Stage 1 und Stage 2 aus Managementperspektive
Kernaussage
Ein externes ISO-27001-Zertifizierungsaudit läuft in der anerkannten Zertifizierungspraxis zweistufig ab. Stage 1 prüft, ob die Organisation und ihre ISMS-Dokumentation bereit für die eigentliche Prüfung sind. Stage 2 prüft, ob das ISMS in der Praxis wirksam umgesetzt wird und nicht nur auf dem Papier existiert.
Wichtig für die Geschäftsführung: Diese Zweistufigkeit steht nicht in der ISO/IEC 27001 selbst. Sie ergibt sich aus den Normen für Zertifizierungsstellen (ISO/IEC 17021-1 und ISO/IEC 27006) und aus der Praxis akkreditierter Stellen. Die verbindlichen Regeln, Abläufe und Bewertungsmaßstäbe legt die akkreditierte Zertifizierungsstelle fest, nicht das eigene Unternehmen.
Stage 1 entscheidet, ob man überhaupt sinnvoll in Stage 2 gehen kann; Stage 2 entscheidet über die Zertifizierungsempfehlung. Wer beide Stufen als getrennte Zwecke versteht, vermeidet Fehlsteuerung in der Vorbereitung.
Problem in der Praxis
Viele Organisationen behandeln das externe Audit als ein einziges Ereignis mit einem Termin. Dadurch entsteht ein falsches Bild: Man bereitet sich auf "das Audit" vor, ohne zu unterscheiden, was in welcher Stufe wirklich geprüft wird.
Das führt zu zwei typischen Mustern. Im ersten wird viel Energie in Dokumente gesteckt, weil die Organisation glaubt, damit sei das Audit gewonnen. Stage 1 läuft dann gut, aber in Stage 2 zeigt sich, dass die dokumentierten Prozesse im Alltag nicht gelebt werden. Im zweiten ist der Betrieb solide, aber die Dokumentation unvollständig oder widersprüchlich. Dann bremst bereits Stage 1.
Hinzu kommt eine Erwartungsverzerrung: Stage 1 wird oft als reine Formalie unterschätzt. Tatsächlich ist es ein Steuerungsinstrument, das offene Punkte sichtbar macht, bevor sie in Stage 2 teuer werden. Wer den Stage-1-Befund ignoriert, verschenkt die wertvollste Vorwarnung im Verfahren.
CISO-Einordnung
Aus CISO-Sicht lassen sich die beiden Stufen über die ISMS-Klauseln einordnen, ohne dass man dabei Zertifizierungsregeln rekonstruieren muss.
Stage 1 ist im Schwerpunkt eine Bereitschafts- und Dokumentenprüfung. Geprüft wird typischerweise, ob die tragenden Bausteine des Managementsystems vorhanden und konsistent sind: der Scope, die Risikobewertung und Risikobehandlung (Klauseln 6.1.2 und 6.1.3), die Erklärung zur Anwendbarkeit (SoA, 6.1.3 d), die Ergebnisse des internen Audits (9.2) und der Managementbewertung (9.3). Diese Elemente zeigen, ob das ISMS überhaupt einen vollständigen Zyklus durchlaufen hat.
Stage 2 ist im Schwerpunkt eine Wirksamkeitsprüfung anhand objektiver Nachweise. Hier geht es darum, ob die Organisation das tut, was sie dokumentiert hat, und ob das ISMS Ergebnisse liefert: Wird die Sicherheitsleistung gemessen und ausgewertet (9.1)? Werden Abweichungen erkannt und über Korrekturmaßnahmen behandelt (10.2)? Verbessert sich das System nachvollziehbar (10.1)? Und sind die im Geltungsbereich notwendigen Controls aus Annex A wirksam umgesetzt? Annex A umfasst 93 Controls in vier Themen (37 organisatorische, 8 personenbezogene, 14 physische, 34 technologische), die über die SoA mit den Risiken verknüpft sind.
Für den CISO ist die Trennung der Zwecke das eigentliche Steuerungswissen: Stage 1 testet Konsistenz und Bereitschaft, Stage 2 testet gelebte Wirksamkeit.
Umsetzungsperspektive
Die Vorbereitung sollte beide Stufen getrennt adressieren, ohne sie als zwei Projekte zu führen.
Für Stage 1 stellt das Management sicher, dass das ISMS dokumentarisch und logisch geschlossen ist. Scope, Risiken, SoA, Risikobehandlungsplan, internes Audit und Managementbewertung müssen zueinander passen und einen abgeschlossenen Durchlauf belegen. Es geht nicht um schöne Dokumente, sondern um Widerspruchsfreiheit und Vollständigkeit der Steuerungslogik.
Für Stage 2 stellt das Management sicher, dass die dokumentierten Prozesse Nachweise aus dem Regelbetrieb erzeugen. Messung, Nachverfolgung von Abweichungen und Verbesserungsentscheidungen sollten als laufende Praxis sichtbar sein, nicht als kurzfristig erzeugte Belege.
