ISMS Copilot
Anwendungsfälle für den ISMS-Copilot

So prüfen Sie die Konsistenz der ISMS-Dokumentation und die Audit-Bereitschaft mit dem ISMS Copilot

Dieser Leitfaden unterstützt ISO 27001-Verantwortliche dabei, umfassende Konsistenzprüfungen der ISMS-Dokumentation durchzuführen, ihre Vorbereitungsarbeit kritisch zu hinterfragen und die Audit-Bereitschaft vor Erstzertifizierungen oder Überwachungsaudits zu verifizieren.

Für wen dieser Leitfaden gedacht ist

ISO 27001-Implementierer, Informationssicherheitsbeauftragte (ISB) und Compliance-Verantwortliche, die für den Aufbau und die Pflege eines ISMS sowie die Vorbereitung auf Zertifizierungsaudits zuständig sind.

Was Sie erreichen werden

Sie werden Ihre vollständige ISMS-Dokumentation in den ISMS Copilot hochladen, Widersprüche in Richtlinien und Verfahren identifizieren, die Ausrichtung an den ISO 27001-Anfoderungen überprüfen und eine realistische Einschätzung Ihrer Zertifizierungsreife mit spezifischen Verbesserungsvorschlägen erhalten.

Die Herausforderung der Konsistenz

ISMS-Dokumentationen entstehen oft über Monate hinweg unter Beteiligung verschiedener Personen, während sich die Anforderungen weiterentwickeln. Das Ergebnis: Richtlinien widersprechen Verfahren, die Erklärung zur Anwendbarkeit (SoA) passt nicht zu den implementierten Controls, Risikobehandlungspläne verweisen auf nicht existierende Prozesse – und niemand bemerkt es, bis der Auditor darauf hinweist.

Der ISMS Copilot analysiert Ihr komplettes Dokumentationspaket, um Lücken, Widersprüche und Fehlausrichtungen zu identifizieren, bevor Auditoren diese finden.

Voraussetzungen

  • Abgeschlossene ISMS-Dokumentation einschließlich Leitlinien, Verfahren, Erklärung zur Anwendbarkeit (SoA), Risikobeurteilung und Risikobehandlungsplan

  • ISMS Copilot-Konto mit einem kostenpflichtigen Plan (empfohlen wegen der höheren Limits für Dateiuploads – je nach Plan 50 bis 500 pro Monat)

  • Alle Dokumente im PDF- oder DOC-Format

Schritt 1: Erstellen Sie einen dedizierten Workspace für die Audit-Vorbereitung

Richten Sie einen Workspace speziell für die umfassende ISMS-Prüfung und Audit-Vorbereitung ein.

  1. Erstellen Sie einen neuen Workspace mit dem Namen „Audit-Bereitschaft [Datum]“ oder „Zertifizierungsvorbereitung [Jahr]“

  2. Wählen Sie die Implementer-Persona für eine umsetzungsorientierte Analyse

  3. Halten Sie diesen Workspace getrennt von der täglichen operativen ISMS-Arbeit

Erstellen Sie separate Workspaces für Erstzertifizierungen, Überwachungsaudits und Rezertifizierungen, um die Entwicklung Ihres ISMS-Reifegrades über die Zeit zu verfolgen.

Schritt 2: Laden Sie Ihre vollständige ISMS-Dokumentation hoch

Laden Sie alle ISMS-Dokumente hoch, um eine umfassende dokumentenübergreifende Analyse zu ermöglichen.

Kritische Dokumente für den Upload:

  • Obligatorische Dokumente: Informationssicherheitsleitlinie, Erklärung zur Anwendbarkeit (SoA), Risikobeurteilung, Risikobehandlungsplan

  • Kernverfahren: Zugriffskontrolle, Änderungsmanagement (Change Management), Incident Response, Business Continuity, Backup und Wiederherstellung

  • Unterstützende Dokumente: Asset-Inventar, Lieferantenverträge mit Sicherheitsklauseln, Schulungsnachweise, Audit-Logs

  • Frühere Auditberichte: Falls vorhanden, zur Nachverfolgung von Korrekturmaßnahmen

Stellen Sie sicher, dass die hochgeladenen Dokumente den aktuell genehmigten Versionen entsprechen. Das Hochladen von Entwürfen oder veralteten Versionen führt zu einer fehlerhaften Konsistenzanalyse.

