Erfahrungsbericht zu einem Erst-Zertifizierungsaudit nach ISO 27001

Lesen Sie folgenden Erfahrungsbericht zu einem Erst-Zertifizierungsaudit nach ISO 27001. Das Auditverfahren ist gar nicht so furchteinflößend. 

Erstellung der ISO27001 Dokumente

Wenn man ein ISO 27001 Projekt startet, startet auch eine persönliche Lernkurve. Man muss sich mit dem Standard und den Auswirkungen auf vorhandene Geschäftsprozesse auseinandersetzen. Dabei hat man prinzipiell zur Auswahl alles in Deutsch oder englisch zu erstellen. Wir haben uns für eine Deutsche Umsetzung entscheiden.

Das ISO27001 Audit

Wie bei jeder Prüfung in der Schule oder an der Uni hat man ein mulmiges Gefühl. Man kann sich noch so gut vorbereiten und dennoch herrscht eine gewisse Unsicherheit. Das ist einfach was völlig normales. Letztendlich ist es ein gutes Zeichen, dass man die Angelegenheit ernst nimmt.

Stufe 1 des ISO27001 Audits

Nachdem der Termin zum Audit anstand, wurde in der Stufe 1 unsere Dokumentation (ISMS und Nachweise) vom Auditor gesichtet. Alsbald erhielten wir eine Liste von Dokumenten, die wir für die Stufe 2 bereit stellen sollten. Dazu kamen auch eine Liste von Themen, um die es beim Audit der Stufe 2 hauptsächlich gehen sollte.

Stufe 2 des ISO27001 Audits

Als dann der 1ste Audittag kam, hatten wir alle notwendigen Zusatzunterlagen in digitaler Form bereit gestellt. Man hatte uns erklärt, dass die Zertifizierungsstellen diese Dokumente zusammen mit den Kernunterlagen als Nachweis eines ordnungsgemäßen Audits archivieren müssten. Damit haben wir uns aber viel Arbeit gespart, weil wir im Vorfeld von unseren Auditexperten auf diesen besonderen Tag vorbereitet wurden. Der 2te Audittag war dann relativ zügig und produktiv vergangen. Einige Themen wurden dabei mit dem ISO27001 Auditor besprochen, bevor er uns seine Kernerkenntnisse mitteilte. 

Er erläuterte auch anschaulich was wir tun können, falls wir mit etwas nicht einverstanden sind als auch wie der weitere Verlauf des Zertifizierungsprozesses sein wird. Unser Vorteil war aber, dass wir bereits im Vorfeld wussten, wie das alles geregelt ist. Die mitgelieferten Auditvorbereitungsunterlagen machten uns das ganze Projekt deutlich transparenter.

Erhalt des ISO27001 Zertifikats

Nachdem das Audit durchgeführt wurde, dauerte es ca. 2 Wochen bis das ISO 27001 Zertifikat ausgestellt wurde. Man muss bedenken, dass mit den unterschiedlichen Ferienzeiten in Deutschland sich an Wartezeiten gewöhnt. Das Revisionsaudit hat festgestellt, dass es der Empfehlung des ISO 27001 Auditors zustimmt. Damit war eine große Erleichterung bei uns.

Berichtendes Unternehmen

Industrie: IT Software

Region: Bayern, BRD

Rechtsform: GmbH

Mitarbeiterzahl: 7