Die ISO/IEC 27006 ist die Norm, die Anforderungen an Zertifizierungsstellen festlegt, die Audits und Zertifizierungen nach ISO 27001 durchführen. Sie richtet sich also nicht direkt an Unternehmen, die ISO 27001 umsetzen, sondern an Organisationen, die von der Deutschen Akkreditierungsstelle GmbH (DAkkS) als Zertifizierungsstelle akkreditiert sind und andere Unternehmen auditieren und zertifizieren.

Obwohl die Norm primär Zertifizierungsstellen adressiert, ist ihr Einfluss auf Unternehmen erheblich: Sie sorgt dafür, dass Audits nach ISO 27001 verlässlich, nachvollziehbar und international anerkannt durchgeführt werden. Damit schafft die ISO 27006 Vertrauen in die Zertifizierungsergebnisse und stärkt die Sicherheit und Qualität von Informationssicherheits-Managementsystemen (ISMS) in allen Branchen. Unternehmen können darauf vertrauen, dass eine ISO-27001-Zertifizierung durch akkreditierte Stellen auf professionellem Niveau erfolgt.

 

Kernpunkte der ISO 27006

1. Geltungsbereich

Die Norm definiert, wie Zertifizierungsstellen ISO 27001-Zertifizierungen durchführen müssen, um Vertrauen und internationale Anerkennung sicherzustellen. Ziel ist es, eine einheitliche Qualität und Konsistenz bei der Auditierung von ISMS zu gewährleisten.

 

2. Anforderungen an die Zertifizierungsstelle

Die ISO 27006 stellt sicher, dass Zertifizierungsstellen ihre Arbeit professionell, unabhängig, kompetent und nachvollziehbar durchführen. Dazu gehören:

• Unabhängigkeit und Unparteilichkeit: Auditoren dürfen keine Interessenkonflikte haben, um objektive Ergebnisse zu gewährleisten.
• Kompetenz der Auditoren: Zertifizierer müssen Fachwissen in Informationssicherheit, Risikomanagement und ISO 27001 nachweisen.
• Dokumentiertes Managementsystem der Zertifizierungsstelle: Prozesse für Auditplanung, Auditdurchführung, Berichterstattung und Beschwerdemanagement müssen klar dokumentiert sein.
• Vertraulichkeit: Alle Informationen der auditierten Organisationen müssen streng vertraulich behandelt werden.

 

3. Auditprozess

Die Norm legt fest, wie Zertifizierungsstellen Audits systematisch planen und durchführen:

• Planung: Auditoren müssen Auditziele, Umfang und Kriterien definieren.
• Durchführung: Auditaktivitäten umfassen Dokumentenprüfungen, Interviews und Beobachtungen, um die Einhaltung der ISO 27001-Anforderungen zu überprüfen.
• Berichterstattung: Ergebnisse müssen objektiv, klar und nachvollziehbar dokumentiert werden.
• Überwachung: Für fortlaufende Zertifizierungen sind regelmäßige Überwachungsaudits zu planen.

 

Der Vollständigkeit halber sei an dieser Stelle auch die ISO 19011 erwähnt: Sie gibt allgemeine Leitlinien für die Planung, Durchführung, Berichterstattung und Verbesserung von Audits von Managementsystemen und unterstützt damit Zertifizierungsstellen und Unternehmen bei systematischen und konsistenten Auditprozessen, während ISO/IEC 27006 speziell festlegt, wie Audits für ISO-27001-Zertifizierungen professionell und akkreditiert durchgeführt werden müssen.

 

4. Management der Zertifizierungsstelle

Zertifizierungsstellen müssen ihr eigenes Managementsystem kontinuierlich überwachen und verbessern. Dazu gehören die Bewertung von Risiken, die effiziente Ressourcennutzung, die Sicherstellung der Auditor-Kompetenz und die Qualitätssicherung der Audits. Auch Verfahren für Beschwerden und Einsprüche müssen vorhanden sein.

 

Audit-Zeiten nach ISO/IEC 27006

Die ISO/IEC 27006 legt keine verbindliche Anzahl von Audit-Tagen zur Durchführung von Audits fest. Die in der Norm enthaltene Tabelle, die Mitarbeiterzahl und Audit-Tage verknüpft, dient lediglich als Orientierung für die Auditplanung.

In der Praxis hängt die tatsächliche Auditdauer von vielen Faktoren ab:

• Anzahl der Mitarbeiter im ISMS-Scope
• Anzahl der Standorte und Bereiche im ISMS-Scope
• Komplexität der IT-Infrastruktur
• Kritikalität der Geschäftsprozesse
• Reifegrad des ISMS
• Outsourcing und Cloud-Nutzung

Die ISO/IEC 27006 baut auf ISO/IEC 27001 und internationalen Vorgaben zur Auditplanung auf, sodass Zertifizierungsstellen den Auditaufwand nachvollziehbar und systematisch ableiten können.