Schritt 3: Überprüfung der Übereinstimmung mit der Erklärung zur Anwendbarkeit (SoA)

Prüfen Sie, ob Ihre SoA genau widerspiegelt, was tatsächlich in Ihrem ISMS implementiert ist.

Prompts zur SoA-Verifizierung:

  • „Vergleiche meine Erklärung zur Anwendbarkeit (SoA) mit meinen hochgeladenen Verfahrensbeschreibungen. Welche Maßnahmen (Controls) sind als 'anwendbar' markiert, haben aber kein entsprechendes Verfahren?“

  • „Gibt es Controls, die in meiner SoA als 'nicht anwendbar' markiert sind, aber in meinem Risikobehandlungsplan referenziert werden?“

  • „Prüfe die Begründungen für Ausschlüsse in meiner SoA. Sind diese gemäß ISO 27001:2022 angemessen?“

  • „Welche Annex A Controls werden in den Verfahren erwähnt, fehlen aber in meiner SoA?“

Beheben Sie alle SoA-Inkonsistenzen vor dem Audit. Die SoA ist der Fahrplan des Auditors – Fehler an dieser Stelle erzeugen einen negativen ersten Eindruck und rücken diese Bereiche in den Fokus des Audits.

Schritt 4: Identifizierung dokumentenübergreifender Inkonsistenzen

Finden Sie Widersprüche, Lücken und Fehlausrichtungen innerhalb Ihrer gesamten ISMS-Dokumentation.

Prompts zur Konsistenzprüfung:

  • „Meine Zugriffssteuerungsrichtlinie sieht vierteljährliche Überprüfungen vor, aber mein Verfahren nennt jährliche Prüfungen. Welche Dokumente widersprechen sich bei den Überprüfungsintervallen?“

  • „Verweist mein Risikobehandlungsplan auf Verfahren, die in den hochgeladenen Dokumenten nicht existieren?“

  • „Vergleiche die Datenklassifizierungsstufen in meiner Richtlinie mit dem Backup-Verfahren. Sind diese konsistent?“

  • „Mein Incident-Response-Verfahren erwähnt ein 'Incident Response Team'. Ist dieses Team irgendwo in meiner Dokumentation definiert?“

  • „Prüfe, ob alle in den Dokumenten erwähnten Rollen und Verantwortlichkeiten in meinen Organisationsdokumenten definiert sind.“

Schritt 5: Abdeckung der ISO 27001-Anforderungen verifizieren

Stellen Sie sicher, dass Ihre Dokumentation alle obligatorischen Klauseln der ISO 27001:2022 und die anwendbaren Annex A Controls abdeckt.

Prompts zur Abdeckungsprüfung:

  • „Prüfe meine hochgeladenen Dokumente gegen ISO 27001:2022 Klausel 6 (Planung). Was fehlt?“

  • „Zeigen meine Dokumente auf, wie wir Risiken und Chancen gemäß Klausel 6.1 bestimmen und behandeln?“

  • „Verifiziere die Abdeckung der internen Audit-Anforderungen aus Klausel 9.2 in meinen Verfahren.“

  • „Gibt es für jede in meiner SoA als 'anwendbar' markierte Maßnahme einen dokumentierten Nachweis der Umsetzung?“

  • „Welche Anforderungen aus Klausel 7 (Unterstützung) sind nicht ausreichend dokumentiert?“

Konzentrieren Sie sich zuerst auf die obligatorischen Anforderungen der Klauseln 4-10 und verifizieren Sie dann die in Ihrer SoA als anwendbar markierten Annex A Controls. Verschwenden Sie keine Zeit mit ausgeschlossenen Maßnahmen.

Schritt 6: Hinterfragen Sie Ihre Risikobeurteilung und -behandlung

Validieren Sie, ob Ihr Risikomanagement-Ansatz die ISO 27001-Anforderungen erfüllt und in der Praxis sinnvoll ist.

