Ein internes ISO 27001‑Audit prüft, ob das ISMS nicht nur dokumentiert, sondern auch wirksam umgesetzt ist. Im Fokus steht dabei die tatsächliche Anwendung der Anforderungen im Unternehmensalltag.
Zunächst wird der Geltungsbereich (Scope) betrachtet: Ist klar definiert, sinnvoll abgegrenzt und vollständig umgesetzt? Anschließend wird geprüft, ob Informationssicherheitsrisiken systematisch identifiziert, bewertet und behandelt werden und ob diese Bewertung aktuell und nachvollziehbar ist.
Ein weiterer zentraler Bestandteil ist das Statement of Applicability (SoA). Es wird überprüft, ob die ausgewählten Maßnahmen begründet sind und zur Risikolage des Unternehmens passen.
Darüber hinaus bewertet das Audit organisatorische und technische Maßnahmen, wie Richtlinien, Verantwortlichkeiten, Schulungen, Zugriffsregelungen oder den Umgang mit Dienstleistern. Wichtig ist dabei nicht nur das Vorhandensein von Regelungen, sondern deren praktische Umsetzung.
Abschließend wird betrachtet, wie das Management eingebunden ist und ob Ergebnisse, Abweichungen und Verbesserungen strukturiert nachverfolgt werden.
Ein internes ISO 27001‑Audit macht sichtbar, wie belastbar und wirksam das ISMS wirklich ist – und wo gezielte Verbesserungen notwendig sind.