ISO 27001 Auditor bei einem ISMS Audit

ISO 27001 (Lead) Auditor – So werden Sie zum ISMS Auditor

Als ISO 27001 (Lead) Auditor sind Sie für die Planung, Durchführung und den Abschluss von Informationssicherheitsmanagemensystemen (ISMS) Audits verantwortlich. 

Die Nachfrage nach Informationssicherheit in der Industrie und im Dienstleistungssektor steigt stetig, sowie auch die gesetzlichen Anforderungen im Bereich Datenschutz. Das bietet einem ISO 27001 Lead Auditor hervorragende Karriereaussichten. 

Sie streben eine Karriere als Information Security Officer (ISO), IT-Sicherheitsbeauftragter (ITSiBe), Chief Information Security Officer (CISO) oder als freiberuflicher ISMS Auditor an? – Dann ist die Zertifizierung zum ISO 27001 Lead Auditor genau die richtige für Sie. 

In diesem Artikel möchten wir auf alle Fragestellungen rund um den ISO 27001 Auditor eingehen. 

Unterschied zwischen ISO 27001 Auditor und ISO 27001 Lead Auditor

Man unterscheidet zwischen einem internen Auditor (ISO 27001 Auditor) und einem ISO 27001 Lead Auditor, der darüber hinaus auch externe Audits durchführen kann.

Als ISO 27001 Auditor führen Sie interne Audits in dem ISMS (Informationssicherheitsmanagementsystem) Ihres Unternehmens durch. Es handelt sich um sogenannte First-Party Audits. Ein First-Party Audit liegt vor, wenn eine Prüfung innerhalb Ihrer Organisation durch Ihren eigenen Auditor durchgeführt wird. Dies wird oft als internes Audit bezeichnet. 

Der ISO 27001 Lead Auditor ist darüber hinaus in der Lage, neben internen auch externe ISMS (Informationssicherheitsmanagementsystem) zu auditieren. Dieser leitende Auditor darf auch Second- und Third-Party Audits durchführen. Dabei handelt es sich um Audits von einem Lieferanten, Kunden oder Auftragnehmer (Second-Party Audit) oder um ein Audit durch eine Zertifizierungsstelle (Third-Party Audit).

Die verschiedenen ISMS Auditarten im Vergleich ISO 27001 Auditor zu ISO 27001 Lead Auditor
Die verschiedenen Auditarten und die Unterscheidung in ISO 27001 Auditor und Lead Auditor.

ISO 27001 Auditor Aufgaben

Zu den Aufgaben des geprüften ISMS Auditoren nach ISO 27001 gehören:

  • Durchführung und Leitung der Audits von Informationssicherheitsmanagementsystemen (ISMS)
  • Durchführung der Audits gemäß ISO 19011 (Leitfaden zur Auditierung von Managementsystemen)
  • Überprüfung des ISMS auf Aktualität, Rentabilität und Wirksamkeit
  • Implementierung der ISO 27001 
  • Überprüfung von Systemen und Begehung von Orten und Räumlichkeiten
  • Verarbeitung und Umgang mit elektronischen und anders verarbeiteten Daten beobachten
  • Befragungen zum alltäglichen Umgang mit Daten und zur Informationssicherheit

Die Vorteile einer Zertifizierung als ISMS Auditor

Mit der Digitalisierung der Industrie wächst auch der Bedarf an Informationssicherheit. Als ISO 27001 Lead Auditor sind Sie in einem stark wachsenden Themenbereich aktiv. 

Die Nachfrage nach ISMS Audits ist groß, sodass eine Weiterbildung als Auditor auch Karriereaussichten fördert.

Da es sich um einen weltweit anerkannten Standard handelt, sind auch internationale berufliche Aufstiegschancen möglich. 

Laut Glassdoor beträgt das durchschnittliche Grundgehalt von Leitenden Auditoren ISO 27001: ca. 81.600 €.

Wie wird man ISO 27001 Auditor?

Um ISO 27001 ISMS (Lead) Auditor werden zu können, sollten Sie über Kenntnisse der ISO/IEC 27001 verfügen. Diese Grundlagen können Sie auch über entsprechende ISMS Foundation Schulungen erlernen. Des Weiteren müssen Sie über Berufserfahrung in der Informationstechnologie verfügen. 

