ISO 27001 Audit

Durch ein ISO 27001-Audit können Unternehmen den Reifegrad und die Leistung ihres Informationssicherheitsmanagementsystems (ISMS) bewerten. Dieses (interne) Audit deckt nicht nur verbesserungsbedürftige Bereiche auf (Schwachstellen), sondern identifiziert auch beispielhafte Maßnahmen, die zur Verbesserung eingesetzt werden können. Darüber hinaus sind interne Audits eine obligatorische Anforderung der ISO 27001 Norm für das Informationssicherheitsmanagement – sie stellen sicher, dass das ISMS ordnungsgemäß umgesetzt wird, sowohl im Hinblick auf die Erfüllung des ISO Standards als auch auf die Erfüllung interner Anforderungen innerhalb des Unternehmens.

Durch den Einsatz interner und externer Audits können Unternehmen Bereiche mit Verbesserungspotenzial identifizieren, die zur Optimierung ihres Informationssicherheitsmanagements beitragen. Als Teil des ISO 27001 Zertifizierung wird ein umfassendes externes Audit durchgeführt, um die Konformität mit der DIN ISO 27001 Norm nachzuweisen.

Sie wollen den Reifegrad Ihres ISMS feststellen oder verfügen nicht über die notwendigen Ressourcen interne Audits durchzuführen? 
Dann kontaktieren Sie uns jetzt.

Wie bereitet man ein ISMS Audit vor?

Das ISO 27001-Audit setzt voraus, dass der Auditor umfassend vorbereitet ist. Um dieses Ziel zu erreichen, beginnt die Vorbereitung etwa vier Wochen vor dem geplanten Termin mit einer Überprüfung der verfügbaren Dokumente auf ihre Vollständigkeit und Klarheit, sowohl in Bezug auf das Informationssicherheits-Managementsystem (ISMS) als auch auf alle anderen zu prüfenden Bereiche.

Anschließend wird ein Auditprogramm-Manager ernannt, der für jeden zu auditierenden Bereich ein geeignetes Programm erstellt. Weiterhin erstellt der Auditor eine Audit-Checkliste und einen umfassenden Auditplan, um den Ablauf des Audits zu definieren. Diese wichtigen Dokumente dienen ihnen als zuverlässiger Leitfaden, während sie sich mit den geprüften Bereichen abstimmen, um einen optimalen Erfolg zu erzielen. Die Dokumentenprüfung ist somit bereits der erste Schritt während des internen Audits.

Warum Sie mit uns arbeiten sollten

Ablauf des ISMS Audits

Zu Beginn wird eine Eröffnungssitzung abgehalten, um den Prüfungsplan zu besprechen und zu überprüfen. So können eventuelle Änderungen vorgenommen werden, falls sich während der Durchführung der Prüfung neue Informationen ergeben. Um sicherzustellen, dass alle erforderlichen Daten gesammelt werden, wendet der Prüfer verschiedene Strategien an:

  • Workshops/Gespräche mit Mitarbeitern
  • Dokumentenprüfungen
  • Standort Begehungen.

 

Durch das Audit-Interview erhalten die Auditoren wertvolle Einblicke in quantitative und qualitative Daten. Sie besprechen die aktuellen Verfahren mit den verantwortlichen Mitarbeitern, um sicherzustellen, dass die Vorgaben der ISO 27001 eingehalten werden – etwaige Abweichungen werden identifiziert und gegebenenfalls Maßnahmen konzeptualisiert bzw. ergriffen. Nach dem Sammeln aller relevanten Informationen wird eine umfassende Bewertung der Einhaltung der Standards vorgenommen, bevor die Ergebnisse in einer Abschlussbesprechung für die Mitarbeiter dargelegt werden.

Während der Prüfung arbeitet unser Prüfer daran, seine Ergebnisse effektiv zu kommunizieren und gleichzeitig nützliche Methoden für Korrekturmaßnahmen anzubieten. Auf diese Weise können sie sicherstellen, dass alle Geprüften die Ergebnisse gut verstehen.

Um den Erfolg des Informationssicherheits-Managementsystems (ISMS) zu gewährleisten, ist es wichtig, das Umfeld Ihres Unternehmens (Kontext der Organisation), die Sicherheitsanforderungen, die Interessen der Beteiligten und den Plan für das Risiko-/Chancenanalyse zu verstehen und zu dokumentieren. Außerdem sollte die Führung auf allen Ebenen mit einer klar formulierten und durch Ressourcen unterstützten Politik etabliert werden (Management Commitment).

Ihre Organisation muss Wert auf eine kontinuierliche Verbesserung (KVP) legen, um ihr ISMS zu optimieren, was durch eine Managementbewertung nachgewiesen wird. Proaktive Korrektur- und Verbesserungsmaßnahmen sollten schnell umgesetzt werden, um maximale Wirksamkeit zu erzielen.

