Die Nachfrage nach Informationssicherheit in der Industrie und im Dienstleistungssektor steigt stetig, sowie auch die gesetzlichen Anforderungen im Bereich Datenschutz. Das bietet einem ISO 27001 Lead Auditor hervorragende Karriereaussichten. 

Sie streben eine Karriere als Information Security Officer (ISO), IT-Sicherheitsbeauftragter (ITSiBe), Chief Information Security Officer (CISO) oder als freiberuflicher ISMS Auditor an? – Dann ist die Zertifizierung zum ISO 27001 Lead Auditor genau die richtige für Sie. 

In diesem Artikel möchten wir auf alle Fragestellungen rund um den ISO 27001 Auditor eingehen. 

Unterschied zwischen ISO 27001 Auditor und ISO 27001 Lead Auditor

Man unterscheidet zwischen einem internen Auditor (ISO 27001 Auditor) und einem ISO 27001 Lead Auditor, der darüber hinaus auch externe Audits durchführen kann.

Als ISO 27001 Auditor führen Sie interne Audits in dem ISMS (Informationssicherheitsmanagementsystem) Ihres Unternehmens durch. Es handelt sich um sogenannte First-Party Audits. Ein First-Party Audit liegt vor, wenn eine Prüfung innerhalb Ihrer Organisation durch Ihren eigenen Auditor durchgeführt wird. Dies wird oft als internes Audit bezeichnet. 

Der ISO 27001 Lead Auditor ist darüber hinaus in der Lage, neben internen auch externe ISMS (Informationssicherheitsmanagementsystem) zu auditieren. Dieser leitende Auditor darf auch Second- und Third-Party Audits durchführen. Dabei handelt es sich um Audits von einem Lieferanten, Kunden oder Auftragnehmer (Second-Party Audit) oder um ein Audit durch eine Zertifizierungsstelle (Third-Party Audit).

ISO 27001 Auditor Aufgaben

Zu den Aufgaben des geprüften ISMS Auditoren nach ISO 27001 gehören:

• Durchführung und Leitung der Audits von Informationssicherheitsmanagementsystemen (ISMS)
• Durchführung der Audits gemäß ISO 19011 (Leitfaden zur Auditierung von Managementsystemen)
• Überprüfung des ISMS auf Aktualität, Rentabilität und Wirksamkeit
• Implementierung der ISO 27001 
• Überprüfung von Systemen und Begehung von Orten und Räumlichkeiten
• Verarbeitung und Umgang mit elektronischen und anders verarbeiteten Daten beobachten
• Befragungen zum alltäglichen Umgang mit Daten und zur Informationssicherheit

Die Vorteile einer Zertifizierung als ISMS Auditor

Mit der Digitalisierung der Industrie wächst auch der Bedarf an Informationssicherheit. Als ISO 27001 Lead Auditor sind Sie in einem stark wachsenden Themenbereich aktiv. 

Die Nachfrage nach ISMS Audits ist groß, sodass eine Weiterbildung als Auditor auch Karriereaussichten fördert.

Da es sich um einen weltweit anerkannten Standard handelt, sind auch internationale berufliche Aufstiegschancen möglich. 

Laut Glassdoor beträgt das durchschnittliche Grundgehalt von Leitenden Auditoren ISO 27001: ca. 81.600 €.

Wie wird man ISO 27001 Auditor?

Um ISO 27001 ISMS (Lead) Auditor werden zu können, sollten Sie über Kenntnisse der ISO/IEC 27001 verfügen. Diese Grundlagen können Sie auch über entsprechende ISMS Foundation Schulungen erlernen. Des Weiteren müssen Sie über Berufserfahrung in der Informationstechnologie verfügen. 

ISO 27001 (Lead) Auditor Voraussetzungen

Die Anforderungen an einen Auditor sind in der ISO/IEC 27006 beschrieben. Diese Norm definiert die Anforderungen für Zertifizierungsstellen. Es gelten folgende Voraussetzungen:

• Mindestens Grundkenntnisse ISO/IEC 27001, idealerweise auch ISO/IEC 27002
• 4 Jahre Berufserfahrung im Bereich Informationstechnologie (IT)
• 2 Jahre Berufserfahrung in einer Rolle oder als Funktion mit Bezug zur Informationssicherheit 
• Erfolgreiche Teilnahme an einer 5-tägigen ISO 27001 (Lead) Auditor Schulung inkl. schriftlicher Prüfung 
• Bereits Erfahrungen mit der Bewertung der Informationssicherheit
• Teilnahme an mindestens vier Audits als Trainee (20 Audittage) 

Für leitende Auditoren, also ISO 27001 Lead Auditors, gilt zudem:

• Durchführung von mindestens drei ISMS Audits als interner Auditor 
• Kommunikationsstärke

ISO 27001 Auditor Zertifizierung – Ihre Ausbildung zum Auditor

Wenn Sie sich als ISO 27001 (Lead) Auditor zertifizieren möchten, müssen Sie die oben beschriebenen Grundvoraussetzungen erfüllen. 

