist (typischerweise sechs Jahre nach dem Auditdatum, mindestens jedoch ein vollständiger Zertifizierungszyklus plus zwei Jahre) sind festzulegen. Die CIVAC-Plattform speichert Auditberichte in der EU-Datenresidenz, mit Lesezugriff für die externe Zertifizierungsstelle bei der nächsten Auditrunde. Wer Auditberichte in geteilten Mail-Postfächern aufbewahrt, verliert sie spätestens beim ersten Personalwechsel im Bereich. Eine zentrale Ablage mit klaren Rollen ist auch nach Datenschutzgesichtspunkten zu bevorzugen, weil Auditberichte personenbezogene Stichproben enthalten können. Die Zugriffsrechte werden auf das Need-to-know-Prinzip beschränkt, mit nachvollziehbarem Audit-Trail. Wer als externer Auditor zur Re-Zertifizierung kommt, erhält einen zeitlich begrenzten Lesezugriff auf die relevanten Berichte, statt PDFs als E-Mail-Anhang zu versenden. Diese Praxis erfüllt zugleich Anforderungen aus Annex A 8.3 (Zugangsbeschränkung) und reduziert das Risiko unkontrollierter Weitergabe.

Abschnitt 10.1 der ISO/IEC 27001:2022 regelt die kontinuierliche Verbesserung, Abschnitt 10.2 die Nichtkonformität und Korrekturmaßnahme. Jede Auditfeststellung im Sinne einer Abweichung muss in einen Korrekturmaßnahmenprozess überführt werden. Dieser Prozess enthält: Ursachenanalyse (warum ist die Abweichung entstanden?), Maßnahme (was wird konkret geändert?), Verantwortlichkeit, Frist, Wirksamkeitskontrolle (wie wird festgestellt, dass die Maßnahme wirkt?).

Die Ursachenanalyse ist der häufigste Schwachpunkt. Wer als Ursache einer fehlenden Sicherheitsschulung lediglich "Mitarbeitende wurden nicht erinnert" notiert, liefert keine Ursachenanalyse, sondern eine Folgebeschreibung. Eine echte Ursachenanalyse fragt: Warum gibt es keinen automatisierten Erinnerungsmechanismus? Warum wurde die jährliche Pflicht nicht in das Onboarding aufgenommen? Warum wurde das Versäumnis nicht im Quartalsbericht erkannt? Erst diese Tiefe verhindert die Wiederholung.

Die Wirksamkeitskontrolle erfolgt frühestens drei Monate nach Umsetzung der Maßnahme. Sie zeigt, ob die Korrektur tatsächlich wirkt oder ob ein neues Audit notwendig ist. Im CIVAC-Workspace sind Korrekturmaßnahmen direkt mit der ursprünglichen Auditfeststellung verknüpft. Die Wirksamkeitskontrolle wird als eigener Vorgang geplant, mit Termin, Verantwortlichkeit und Ergebnis. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das bedeutet konkret: Eine Auditfeststellung wird nicht geschlossen, wenn die Maßnahme nur umgesetzt, aber nicht in ihrer Wirkung bestätigt ist. Diese Disziplin zahlt sich im externen Audit aus, weil die Zertifizierungsstelle die Wirksamkeit ebenfalls prüft und keine offenen Punkte stehenbleiben dürfen. Eine geschlossene Maßnahme, die im externen Audit als nicht wirksam erkannt wird, gilt als Hauptabweichung. Wer im internen Audit gründlich arbeitet, vermeidet diese Wiederauffindung. Im Zweifel ist eine Maßnahme länger offen zu halten und gründlicher zu bestätigen, als sie vorzeitig zu schließen.

Das Management-Review nach Abschnitt 9.3 der ISO/IEC 27001:2022 ist der Ort, an dem die Auditergebnisse politisch bewertet werden. Das oberste Management bewertet das ISMS in geplanten Abständen, mindestens jährlich. Die Pflichteingangsgrößen sind in 9.3.2 aufgeführt und umfassen unter anderem den Status der Maßnahmen aus vorherigen Reviews, Änderungen an externen und internen Themen, Rückmeldungen zu Informationssicherheitsleistungen, Auditergebnisse, Ergebnisse der Risikobeurteilung, Status der Risikobehandlung und Möglichkeiten zur kontinuierlichen Verbesserung.

