Ein internes ISO 27001 Audit ist eine Analyse, die das im Unternehmen eingeführte Informationssicherheitsmanagementsystem (ISMS) auf die Einhaltung der Normforderungen der ISO 27001 prüft. Die Einführung eines ISMS nach ISO 27001 ist notwendig, um den Schutz von wichtigen Informationen im Unternehmen zu gewährleisten.
Die ISO 27001 ist eine internationale Norm, die Vorschriften für eine verbesserte Informationssicherheit im Unternehmen festlegt, um Cyberangriffe und Datenverluste zu vermeiden. Der vollständige Name des Standards ist ISO/IEC 27001, im Folgenden werden wir jedoch den im allgemeinen Sprachgebrauch etablierten Ausdruck ISO 27001 benutzen.
Wir von IQI führen ISO 27001 Audits schon seit 2015 mit Sorgfalt und großer Genauigkeit durch. Wir helfen Unternehmen dabei, anhand der internen ISO 27001 Auditierung die bisherige Einhaltung der Normforderungen zu prüfen, um eine erfolgreiche Zertifizierung nach ISO 27001 zu sichern. Mit der Hilfe von externen Auditoren prüfen wir Ihr ISMS auf Normkonformität und helfen Ihnen bei der Umsetzung noch zu ergreifender Maßnahmen.
Ein internes ISO 27001 Audit ist die Bewertung und Prüfung eines ISMS nach ISO 27001. Beim internen ISO 27001 Audit wird die Wirksamkeit des ISMS geprüft, Nicht-Konformitäten aufgedeckt und Maßnahmen zur Behebung der Nicht-Konformitäten formuliert. Die ISO 27001 fordert die Durchführung regelmäßiger interner Audits.
Beim internen Audit nach ISO 27001 wird sichergestellt, dass Ihr ISMS mit den ISO-Anforderungen (weiterhin) übereinstimmt und ein kontinuierlicher Verbesserungsprozess (KVP) im Informationssicherheitsmanagement des Unternehmens nachhaltig ermöglicht wird. Ein internes ISO 27001 Audit gilt als Prüfung, ob die bisherigen Sicherheitsmaßnahmen im Unternehmen funktionieren oder zu verbessern sind.
Mit einem internen ISO 27001 Audit werden Unternehmen optimal auf das externe Audit, da der Ablauf des internen Audits mit dem des externen Audits übereinstimmt. Abweichungen und Fehler im ISMS werden bereits beim internen Audit festgestellt, sodass Nicht-Konformitäten noch vor dem Zertifzierungsaudit verbessert werden.
Der Ablauf des internes ISO 27001 Audits besteht aus der Vorbereitung, der Durchführung und dem Audit-Abschluss. Für das interne ISO 27001 Audit stellen wir einen externen Auditor, der über nötige Qualifikationen zur Durchführung von internen ISMS-Audits verfügt und an der Einführung Ihres ISMS nicht beteiligt war.
Im Folgenden sind die 3 Schritte des ISO 27001 Audit Ablaufs beschrieben.
Für die Vorbereitung auf das Audit nach ISO 27001 im ersten Schritt setzen wir einen erfahrenen und unabhängigen Auditor ein, der nicht im Prozess der ISMS-Erstellung involviert war. Ein externer Auditor ist bei einem internen Audit nach ISO 27001 die bessere Wahl, da dieser unparteiisch und unvoreingenommen ist. Ein ISO 27001 Auditor aus Ihrem Unternehmen ist meist nicht in der Lage, einen neutralen Blick von außen zu gewährleisten.
Vor Beginn des ISO 27001 Audits entwickeln wir für Sie eine Audit Checkliste für die Grundlage eines Zeitplans bzw. eines Auditplans. Der Auditplan bezieht die Vorgaben Ihres Auditprogramms ein. Der Auditplan nach ISO 27001 wird mit allen im Prozess involvierten Personen und Bereichen abgestimmt, damit alle Beteiligten die Möglichkeit haben, sich zeitlich und inhaltlich auf das ISO 27001 Audit einzustellen.
Im zweiten Schritt erfolgt die Durchführung des ISO 27001 Audits, bei dem der Auditor mit Ihnen zunächst ein einleitendes Gespräch führt, um den genauen Ablauf des internen Audits zu besprechen. Beim internen ISO 27001 Audit spricht der Auditor für die Datenerhebung mit allen Prozessteilnehmern, um die derzeitige Informationssicherheit im Unternehmen zu beurteilen und zu bewerten.
