Wie man ein internes ISO 27001 Audit durchführt
Wenn Ihre Organisation die ISO 27001-Norm weiterhin erfüllen soll, müssen Sie regelmäßig interne Audits durchführen.
Bei einem internen Audit nach ISO 27001 wird geprüft, ob Ihr ISMS (Informationssicherheits-Managementsystem) noch den Anforderungen der Norm entspricht.
Die Entwicklung eines internen Auditprogramms ist in vielerlei Hinsicht gut für Ihr Unternehmen. Es bietet einen Rahmen, auf dessen Grundlage Sie sich kontinuierlich verbessern können, und kann Außenstehenden die Gewissheit geben, dass Ihr Unternehmen die ISO 27001-Normen erfüllt.
In diesem Beitrag erfahren Sie, wie Sie ein ISO 27001-Audit durchführen, um die Informationssicherheit zu gewährleisten.
Alle Infos zur ISO 27001 Zertifizierung
Welche Arten von Audits gibt es?
Die Norm schreibt vor, dass eine Organisation einen Zeitplan für „interne Audits“ planen und durchführen muss, um die Einhaltung der Norm behaupten zu können. Wenn eine Organisation eine Zertifizierung anstrebt, sind darüber hinaus „externe Audits“ erforderlich, die von einer „Zertifizierungsstelle“ durchgeführt werden – einer Organisation mit kompetenten Audit-Ressourcen für ISO 27001.
Um den größtmöglichen Nutzen aus dem ISMS zu ziehen, wird dringend empfohlen, sicherzustellen, dass die ausgewählte Zertifizierungsstelle von einer anerkannten Aufsichtsbehörde akkreditiert ist. Im Vereinigten Königreich werden die Zertifizierungsstellen von UKAS – dem United Kingdom Accreditation Service – akkreditiert.
Externes Audit
Der Begriff „externe Audits“ bezieht sich in der Regel auf Audits, die von einer Zertifizierungsstelle durchgeführt werden, um eine Zertifizierung zu erlangen oder aufrechtzuerhalten. Der Begriff kann sich jedoch auch auf Audits beziehen, die von anderen interessierten Parteien (z. B. Partnern oder Kunden) durchgeführt werden, die sich selbst ein Bild vom ISMS der Organisation machen wollen. Dies gilt insbesondere dann, wenn eine solche Partei Anforderungen stellt, die über die Anforderungen der Norm hinausgehen.
Was ist ein internes Audit?
Interne Audits sind, wie der Name schon sagt, Audits, die von den eigenen Ressourcen der Organisation durchgeführt werden. Wenn die Organisation nicht über kompetente und objektive Auditoren im eigenen Personalbestand verfügt, können diese Audits von einem beauftragten Lieferanten durchgeführt werden. Diese Audits werden oft als „2nd Party Audits“ bezeichnet, da der Lieferant als „interne Ressource“ fungiert.
Das interne Audit nach ISO 27001 ist eine gründliche Prüfung des ISMS Ihrer Organisation, um sicherzustellen, dass es die Anforderungen der Norm erfüllt.
Im Gegensatz zu Zertifizierungsprüfungen wird es von Ihren Mitarbeitern durchgeführt. Sie werden die Erkenntnisse über Ihr aktuelles ISMS nutzen, um sich auf zukünftige Audits vorzubereiten.
Die Anforderungen an ein internes Audit sind in Abschnitt 9.2 der ISO 27001 beschrieben.
Warum ein ISMS-Audit?
ISO 27001-Audits sind ein proaktiver Weg, um zu überprüfen, ob Ihre Managementstandards eingehalten werden. Auf diese Weise wird sichergestellt, dass die Standards in der gesamten Organisation kommuniziert und von den Mitarbeitern und wichtigen Interessengruppen verstanden werden.
Ein Audit ist eine gute Möglichkeit, um festzustellen, wie gut bestimmte Sicherheitsstandards funktionieren und ob sie verbessert werden müssen. Das liegt daran, dass Nichtkonformitäten vorkommen können und dass Audits die Möglichkeit zur Verbesserung bieten. Auch die Wirksamkeit Ihres ISMS wird überprüft.
