Ein internes ISO 27001 Audit ist als Selbstprüfung Ihres Managementsystems für Informationssicherheit zu verstehen. Dabei verfolgt das ISMS Audit das Ziel, Nichtkonformitäten mit den Anforderungen der Norm ISO/IEC 27001 aufzudecken. Jedoch soll das Audit nicht nur Schwächen, sondern auch Stärken aufdecken. Der Auditor sucht dabei auch nach musterhaften Lösungen, um diese betriebsintern weiter zu verbreiten. So können auch andere Bereiche von diesen profitieren. Auch die Norm für das Informationssicherheitsmanagement fordert die regelmäßige Umsetzung interner Audits. Dabei überprüfen Betriebe, ob das Managementsystem wirksam ist und mit den Anforderungen der Norm sowie den firmeninternen Forderungen übereinstimmt. Auf dieser Basis können Abweichungen abgestellt und Verbesserungspotenziale aufgedeckt werden.
Neben internen Audits können aber auch externe Audits im Informationssicherheitsmanagement durchgeführt werden. Diese externen Audits erfolgen einerseits im Rahmen einer ISO 27001 Zertifizierung und werden daher auch Zertifizierungsaudits genannt. Andererseits können externe Audits auch Kunden- bzw. Lieferantenaudits umfassen. Hier auditiert entweder der Kunde seinen Lieferanten (z.B. Untersuchung von Lieferfähigkeiten) oder auch der Lieferant seinen Kunden (z.B. Lizenzaudits).
Wie ist der Ablauf eines Audits?
Grundsätzlich läuft ein ISMS Audit in den folgenden drei Phasen ab:
- Vorbereitung
- Durchführung
- Nachbereitung
Im Folgenden stellen wir Ihnen diese Auditphasen ausführlicher vor.
Wie wird ein ISMS Audit vorbereitet?
Die Vorbereitung eines Audits beginnt mit der Erstellung des Auditprogramms. Dieses wird vom Auditprogrammleiter – meistens dem Managementbeauftragten – erstellt. Die Vorbereitung des Auditors auf das bevorstehende Audit beginnt meistens ca. 4 Wochen vor dem Audittermin.
Der Auditor macht sich hierbei zunächst mit dem auditierten Bereich vertraut. Er sichtet zudem die Dokumente, die für das Informationssicherheitsmanagementsystem und dem auditierten Bereich gehören. Bei der Dokumentenprüfung erkennt der Auditor bereits, ob die Dokumentation nachvollziehbar und vollständig ist. Somit ist die Dokumentenprüfung auch bereits ein Teil des ISO 27001 Audits.
Weiterhin macht sich der Auditor bei der Vorbereitung nochmals mit den relevanten Anforderungen der Norm ISO 27001 vertraut. Auch die Erstellung einer Auditcheckliste mit allen für das Audit relevanten Punkte gehört zur Auditvorbereitung. Diese Checkliste bildet später die Grundlage für die Erstellung des Auditplans. Im Auditplan legt der Auditor die Rahmendaten zum Audit fest – es handelt sich also sozusagen um einen Tagesablauf. Anschließend ist der Auditplan auch noch mit dem zu auditierenden Bereich abzustimmen.
Passend für Sie zum Thema
Kursvideo
Seminartitel
Kursformen
Zertifikat
Informationen
Wie erfolgt die eigentliche Durchführung eines ISO 27001 Audits?
Die eigentliche Auditdurchführung beginnt mit einer Eröffnungsbesprechung. Bei dieser stellt der Auditor den Auditplan vor. Zudem können auch kurzfristig noch notwendige Änderungen diskutiert werden. Beim Audit an sich erfolgt dann die Sammlung von Informationen. Der Auditor greift dabei auf verschiedene Methoden zurück:
- Prüfung von Dokumenten
- Beobachtung bzw. Begehung vor Ort
- Gespräche mit Mitarbeitern
Das Auditgespräch ist dabei wahrscheinlich quantitativ sowie qualitativ die beste Quelle für notwendige Informationen. Der Auditor spricht hierbei mit verantwortlichen Mitarbeitern über deren Tätigkeiten und Vorgehensweise. Anschließend vergleicht er diese gängige Praxis mit den Vorgaben. Stellt der Auditor dabei Abweichungen fest, muss er anschließend herausfinden, ob Änderungen an der Vorgabe oder dem Vorgehen der Mitarbeiter notwendig sind. Auf Basis der gesammelten Informationen bewertet der Auditor im ISO 27001 Audit dann, ob die Vorgaben der Norm und des Unternehmens eingehalten werden. Ist dies nicht der Fall, liegt eine Nichtkonformität vor. Zudem erhalten die Mitarbeiter in einem Abschlussgespräch auch eine kurze Vorstellung der Ergebnisse. Bereits während des Audits teilt der Auditor regelmäßig seine Ergebnisse mit und macht gleichzeitig Vorschläge für mögliche Korrekturmaßnahmen. Auf diese Weise stellt er sicher, dass die auditierten Personen die Ergebnisse auch verstehen.