Für die Durchführung des ISO 27001 Audits wird dem Auditor Einsicht in relevante Management-Dokumente, Fallbeispiele und Nachweise zu Unternehmensabläufen hinsichtlich der Informationssicherheit gewährt. Bei der Prüfung der Dokumente stellt der Auditor Abweichungen oder Übereinstimmungen mit der ISO 27001 Norm fest und dokumentiert diese schriftlich. Der Auditor verschriftlicht ebenso Optimierungspotenziale und Maßnahmen für die kontinuierliche Verbesserung des Informationssicherheitsmanagements.
Im dritten Schritt werden Ihnen und der Leitung die Ergebnisse des ISO 27001 Audits als Abschluss präsentiert. Im Schlussgespräch des Audits nach ISO 27001 werden Ihnen die festgestellten Abweichungen und Verbesserungspotenziale des Auditors erläutert. Der Auditor gibt seine Einschätzung zur Einhaltung der Normforderungen und zur Effektivität des ISMS.
Einen ausführlichen Bericht des internen ISO 27001 Audits erhalten Sie durch unser Backoffice, der alle festgestellten Informationen enthält. Bei Bedarf geben wir Ihnen eine Punktebewertung in Form eines Turtel-Diagramms inklusive der Kalkulation des erreichten Erfüllungsgrads. Im Anschluss an das Audit unterstützen wir Sie auf Wunsch bei der Umsetzung der Maßnahmen zur Verbesserung Ihres ISMS und bei der Vorbereitung auf die Erstzertifizierung, die Rezertifizierung oder das ISO 27001 Überwachungsaudit.
Es gibt drei verschiedene ISO 27001 Audit Arten: das First Party Audit als internes Audit, das Second Party Audit als Kundenaudit und das Third Party Audit als (Re-)Zertifizierungs- oder Überwachungsaudit. Das Third Party Audit wird immer von akkreditierten Zertifizierungsstellen durchgeführt.
Das First Party Audit nach ISO 27001 wird ausgeführt, um die Effektivität des ISMS und die Leistung von informationsbezogenen Prozessen zu prüfen. Beim 1st-Party-Audit werden zudem Risiken bezüglich der Informationssicherheit festgestellt und bewertet sowie Abweichungen und weitere Handlungsmaßnahmen aufgedeckt. Das First Party Audit wird von uns gemäß der ISO 27001 als internes Systemaudit vor der Erstzertifizierung und dann jährlich vor der Rezertifizierung durchgeführt.
Das Second Party Audit nach ISO 27001 dient als Kontrolle der Lieferanten oder der Kunden eines Unternehmens. Dieses 2nd-Party-Audit wird von Unternehmen durchgeführt, um qualitative und sichere Lieferanten sowie Kunden zu finden, um die Lieferketten-Sicherheit zu gewährleisten. Das Second Party Audit ist notwendig, um zu prüfen, ob die Lieferanten oder die Kunden die vorgegebenen Qualitäts- und Sicherheitsvorgaben einhalten.
Als Third Party Audit wird ein externes Audit gemäß ISO 27001 bezeichnet, das von einer unabhängigen Zertifizierungsgesellschaft, durchgeführt wird, um ein Zertifizierungszertifikat nach ISO 27001 für das jeweilige Unternehmen auszuhändigen. Beim ISO 27001 Zertifizierungsaudit wird, genau wie beim First Party Audit, kontrolliert, ob den Forderungen der Norm im Unternehmen nachgegangen wird. Auch die vollständigen Management-Dokumente und die Wirksamkeit des ISMS werden beim Third Party Audit der ISO 27001 überprüft.
Ein internes ISO 27001 Audit und ein externes ISO 27001 Audit ähneln sich, da bei beiden die gleichen Unternehmensprozesse, Management-Dokumentationen und Nachweise sowie das Informationssicherheitsmanagementsystem auf Normkonformität geprüft werden. Die Ähnlichkeiten des internen und externen ISO 27001 Audits helfen Unternehmen dabei, sich bereits beim internen Audit auf das Zertifizierungsaudit vorzubereiten.
Der Unterschied der internen und externen Audits liegt darin, dass das interne Audit nach ISO 27001 von einem eigenen Mitarbeiter durchgeführt werden kann, während das externe Audit von einem Auditor einer akkreditierten Zertifizierungsgesellschaft ausgeführt werden muss. Bei einem externen Audit erhalten Unternehmen ein offizielles und international geltendes Zertifikat gemäß ISO 27001. Das interne Audit nach ISO 27001 gilt lediglich als Voraussetzung für die Teilnahme am externen Audit.
