Durch ein ISO 27001-Audit können Unternehmen den Reifegrad und die Leistung ihres Informationssicherheitsmanagementsystems (ISMS) bewerten. Dieses (interne) Audit deckt nicht nur verbesserungsbedürftige Bereiche auf (Schwachstellen), sondern identifiziert auch beispielhafte Maßnahmen, die zur Verbesserung eingesetzt werden können. Darüber hinaus sind interne Audits eine obligatorische Anforderung der ISO 27001 Norm für das Informationssicherheitsmanagement – sie stellen sicher, dass das ISMS ordnungsgemäß umgesetzt wird, sowohl im Hinblick auf die Erfüllung des ISO Standards als auch auf die Erfüllung interner Anforderungen innerhalb des Unternehmens.
Durch den Einsatz interner und externer Audits können Unternehmen Bereiche mit Verbesserungspotenzial identifizieren, die zur Optimierung ihres Informationssicherheitsmanagements beitragen. Als Teil des ISO 27001 Zertifizierung wird ein umfassendes externes Audit durchgeführt, um die Konformität mit der DIN ISO 27001 Norm nachzuweisen.
Das ISO 27001-Audit setzt voraus, dass der Auditor umfassend vorbereitet ist. Um dieses Ziel zu erreichen, beginnt die Vorbereitung etwa vier Wochen vor dem geplanten Termin mit einer Überprüfung der verfügbaren Dokumente auf ihre Vollständigkeit und Klarheit, sowohl in Bezug auf das Informationssicherheits-Managementsystem (ISMS) als auch auf alle anderen zu prüfenden Bereiche.
Anschließend wird ein Auditprogramm-Manager ernannt, der für jeden zu auditierenden Bereich ein geeignetes Programm erstellt. Weiterhin erstellt der Auditor eine Audit-Checkliste und einen umfassenden Auditplan, um den Ablauf des Audits zu definieren. Diese wichtigen Dokumente dienen ihnen als zuverlässiger Leitfaden, während sie sich mit den geprüften Bereichen abstimmen, um einen optimalen Erfolg zu erzielen. Die Dokumentenprüfung ist somit bereits der erste Schritt während des internen Audits.
Unsere fachlichen und strategischen Kompetenzen ermöglichen es uns für Sie passende Strategien und Lösungsansätze für ihre Informationssicherheit zu entwickeln und implementieren.
Wir sind ein Team aus Cyber Defense Experten, die mit Leidenschaft ihrem Beruf nachgehen. Wir unterstützen Start-ups bis Großkonzern aktiv in der Gestaltung ihrer Cybersecurity Strukturen und bieten dabei Erfahrung aus langjähriger Arbeit in unterschiedlichsten Unternehmensgrößen. Unternehmen aus der Bankenbranche und produzierenden Industrien profitieren von unseren Erfahrungen aus über 15 Jahren.
ISO/IEC 27001
ISO/IEC 27001 auf Basis des BSI IT-Grundschutz
TISAX
KRITIS (Zertifizierung nach IT-Sicherheitskatalog (§11 1a und 1b EnWg der BNetzA))
ISO 22301 (BCM)
Wir sind bundesweit tätig.
Remote und Vorort.
Zu Beginn wird eine Eröffnungssitzung abgehalten, um den Prüfungsplan zu besprechen und zu überprüfen. So können eventuelle Änderungen vorgenommen werden, falls sich während der Durchführung der Prüfung neue Informationen ergeben. Um sicherzustellen, dass alle erforderlichen Daten gesammelt werden, wendet der Prüfer verschiedene Strategien an:
Durch das Audit-Interview erhalten die Auditoren wertvolle Einblicke in quantitative und qualitative Daten. Sie besprechen die aktuellen Verfahren mit den verantwortlichen Mitarbeitern, um sicherzustellen, dass die Vorgaben der ISO 27001 eingehalten werden – etwaige Abweichungen werden identifiziert und gegebenenfalls Maßnahmen konzeptualisiert bzw. ergriffen. Nach dem Sammeln aller relevanten Informationen wird eine umfassende Bewertung der Einhaltung der Standards vorgenommen, bevor die Ergebnisse in einer Abschlussbesprechung für die Mitarbeiter dargelegt werden.
Während der Prüfung arbeitet unser Prüfer daran, seine Ergebnisse effektiv zu kommunizieren und gleichzeitig nützliche Methoden für Korrekturmaßnahmen anzubieten. Auf diese Weise können sie sicherstellen, dass alle Geprüften die Ergebnisse gut verstehen.
