Ich starte am Montagmorgen in Baden-Württemberg. Die Fahrt führt mich Richtung München – dort wartet das erste Überwachungsaudit nach ISO/IEC 27001 auf mich. Am Montagmittag beginnt das Audit offiziell. Im Gepäck: ein aktueller Auditplan mit zusätzlicher Zeit für die Umstellung auf die neue Ausgabe der Norm, ISO/IEC 27001:2022, die sogenannte Transition.
Der Einstieg erfolgt wie gewohnt mit einem Überblick über das Managementsystem: Dokumente, Geltungsbereich, Rollenverteilung. Was ich dieses Mal neu Erfahren habe ist, wie ein Startup funktioniert, welches über Investoren finanziert wird und eine interessante Strategie verfolgt. Für mich eine neue Ansicht zur Steuerung eines Unternehmens von Beginn an.
Im Verlauf des Montags und des Dienstags prüfe ich systematisch die Anforderungen der Norm, insbesondere die Umsetzung der neuen Controls aus Anhang A. Nachweise werden geprüft, Interviews geführt, Prozesse nachvollzogen. Alles wird sauber dokumentiert. Besonders spannend finde ich die grundsätzliche Vorgehensweise des Unternehmens – wie Risikomanagement, Skalierung und Investorenkommunikation zusammenspielen.
Am Dienstagnachmittag bietet sich eine Gelegenheit, kurz durchzuatmen: Ich nutze ein Zeitfenster für einen Ausflug zum Ammersee. Die Ruhe des Wassers, der weite Blick, das Licht – es fühlt sich an wie ein Kurzurlaub mitten in der Arbeitswoche. Am Mittwoch ist der letzte Audittag. Ich setze die Interviews fort, vervollständige meine Dokumentation und führe das Abschlussgespräch durch. Dabei fasse ich die wesentlichen Punkte zusammen und bedanke mich für die sehr gute Zusammenarbeit mit dem Team.
Dann geht es zurück nach Hause – mit vielen Eindrücken und den Notizen für den Auditbericht.
See English below 🇬🇧:
Audit, Ammersee, and New Perspectives: Three Days of ISO/IEC 27001 in Munich
I start Monday morning in Baden-Württemberg. The journey takes me to Munich, where the first ISO/IEC 27001 surveillance audit awaits. The audit officially begins at midday on Monday. In my bag: a current audit plan with extra time built in for the transition to the new edition of the standard, ISO/IEC 27001:2022.
As usual, the opening includes an overview of the management system: documents, scope, responsibilities. What I learn this time is how a startup works when it is funded by investors and follows a strategic growth plan. For me, this is a fresh perspective on how a company can be managed right from the beginning.
Throughout Monday and Tuesday, I systematically verify compliance with the standard’s requirements, focusing especially on the implementation of the new Annex A controls. Evidence is reviewed, interviews are conducted, and processes are traced. Everything is carefully documented. I find it particularly fascinating how this company combines risk management, scaling, and investor communication.
On Tuesday afternoon, there’s a moment to pause: I take a short trip to Lake Ammersee. The calm of the water, the wide horizon, the light – it feels like a short vacation right in the middle of the work week.
Wednesday is the final audit day. I continue the interviews, complete my documentation, and hold the closing meeting. I summarize the key points and thank the team for their excellent collaboration.
Then it’s time to head home – with lots of impressions and the notes ready for the audit report.
Ver abajo en español 🇪🇸:
Auditoría, el Ammersee y nuevas perspectivas: Tres días de ISO/IEC 27001 en Múnich
Comienzo el lunes por la mañana en Baden-Württemberg. El viaje me lleva a Múnich, donde me espera la primera auditoría de seguimiento según ISO/IEC 27001. La auditoría comienza oficialmente el lunes al mediodía. En mi maletín: un plan de auditoría actualizado con tiempo adicional previsto para la transición a la nueva edición de la norma, ISO/IEC 27001:2022.
Como de costumbre, empiezo con una visión general del sistema de gestión: documentos, alcance, responsabilidades. Lo que aprendo esta vez es cómo funciona una startup financiada por inversores y con una estrategia interesante. Para mí, una nueva perspectiva sobre cómo gestionar una empresa desde el inicio.
Durante el lunes y el martes, reviso sistemáticamente los requisitos de la norma, con especial atención a la implementación de los nuevos controles del Anexo A. Se revisan evidencias, se realizan entrevistas y se examinan procesos. Todo queda documentado con precisión. Me resulta especialmente interesante cómo esta empresa combina la gestión de riesgos, el escalado y la comunicación con los inversores.
El martes por la tarde aprovecho una ventana de tiempo para hacer una pequeña escapada al lago Ammersee. La tranquilidad del agua, la amplitud del paisaje, la luz – se siente como unas mini vacaciones en medio de la semana laboral.
El miércoles es el último día de auditoría. Continúo con las entrevistas, completo la documentación y realizo la reunión de cierre. Resumo los puntos clave y agradezco al equipo por la excelente colaboración.
Luego regreso a casa, con muchas impresiones y todas las notas listas para el informe de auditoría.
Voir ci-dessous en français 🇫🇷:
Audit, lac Ammersee et nouvelles perspectives : Trois jours d’ISO/IEC 27001 à Munich
Je commence le lundi matin depuis le Bade-Wurtemberg. Direction Munich, où m’attend le premier audit de surveillance selon la norme ISO/IEC 27001. L’audit débute officiellement lundi à midi. Avec moi : un plan d’audit mis à jour, incluant du temps supplémentaire pour la transition vers la nouvelle version de la norme, ISO/IEC 27001:2022.
Comme d’habitude, je commence par une vue d’ensemble du système de management : documents, périmètre, responsabilités. Ce que j’apprends cette fois-ci, c’est le fonctionnement d’une startup financée par des investisseurs, avec une stratégie intéressante. Pour moi, une nouvelle façon de voir la gestion d’entreprise dès le départ.
Lundi et mardi, je vérifie méthodiquement les exigences de la norme, en me concentrant sur la mise en œuvre des nouveaux contrôles de l’annexe A. Je consulte les preuves, mène des entretiens, analyse les processus. Tout est soigneusement documenté. Ce que je trouve particulièrement captivant, c’est l’approche générale de l’entreprise : comment elle intègre gestion des risques, croissance et communication avec les investisseurs.
Mardi après-midi, une pause bienvenue : je prends le temps de faire une petite excursion au lac Ammersee. Le calme de l’eau, l’horizon dégagé, la lumière – c’est comme une courte parenthèse de vacances au milieu de la semaine de travail.
Mercredi est le dernier jour d’audit. Je poursuis les entretiens, termine la documentation et conduis la réunion de clôture. Je résume les points essentiels et remercie l’équipe pour l’excellente collaboration.
Puis retour à la maison – riche d’expériences et avec toutes les notes prêtes pour le rapport d’audit.
#iso27001 #audit #muenchen #suhlingtooling