In neun Schritten zum internen Audit

Auditprogramm

Auditplan

Checklisten

Workshop/Interviews mit Fachbereichen

Protokollierung der ISO 27001 Abweichungen

Auditbericht

Verbesserungspotenziale/ Maßnahmenliste

Monitoring der Korrekturmaßnahmen

Management Review

Ziele

Profitieren Sie von unserer Zusammenarbeit

Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in ihrem Unternehmen gewährleisten.

Sicherheitslösung so zu in die Betriebsstrukturen integrieren, dass sie den Betriebsalltag nicht beeinträchtigen und die Geschäftsziele unterstützen.

Für das Management transparente und klare ISMS-Strukturen schaffen, die einen echten Mehrwert im Verhältnis zum Aufwand bringen.

Ihre Ansprechpartner in Fragen der Informationssicherheit

Ob CISO, CIO, IT-Leiter, IT-Manager, IT-Sicherheit unsere Experten haben langjährige Erfahrungen aus der Praxis und sorgen dafür, dass Ihr Unternehmen die für Sie passende Lösung erhält.

Dr. Michael Gorski Consulting GmbH Team

Als Experten für Informationssicherheit und
die ISO 27001 sind wir an Ihrer Seite.
Kontaktieren Sie uns.

Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.

Mehr über ISMS hier in unseren Videos

ISMS Was ist das? (Information Security Management System)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

Häufig gestellte Fragen

zum Thema Audit Ihres ISMS nach ISO 27001

Nach der Prüfung erstellt der Prüfer einen Bericht, in dem er dem geprüften Bereich alle Mängel/ Gaps deutlich mitteilt. Dies ermöglicht es ihnen, Maßnahmen zu ergreifen und Korrekturen zu entwickeln, um diese Probleme anzugehen und die Leistung in Zukunft zu steigern. Der Zeitplan für die Umsetzung solcher Anpassungen wird zwischen beiden Parteien abgestimmt, wobei die Verantwortung bei den Mitarbeitern der Abteilung selbst liegt, sobald diese in Gang gesetzt wurde.

Darüber hinaus wird ein Audit-Follow-up durchgeführt, um den Erfolg zu gewährleisten und die Wirksamkeit der umgesetzten Maßnahmen zu bewerten.

Interne Audits bieten Organisationen eine einzigartige Gelegenheit, ihr Managementsystem zu bewerten und mögliche Verbesserungen zu ermitteln. Diese Überprüfungen werden oft von den eigenen Mitarbeitern einer Organisation durchgeführt und gelten daher als „1st-Party-Audits„. Unternehmen können feststellen, ob sie die festgelegten Standards einhalten, und Bereiche erkennen, in denen sie wachsen oder sich verbessern können.

Ein externes Audit durch eine interessierte Partei ist ein garantierter Weg, um die Einhaltung der Vorschriften durch den Lieferanten sicherzustellen. So wird zum Beispiel im Rahmen von 2nd-Party-Audits überprüft, ob die Lieferanten in der Lage sind, die Vorschriften einzuhalten, und 3rd-Party-Audits – wie die ISO IEC 27001 Zertifizierung – können diese Referenzen weiter verifizieren.

Damit ein Audit erfolgreich ist, muss der Auditor über spezielle Kenntnisse und Fähigkeiten verfügen. In der ISO 19011 werden wesentliche Voraussetzungen genannt, die ein Auditor erfüllen muss. Dazu gehören die Vertrautheit mit den DIN ISO IEC 27001-Normen sowie ein Verständnis des Audit-Protokolls. Diese Kenntnisse können nur durch gezielte Schulungen erworben werden, die mit einer Prüfung abschließen – nach bestandener Prüfung wird die Kompetenz durch eine Zertifizierung nachgewiesen.

Gerne führen wir interne Audits für Sie durch. Kontaktieren SIe uns jetzt.

Managementsysteme für die Informationssicherheit stützen sich stark auf den PDCA-Zyklus, um sicherzustellen, dass die Abläufe effizient und effektiv sind. Durch interne ISO 27001-Audits können Unternehmen Bereiche identifizieren, in denen Abweichungen auftreten, sodass Korrektur- und Präventivmaßnahmen ergriffen werden können – ein entscheidender Beitrag zur kontinuierlichen Verbesserung des Informationssicherheitssystems.

Unternehmen müssen möglicherweise zur Planungsphase zurückkehren, wenn sie feststellen, dass Prozesse nicht wie geplant ablaufen. Ein ISO 27001-Audit könnte weitere Erkenntnisse liefern und Anpassungen erforderlich machen, die sich auf den gesamten PDCA-Zyklus auswirken – von der Planung bis hin zur Umsetzung.