Ein wesentlicher Teil der Ausbildung ist die Teilnahme an einer 5-tägigen ISO 27001 Lead Auditor-Schulung. 

Da es sich um die höchste und international anerkannte Zertifizierung im Bereich Informationssicherheit handelt, sollten Sie sich umfangreich vorbereiten.

• Dauer der Zertifizierungsschulung: 5 Tage
• Prüfung am letzten Tag
• Kosten der Schulung: ca. 2.000 – 4.000 Euro

ISO 27001 Auditor Schulung 

Es gibt verschiedene Anbieter von ISO 27001 Auditor Schulungen,wie z.B. der TÜV oder die DEKRA. 

Die Durchführung dieser Seminare erfolgt in der Regel immer durch erfahrene Senior-Auditoren. So ist auch sichergestellt, dass ein Praxisbezug hergestellt werden kann und Fragen der Teilnehmer fundiert beantwortet werden. 

Die Inhalte der Schulung

Die Bestandteile des Trainings unterscheiden sich geringfügig von Anbieter zu Anbieter, allerdings kann man von diesen grundsätzlichen Inhalten ausgehen:

• Grundlegende Konzepte und Prinzipien eines Information Security Management Systems (ISMS) basierend auf der ISO 27001
• Anforderungen der ISO/IEC 27001 als Auditor verstehen und interpretieren
• Bewertung der Konformität eines ISMS mit den Anforderungen der ISO 27001
• Planung, Durchführung und Dokumentation bzw. Abschluss eines ISO 27001 Konformitätsaudits. 
• Grundlegende Prüfungskonzepte und -grundsätze aus ISO 17021-1 und ISO 19011
• Kommunikationstechniken

Zielgruppe

Die ISO/IEC 27001 Auditor-Schulung richtet sich an folgende Personen:

• IT-Sicherheitsbeauftragte, ITSiBe, CSO, ISO, CISO
• Risk-Manager
• Managementbeauftragte
• IT-Leiter, IT-Berater 
• Interne und externe Auditoren
• zukünftige Auditoren von Zertifizierungsstellen
• Fach- und Führungskräfte die ein ISMS nach ISO 27001 implementieren möchten

ISO 27001 Lead Auditor Prüfungsfragen

Die Prüfung findet am letzten Tag der Schulung statt. Es werden Prüfungsfragen gestellt, die im Freitext- oder Multiple-Choice-Verfahren beantwortet werden müssen. Zur Beantwortung der Fragen stehen 120 Minuten zur Verfügung. 

Die Lead Auditor Prüfung gilt als bestanden, wenn mindestens 70% der Fragen korrekt beantwortet wurden. 

Bereiten Sie sich unbedingt auch neben der eigentlichen Schulung auf diese Prüfung vor. 

Bei einem Nichtbestehen kann die Prüfung in der Regel innerhalb von 12 Monaten bis zu 2 Mal wiederholt werden. Dabei entstehen dann aber weitere Kosten. 

5 Beispielfragen:

Frage 1: Wie lautet der Begriff des Sicherheitsmanagements, um festzustellen, ob die Identität einer Person korrekt ist?

A. Identifizierung
B. Authentifizierung
C. Autorisierung
D. Überprüfung

Richtige Antwort: B

Frage 2: Welche der folgenden Maßnahmen ist eine vorbeugende Sicherheitsmaßnahme?

A. Installieren von Protokollierungs- und Überwachungssoftware
B. Herunterfahren der Internetverbindung nach einem Angriff
C. Speichern sensibler Informationen in einem Datenspeicher

Richtige Antwort: C

Frage 3: Was ist für die Personalabteilung vor der Einstellung nicht erforderlich?

A. Hintergrundüberprüfung durchführen
B. Der Bewerber muss die Anforderungen an die Unterlagen vor der Einstellung erfüllen
C. Muss ein Bewusstseinstraining zur Informationssicherheit absolvieren.
D. Muss die Hintergrunduntersuchung erfolgreich bestehen

Richtige Antwort: C

Frage 4: Sie arbeiten im Büro eines großen Unternehmens. Sie erhalten einen Anruf von einer Person, die vorgibt, vom Helpdesk zu sein. Er fragt Sie nach Ihrem Passwort. Was ist das für eine Bedrohung?

A. Natürliche Bedrohung
B. Organisatorische Bedrohung
C. Sozialtechnik

Richtige Antwort: C

Frage 5: Warum müssen wir einen Disaster-Recovery-Plan regelmäßig testen und auf dem neuesten Stand halten?

A. Andernfalls könnten die ergriffenen Maßnahmen und die geplanten Vorfallverfahren nicht angemessen sein
B. Sonst ist es nicht mehr aktuell mit der Erfassung täglich auftretender Störungen
C. Andernfalls stehen dem Sicherheitsteam möglicherweise nicht mehr remote gespeicherte Backups zur Verfügung

Richtige Antwort: A

Eine Auswahl an weiteren englisch-sprachrigen Prüfungsfragen finden Sie hier. 

Unterschied zwischen ISO 27001 Implementer und ISO 27001 Auditor

Neben dem ISO 27001 Auditor, auch ISMS Auditor genannt, gibt es auch eine Zertifizierung als ISO 27001 Implementer.