Die Nachbereitung als letzte Phase im ISO 27001 Audit
Im Rahmen der Nachbereitung eines Audits erfolgt die Erstellung eine Auditberichts. Dies wird durch den Auditor vorgenommen. Anschließend verteilt der Auditor den Bericht an den auditierten Bereich. Auf Basis des Berichts muss der auditierte Bereich anschließend Korrekturmaßnahmen festlegen. Diese Maßnahmen verfolgen das Ziel, festgestellte Abweichungen zu beheben und ein erneutes Auftreten zu verhindern. Es gilt aber auch, Verbesserungspotenziale zu nutzen und auch hier passende Verbesserungsmaßnahmen abzuleiten. Typischerweise legt der Auditor zusammen mit dem auditierten Bereich auch eine Frist fest, bis wann die Korrekturen umgesetzt sind. Verantwortlich für die Umsetzung der Maßnahmen ist dann aber die Abteilung. Weiterhin wird in der Nachbereitung des Audits auch definiert, wie die Wirksamkeit der Maßnahmen geprüft wird.
Welche verschiedenen ISMS Audit Formen gibt es?
Prinzipiell kann man zwischen internen und externen Audits unterscheiden. Bei internen Audits handelt es sich – wie eingangs bereits erwähnt – um eine Selbstprüfung des eigenen Managementsystems zu eigenen Zwecken. Dies können beispielsweise die Feststellung der Konformität mit den Anforderungen des Standards oder vorhandener Verbesserungspotenziale sein. Interne Audits werden meistens durch Mitarbeiter der Organisation durchgeführt und daher auch als 1st party audits bezeichnet.
Die Durchführung externer Audits erfolgt nicht durch Mitarbeiter des Unternehmens, sondern durch eine außenstehende interessierte Partei. Dies können zum Beispiel Kunden sein, die ein Lieferantenaudit (2nd party audit) durchführen. Bei einem solchem wird die Fähigkeit zur Einhaltung von Anforderungen bei Lieferanten geprüft. Zudem gibt es auch 3rd party audits. Auch hierbei handelt es sich um ein externes Audit. Als Beispiel eines 3rd party audits ist ein ISO 27001 Zertifizierungsaudit zu nennen.
Video: Ablauf eines Audits
Video: Auditarten und Auditformen
Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!
Welche Kompetenzen und Schulungen benötige ich, um ein ISO 27001 Audit durchzuführen?
Der Erfolg eines Audits hängt im wesentlichen von den Kompetenzen und Fertigkeiten des Auditors ab. Die Anforderungen, die ein Auditor mitbringen sollte, stellt uns die ISO 19011 vor. So muss der Auditor unter anderem Kenntnisse zur Norm ISO 27001 und der Auditierung mitbringen. Diese können im Rahmen entsprechender Ausbildungen inklusive Prüfung erworben werden. Nach erfolgreichem Abschluss der Prüfung weisen die Auditoren ihre Kompetenzen mit einem entsprechenden Zertifikat nach.
Wir qualifizieren Sie vom Einstieg in die Grundlagen des Standards, über die Ausbildung zum internen ISMS Auditor bis hin zum Lead Auditor 27001. Verfügen Sie bereits über eine entsprechende Vorausbildung oder praktische Erfahrung, können Sie auch per Direkteinstieg in die verschiedenen Produkte einsteigen.
DOWNLOAD Ausbildungsprogramm: Laden Sie sich Per Klick auf die Grafik direkt unsere Seminar-Übersicht im PDF-Format herunter.
Einige Ausbildungen stehen Ihnen in verschiedenen Kursformen zur Verfügung. Absolvieren Sie Ihre Weiterbildung entweder als Präsenztraining, im Live Virtual Classroom oder als E-Learning Kurs.
Welche Rolle spielt ein internes Audit im Managementsystem?
Informationssicherheits-Managementsysteme funktionieren – wie auch andere Managementsysteme – nach dem PDCA-Zyklus mit seinen Phasen Plan – Do – Check – Act. Das interne ISO 27001 Audit ist hierbei unter anderem in der Check-Phase einzuordnen. Dabei erfolgt nämlich die Prüfung der Funktionsfähigkeit des Managementsystems sowie dessen Prozesse. Stellen Unternehmen hierbei Abweichungen fest, müssen Korrektur- und Vorbeugemaßnahmen festgelegt werden. Es wird also gehandelt. Somit ist das Audit auch Bestandteil der Act-Phase. Zudem trägt es wesentlich zur kontinuierlichen Verbesserung des Managementsystems für Informationssicherheit bei.
Stellen Unternehmen fest, dass Abläufe nicht wie geplant durchgeführt werden, kann es notwendig sein, bestimmte Vorgaben zu ändern. Das bedeutet, dass man nochmal in die Planungsphase eintreten muss. Das ISO 27001 Audit kann also ebenso zu einer Änderung im Planungsschritt führen. Dies bedeutet selbstverständlich auch automatisch eine Änderung in der Umsetzungsphase (Do) des PDCA Zyklus. Somit beeinflusst das interne Audit den gesamten PDCA-Zyklus.
Ihre ISO 27001 Ausbildung
Alle Ausbildungsinfos zum direkten Download
Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!
Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!