Dazwischen liegt das wichtigste Zeitfenster: Die in Stage 1 festgestellten offenen Punkte werden mit Ownern, Maßnahmen und Fristen hinterlegt und vor Stage 2 abgearbeitet. Der CISO führt dieses Fenster aktiv, statt es als Wartezeit zu behandeln. Wie viel Abstand zwischen den Stufen liegt und welche Punkte als blockierend gelten, bestimmt die akkreditierte Zertifizierungsstelle.
Typische Fehler
- Stage 1 wird als Formalie unterschätzt und der Befund nicht als Steuerungsgrundlage genutzt.
- Vorbereitung konzentriert sich auf Dokumente (Stage-1-Logik), obwohl Stage 2 gelebte Wirksamkeit prüft.
- Das Zeitfenster zwischen den Stufen wird passiv verstreichen gelassen, statt offene Punkte gezielt zu schließen.
- Nachweise werden kurz vor Stage 2 künstlich erzeugt statt aus realen Prozessen abgeleitet.
- Die Organisation versucht, Ablauf und Bewertungsmaßstäbe der Zertifizierungsstelle selbst zu rekonstruieren, statt sie verbindlich abzustimmen.
Risiken und Trade-offs
Wer die Stufen vermischt, riskiert Fehlinvestition: Ein zu enger Vorbereitungsfokus auf Stage 1 erzeugt ein ISMS, das formal konsistent, aber operativ dünn ist. Ein zu später Blick auf die Wirksamkeit führt dazu, dass Abweichungen erst in Stage 2 sichtbar werden, wo ihre Behandlung den Zeitplan und die Zertifizierungsempfehlung beeinflussen kann.
Ein weiterer Trade-off betrifft offene Punkte. Es ist legitim, mit bekannten, bewerteten und terminierten Schwächen in das Verfahren zu gehen; riskant wird es, wenn diese verdeckt werden. Transparenz gegenüber der Zertifizierungsstelle ist tragfähiger als der Versuch, einen perfekten Zustand zu inszenieren. Die konkrete Einstufung von Abweichungen liegt bei der Stelle.
Entscheidungspunkte
- Ist das ISMS dokumentarisch konsistent und durch einen vollständigen Zyklus (internes Audit, Managementbewertung) belegt, also Stage-1-reif?
- Erzeugen die Prozesse Nachweise aus dem Regelbetrieb, also Stage-2-tragfähige Wirksamkeit?
- Welche offenen Punkte sollen bewusst mitgenommen und transparent gemacht werden, und wer akzeptiert das Restrisiko?
- Wie wird das Zeitfenster zwischen den Stufen mit Ownern und Fristen gesteuert?
- Welche Ablauf- und Terminfragen müssen verbindlich mit der akkreditierten Zertifizierungsstelle geklärt werden, statt sie selbst anzunehmen?
Praktische Empfehlungen
- Behandeln Sie Stage 1 als Frühwarnung: Der Befund ist eine Steuerungsliste, kein Formalakt.
- Bereiten Sie zweigleisig vor: dokumentarische Geschlossenheit für Stage 1, gelebte Wirksamkeit mit echten Nachweisen für Stage 2.
- Planen Sie das Zeitfenster zwischen den Stufen als aktives Arbeitspaket mit Ownern und Fristen.
- Machen Sie bekannte Schwächen früh und transparent, statt einen perfekten Zustand zu inszenieren.
- Klären Sie Ablauf, Termine und Bewertungsfragen verbindlich mit der akkreditierten Zertifizierungsstelle und ziehen Sie bei Bedarf lizenzierte Beratung hinzu.
Relevante Normreferenzen
- ISO/IEC 27001: Referenz für die ISMS-Anforderungen, deren Bereitschaft (Stage 1) und Wirksamkeit (Stage 2) geprüft werden.
- ISO/IEC 27006: Referenz für Anforderungen an Stellen, die ISMS auditieren und zertifizieren.
- ISO/IEC 17021-1: Allgemeiner Referenzrahmen für die Zertifizierung von Managementsystemen, einschließlich des zweistufigen Auditansatzes.
Häufige Fragen
Steht der Stage-1-/Stage-2-Ablauf in der ISO/IEC 27001?+
Nein. Er gehört zur Zertifizierungspraxis nach ISO/IEC 17021-1 und ISO/IEC 27006. ISO/IEC 27001 enthält die ISMS-Anforderungen, die geprüft werden.
Was ist der Unterschied der beiden Stufen?+
Stage 1 prüft im Schwerpunkt Dokumentation und Bereitschaft, Stage 2 prüft im Schwerpunkt die wirksame Umsetzung anhand objektiver Nachweise.
Wie wichtig ist der Stage-1-Befund?+
Sehr wichtig. Er ist eine Frühwarnung und sollte als Steuerungsliste für das Zeitfenster bis Stage 2 genutzt werden.
Wer legt die genauen Regeln und Termine fest?+
Die akkreditierte Zertifizierungsstelle. Verbindliche Details nicht selbst rekonstruieren, sondern dort und in den Originalnormen klären.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen ISO/IEC 27001 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: ciso-audit-012.
