Interne Audits ISMS Schweiz – Beratung, Durchführung & Kontrolle

Warum interne Audits für Ihr ISMS entscheidend sind

Interne Audits ISMS Schweiz – ISO 27001 schreibt diese ausdrücklich vor – sie sind kein optionales Extra, sondern ein Kernelement der Norm (Kapitel 9.2). Interne Audits dienen dazu, die Wirksamkeit des ISMS regelmässig zu überprüfen, Nichtkonformitäten frühzeitig zu erkennen und den kontinuierlichen Verbesserungsprozess (PDCA) aktiv zu steuern. Unternehmen, die interne Audits vernachlässigen, riskieren nicht nur das Zertifikat – sie verlieren auch die Kontrolle über ihre eigene Informationssicherheit. Mehr zum Gesamtrahmen finden Sie auf unserer Seite zur ISO 27001 Zertifizierung Schweiz.

In der Praxis scheitern viele Unternehmen an drei typischen Problemen: fehlendes internes Know-how für die Audit-Durchführung, mangelnde Unabhängigkeit (Eigenaudits sind häufig zu wohlwollend) und fehlende Kapazitäten im Tagesgeschäft. Genau hier setzen wir an.

Unsere Leistungen: Beratung, Durchführung & Kontrolle

1. Aufbau eines internen Auditprogramms

Wir helfen Ihnen, ein strukturiertes, ISO-27001-konformes Auditprogramm zu entwickeln, das zu Ihrer Organisation passt. Dies umfasst die Festlegung von Auditzielen und -häufigkeiten, die Definition von Audit-Scope und -Kriterien, die Erstellung von Auditplänen und Checklisten (basierend auf ISO 27001 Annex A und Ihrer Risikolage) sowie die Dokumentationsvorlagen für Auditberichte und Massnahmenverfolgung. Ergänzend erstellen wir bei Bedarf vollständige IT-Leitfäden und Richtlinien.

2. Durchführung interner Audits ISMS Schweiz (als externer Auditor)

Wir übernehmen die Rolle des internen Auditors – unabhängig, fachkundig und ohne Betriebsblindheit. Als externe Spezialisten bringen wir die nötige Distanz mit, um Schwachstellen zu erkennen, die interne Teams oft übersehen. Dabei prüfen wir alle relevanten Kontrollbereiche gemäss ISO 27001:2022, befragen Mitarbeitende und Prozessverantwortliche, sichten Dokumentation und Nachweise, und erstellen einen strukturierten Auditbericht mit priorisierten Befunden. Einen schnellen Einstieg bietet auch unser Online IT-Audit.

3. Nachverfolgung von Massnahmen (Corrective Actions)

Ein Audit ist erst dann wertvoll, wenn die festgestellten Nichtkonformitäten und Verbesserungspotenziale auch wirklich behoben werden. Wir unterstützen Sie beim Aufbau eines Massnahmen-Trackings, begleiten die Umsetzung der Korrekturmassnahmen, überprüfen deren Wirksamkeit im Follow-up-Audit und dokumentieren den Fortschritt für Ihren Management-Review.

4. Schulung interner Auditoren

Langfristig möchten viele Unternehmen eigene interne Auditoren aufbauen. Wir schulen Ihre Mitarbeitenden in der ISO-27001-Auditmethodik, Interviewtechniken und Berichtserstattung – damit Sie mittelfristig eigenständig auditen können, ohne die Qualität zu kompromittieren.

5. Audit-Readiness-Check vor dem Zertifizierungsaudit

Kurz vor dem Zertifizierungsaudit (Stage 2) durch die Zertifizierungsstelle führen wir einen umfassenden Readiness-Check durch: Wir simulieren den Blick des externen Auditors, identifizieren verbleibende Lücken und geben Ihnen konkrete Empfehlungen – damit Sie mit Sicherheit ins Audit gehen. Weiterführende Grundlagen bietet unser Leitfaden für ein IT-Audit.

Unser Auditprozess – von der Planung bis zum Bericht

Jedes interne Audit folgt bei uns einem klar definierten, vierphasigen Prozess:

• Phase 1 – Planung: Abstimmung von Auditscope, Zielen und Zeitplan. Sichtung bestehender Dokumentation (Richtlinien, Risikoregister, letzte Auditberichte). Erstellung eines angepassten Auditplans und spezifischer Prüfchecklisten.
• Phase 2 – Durchführung: Dokumentenprüfung, Interviews mit Prozessverantwortlichen und Schlüsselpersonen, Stichproben und Beobachtungen. Laufende Erfassung von Befunden (Konformitäten, Nichtkonformitäten, Beobachtungen, Verbesserungspotenziale).
• Phase 3 – Berichterstattung: Strukturierter Auditbericht mit Zusammenfassung, Detailbefunden, Risikopriorisierung und konkreten Korrekturmassnahmen-Empfehlungen. Präsentation der Ergebnisse für Geschäftsleitung und ISMS-Verantwortliche.
• Phase 4 – Follow-up: Begleitung der Massnahmenumsetzung, Wirksamkeitsprüfung, Aktualisierung der Auditdokumentation für den Management-Review und das nächste Überwachungsaudit.