Ein Auditor ist ein Fachmann, der für die Leitung des Auditteams in einer Organisation oder während eines ISO-Managementsystem-Audits verantwortlich ist. Er hat also den Schwerpunkt auf der Auditierung und der Zertifizierung.

Die Schulung zum Lead Implementer befähigt Sie, das erforderliche Fachwissen zu entwickeln, um eine Organisation bei der Einführung, Verwaltung, Umsetzung und Pflege der ISO-Norm zu unterstützen. Er hat den Schwerpunkt auf der praktischen Implementierung innerhalb der Organisation. 

Wenn Sie eine Implementierung eines ISMS in einem Unternehmen lediglich als interner Mitarbeiter begleiten wollen, genügt auch eine ISO 27001 Implementer Schulung. 

Welche Schulungsorganisation? IRCA oder PECB?

Die Schulungsanbieter wie BSI, TÜV und Dekra werden durch Akkreditierungsunternehmen berechtigt, überhaupt Zertifizierungsschulungen für die ISO 27001 durchzuführen. 

Man hat hier die Wahl zwischen IRCA und PECB Kursen. Beide Akkreditierungsstellen bieten einen nahezu identischen Inhalt. Auch die Preise sind vergleichbar, sodass man nicht sagen kann, dass das eine besser als das andere ist.

Viel entscheidender ist in der Regel ein guter Trainer. Ansonsten dürfte für viele angehende ISMS Auditoren auch der Preis entscheidend sein. 

FAQ:

Alle Infos zur ISO 27001 Zertifizierung finden Sie hier.

Nachdem wir uns mit den Einzelheiten befasst haben, werden in der folgenden Liste die meisten Variablen aufgeführt, die bei der Berechnung der Kosten für ISO 27001 in Ihrem Jahresbudget eine Rolle spielen.

• Die Anzahl Ihrer Mitarbeiter?
• Wie ist der geografische Standort der Büros und Mitarbeiter?
• Was werden mit der Anwendung für Daten erfasst?
• Ist die Anwendung auf mehreren Cloud-Plattformen installiert?
• In diesem Posting haben wir eine Kostenaufschlüsselung zusammengestellt, die Ihnen bei Ihren Budgetentscheidungen helfen soll, wenn Sie die ISO 27001-Zertifizierung anstreben.

Kosten für die Einführung der ISO 27001 Zertifizierung und einer Rezertifizierung

Wie hoch die tatsächlichen Kosten für die Einführung von ISO 27001 sind, hängt davon ab, wie hoch das Risiko eingeschätzt wird und wie viel davon eine Organisation bereit ist zu akzeptieren. Jedoch sind die Kosten für interne und externe Ressourcen, die Kosten für die Implementierung und die Zertifizierungskosten die drei grundlegenden Preise, die berücksichtigt werden müssen.

Die Aufrechterhaltung eines ISO 27001-zertifizierten Informationssicherheits-Managementsystems erfordert in der heutigen, sich ständig verändernden Cyber-Bedrohungslandschaft ein jährliches Audit. Die Kosten für die Aufrechterhaltung einer ISO 27001-Zertifizierung sind in der Regel in einen Dreijahreszyklus unterteilt, der ein internes Audit durch eine Organisation oder ein an einen Dritten ausgelagertes Audit sowie Überwachungs- oder Rezertifizierungsaudits durch eine Zertifizierungsstelle umfasst.

Im Folgenden sind die ungefähren Kosten für Zertifizierungs- und Überwachungsaudits für eine Organisation mit etwa 50 Mitarbeitern an einem einzigen Standort aufgeführt:

• Die durchschnittlichen Kosten für ein Zertifizierungsaudit im ersten Jahr belaufen sich auf etwa 25.000 €.
• Die Kosten für ein Überwachungsaudit im zweiten Jahr belaufen sich auf etwa 12.000 €.
• Die Kosten für ein Überwachungsaudit im dritten Jahr belaufen sich auf ca. 12.000 €
• Die Kosten für ein Rezertifizierungsaudit im vierten Jahr belaufen sich auf ca. 25.000 €
• Die Kosten für ein Überwachungsaudit im fünften Jahr belaufen sich auf ca. 12.000 €
• Die Kosten für ein Überwachungsaudit im sechsten Jahr belaufen sich auf ca. 12.000 €.

Das liegt daran, dass die Norm berücksichtigt, dass jede Organisation bei der Entwicklung eines ISMS ihre eigenen Anforderungen hat und dass nicht alle Kontrollen angemessen sind.

Stattdessen wird von den Organisationen gefordert, dass sie Aktivitäten durchführen, die sie bei der Entscheidung über die zu implementierenden Kontrollen unterstützen. In diesem Beitrag erklären wir, was diese Prozesse beinhalten und wie Sie sie abschließen können.

Sie möchten mehr erfahren? – Hier haben wir alles zusammengestellt zur ISO 27001.

Was sind die ISO 27001 Anforderungen und was sagt die Norm aus?