Vorteile des internen ISO 27001 Audits:
- Aufdecken von Nichtkonformitäten, bevor sie von anderen entdeckt werden
- Gewährleistung einer starken Sicherheitsstellung durch Identifizierung von Bereichen, die vor einem Sicherheitsereignis Aufmerksamkeit erfordern
- Demonstration und Information des Engagements des Managements
- Förderung des Verständnisses und des Bewusstseins der Mitarbeiter
- Information über kontinuierliche Verbesserung
Checkliste für die interne Prüfung nach ISO 27001
Um Sie bei der Erfüllung der Anforderungen der ISO 27001 für interne Audits zu unterstützen, haben wir eine Checkliste in fünf Schritten entwickelt, die Unternehmen jeder Größe befolgen können.
1) Überprüfung der Dokumentation
Zunächst sollten Sie die Dokumentation prüfen, die Sie bei der Einführung Ihres ISMS erstellt haben.
Denn der Umfang des Audits sollte dem Ihrer Organisation entsprechen.
Auf diese Weise können Sie klar abgrenzen, was geprüft werden muss.
Sie sollten auch die wichtigsten Interessengruppen des ISMS ermitteln.
Auf diese Weise können Sie problemlos alle Unterlagen anfordern, die während des Audits erforderlich sein könnten.
2) Überprüfung durch das Management
Hier nimmt die Prüfungstätigkeit erst richtig Gestalt an.
Bevor Sie einen detaillierten Prüfungsplan erstellen, sollten Sie sich mit dem Management in Verbindung setzen, um den Zeitplan und die Ressourcen für die Prüfung zu vereinbaren.
Dazu gehört oft auch die Festlegung von Kontrollpunkten, an denen Sie dem Vorstand Zwischenberichte vorlegen werden.
Ein Treffen mit der Geschäftsführung in diesem frühen Stadium gibt beiden Parteien die Möglichkeit, etwaige Bedenken vorzubringen.
3) Überprüfung vor Ort
Dies ist das, was man als die eigentliche Prüfung bezeichnen könnte. In dieser Phase findet die praktische Bewertung Ihrer Organisation statt.
Sie werden Folgendes tun müssen
- Beobachten, wie das ISMS in der Praxis funktioniert, indem Sie mit den Mitarbeitern an der Front sprechen.
- Audittests durchführen, um gesammelte Nachweise zu validieren.
- Auditberichte ausfüllen, um die Ergebnisse der einzelnen Tests zu dokumentieren.
- Überprüfung von ISMS-Dokumenten, Ausdrucken und anderen relevanten Daten.
4) Auswertung
Die im Rahmen des Audits gesammelten Nachweise sollten sortiert und in Bezug auf den Risikobehandlungsplan und die Kontrollziele Ihrer Organisation überprüft werden.
Gelegentlich kann diese Analyse Lücken in den Nachweisen aufdecken oder die Notwendigkeit weiterer Audittests anzeigen.
5) Bericht
Sie müssen die Ergebnisse des Audits dem Management präsentieren. Ihr interner ISO 27001-Auditbericht sollte Folgendes enthalten:
- Eine Einleitung, die den Umfang, die Ziele, den Zeitplan und das Ausmaß der durchgeführten Arbeiten klarstellt.
- Eine Zusammenfassung mit den wichtigsten Ergebnissen, eine Analyse auf hohem Niveau und eine Schlussfolgerung.
- Die vorgesehenen Empfänger des Berichts und gegebenenfalls Richtlinien zur Klassifizierung und Weitergabe.
- Eine eingehende Analyse der Ergebnisse. Schlussfolgerungen und empfohlene Abhilfemaßnahmen.
- Eine Erklärung mit detaillierten Empfehlungen oder Einschränkungen des Umfangs.
- Eine weitere Überprüfung und Überarbeitung kann erforderlich sein, da der Abschlussbericht in der Regel die Verpflichtung der Unternehmensleitung zu einem Aktionsplan beinhaltet.
Wie oft muss ich ein ISO 27001 Audit durchführen?
Wie bei vielen Normen ist auch bei ISO 27001 nicht festgelegt, wie oft eine Organisation ein internes Audit durchführen muss.
Der Grund dafür ist, dass das ISMS jeder Organisation anders ist und als solches behandelt werden muss.
Experten empfehlen, dass ein internes Audit nach ISO 27001 jährlich durchgeführt werden sollte. Dies wird nicht immer möglich sein, aber Sie sollten mindestens alle drei Jahre ein Audit durchführen.
Dies ist der Zeitraum, für den die meisten ISO 27001-Zertifizierungsstellen das ISMS einer Organisation validieren. Das bedeutet, dass die Organisation nach Ablauf dieses Zeitraums mit hoher Wahrscheinlichkeit die Anforderungen nicht mehr erfüllen wird.