ISO 27001 (Lead) Auditor Voraussetzungen

Die Anforderungen an einen Auditor sind in der ISO/IEC 27006 beschrieben. Diese Norm definiert die Anforderungen für Zertifizierungsstellen. Es gelten folgende Voraussetzungen:

  • Mindestens Grundkenntnisse ISO/IEC 27001, idealerweise auch ISO/IEC 27002
  • 4 Jahre Berufserfahrung im Bereich Informationstechnologie (IT)
  • 2 Jahre Berufserfahrung in einer Rolle oder als Funktion mit Bezug zur Informationssicherheit 
  • Erfolgreiche Teilnahme an einer 5-tägigen ISO 27001 (Lead) Auditor Schulung inkl. schriftlicher Prüfung 
  • Bereits Erfahrungen mit der Bewertung der Informationssicherheit
  • Teilnahme an mindestens vier Audits als Trainee (20 Audittage) 

Für leitende Auditoren, also ISO 27001 Lead Auditors, gilt zudem:

  • Durchführung von mindestens drei ISMS Audits als interner Auditor 
  • Kommunikationsstärke
Schritte zur ISO 27001 Lead Auditor Zertifizierung
Die Schritte zur ISO 27001 Lead Auditor Zertifizierung.

ISO 27001 Auditor Zertifizierung – Ihre Ausbildung zum Auditor

Wenn Sie sich als ISO 27001 (Lead) Auditor zertifizieren möchten, müssen Sie die oben beschriebenen Grundvoraussetzungen erfüllen. 

Ein wesentlicher Teil der Ausbildung ist die Teilnahme an einer 5-tägigen ISO 27001 Lead Auditor-Schulung. 

Da es sich um die höchste und international anerkannte Zertifizierung im Bereich Informationssicherheit handelt, sollten Sie sich umfangreich vorbereiten.

  • Dauer der Zertifizierungsschulung: 5 Tage
  • Prüfung am letzten Tag
  • Kosten der Schulung: ca. 2.000 – 4.000 Euro

ISO 27001 Auditor Schulung 

Es gibt verschiedene Anbieter von ISO 27001 Auditor Schulungen,wie z.B. der TÜV oder die DEKRA. 

Die Durchführung dieser Seminare erfolgt in der Regel immer durch erfahrene Senior-Auditoren. So ist auch sichergestellt, dass ein Praxisbezug hergestellt werden kann und Fragen der Teilnehmer fundiert beantwortet werden. 

Die Inhalte der Schulung

Die Bestandteile des Trainings unterscheiden sich geringfügig von Anbieter zu Anbieter, allerdings kann man von diesen grundsätzlichen Inhalten ausgehen:

  • Grundlegende Konzepte und Prinzipien eines Information Security Management Systems (ISMS) basierend auf der ISO 27001
  • Anforderungen der ISO/IEC 27001 als Auditor verstehen und interpretieren
  • Bewertung der Konformität eines ISMS mit den Anforderungen der ISO 27001
  • Planung, Durchführung und Dokumentation bzw. Abschluss eines ISO 27001 Konformitätsaudits. 
  • Grundlegende Prüfungskonzepte und -grundsätze aus ISO 17021-1 und ISO 19011
  • Kommunikationstechniken

Zielgruppe

Die ISO/IEC 27001 Auditor-Schulung richtet sich an folgende Personen:

  • IT-Sicherheitsbeauftragte, ITSiBe, CSO, ISO, CISO
  • Risk-Manager
  • Managementbeauftragte
  • IT-Leiter, IT-Berater 
  • Interne und externe Auditoren
  • zukünftige Auditoren von Zertifizierungsstellen
  • Fach- und Führungskräfte die ein ISMS nach ISO 27001 implementieren möchten

ISO 27001 Lead Auditor Prüfungsfragen

Die Prüfung findet am letzten Tag der Schulung statt. Es werden Prüfungsfragen gestellt, die im Freitext- oder Multiple-Choice-Verfahren beantwortet werden müssen. Zur Beantwortung der Fragen stehen 120 Minuten zur Verfügung. 

Die Lead Auditor Prüfung gilt als bestanden, wenn mindestens 70% der Fragen korrekt beantwortet wurden. 

Bereiten Sie sich unbedingt auch neben der eigentlichen Schulung auf diese Prüfung vor. 

Bei einem Nichtbestehen kann die Prüfung in der Regel innerhalb von 12 Monaten bis zu 2 Mal wiederholt werden. Dabei entstehen dann aber weitere Kosten. 

5 Beispielfragen:

Frage 1: Wie lautet der Begriff des Sicherheitsmanagements, um festzustellen, ob die Identität einer Person korrekt ist?