Die Ausgangsgrößen sind in 9.3.3 geregelt und umfassen Entscheidungen zu Verbesserungsmöglichkeiten, Anpassungen am ISMS, Ressourcenbedarf. Diese Entscheidungen werden protokolliert und in das Folgeprogramm überführt. Ein Management-Review, das nur aus einer PowerPoint-Präsentation besteht und keine dokumentierten Entscheidungen produziert, ist normativ unvollständig.

Die Verknüpfung mit dem internen Audit erfolgt bidirektional. Der Audit liefert Eingangsgrößen für das Review, das Review liefert Schwerpunkte für das nächste Auditprogramm. Im CIVAC-Workspace werden Management-Review und Auditprogramm im selben System geführt, mit einer Versionierung über mindestens sechs Jahre. Die Berichtslinie an die Geschäftsleitung ist damit nicht eine PowerPoint einmal im Jahr, sondern ein lebender Prozess mit nachvollziehbaren Entscheidungen. Wer den Workspace lizenziert, erhält die Vorlagen für das Review-Protokoll. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Vorlagen sind an die 2022er-Fassung der Norm angepasst und werden aktualisiert, sobald die Normgruppe bei der ISO ein neues Update herausgibt. Bestellurkunde, unterschrieben, abgelegt, belegbar gilt auch für die externe Bestellung. Im Zweifel ist der externe Auditor die wirksamste Antwort auf den Konflikt zwischen Objektivität und Bereichsnähe in kleinen Organisationen.

Die Suche nach einer ISO-27001-Audit-Checkliste als PDF ist verständlich. Sie löst aber nicht das Problem. Eine PDF-Checkliste ist statisch, sie veraltet mit dem nächsten Normupdate, sie verknüpft sich nicht mit dem Risikoregister, sie kennt keine Wirksamkeitskontrolle. Ein interner Audit nach ISO/IEC 27001:2022 ist ein lebender Prozess, der das ISMS aktiv weiterentwickelt. Wer ihn als Pflichtübung versteht, verschenkt das eigentliche Werkzeug zur kontinuierlichen Verbesserung.

CIVAC arbeitet als Compliance-Plattform und Officer-as-a-Service. Die Plattform führt das Auditprogramm, die Vorlagen für 93 Controls in Annex A, den Maßnahmenkatalog und das Management-Review in einem gemeinsamen Workspace mit EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In der Variante Officer-as-a-Service übernimmt der externe Informationssicherheitsbeauftragte die Bestellurkunde, die Pflege des ISMS, die Durchführung des internen Audits und die Vorbereitung der externen Zertifizierung. Die Bestellung erfolgt im Regelfall innerhalb von zwei Werktagen nach Auftragserteilung.

Aus dem Lesen einen Auftrag machen. Eine kurze Mail an info@civac.de mit Branche, Zertifizierungsstand und vorhandenem ISMS reicht für den ersten Termin. Wer lieber das Kontaktformular nutzt, findet es über die FAQ-Seite verlinkt. Was Sie nicht bekommen: ein generisches Audit-PDF. Was Sie bekommen: eine konkrete Rückmeldung, welche Lücken in Ihrem ISMS bestehen, wie der nächste interne Audit aussehen sollte und welche Korrekturmaßnahmen vor der Re-Zertifizierung im Oktober 2026 geschlossen werden müssen. Frist läuft ab Kenntnis: Wer den Übergang noch nicht angestoßen hat, sollte nicht mehr warten. Eine erste belastbare Lückenanalyse ist innerhalb einer Woche verfügbar, die Behebung der häufigsten Lücken bewegt sich im Bereich von vier bis zwölf Wochen, je nach Ausgangslage.