BG Beter Geregeld ICT
Compliance · 2 min leestijd · 19 Oktober 2025

ISO 27001 Pre-Audit-Checkliste: 2 Wochen vor Stage 2

Stage 2 ist in zwei Wochen. Diese 22-Punkte-Checkliste geht alles durch, was Auditoren typischerweise prüfen — fehlt ein Punkt, beheben Sie ihn jetzt.

Zwei Wochen vor Stage 2. Zeit, keine grundlegenden Dinge mehr aufzubauen — wohl aber zu prüfen, ob alles stimmt. Gehen Sie diese 22 Punkte durch.

\n \n

Dokumentation

\n
    \n
  1. Security Policy auf aktuellem Stand, Verantwortlicher benannt, jährliches Review-Datum eingeplant.
    2. \n
  2. Statement of Applicability aktuell (alle Annex-A-Controls: implemented / NA + Begründung).
    3. \n
  3. Alle 8–12 Richtlinien auf korrekter Versionsnummer, Changelog sichtbar.
    4. \n
  4. Risk Register: Review-Datum im letzten Quartal.
    5. \n
  5. Asset-Liste aktuell (einschließlich SaaS-Inventar).
    6. \n
\n \n

Operative Nachweise

\n
    \n
  1. Letztes Access Review durchgeführt, PDF-Bericht mit Entscheidungen und Unterschriften.
    2. \n
  2. Privileged-Access-Inventar aktuell, letztes Review innerhalb der letzten 3 Monate.
    3. \n
  3. Letzte 2 Offboardings vollständig dokumentiert.
    4. \n
  4. Onboarding-Prozess für mindestens 1 kürzlich eingestellte Person vollständig.
    5. \n
  5. Backup-Test durchgeführt, Nachweis der Wiederherstellung vorhanden.
    6. \n
  6. Vorfallsregister des letzten Quartals vorhanden (auch „nichts passiert" muss eingetragen sein).
    7. \n
\n \n

Governance

\n
    \n
  1. Letztes Management Review innerhalb von 12 Monaten, Protokoll vorhanden.
    2. \n
  2. Internes Audit abgeschlossen, Bericht vorhanden, Feststellungen abgeschlossen oder in Bearbeitung.
    3. \n
  3. Schulungsprotokoll: Alle Mitarbeitenden haben dieses Jahr Security Awareness absolviert.
    4. \n
  4. Dokument zu Rollen und Verantwortlichkeiten (CISO-Rolle besetzt, auch wenn das der Geschäftsführer selbst ist).
    5. \n
\n \n

Technik

\n
    \n
  1. MFA auf kritischen Systemen erzwungen (M365 Admin, Buchhaltung, Cloud-Infrastruktur).
    2. \n
  2. Passwort-Richtlinie durchgesetzt (mindestens Mindestlänge + Blocking häufig verwendeter Passwörter).
    3. \n
  3. Patches: OS/Browser-Patches des letzten Quartals auf > 95 % der Geräte eingespielt.
    4. \n
  4. Anti-Malware auf allen Endgeräten.
    5. \n
  5. Festplattenverschlüsselung auf allen Firmen-Laptops aktiviert.
    6. \n
\n \n

Verträge

\n
    \n
  1. Auftragsverarbeitungsverträge mit Kernlieferanten vorhanden (siehe Verarbeitungsverzeichnis).
    2. \n
  2. Vertraulichkeits- und Sicherheitsklauseln in Arbeitsverträgen enthalten.
    3. \n
\n \n

Alles abgehakt → Sie sind bereit für Stage 2.

Onderwerpen

#checklist #audit #iso-27001

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 für KMU – ohne €50k Beraterkosten

ISO 27001 ist machbar, wenn man die Struktur versteht. Hier der minimale Aufwand, den ein KMU mit 30 Mitarbeitern braucht, um ein Stage-2-Audit zu bestehen – inklusive Kosten und den Bereichen, in denen Berater wirklich Mehrwert liefern.

2 min
Compliance

ISO 27001 Kosten: von der ersten Gap-Analyse bis zum Zertifikat

Realistisches Budgetbild für ein KMU mit 30 Mitarbeitern. Interne Stunden, externes Audit, Beratung (so wenig wie nötig), jährliche Wartung. Kein Marketinggeschwätz.

2 min
Compliance

ISO 27001 oder SOC 2? Welches passt zu Ihrem niederländischen KMU?

ISO 27001 ist europäisch ausgerichtet, SOC 2 amerikanisch. Was fordern Ihre Kunden? Und lassen sich beide kombinieren? Hier der praktische Unterschied für KMU.

2 min
Compliance

NEN 7510 für Gesundheitsunternehmer: Aufbauend auf ISO 27001

Arbeiten Sie im oder mit dem Gesundheitswesen? Dann ist NEN 7510 neben (oder anstelle von) ISO 27001 Realität. Die Überschneidungen sind groß – die Unterschiede liegen bei Patientendaten und spezifischen Annex-Controls.

2 min
Compliance

Das Management-Review: Inhalt und Teilnehmer

Eine der Abschnitt-9-Anforderungen aus ISO 27001. Einmal jährlich, mit der Geschäftsleitung, 2 Stunden. Hier die Agenda, die ein Auditor akzeptiert – und die für Sie als Vorbereitung nutzbar ist.

2 min
Compliance

Der PDCA-Zyklus erklärt für Führungskräfte

Plan-Do-Check-Act klingt bürokratisch. In der Praxis bedeutet es: Schreib auf, was du tust, tue es, prüf ob es funktioniert, passe es an. Hier die kürzeste brauchbare Erklärung.

2 min
← Alle artikelen in "Compliance"