Prompts zur Überprüfung der Risikobeurteilung:

  • „Prüfe meine Risikobeurteilung. Sind die Kriterien für die Risikoakzeptanz klar definiert und konsistent angewendet?“

  • „Stimmen die identifizierten Risiken mit dem ISMS-Anwendungsbereich und dem Asset-Inventar überein?“

  • „Sind die Optionen zur Risikobehandlung (vermeiden, verlagern, akzeptieren, reduzieren) angemessen begründet?“

  • „Prüfe, ob mein Risikobehandlungsplan Verantwortliche, Zeitpläne und den Status für jedes Risiko enthält. Was fehlt?“

  • „Gibt es Restrisiken, die nicht formal von der Geschäftsführung akzeptiert wurden?“

Schritt 7: Bewertung der operativen Nachweise

Stellen Sie fest, ob Sie genügend Beweise dafür haben, dass Ihr ISMS tatsächlich gelebt wird und nicht nur auf dem Papier existiert.

Prompts zur Bewertung von Nachweisen:

  • „Welche operativen Nachweise würde ein Auditor für mein Zugriffssteuerungsverfahren erwarten? Habe ich diese?“

  • „Welche Aufzeichnungen sollte ich basierend auf meinem Incident-Response-Verfahren haben? Werden diese in meinen Dokumenten erwähnt?“

  • „Prüfe meinen Business-Continuity-Plan. Welche Testnachweise werden Auditoren erwarten?“

  • „Geben meine Verfahren Aufbewahrungsfristen und Formate für Aufzeichnungen an? Ist dies konsistent?“

Dokumentation allein beweist keine Compliance. Auditoren werden Nachweise über den Betrieb verlangen: Logs, Protokolle, Besprechungsminuten, Testergebnisse, Schulungsteilnahmen usw.

Schritt 8: Ein Readiness-Assessment erstellen lassen

Fordern Sie eine Gesamtbewertung Ihrer Zertifizierungsreife mit spezifischen Verbesserungsprioritäten an.

Prompts für das Readiness-Assessment:

  • „Bewerte basierend auf allen hochgeladenen Dokumenten meine Bereitschaft für die ISO 27001:2022-Erstzertifizierung. Was sind die 5 größten Risiken für die Zertifizierung?“

  • „Was würde wahrscheinlich zu gravierenden Nichtkonformitäten (Major Non-Conformities) führen, wenn ich heute ins Audit ginge?“

  • „Welche Bereiche meines ISMS sind basierend auf der Dokumentation am schwächsten?“

  • „Erstelle eine Pre-Audit-Checkliste, priorisiert nach Risikostufe.“

  • „Wenn du ein Auditor wärst, der diese Dokumente prüft, was würdest du hinterfragen oder beanstanden?“

Schritt 9: Vorbereitung auf Überwachungsaudits

Verifizieren Sie bei Überwachungsaudits, dass Änderungen seit der Zertifizierung keine neuen Inkonsistenzen eingeführt haben.

Überwachungsspezifische Prompts:

  • „Vergleiche meine aktuellen Verfahren mit dem letzten Auditbericht. Wurden alle Nichtkonformitäten behoben?“

  • „Welche Änderungen wurden seit dem letzten Audit an der ISMS-Dokumentation vorgenommen? Sind diese konsistent umgesetzt?“

  • „Prüfe meine Management-Review-Protokolle. Belegen sie eine kontinuierliche Verbesserung?“

  • „Gibt es neue Risiken oder Controls, die in meiner SoA stehen sollten, es aber nicht tun?“

Häufige Inkonsistenzen, die der ISMS Copilot identifiziert

  • Terminologie-Fehler: „Sensibel“ vs. „Vertraulich“ wird austauschbar verwendet, ohne definiert zu sein.

  • Widersprüchliche Prüfintervalle: Die Richtlinie sagt vierteljährlich, das Verfahren jährlich.

  • Verwaiste Referenzen: Dokumente zitieren Verfahren, Teams oder Systeme, die nicht existieren.