Werden bereits beim internen ISO 27001 Audit Fehler, Mängel oder Abweichungen beseitigt und Handlungsempfehlungen sowie wichtigen Maßnahmen für die Normkonformität nachgegangen, treten diese bei der Prüfung im externen Audit nicht mehr auf und die ISO 27001 Zertifizierung ist gesichert.
Bei einem internen Audit nach ISO 27001 Audit werden die Einhaltung der Normvorschriften und relevante Management-Dokumente geprüft. Beim ISO 27001 Audit wird kontrolliert, wie das ISMS in der Praxis (im Unternehmen) funktioniert und ob die Unternehmensprozesse hinsichtlich der Informationssicherheit normkonform sind.
Die Normkonformität der Prozesse wird beim internen ISO 27001 Audit mit den Vorgaben des Unternehmens beurteilt, die auf der Risikobewertung und den daraus abgeleiteten, erforderlichen Handlungsmaßnahmen basieren. Im internen Audit nach ISO 27001 prüft der Auditor die Management-Dokumentation, wie zum Beispiel die Managementbewertung, den Anwendungsbereich des ISMS, die Risikobeurteilung zur Informationssicherheit und die Gewährleistung der Informationssicherheit bei Lieferanten.
Die Anforderungen für eine Zertifizierung nach ISO 27001 sind ein bereits eingeführtes und im Unternehmen wirksames Informationssicherheitsmanagementsystem nach ISO 27001 sowie die Durchführung mindestens eines First Party Audits gemäß der ISO 27001 vor der Zertifizierung. Ein internes Audit gilt für ein Unternehmen als Voraussetzung für die Anmeldung des Zertifizierungsaudits nach ISO 27001.
Unternehmen sind für den reibungslosen ISO 27001 Zertifizierungsablauf dazu verpflichtet, der Zertifizierungsgesellschaft bestimmte Management-Dokumente vorzulegen. Die nachfolgenden ISO 27001 Dokumente werden unter anderem während des Third Party Audits geprüft.
Man kann sich auf ein ISO 27001 Audit vorbereiten, indem man Rollen und Verantwortlichkeiten zur Bewahrung der Informationssicherheit unter den Mitarbeitern aufteilt. Ein Basiswissen zur ISO 27001 und die relevante Management-Dokumentation sollten mindestens vorhanden sein, um ein problemloses Audit durchzuführen.
Die Leitung und alle beteiligten Mitarbeiter bereiten sich auf das ISO 27001 Audit vor, indem sie sich mit der Funktionsweise und den Prozessen des Informationssicherheitsmanagementsystems auskennen. Mit der Kenntnis über das ISMS sind alle involvierten Personen für die Gespräche und die Interviews mit dem zuständigen Auditor während des internen Audits optimal vorbereitet.
Ein internes ISO 27001 Audit wird vor der Erstzertifizierung und danach einmal pro Jahr durchgeführt. Unter bestimmten Voraussetzungen wird ein Dreijahresplan erstellt, sodass vereinzelte Themen und Prozesse nur einmal in 3 Jahren zu auditieren sind. Die internen Auditergebnisse sind Teil der Management-Dokumentation.
Ein internes Audit nach ISO 27001 wird vor jeder Rezertifizierung und vor jedem Überwachungsaudit abgehalten. Nach drei Jahren läuft das Zertifikat für die Zertifizierung nach ISO 27001 aus, weswegen eine Rezertifizierung, inklusive eines internen Audits, stattzufinden hat. Nach drei Jahren ist davon auszugehen, dass das ISMS aufgrund der ständigen Veränderungen der Vorgaben nicht mehr den aktuellen Anforderungen der ISO-Norm entspricht.
Sollten Sie an einem internen ISO 27001 Audit zur Informationssicherheit interessiert sein, stellen wir Ihnen hierfür einen externen Auditor, der nicht von einer Betriebsblindheit betroffen ist. Mit einem internen ISO 27001 Audit simulieren wir eine spätere externe Auditsituation. Falls Bedarf besteht, unterstützen wir Sie ebenfalls auf dem Weg zur Zertifizierung.
Wünschen Sie sich darüber hinaus eine rundum ISO 27001 Beratung inklusive der Durchführung eines internen ISO 27001 Audits und einer Schulung Ihrer Mitarbeiter, kontaktieren Sie uns gerne über das unten stehende Kontaktformular oder auf Ihrem bevorzugten Kontaktweg.