 

Unterschiede zwischen Erst-, Überwachungs- und Rezertifizierung

ISO 27006 schreibt vor, dass verschiedene Auditarten unterschiedlich geplant werden:

• Erstzertifizierung: Vollständiges Audit, alle Anforderungen werden geprüft – Dauer ist hier am höchsten.
• Überwachungsaudit: Prüft nur ausgewählte Bereiche oder Stichproben – daher kürzer.
• Rezertifizierung: Prüft das gesamte Managementsystem erneut, basierend auf Erfahrungen aus vorherigen Audits – mittlere Dauer.

Die Norm gibt keine fixen Zahlen vor, fordert aber, dass Auditplanung dokumentiert, begründet und nach Risikokriterien erfolgt.

 

Praxisorientierte Planung von Audit-Tagen

Viele Zertifizierungsstellen nutzen Checklisten und Tabellen, um Audit-Tage praxisgerecht zu planen:

Größe des Unternehmens	Audittage (Initialaudit)	Hinweis
Kleine Organisation (bis 50 Mitarbeiter)	ca. 5–7 Tage	Auditzeit abhängig von Scope, Prozessen und Risikoprofil
Mittlere Organisation (51–250 Mitarbeiter)	ca. 8–12 Tage	Auditzeit wird individuell von der Zertifizierungsstelle festgelegt
Große Organisation (250+ Mitarbeiter)	ca. 12–20+ Tage	Abhängig von Standorten, Prozesskomplexität und Reifegrad des ISMS

Hinweis: Die Werte dienen nur als Orientierung. Die tatsächliche Auditdauer wird von der Zertifizierungsstelle gemäß ISO/IEC 27006 individuell berechnet und dokumentiert.

 

Je nach Auditart unterscheiden sich die Audit-Tage zusätzlich:

Überwachungsaudits sind in der Regel 30–40 % kürzer als Erstzertifizierungen, während

Rezertifizierungen meist 10–30 % kürzer ausfallen – abhängig vom Reifegrad des ISMS.

Jede Entscheidung über die Audit-Tage muss nachvollziehbar begründet und dokumentiert werden – Transparenz ist ein zentrales Erfordernis der ISO/IEC 27006.

 

Bedeutung für Unternehmen

Die ISO 27006 sorgt dafür, dass Zertifizierungsstellen ihre Arbeit transparent, objektiv und qualitätsgesichert durchführen. Unternehmen profitieren davon direkt: Sie erhalten eine verlässliche Grundlage für Informationssicherheit, wissen, dass Audits professionell durchgeführt werden, und können Risiken und Compliance-Lücken frühzeitig erkennen.

Für Unternehmen, die selbst Managementsysteme einführen oder auditieren lassen möchten, ist es entscheidend, die Prinzipien der ISO 27006 zu verstehen – insbesondere Auditplanung, Risikobewertung und die Struktur von Erst- und Folgeaudits.

 

Wir unterstützen Unternehmen bei der Einführung, Umsetzung und Auditierung von Managementsystemen – darunter ISO 27001, TISAX, NIS-2 und weitere Standards.

 

Unser Angebot für Sie:

• Beratung bei Einführung und Umsetzung von ISMS
• Vorbereitung auf BSI-/BNetzA-Prüfungen und KRITIS-Nachweise
• Durchführung interner Audits zur Vorbereitung auf Zertifizierungen
• Begleitung bei externen Audits und Zertifizierungen
• Schulung von Mitarbeitern zu Informationssicherheit

 

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu DSGVO und Website-Compliance.

Durchführung internes Audit – mit der tect4net GmbH
https://www.tec4net.com/web/iso-19011/

Fragen und Antworten zu Audits
https://www.tec4net.com/web/category/wissen-audit/

ISO/IEC 27006 – Normbeschreibung (ISO)
https://www.iso.org/standard/82908.html

DIN EN ISO/IEC 27006
https://www.dinmedia.de/de/norm/din-en-iso-iec-27006-1/379040837

IAF MD 5:2023, Tabelle QMS 1 (Durchschnittliche Audit-Zeit)
https://iaf.nu/iaf_system/uploads/documents/IAF_MD5_Issue_4_Version_3_14062023.pdf

ISO/IEC 27001 – Informationssicherheitsmanagement
https://www.iso.org/isoiec-27001-information-security.html

ISO/IEC 27002 – Sicherheitsmaßnahmen für ISMS
https://www.iso.org/standard/75652.html

Deutsche Akkreditierungsstelle (DAkkS)
https://www.dakks.de/