Die Einschätzung der Cyber Academy
Initial ISO certification splits into stage 1 (documentation and readiness review, usually 1–2 days) and stage 2 (operational evidence audit, 2–5 days). Stage 1 confirms the management system exists on paper; stage 2 verifies it actually operates. Most "failed" stage 2 audits are stage 1 problems that nobody fixed in between.
Eine akkreditierte Zertifizierung gegen eine Managementsystemnorm wie ISO/IEC 27001 ist kein einzelner Besuch. Die Zertifizierungsstelle führt ein Erstaudit in zwei getrennten Stufen durch, die zwei unterschiedliche Fragen beantworten. Stufe 1 fragt, ob das Managementsystem existiert und auditbereit ist. Stufe 2 fragt, ob es in der Praxis tatsächlich funktioniert. Beide als eine einzige fortlaufende Prüfung zu behandeln, ist die häufigste Art, wie Teams überrascht werden, denn die beiden Stufen belohnen völlig unterschiedliche Arten der Vorbereitung.
Was Stufe 1 tatsächlich prüft
Stufe 1 ist eine Bereitschafts- und Dokumentationsprüfung, in der Regel die kürzere der beiden. Der Auditor liest Ihre Kerndokumente, bestätigt, dass der Anwendungsbereich schlüssig ist, und sucht nach den von der Norm geforderten verpflichtenden Nachweisen. Für ein ISMS bedeutet das die Erklärung zur Anwendbarkeit, den Prozess zur Risikobeurteilung und Risikobehandlung, die Sicherheitsleitlinie, die Aufzeichnungen zu internem Audit und Managementbewertung sowie den Nachweis, dass das System lange genug läuft, um Daten zu erzeugen. Das Ergebnis ist kein Zertifikat. Es ist eine schriftliche Zusammenfassung der Feststellungen und etwaiger Bedenkenbereiche, die Sie vor Stufe 2 schließen sollen.
In der Praxis ist Stufe 1 Ihr Frühwarnsystem. Der Auditor markiert Lücken, solange noch Zeit bleibt, sie zu beheben. Teams, die diese Feststellungen als Aufgabenliste lesen, kommen vorbereitet zu Stufe 2. Teams, die sie ablegen und weitermachen, sind diejenigen, die später Schwierigkeiten haben.
Was Stufe 2 überprüft
Stufe 2 ist das Audit der operativen Nachweise und in der Regel länger. Der Auditor wechselt von „die Leitlinie sagt das“ zu „zeigen Sie mir, dass es geschehen ist“. Er nimmt Stichproben von Aufzeichnungen, befragt die Personen, die die Maßnahmen betreiben, verfolgt Vorfälle und Zugriffsüberprüfungen bis zum Abschluss und prüft, ob der dokumentierte Prozess der täglichen Realität entspricht. Hier wird die Erklärung zur Anwendbarkeit mit echten Betriebsnachweisen abgeglichen, und hier zerfallen schwache Maßnahmen, die auf dem Papier in Ordnung schienen.
Stufe 1 und Stufe 2 auf einen Blick
| Dimension | Stufe 1 | Stufe 2 |
|---|---|---|
| Kernfrage | Existiert das System und ist es bereit? | Funktioniert das System tatsächlich? |
| Haupteingabe | Dokumentation und Designprüfung | Betriebsaufzeichnungen, Interviews, Stichproben |
| Typische Dauer | Kürzer (dokumentationsorientiert) | Länger (nachweisorientiert) |
| Hauptergebnis | Zu schließende Feststellungen und Bedenkenbereiche | Nichtkonformitäten und Zertifizierungsentscheidung |
| Was es belohnt | Vollständige, schlüssige Dokumentation | Disziplin und über die Zeit nachvollziehbare Nachweise |
Was Praktiker zwischen den beiden Besuchen tun
Das Zeitfenster zwischen Stufe 1 und Stufe 2 ist die eigentliche Arbeit. Feststellungen aus Stufe 1 sind noch keine Nichtkonformitäten, es gibt also keinen formellen Korrekturmaßnahmenplan, aber sie sind der Auditor, der Ihnen genau sagt, wo Stufe 2 nachhaken wird. Starke Teams wandeln jede Beobachtung aus Stufe 1 in einen Verantwortlichen, eine Maßnahme und eine Frist um und stellen dann sicher, dass der Nachweis, der sie schließt, in den Aufzeichnungen liegt, aus denen der Auditor Stichproben zieht. Sie halten das System außerdem im Normalbetrieb, statt eine einmalige Aufräumaktion zu inszenieren, denn Stufe 2 sucht nach einem nachhaltigen Betrieb, nicht nach einer aufgeräumten Momentaufnahme.
Wo Stufe 2 tatsächlich eine Nichtkonformität aufwirft, ist die Antwort dieselbe Disziplin, die ein Überwachungsaudit erwartet: sie ehrlich als groß oder gering einstufen, eine Korrekturmaßnahme mit Frist planen und die Grundursache statt des Symptoms angehen. Die Zertifizierungsentscheidung folgt, sobald die Zertifizierungsstelle überzeugt ist, dass diese Maßnahmen tragen.
Frequently asked questions
01Kann man Stufe 1 eines ISO-Audits nicht bestehen?
Stufe 1 erzeugt in der Regel kein Bestehen oder Nichtbestehen wie Stufe 2. Stattdessen erzeugt sie Feststellungen und Bedenkenbereiche. Werden gravierende Lücken gefunden, kann der Auditor Stufe 2 verschieben, bis sie behoben sind, sodass ungelöste Probleme aus Stufe 1 die Zertifizierung faktisch hinauszögern.
02Wie lange dauert es zwischen Stufe 1 und Stufe 2?
Der Abstand wird von der Zertifizierungsstelle festgelegt und soll Ihnen genug Zeit geben, die Feststellungen aus Stufe 1 zu schließen, aber nicht so viel, dass das System abdriftet. Nutzen Sie das gesamte Fenster, um an den Feststellungen zu arbeiten, statt bis kurz vor den zweiten Besuch zu warten.
03Was ist der Unterschied zwischen Stufe 1 und Stufe 2?
Stufe 1 ist eine Dokumentations- und Bereitschaftsprüfung, die bestätigt, dass das Managementsystem auf dem Papier existiert. Stufe 2 ist ein operatives Audit, das mittels Aufzeichnungen, Interviews und Stichproben überprüft, ob das System tatsächlich läuft.
04Kommen Nichtkonformitäten nur aus Stufe 2?
Formelle Nichtkonformitäten, die die Zertifizierungsentscheidung beeinflussen, werden normalerweise in Stufe 2 aufgeworfen. Stufe 1 erzeugt Feststellungen und Bedenkenbereiche, die Warnungen sind, die vor Stufe 2 zu beheben sind. Sie zu ignorieren ist die Art, wie Probleme aus Stufe 1 zu Nichtkonformitäten in Stufe 2 werden.