Vorteile eines externen internen Auditors

Die Kombination aus interner Audit-Pflicht und externer Durchführung mag zunächst widersprüchlich klingen – ist aber ISO-27001-konform und in der Praxis äusserst wirkungsvoll. ISO 27001 fordert lediglich, dass Auditoren unabhängig von der geprüften Tätigkeit sind. Ein externer Dienstleister erfüllt diese Anforderung optimal.

• Unabhängigkeit: Kein Interessenkonflikt, keine Betriebsblindheit – wir sehen, was interne Teams nicht sehen wollen oder können.
• Fachtiefe: Unsere Auditoren kennen die aktuellen ISO-27001:2022-Anforderungen, typische Audit-Findings und Best Practices aus zahlreichen Projekten in der Schweiz.
• Effizienz: Kein aufwendiger Aufbau interner Audit-Kapazitäten – Sie erhalten sofort einsatzbereite Expertise.
• Glaubwürdigkeit: Externe Auditberichte werden von Zertifizierungsstellen oft positiver bewertet als rein interne Berichte.
• Flexibilität: Bedarfsgerecht buchbar – ob einmalig vor dem Zertifizierungsaudit oder als jährliches Programm. Für technische Sicherheitsprüfungen ergänzen wir durch Penetrationstests.

ISMS-Audits im Schweizer Kontext: ISG, nDSG und FINMA

In der Schweiz sind interne Audits nicht nur für die ISO-27001-Zertifizierung relevant. Das Informationssicherheitsgesetz (ISG) fordert von betroffenen Stellen eine regelmässige Überprüfung ihrer Informationssicherheitsmassnahmen – interne Audits sind ein anerkanntes Instrument dafür. Das revidierte Datenschutzgesetz (nDSG) verlangt technische und organisatorische Massnahmen zum Datenschutz, deren Wirksamkeit regelmässig zu überprüfen ist. Und die FINMA erwartet von Finanzinstituten ein nachweisbares Kontrollsystem im Bereich Cyber-Risiken – interne Audits liefern genau diese Nachweise.

Wir kennen den Schweizer Regulierungsrahmen und stellen sicher, dass Ihre internen Audits nicht nur ISO-27001-konform sind, sondern auch die Anforderungen von ISG, nDSG und FINMA RS 2023/1 adressieren.

Häufige Fragen zu internen ISMS-Audits

Wie oft müssen interne Audits gemäss ISO 27001 durchgeführt werden?

ISO 27001 schreibt keine feste Häufigkeit vor – Sie müssen nachweisen, dass interne Audits in geplanten Abständen durchgeführt werden und alle relevanten Bereiche des ISMS abdecken. In der Praxis empfehlen wir mindestens ein vollständiges internes Audit pro Jahr, idealerweise einige Monate vor dem jährlichen Überwachungsaudit der Zertifizierungsstelle.

Darf derselbe Anbieter, der das ISMS aufgebaut hat, auch die internen Audits durchführen?

Grundsätzlich ja – ISO 27001 fordert Unabhängigkeit von der geprüften Tätigkeit, nicht von der Organisation. Ein externer Berater, der das ISMS aufgebaut hat, kann die internen Audits durchführen, sofern er nicht die eigene Aufbauarbeit prüft. In solchen Fällen empfehlen wir eine klare Trennung der Rollen oder den Einsatz eines anderen Auditors.

Was kostet ein internes Audit durch externe Spezialisten?

Die Kosten hängen von der Grösse Ihrer Organisation, dem Scope des ISMS und dem Umfang des Auditprogramms ab. Für ein Schweizer KMU mit 50 bis 150 Mitarbeitenden kalkulieren Sie typischerweise mit CHF 4’000 bis 12’000 pro Audit-Zyklus. Gerne erstellen wir Ihnen ein massgeschneidertes Angebot.

Können interne Audits auch remote durchgeführt werden?

Ja, ein Grossteil der Dokumentenprüfung und Interviews kann remote erfolgen – was Zeit und Reisekosten spart. Für bestimmte Bereiche (physische Sicherheit, Serverräume, Benutzerauthentifizierung vor Ort) empfehlen wir jedoch einen Vor-Ort-Anteil, um ein vollständiges Bild zu erhalten.