ISO 27001 ist eine internationale Norm, die Anforderungen an Managementsysteme für die Informationssicherheit festlegt. Auf dieser Seite möchten wir Ihnen die ISO 27001-Norm näher vorstellen. ISO 27001 ist das zentrale und wichtigste Element der ISO 27000-Normenfamilie. Die Norm spezifiziert die Anforderungen für die Einführung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems im Kontext der Organisation und und enthält Anforderungen für die Bewertung und das Management von Informationssicherheitsrisiken entsprechend den einzelnen Bedürfnissen der Organisation.

Die Struktur der ISO 27001 basiert auf der High Level Structure (HLS), die auch im Qualitätsmanagement ISO 9001, Umweltmanagement ISO 14001 und Arbeitsschutzmanagement ISO 45001 verwendet wird. Die HLS hat eine einheitliche Struktur für alle ISO-Normen mit einheitlichen Begriffen geschaffen. Im Verlauf dieser Seite werden Ihnen die einzelnen Abschnitte der ISO 27001 gemäß der High Level Structure näher vorgestellt.

Vorgeschriebene ISO 27001-Anforderungen

Die wichtigsten Aktivitäten bei der Umsetzung von ISO 27001 sind:

• Verstehen der Organisation und ihres Kontexts (Abschnitt 4.1): Verständnis der Organisation und ihres Kontexts. Wir empfehlen immer, dass eine Organisation hier mit ihrer ISO 27001-Implementierung beginnt.
• Verstehen der Bedürfnisse und Erwartungen der interessierten Parteien (Abschnitt 4.2): Bedürfnisse und Erwartungen der Stakeholder verstehen und identifzieren
• Scoping Ihres ISMS (Abschnitt 4.3), In Abschnitt 4.3 der ISO 27001-Norm geht es um die Festlegung des Anwendungsbereichs Ihres Informationssicherheits-Managementsystems. Dies ist ein entscheidender Teil des ISMS, da er den Beteiligten, einschließlich der Geschäftsleitung, Kunden, Auditoren und Mitarbeitern, mitteilt, welche Bereiche Ihres Unternehmens von Ihrem ISMS abgedeckt werden. Sie sollten in der Lage sein, einem Prüfer schnell und einfach Ihren Geltungsbereich zu beschreiben oder zu zeigen.
• Informationssicherheits-Managementsystem (ISMS) Abschnitt 4.4: Hier geht es darum, wie die Organisation das Managementsystem für die Informationssicherheit einführt, aufrechterhält und kontinuierlich verbessert.
• Informationssicherheitspolitik und -ziele (Abschnitte 5.2 und 6.2): In Abschnitt 5.2 der ISO 27001-Norm wird gefordert, dass die oberste Leitung eine Informationssicherheitspolitik aufstellt. Die Anforderung, eine Strategie zu dokumentieren, ist ziemlich einfach. Es kommt jedoch darauf an, was in der Richtlinie steht und wie sie sich auf das umfassendere ISMS bezieht, damit die interessierten Parteien dem Inhalt der Richtlinie vertrauen können.

• Verfahren zur Behandlung von Informationsrisiken (Abschnitt 6.1.3)
• Risikobehandlungsplan (Abschnitte 6.1.3 e und 6.2)
• Risikobewertungsbericht (Abschnitt 8.2)
• Aufzeichnungen über Ausbildung, Fähigkeiten, Erfahrung und Qualifikationen (Abschnitt 7.2)
• Überwachungs- und Messergebnisse (Abschnitt 9.1)
• Internes Auditprogramm (Abschnitt 9.2)
• Ergebnisse der internen Audits (Abschnitt 9.2)
• Ergebnisse der Managementbewertung (Abschnitt 9.3)
• Ergebnisse von Abhilfemaßnahmen (Abschnitt 10.1)
• Kontinuierliche Verbesserung (Abschnitt 10.2.): Ein großer Teil des Managementsystems für Informationssicherheit besteht darin, es als ein dynamisches und flexibles System zu betrachten. Organisationen, die es mit der Verbesserung ernst meinen, werden die Leistung ihres ISMS als Teil einer breiter angelegten Strategie bewerten, testen, überprüfen und messen und dabei über ein “ Checkbox“-System hinausgehen. In der ISO-Norm 27001 sind bereits mehrere Mechanismen für die kontinuierliche Bewertung und Verbesserung des ISMS vorgesehen.

Veränderte Anforderungen in der ISO 27001:2013

Im Jahr 2013 wurden die Anforderungen der ISO 27001 im Vergleich zur ersten Version aus dem Jahr 2005 erheblich geändert. So wurde beispielsweise die grundlegende Architektur der Norm nicht nur geändert, sondern auch deutlich gestrafft.

Der Standard ISO 27001 verfolgt einen geschäftsprozessorientierten Ansatz zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Wurde in der Vorgängerversion noch ausdrücklich auf das PDCA-Modell verwiesen, so ist dies nun nicht mehr zwingend erforderlich. Die Vorschriften gelten für alle Organisationen aller Größen und Arten.