  • Scope Creep: Verfahren beziehen sich auf Standorte oder Systeme außerhalb des definierten ISMS-Anwendungsbereichs.

  • Versionskontrollprobleme: Dokumente verweisen auf veraltete Versionen anderer Dokumente.

  • Verantwortungslücken: Verfahren weisen Aufgaben undefinierten Rollen oder unbesetzten Positionen zu.

  • SoA-Fehlausrichtung: Maßnahmen sind als „nicht anwendbar“ markiert, obwohl sie basierend auf der Risikobeurteilung eindeutig benötigt werden.

Best Practices für die Konsistenzprüfung

  • Alles auf einmal hochladen: Der ISMS Copilot analysiert Beziehungen zwischen allen Dokumenten gleichzeitig.

  • Systematisch beheben: Adressieren Sie grundlegende Probleme (Terminologie, Rollen, Scope), bevor Sie Detail-Inkonsistenzen korrigieren.

  • Korrekturen verifizieren: Laden Sie nach der Fehlerbehebung die aktualisierten Dokumente erneut hoch und prüfen Sie erneut.

  • Die Prüfung dokumentieren: Speichern Sie den Chat-Verlauf als Nachweis für Ihre Sorgfaltspflicht gegenüber Auditoren.

  • Dokumenteneigentümer einbeziehen: Teilen Sie die Erkenntnisse des ISMS Copilot mit den für das jeweilige Dokument verantwortlichen Personen.

  • Verlassen Sie sich nicht blind auf KI: Die manuelle Prüfung durch kompetente Personen bleibt unerlässlich; der ISMS Copilot unterstützt, ersetzt aber keine Fachkenntnis.

Vorbereitung auf die Fragen des Auditors

Nutzen Sie den ISMS Copilot, um Fragen des Auditors vorab durchzuspielen und Nachweise vorzubereiten:

  • „Welche Fragen würde ein Auditor zu meinem Change-Management-Verfahren stellen?“

  • „Wenn ein Auditor Stichproben meiner Zugriffsüberprüfungen macht, welche Nachweise sollte ich bereithalten?“

  • „Welche Dokumente wird der Auditor während der Dokumentenprüfung in Stufe 1 anfordern?“

  • „Erstelle eine Liste wahrscheinlicher Interviewfragen für unseren IT-Leiter basierend auf unseren dokumentierten Controls.“

Ein eigenes Pre-Audit mit dem ISMS Copilot hilft, Schwachstellen zu finden, sodass Sie Zeit haben, Nachweise und Dokumentationen vor dem echten Audit zu stärken.

Was der ISMS Copilot nicht prüfen kann

Wichtige Einschränkungen, die man kennen sollte:

  • Tatsächliche Umsetzung: Der ISMS Copilot prüft Dokumente, nicht Ihre tatsächlichen Systeme, Prozesse oder Datensätze.

  • Wirksamkeit: KI kann nicht feststellen, ob Ihre Controls in der Praxis tatsächlich funktionieren.

  • Kulturelle Faktoren: Auditoren bewerten die Sicherheitskultur, das Management-Commitment und das Bewusstsein der Mitarbeiter – nicht nur Dokumente.

  • Technische Konfigurationen: Der ISMS Copilot prüft keine Firewall-Regeln, Servereinstellungen oder Anwendungssicherheit.

Zugehörige Ressourcen

  • ISMS Copilot für Startup-CISOs und Security-Implementierer – Workflows zur Implementierung und Gap-Analyse

  • So führen Sie eine ISO 27001 Gap-Analyse mit dem ISMS Copilot durch – Techniken zur ersten Lückenidentifikation

  • So bereiten Sie sich mit KI auf interne ISO 27001-Audits vor – Vorbereitung interner Audits für laufende Compliance

Nächste Schritte

Nachdem Sie Konsistenzprobleme behoben und die Audit-Bereitschaft verifiziert haben, führen Sie ein formelles internes Audit mit Ihrer korrigierten Dokumentation durch. So validieren Sie, dass Ihr ISMS wie dokumentiert funktioniert, bevor Sie das Zertifizierungsaudit terminieren.

War das hilfreich?