Compliance-Lexikon · Praxis
Annex A – Praxis
Annex A ist im Zertifizierungsaudit ein klar definierter Pruefpunkt. Was Zertifizierungsauditoren konkret verlangen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Im Zertifizierungsaudit prüft der Auditor Annex A auf Vollständigkeit, Aktualität, Leitungsorgangenehmigung und Nachweis der Wirksamkeit. Das BAM-Objekt ISO-AA-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Dokument aus 2013-Version, nicht auf 2022 aktualisiert
- Leitungsorgan nicht formal einbezogen
- Wirksamkeit nicht gemessen – kein KPI oder Messmethode definiert
- Keine regelmässige Aktualisierung bei Änderungen
Praxis-Tipp
Für Annex A gilt: Zertifizierungsauditoren prüfen sowohl Dokumentation als auch tatsächliche Implementierung. „Dokumentiert, aber nicht gelebt“ ist eine schwerwiegendere Nichtkonformität als „gelebt, aber nicht vollständig dokumentiert“.
Umsetzung Schritt für Schritt
Erster Schritt: ISO-27001:2022-Anforderungen an Annex A im Detail lesen und verstehen. Zweiter Schritt: Aktuellen Implementierungsstand gegen Norm-Anforderungen prufen (Gap Assessment). Dritter Schritt: Lücken schließen und Dokumentation erstellen/aktualisieren. Vierter Schritt: Leitungsorgan einbeziehen, wo die Norm es verlangt. Fünfter Schritt: Jährliche Überprüfung und Aktualisierung einplanen.
Evidence-Anforderungen im Zertifizierungsaudit
Der Auditor erwartet: datierte, vollständige Dokumentation nach ISO-27001:2022-Anforderungen, Genehmigungsnachweis durch zuständige Ebene, Nachweis der Implementierung und letzter Wirksamkeitspruef-Nachweis.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – ISO 27001 Readiness in 20 Minuten.
Die strategische Einordnung findet sich auf Ebene 3.