In der ISO 27001 wird gefordert, dass Unternehmen alle externen und internen Aspekte, die sich auf ihre Fähigkeit zur erfolgreichen Einführung eines ISMS auswirken, identifizieren und berücksichtigen. Konkret bedeutet dies: Unternehmenskultur, Umweltbedingungen, behördliche Anforderungen, vertragliche und gesetzliche Verpflichtungen sowie offizielle Richtlinien im Zusammenhang mit der Unternehmensführung. Gemäß ISO 27001 muss die oberste Leitung der Organisation die Informationssicherheitspolitik sowie die Verantwortlichkeiten und Rechenschaftspflichten für deren Umsetzung festlegen. Die Organisation muss sich außerdem dazu verpflichten, das Bewusstsein für die Informationssicherheit in der gesamten Organisation zu fördern.

Der Zertifizierungsprozess nach ISO 27001 umfasst auch die Planung. So sehen die Bestimmungen beispielsweise vor, dass spezifische Informationssicherheitsrisiken für die Organisation bewertet und ein Behandlungsplan entwickelt werden. Die Verantwortung für die Definition von Risiken und deren Abschwächung liegt allein bei der Organisation. Die Norm schreibt auch vor, dass die Organisation Ressourcen bereitstellen muss, um eine kontinuierliche Verbesserung sowie die Pflege und Umsetzung des ISMS zu gewährleisten. Die Angaben zum ISMS müssen außerdem sorgfältig dokumentiert werden. Außerdem müssen in bestimmten Abständen Leistungsbewertungen erstellt werden. Die Unternehmen müssen die Wirksamkeit ihres ISMS überprüfen, bewerten und analysieren. Auch dies geschieht in festgelegten Abständen.

Zur ersten Stufe gehören beispielsweise öffentliche Dokumente, die, wenn sie gefälscht werden, einen eher unbedeutenden Schaden von bis zu 500 Euro für das Unternehmen verursachen. Diese Stufe wird Dokumenten zugewiesen, bei denen es unwahrscheinlich ist, dass sie dem Unternehmen erheblichen Schaden zufügen, selbst wenn die ISO-Normen länger als eine Woche lang beharrlich missachtet werden.

Stufe zwei betrifft unternehmensinterne Dokumente wie Abrechnungen und Gehaltsabrechnungen. Kommt es hier zu Verstößen gegen die ISO-Norm zur Informationssicherheit, entsteht ein moderater finanzieller Schaden von bis zu 5.000 Euro. Ein solcher Vorfall darf nicht länger als 24 Stunden andauern.

Wenn Ihre Organisation die ISO 27001-Norm weiterhin erfüllen soll, müssen Sie regelmäßig interne Audits durchführen.

Bei einem internen Audit nach ISO 27001 wird geprüft, ob Ihr ISMS (Informationssicherheits-Managementsystem) noch den Anforderungen der Norm entspricht.

Die Entwicklung eines internen Auditprogramms ist in vielerlei Hinsicht gut für Ihr Unternehmen. Es bietet einen Rahmen, auf dessen Grundlage Sie sich kontinuierlich verbessern können, und kann Außenstehenden die Gewissheit geben, dass Ihr Unternehmen die ISO 27001-Normen erfüllt.

In diesem Beitrag erfahren Sie, wie Sie ein ISO 27001-Audit durchführen, um die Informationssicherheit zu gewährleisten.

Alle Infos zur ISO 27001 Zertifizierung

Welche Arten von Audits gibt es?

Die Norm schreibt vor, dass eine Organisation einen Zeitplan für „interne Audits“ planen und durchführen muss, um die Einhaltung der Norm behaupten zu können. Wenn eine Organisation eine Zertifizierung anstrebt, sind darüber hinaus „externe Audits“ erforderlich, die von einer „Zertifizierungsstelle“ durchgeführt werden – einer Organisation mit kompetenten Audit-Ressourcen für ISO 27001.

Um den größtmöglichen Nutzen aus dem ISMS zu ziehen, wird dringend empfohlen, sicherzustellen, dass die ausgewählte Zertifizierungsstelle von einer anerkannten Aufsichtsbehörde akkreditiert ist. Im Vereinigten Königreich werden die Zertifizierungsstellen von UKAS – dem United Kingdom Accreditation Service – akkreditiert.

Externes Audit

Der Begriff „externe Audits“ bezieht sich in der Regel auf Audits, die von einer Zertifizierungsstelle durchgeführt werden, um eine Zertifizierung zu erlangen oder aufrechtzuerhalten. Der Begriff kann sich jedoch auch auf Audits beziehen, die von anderen interessierten Parteien (z. B. Partnern oder Kunden) durchgeführt werden, die sich selbst ein Bild vom ISMS der Organisation machen wollen. Dies gilt insbesondere dann, wenn eine solche Partei Anforderungen stellt, die über die Anforderungen der Norm hinausgehen.

Was ist ein internes Audit?

Interne Audits sind, wie der Name schon sagt, Audits, die von den eigenen Ressourcen der Organisation durchgeführt werden. Wenn die Organisation nicht über kompetente und objektive Auditoren im eigenen Personalbestand verfügt, können diese Audits von einem beauftragten Lieferanten durchgeführt werden. Diese Audits werden oft als „2nd Party Audits“ bezeichnet, da der Lieferant als „interne Ressource“ fungiert.