Um den Erfolg des Informationssicherheits-Managementsystems (ISMS) zu gewährleisten, ist es wichtig, das Umfeld Ihres Unternehmens (Kontext der Organisation), die Sicherheitsanforderungen, die Interessen der Beteiligten und den Plan für das Risiko-/Chancenanalyse zu verstehen und zu dokumentieren. Außerdem sollte die Führung auf allen Ebenen mit einer klar formulierten und durch Ressourcen unterstützten Politik etabliert werden (Management Commitment).
Ihre Organisation muss Wert auf eine kontinuierliche Verbesserung (KVP) legen, um ihr ISMS zu optimieren, was durch eine Managementbewertung nachgewiesen wird. Proaktive Korrektur- und Verbesserungsmaßnahmen sollten schnell umgesetzt werden, um maximale Wirksamkeit zu erzielen.
Ob CISO, CIO, IT-Leiter, IT-Manager, IT-Sicherheit unsere Experten haben langjährige Erfahrungen aus der Praxis und sorgen dafür, dass Ihr Unternehmen die für Sie passende Lösung erhält.
Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.
Nach der Prüfung erstellt der Prüfer einen Bericht, in dem er dem geprüften Bereich alle Mängel/ Gaps deutlich mitteilt. Dies ermöglicht es ihnen, Maßnahmen zu ergreifen und Korrekturen zu entwickeln, um diese Probleme anzugehen und die Leistung in Zukunft zu steigern. Der Zeitplan für die Umsetzung solcher Anpassungen wird zwischen beiden Parteien abgestimmt, wobei die Verantwortung bei den Mitarbeitern der Abteilung selbst liegt, sobald diese in Gang gesetzt wurde.
Darüber hinaus wird ein Audit-Follow-up durchgeführt, um den Erfolg zu gewährleisten und die Wirksamkeit der umgesetzten Maßnahmen zu bewerten.
Interne Audits bieten Organisationen eine einzigartige Gelegenheit, ihr Managementsystem zu bewerten und mögliche Verbesserungen zu ermitteln. Diese Überprüfungen werden oft von den eigenen Mitarbeitern einer Organisation durchgeführt und gelten daher als „1st-Party-Audits„. Unternehmen können feststellen, ob sie die festgelegten Standards einhalten, und Bereiche erkennen, in denen sie wachsen oder sich verbessern können.
Ein externes Audit durch eine interessierte Partei ist ein garantierter Weg, um die Einhaltung der Vorschriften durch den Lieferanten sicherzustellen. So wird zum Beispiel im Rahmen von 2nd-Party-Audits überprüft, ob die Lieferanten in der Lage sind, die Vorschriften einzuhalten, und 3rd-Party-Audits – wie die ISO IEC 27001 Zertifizierung – können diese Referenzen weiter verifizieren.
Damit ein Audit erfolgreich ist, muss der Auditor über spezielle Kenntnisse und Fähigkeiten verfügen. In der ISO 19011 werden wesentliche Voraussetzungen genannt, die ein Auditor erfüllen muss. Dazu gehören die Vertrautheit mit den DIN ISO IEC 27001-Normen sowie ein Verständnis des Audit-Protokolls. Diese Kenntnisse können nur durch gezielte Schulungen erworben werden, die mit einer Prüfung abschließen – nach bestandener Prüfung wird die Kompetenz durch eine Zertifizierung nachgewiesen.
Gerne führen wir interne Audits für Sie durch. Kontaktieren SIe uns jetzt.
Managementsysteme für die Informationssicherheit stützen sich stark auf den PDCA-Zyklus, um sicherzustellen, dass die Abläufe effizient und effektiv sind. Durch interne ISO 27001-Audits können Unternehmen Bereiche identifizieren, in denen Abweichungen auftreten, sodass Korrektur- und Präventivmaßnahmen ergriffen werden können – ein entscheidender Beitrag zur kontinuierlichen Verbesserung des Informationssicherheitssystems.
Unternehmen müssen möglicherweise zur Planungsphase zurückkehren, wenn sie feststellen, dass Prozesse nicht wie geplant ablaufen. Ein ISO 27001-Audit könnte weitere Erkenntnisse liefern und Anpassungen erforderlich machen, die sich auf den gesamten PDCA-Zyklus auswirken – von der Planung bis hin zur Umsetzung.
Copyright © 2023 Dr. Michael Gorski Consulting GmbH | All Rights Reserved.