A. Identifizierung
B. Authentifizierung
C. Autorisierung
D. Überprüfung

Richtige Antwort: B

Frage 2: Welche der folgenden Maßnahmen ist eine vorbeugende Sicherheitsmaßnahme?

A. Installieren von Protokollierungs- und Überwachungssoftware
B. Herunterfahren der Internetverbindung nach einem Angriff
C. Speichern sensibler Informationen in einem Datenspeicher

Richtige Antwort: C

Frage 3: Was ist für die Personalabteilung vor der Einstellung nicht erforderlich?

A. Hintergrundüberprüfung durchführen
B. Der Bewerber muss die Anforderungen an die Unterlagen vor der Einstellung erfüllen
C. Muss ein Bewusstseinstraining zur Informationssicherheit absolvieren.
D. Muss die Hintergrunduntersuchung erfolgreich bestehen

Richtige Antwort: C

Frage 4: Sie arbeiten im Büro eines großen Unternehmens. Sie erhalten einen Anruf von einer Person, die vorgibt, vom Helpdesk zu sein. Er fragt Sie nach Ihrem Passwort. Was ist das für eine Bedrohung?

A. Natürliche Bedrohung
B. Organisatorische Bedrohung
C. Sozialtechnik

Richtige Antwort: C

Frage 5: Warum müssen wir einen Disaster-Recovery-Plan regelmäßig testen und auf dem neuesten Stand halten?

A. Andernfalls könnten die ergriffenen Maßnahmen und die geplanten Vorfallverfahren nicht angemessen sein
B. Sonst ist es nicht mehr aktuell mit der Erfassung täglich auftretender Störungen
C. Andernfalls stehen dem Sicherheitsteam möglicherweise nicht mehr remote gespeicherte Backups zur Verfügung

Richtige Antwort: A

Eine Auswahl an weiteren englisch-sprachrigen Prüfungsfragen finden Sie hier

Unterschied zwischen ISO 27001 Implementer und ISO 27001 Auditor

Neben dem ISO 27001 Auditor, auch ISMS Auditor genannt, gibt es auch eine Zertifizierung als ISO 27001 Implementer.

Ein Auditor ist ein Fachmann, der für die Leitung des Auditteams in einer Organisation oder während eines ISO-Managementsystem-Audits verantwortlich ist. Er hat also den Schwerpunkt auf der Auditierung und der Zertifizierung.

Die Schulung zum Lead Implementer befähigt Sie, das erforderliche Fachwissen zu entwickeln, um eine Organisation bei der Einführung, Verwaltung, Umsetzung und Pflege der ISO-Norm zu unterstützen. Er hat den Schwerpunkt auf der praktischen Implementierung innerhalb der Organisation. 

Wenn Sie eine Implementierung eines ISMS in einem Unternehmen lediglich als interner Mitarbeiter begleiten wollen, genügt auch eine ISO 27001 Implementer Schulung. 

Welche Schulungsorganisation? IRCA oder PECB?

Die Schulungsanbieter wie BSI, TÜV und Dekra werden durch Akkreditierungsunternehmen berechtigt, überhaupt Zertifizierungsschulungen für die ISO 27001 durchzuführen. 

Man hat hier die Wahl zwischen IRCA und PECB Kursen. Beide Akkreditierungsstellen bieten einen nahezu identischen Inhalt. Auch die Preise sind vergleichbar, sodass man nicht sagen kann, dass das eine besser als das andere ist.

Viel entscheidender ist in der Regel ein guter Trainer. Ansonsten dürfte für viele angehende ISMS Auditoren auch der Preis entscheidend sein. 

FAQ:

Wie lange dauert die Ausbildung zum ISO 27001 (Lead) Auditor?

Die Schulung zum Auditor dauert 5 Tage, allerdings muss bereits Berufserfahrung vorhanden sein. Auch nach dem Bestehen der Prüfung müssen weitere praktische Erfahrungen gesammelt werden, bevor man als ISO 27001 Lead Auditor tätig werden darf. Viele leitende Auditoren haben deshalb bereits mehrjährige Erfahrungen im Umfeld der Information Security gesammelt, bevor sie die Tätigkeit ausüben können. 

Wer darf ISO 27001 Audits durchführen?

Für eine Zertifizierung muss ein externes Audit durch einen anerkannten ISO 27001 Lead Auditor durchgeführt werden. Dieser Auditor ist durch eine Zertifizierungsstelle anerkannt.