Das interne Audit nach ISO 27001 ist eine gründliche Prüfung des ISMS Ihrer Organisation, um sicherzustellen, dass es die Anforderungen der Norm erfüllt.

Im Gegensatz zu Zertifizierungsprüfungen wird es von Ihren Mitarbeitern durchgeführt. Sie werden die Erkenntnisse über Ihr aktuelles ISMS nutzen, um sich auf zukünftige Audits vorzubereiten.

Die Anforderungen an ein internes Audit sind in Abschnitt 9.2 der ISO 27001 beschrieben.

Warum ein ISMS-Audit?

ISO 27001-Audits sind ein proaktiver Weg, um zu überprüfen, ob Ihre Managementstandards eingehalten werden. Auf diese Weise wird sichergestellt, dass die Standards in der gesamten Organisation kommuniziert und von den Mitarbeitern und wichtigen Interessengruppen verstanden werden.

Ein Audit ist eine gute Möglichkeit, um festzustellen, wie gut bestimmte Sicherheitsstandards funktionieren und ob sie verbessert werden müssen. Das liegt daran, dass Nichtkonformitäten vorkommen können und dass Audits die Möglichkeit zur Verbesserung bieten. Auch die Wirksamkeit Ihres ISMS wird überprüft.

Vorteile des internen ISO 27001 Audits:

• Aufdecken von Nichtkonformitäten, bevor sie von anderen entdeckt werden
• Gewährleistung einer starken Sicherheitsstellung durch Identifizierung von Bereichen, die vor einem Sicherheitsereignis Aufmerksamkeit erfordern
• Demonstration und Information des Engagements des Managements
• Förderung des Verständnisses und des Bewusstseins der Mitarbeiter
• Information über kontinuierliche Verbesserung

Checkliste für die interne Prüfung nach ISO 27001

Um Sie bei der Erfüllung der Anforderungen der ISO 27001 für interne Audits zu unterstützen, haben wir eine Checkliste in fünf Schritten entwickelt, die Unternehmen jeder Größe befolgen können.

1) Überprüfung der Dokumentation

Zunächst sollten Sie die Dokumentation prüfen, die Sie bei der Einführung Ihres ISMS erstellt haben.

Denn der Umfang des Audits sollte dem Ihrer Organisation entsprechen.

Auf diese Weise können Sie klar abgrenzen, was geprüft werden muss.

Sie sollten auch die wichtigsten Interessengruppen des ISMS ermitteln.

Auf diese Weise können Sie problemlos alle Unterlagen anfordern, die während des Audits erforderlich sein könnten.

2) Überprüfung durch das Management

Hier nimmt die Prüfungstätigkeit erst richtig Gestalt an.

Bevor Sie einen detaillierten Prüfungsplan erstellen, sollten Sie sich mit dem Management in Verbindung setzen, um den Zeitplan und die Ressourcen für die Prüfung zu vereinbaren.

Dazu gehört oft auch die Festlegung von Kontrollpunkten, an denen Sie dem Vorstand Zwischenberichte vorlegen werden.

Ein Treffen mit der Geschäftsführung in diesem frühen Stadium gibt beiden Parteien die Möglichkeit, etwaige Bedenken vorzubringen.

3) Überprüfung vor Ort

Dies ist das, was man als die eigentliche Prüfung bezeichnen könnte. In dieser Phase findet die praktische Bewertung Ihrer Organisation statt.

Sie werden Folgendes tun müssen

• Beobachten, wie das ISMS in der Praxis funktioniert, indem Sie mit den Mitarbeitern an der Front sprechen.
• Audittests durchführen, um gesammelte Nachweise zu validieren.
• Auditberichte ausfüllen, um die Ergebnisse der einzelnen Tests zu dokumentieren.
• Überprüfung von ISMS-Dokumenten, Ausdrucken und anderen relevanten Daten.

4) Auswertung

Die im Rahmen des Audits gesammelten Nachweise sollten sortiert und in Bezug auf den Risikobehandlungsplan und die Kontrollziele Ihrer Organisation überprüft werden.

Gelegentlich kann diese Analyse Lücken in den Nachweisen aufdecken oder die Notwendigkeit weiterer Audittests anzeigen.

5) Bericht

Sie müssen die Ergebnisse des Audits dem Management präsentieren. Ihr interner ISO 27001-Auditbericht sollte Folgendes enthalten:

• Eine Einleitung, die den Umfang, die Ziele, den Zeitplan und das Ausmaß der durchgeführten Arbeiten klarstellt.
• Eine Zusammenfassung mit den wichtigsten Ergebnissen, eine Analyse auf hohem Niveau und eine Schlussfolgerung.
• Die vorgesehenen Empfänger des Berichts und gegebenenfalls Richtlinien zur Klassifizierung und Weitergabe.
• Eine eingehende Analyse der Ergebnisse. Schlussfolgerungen und empfohlene Abhilfemaßnahmen.
• Eine Erklärung mit detaillierten Empfehlungen oder Einschränkungen des Umfangs.
• Eine weitere Überprüfung und Überarbeitung kann erforderlich sein, da der Abschlussbericht in der Regel die Verpflichtung der Unternehmensleitung zu einem Aktionsplan beinhaltet.

Wie oft muss ich ein ISO 27001 Audit durchführen?

Wie bei vielen Normen ist auch bei ISO 27001 nicht festgelegt, wie oft eine Organisation ein internes Audit durchführen muss.

Der Grund dafür ist, dass das ISMS jeder Organisation anders ist und als solches behandelt werden muss.

Experten empfehlen, dass ein internes Audit nach ISO 27001 jährlich durchgeführt werden sollte. Dies wird nicht immer möglich sein, aber Sie sollten mindestens alle drei Jahre ein Audit durchführen.

Dies ist der Zeitraum, für den die meisten ISO 27001-Zertifizierungsstellen das ISMS einer Organisation validieren. Das bedeutet, dass die Organisation nach Ablauf dieses Zeitraums mit hoher Wahrscheinlichkeit die Anforderungen nicht mehr erfüllen wird.

Bei einem ISO 27001 ISMS handelt es sich um ein nach ISO/IEC 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS). Dieses dient der Sicherheit von Informationen, Daten und Systemen. 

Die ISO-Norm 27001 wurde entwickelt, um die Sicherheit der Daten Ihres Unternehmens zu verbessern und den Schutz, die Überwachung und die Kontrolle des Zugriffs auf die Daten zu verstärken, die sie normalerweise genießen. Im Fokus steht ein Informationssicherheits-Managementsystem (ISMS). Es ist ein skalierbares Modell, das sich mit dem Gesamtbild der Informationssicherheitsstrategie Ihres Unternehmens befasst.

Weitere Infos zur ISO 27001 Zertifizierung finden Sie auf unserer Übersichtsseite.

Ziele des Informationsmanagementsystems

Das Ziel des Informationsmanagementsystems ist die Sicherstellung der Informationssicherheit, dazu zählen insbesondere:

• Vertraulichkeit
• Integrität
• Verfügbarkeit von Informationen

Vorteile des ISO 27001 Informationssicherheitsmanagementsystems (ISMS)

Ein Informationssicherheits-Managementsystem (ISMS) ist ein dokumentierter Plan zur Verwaltung der technologie bezogenen Sicherheit Ihres Unternehmens. Dazu gehört die Dokumentation der Risiken und die Ergreifung von Maßnahmen zu deren Bewältigung. Ziel ist es, die Daten Ihres Unternehmens zu schützen und Sicherheitsverletzungen zu verhindern. Unternehmen müssen laufend Risikobewertungen durchführen, um Sicherheitsrisiken und Schwachstellen zu ermitteln. Unternehmen müssen Schutzmaßnahmen ergreifen, indem sie ein IT-Team zur Überwachung dieser Risiken einsetzen.

Ein etabliertes, ISO 27001-konformes ISMS hilft Ihnen, die Vertraulichkeit, Integrität und Verfügbarkeit aller Unternehmensdaten auf optimierte und kostengünstige Weise zu verwalten.

Warum benötigt ein Unternehmen ein ISO 27001 ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) ist ein Regelwerk, das ein Unternehmen einrichten muss, um:

• die Interessengruppen und ihre Erwartungen an das Unternehmen in Bezug auf die Informationssicherheit zu identifizieren
• zu ermitteln, welche Risiken für die Informationen bestehen
• Kontrollen (Sicherheitsvorkehrungen) und andere Methoden zur Risikominderung zu definieren, um die ermittelten Erwartungen zu erfüllen und Risiken zu bewältigen
• klare Ziele für die Informationssicherheit zu setzen
• Umsetzung aller Kontrollen und anderer Methoden zur Risikobehandlung
• kontinuierliche Messung, ob die implementierten Kontrollen wie erwartet funktionieren
• kontinuierliche Verbesserung, damit das gesamte ISMS besser funktioniert

Dieses Regelwerk kann in Form von Richtlinien, Verfahren und anderen Arten von Dokumenten niedergeschrieben werden, es kann aber auch in Form von etablierten Prozessen und Technologien vorliegen, die nicht dokumentiert sind. ISO 27001 legt fest, welche Dokumente erforderlich sind, d.h. welche mindestens vorhanden sein müssen.

Die Gründe für ein ISMS nach ISO 27001 sind vielseitig. Die Mehrzahl der Unternehmen möchte sich aufgrund von Kundenanforderungen zertifizieren lassen, um Wettbewerbsvorteile zu erlangen oder ihr Image zu verbessern. Auch Schwachstellen und mögliche Risiken können durch die Einrichtung eines ISMS identifiziert und beseitigt werden.

Die Einrichtung eines ISMS nach ISO 27001 stellt somit einen absoluten Mehrwert für Ihre IT-Sicherheit bzw. Informationssicherheit dar. Voraussetzung für die Umsetzung ist jedoch ein Management, das voll hinter diesem Vorhaben steht.

Bestandteile des Informationsmanagementsystems

Das Informationsmanagementsystem umfasst verschiedene Elemente der Organisation, um dessen Ziele zu erreichen. Dazu zählen neben den eigentlichen Zielen des Managementsystems auch Richtlinien, Prozesse, Verfahren, Ressourcen und Regulationen.

Dabei sollte das Informationsmanagementsystem (ISMS) immer als Teil der gesamten Organisation bzw. des übergeordneten Managementsystems verstanden werden.

1. Information Assets – Die Informationswerte der Organisation

Als ein Hauptbestandteil des Informationsmanagements sind die Informationen zu sehen, die einen Wert für das Unternehmen darstellen. Dazu zählen auch Informationen, die geschützt werden müssen, um einen Schaden für die Organisation abzuwenden.

Die ISO 27001 versteht unter dem Begriff Information Assets auch Geräte und Einrichtungen, die zur Informationsverarbeitung dienen. Mögliche Assets sind:

• Informationen
• Server, Computer, Mobiltelefone, Telefone
• Software / Applikationen, Computerprogramme
• Mitarbeiter und ihre Fähigkeiten
• Reputation und andere immaterielle Werte der Organisation

2. Richtlinien, Prozesse, Verfahren

Zu dem Informationsmanagementsystem gehören zudem definierte Richtlinien, Prozesse und Verfahren.

Unter den Begriffen kann folgendes verstanden werden:

• Richtlinien: Dokumentierte generelle Zielsetzungen und Strategien der Organisation bzw. des Managements
• Prozesse: Vorgang oder Ablauf mit einem definierten Anfang und Abschluss bzw. einem entsprechendem Output
• Verfahren: Art und Weise, wie ein Prozess oder eine Tätigkeit auszuführen ist

3. Dokumentation

Die Dokumentation ist ein integraler Bestandteil des ISMS Informationssicherheitssystems. Alle relevanten Richtlinien, Prozesse und Verfahren müssen im Rahmen des ISMS sinnvoll und verhältnismäßig dokumentiert werden.

Dabei muss neben geeigneten Dokumentationsorten auch der Umgang mit Dokumenten geregelt sein. Die Dokumentation sollte stets einen Mehrwert bieten.

4. Verantwortlichkeiten

Die Festlegung von Verantwortlichkeiten ist essentiell für ein Informationssicherheitsmanagementsystem. Teilweise bietet es sich an Rollen zu definieren, die auch von mehr als einer Person wahrgenommen werden können.

Nach der ISO 27001 ist die Definition und Zuweisung der Rollen Aufgabe des Managements.

Auch wenn in der ISO 27001 keine Rollen vorgegeben werden, hat es sich etabliert, dass es meist einen Hauptverantwortlichen für die Informationssicherheit der Organisation gibt. Diese Rolle wird meist als Informationssicherheitsbeauftragter oder CISO Chief Information Security Officer benannt.

5. Maßnahmen

Ein weiterer Bestandteil des ISO 27001 Informationssicherheitsmanagementsystems ist die Definition und Implementierung von angemessenen Maßnahmen.

Dabei muss es nicht immer eine perfekte Lösung zum Schutz geben, sondern vielmehr eine ausreichende und akzeptable Lösung zur Reduzierung von Risiken.

Doch Achtung! Die Einführung eines ISMS und die Zertifizierung lassen sich in der Regel nicht einfach anhand einer ISO 27001 Checkliste abhaken. 

Wir haben Ihnen die wichtigsten Schritte in unserer Checkliste zusammengefasst: Von der Vorbereitung und Leitung des Projektes, über die Umsetung und Überwachung bis zum finalen Erlangen der ISO 27001.

Auch interessant: Alle Themen zur ISO 27001 Zertifizierung.

Warum eine ISO 27001 Checkliste wichtig ist

Eine ISO 27001 Checkliste kann Ihnen als Leitfaden für die Implementierung dienen.
Somit haben Sie eine Hilfestellung um strukturiert in die Bearbeitung zu starten. 

Im Internet finden Sie eine Vielzahl unterschiedlicher Checklisten, die mehr oder weniger aktuell und vollständig sind. 

Im Idealfall bauen Sie sich auch eine eigene Checkliste auf Basis von vorhandenen Listen.

Mit unserer Checkliste erhalten Sie eine schnelle und einfache Auskunft darüber, ob Sie ausreichend für eine Zertifizierung vorbereitet sind.

Inhalte der ISO 27001 Checkliste

Die ISO 27001 Checkliste sollte sich an der Norm orientieren und die Möglichkeit zum Abhaken der der Punkte bieten.

Mögliche Inhalte: 

• Organisation
• Führung
• Planung
• Unterstützung
• Betrieb

ISO 27001 Checklisten zum Download als PDF, Excel oder Word

Hier eine Aufstellung von Checklisten zum Download:

Checkliste ISO 27001 – PDF von DEKRA

bsi Checkliste: ISO 27001 Fragebogen zur Selbsteinschätzung

Implementierungsleitfaden und Checkliste ISO/IEC 27001:2013 – PDF ISACA

ISO 27001 Checkliste von SECJUR