Auf dieser Seite stellen wir neuen Kunden 3 verschiede generische Auditpläne für ein vollständiges internes ISO 27001 Audit bereit. Ein Plan mit 5, einen mit 4,5 und einen mit 4 Tagen. Sie können für eine durchschnittliche Organisation mit einem Standort, als Grundlage für die Erstellung eigener angepasster Pläne verwendet werden.

Die Erfahrung hat gezeigt, dass sich die Prüfzeit pro Punkt aus den folgenden Aspekten zusammensetzt:

• 2 - 5 Minuten: Suchen und Öffnen der Nachweise (ISB)
• 2 - 5 Minuten: Sichten der Nachweise (Auditteam)
• 5 - 10 Minuten: Dialog (ISB und Auditteam).

Jeder der bereits an einem ISO 27001 Audit teilgenommen hat, wird bestätigen können, dass 15 Minuten nicht wirklich viel Zeit sind, um das Suchen, Sichten und Bewerten durchzuführen. Insbesondere nicht, wenn Empfehlungen und Maßnahmen diskutiert werden müssen.

Der Umfang der ISO/IEC 27001:2022 ist nicht zu unterschätzen:

• 30 Abschnitte im Hauptteil (Unterkapitel mit Anforderungen)
• 93 Abschnitte im Annex A  

Wenn man die genannten 15 Minuten pro Abschnitt als Mischkalkulation ansetzt, kommt man auf 3,8 PT (Personentage á 8h), jedoch ohne Pausen und administrative Punkte, wie zum Beispiel das Abschlussgespräch.

5,0 Tage Interview

Für Kunden, die das intere Audit nicht nur zur Bewertung, sondern auch zur Diskussion über Verbesserungsmöglichkeiten nutzen möchten, bietet sich der 5 tägige Interviewplan an. Denn in diesem Plan stehen in nur 2 Sessions weniger als 15 Minuten pro Abschnitt zur Verfügung:

4,5 Tage Interview

Ein Kompromiss stellt der Plan mit 4,5 Tagen dar. Hier ist direkt erkennbar, dass 10 Sessions weniger als 15 Mintuen pro Abschnitt besitzen. Trotzdem reicht die Zeit oft noch aus, um auch einzelne Verbesserungsmöglichkeiten zu diskutieren:

4 Tage Interview

Wer bereits gut vorbereitet ist somit das Suchen sowie Öffnen der Nachweise auf unter 2 Minuten drückt und auf Grundsatzdiskussionen verzichtet, der kann Zeit und Geld einsparen: