ISO 27001 Audit: Arten, Ablauf, Vorbereitung

aktualisiert am 17. Juli 2024

Ein internes ISO 27001 Audit wird durchgeführt, um das im Unternehmen eingeführte Informationssicherheitsmanagementsystem (ISMS) regelmäßig hinsichtlich der Normforderungen der ISO 27001 zu prüfen. Die Einführung eines ISMS nach ISO 27001 wichtig, um die Sicherheit von Informationen im Unternehmen zu gewährleisten.

Die ISO 27001 ist eine internationale Norm, die Vorschriften für eine verbesserte Informationssicherheit im Unternehmen festlegt, um Cyberangriffe und Datenverluste zu vermeiden. Die richtige Benennung dieses Standards ist ISO/IEC 27001, im Folgenden werden wir jedoch den im allgemeinen Sprachgebrauch etablierten Ausdruck ISO 27001 nutzen. 

Wir von IQI führen ISO 27001 Audits schon seit 2015 mit Erfahrung und fachlicher Expertise durch. Wir helfen Unternehmen dabei, interne ISO 27001 Audits durchzuführen, das als Grundlage für eine erfolgreiche Zertifizierung nach ISO 27001 gilt. Mit der Hilfe von externen Auditoren prüfen wir Ihr ISMS auf Normkonformität und helfen Ihnen bei der Umsetzung noch zu ergreifender Maßnahmen. 

Was ist ein ISO 27001 Audit?

Ein internes ISO 27001 Audit ist die Bewertung und Prüfung eines ISM-Systems nach ISO 27001. Dabei wird die Normkonformität in Unternehmensprozessen kontrolliert und überprüft, inwiefern den ISO-Anforderungen bereits nachgegangen wird. Auch werden Abweichungen und Nicht-Übereinstimmungen aufgedeckt.

Die Vorteile eines internen Audits nach ISO 27001 sind zum einen, dass sichergestellt wird, dass Ihr ISM-System mit den ISO-Anforderungen (weiterhin) übereinstimmt und zum anderen, dass ein kontinuierlicher Verbesserungsprozess (KVP) des Informationssicherheitsmanagement im Unternehmen ermöglicht wird.

Darüber hinaus wird mithilfe des Audits das ISMS von allen Mitarbeitern verstanden und das Bewusstsein für das Thema gefördert. Ein internes Audit nach ISO 27001 gilt ebenfalls als Prüfung dafür, ob die bisherigen Sicherheitsstandards im Unternehmen funktionieren oder verbessert werden müssen. 

Mit einem internen ISO 27001 Audit können Sie sich optimal auf das externe Audit, wie die Erstzertifizierung, die Rezertifizierung oder das Überwachungsaudit vorbereiten, da man Abweichungen bereits beim internen Audit feststellt, die noch vor dem externen Audit verbessert werden können.

Welche ISO 27001 Audit Arten gibt es?

Beim ISO 27001 Audit gibt es drei verschiedene Arten: das First Party Audit als internes Audit, das Second Party Audit als Kundenaudit und das Third Party Audit als (Re-)Zertifizierungs- oder Überwachungsaudit. Das Third Party Audit wird immer von akkreditierten Zertifizierungsstellen durchgeführt.

Das First Party Audit wird durchgeführt, um die Effektivität des ISMS und von Unternehmensprozessen zu prüfen. Gleichzeitig werden Risiken bezüglich der Informationssicherheit festgestellt und bewertet sowie Abweichungen und weitere Handlungsmaßnahmen aufgedeckt. Das First Party Audit wird von uns gemäß der ISO 27001 als internes Systemaudit vor der Erstzertifizierung und dann jährlich durchgeführt.

Das Second Party Audit nach ISO 27001 dient als Kontrolle der Lieferanten oder der Kunden eines Unternehmens. Dieses Audit wird von Unternehmen durchgeführt, um qualitative und sichere Lieferanten und Kunden zu finden, um die Lieferketten-Sicherheit zu gewährleisten. Das Second Party Audit ist notwendig, um zu prüfen, ob die Lieferanten oder die Kunden die vorgegebenen Qualitäts- und Sicherheitsvorgaben einhalten. 

Als Third Party Audit wird ein externes Audit gemäß ISO 27001 bezeichnet, das von einer unabhängigen Zertifizierungsgesellschaft durchgeführt wird, um eine Zertifizierung nach ISO 27001 für das jeweilige Unternehmen zu erhalten. Beim ISO 27001 Zertifizierungsaudit wird, genau wie beim First Party Audit, kontrolliert, ob den Forderungen der Norm im Unternehmen nachgegangen wird. Auch die vollständigen Management-Dokumente und die Wirksamkeit des ISMS werden überprüft. 

Internes ISO 27001 Audit vs. Externes ISO 27001 Audit

Ein internes ISO 27001 Audit und ein externes ISO 27001 Audit ähneln sich, da bei beiden die gleichen Unternehmensprozesse, Management-Dokumentationen und Nachweise sowie das Informationssicherheitsmanagementsystem auf Normkonformität geprüft werden. Auf diese Weise können sich Unternehmen bereits beim internen Audit auf das Zertifizierungsaudit vorbereiten.

Der Unterschied der beiden Audits liegt darin, dass das interne Audit nach ISO 27001 von einem eigenen Mitarbeiter durchgeführt werden kann, während das externe Audit ausschließlich von einem Auditor einer akkreditierten Zertifizierungsgesellschaft ausgeführt wird. Bei einem externen Audit erhalten Unternehmen ein offizielles und international geltendes Zertifikat gemäß ISO 27001. Das interne Audit gilt lediglich als Voraussetzung für die Teilnahme am externen Audit.

Werden bereits beim internen ISO 27001 Audit Mängel oder Abweichungen beseitigt und Handlungsempfehlungen sowie wichtigen Maßnahmen für die Normkonformität nachgegangen, werden diese Fehler im externen Audit nicht mehr auftreten und die Zertifizierung ist gesichert.

Wie ist der Ablauf des ISO 27001 Audits?

Der Ablauf des internes ISO 27001 Audits besteht aus der Vorbereitung, der Durchführung und dem Abschlussgespräch. Für das Audit stellen wir Ihnen einen externen Auditor, der über nötige Qualifikationen zur Durchführung von internen ISMS-Audits verfügt. Wir beschreiben Ihnen im Folgenden die einzelnen Schritte des ISO 27001 Audit-Ablaufs.

1. Vorbereitung auf das Audit nach ISO 27001

Für die Vorbereitung auf das Audit nach ISO 27001 im ersten Schritt setzen wir einen unabhängigen Auditor ein, der nicht im Prozess der ISMS-Erstellung involviert war. Ein externer Auditor ist bei einem internen Audit nach ISO 27001 die bessere Wahl, da dieser unparteiisch und unvoreingenommen ist. Ein Auditor aus Ihrem Unternehmen kann meist keinen neutralen Blick von außen gewährleisten. 

Wir entwickeln für Sie vor Beginn des Audits einen Zeitplan bzw. Auditplan, der die Vorgaben Ihres Auditprogramms einbezieht. Der Auditplan wird mit allen im Prozess involvierten Personen und Bereichen abgestimmt. Auf diese Weise wird für Sie eine zeitliche und inhaltliche Einstellung auf das ISO 27001 Audit ermöglicht.

2. Durchführung des ISO 27001 Audits

Während des Audits im zweiten Schritt führt der Auditor mit Ihnen zunächst ein einleitendes Gespräch, um den genauen Ablauf des internen Audits noch einmal zu besprechen. Im ISO 27001 Audit selbst spricht der Auditor für die Datenerhebung mit allen Prozessteilnehmern, um die Informationssicherheit im Unternehmen zu beurteilen und zu bewerten. 

Es ist notwendig, dem Auditor für die Durchführung des Audits Einsicht in relevante Management-Dokumente, Fallbeispiele und Nachweise zu Unternehmensabläufen zu gewähren. Hierbei stellt der Auditor Abweichungen oder Norm-Übereinstimmungen fest und dokumentiert diese schriftlich. Auch Verbesserungspotenziale und Maßnahmen für den kontinuierlichen Verbesserungsprozess (KVP) im Informationssicherheitsmanagement deckt er während der Prüfung auf.

3. Audit-Abschluss mit Präsentation der Ergebnisse  

Die Ergebnisse des ISO 27001 Audits werden Ihnen und der Leitung als Abschluss vom Auditor präsentiert. Dabei werden ebenfalls die festgestellten Abweichungen und Verbesserungspotenziale des Auditors erläutert. Der Auditor gibt an dieser Stelle seine erste Einschätzung zur Einhaltung der Normforderungen und zur Effektivität des ISM-Systems.

Im Anschluss erhalten Sie einen ausführlichen Bericht des Audits durch unser Backoffice, der alle festgestellten Informationen enthält. Wenn Sie dies wünschen, geben wir Ihnen eine Punktebewertung in Form eines Turtel-Diagramms inklusive der Kalkulation des erreichten Erfüllungsgrads. Bei Bedarf unterstützen wir Sie auf Wunsch bei der Umsetzung der Maßnahmen zur Verbesserung Ihres ISM-Systems nach ISO 27001. 

Was wird bei einem internen Informationsmanagement-Audit nach ISO 27001 geprüft?

Bei einem internen Informationsmanagement-Audit nach ISO 27001 Audit wird in erster Linie die Einhaltung der Normvorschriften und relevante Management-Dokumente geprüft. Hierbei wird kontrolliert, wie das ISM-System in der Praxis, sprich im Unternehmen, funktioniert. Ebenfalls wird die Übereinstimmung der Prozesse und Abläufe im Unternehmen auf Normkonformität überprüft.

Diese Übereinstimmung der Prozesse und Abläufe wird mit den Vorgaben der Organisation beurteilt, die auf der Risikobewertung und den daraus abgeleiteten, erforderlichen Maßnahmen basieren. Ein weiterer wichtiger Aspekt, der beim ISO 27001 Audit überprüft wird, sind die Management-Dokumentationen. Hierzu zählen beispielsweise die Managementbewertung, die Prüfdokumentation, die Aufzeichnungen zu besonderen Ereignissen und die Vorgabedokumente aus dem ISM-Handbuch.

Was sind die Anforderungen für eine Zertifizierung nach ISO 27001?

Die Anforderungen für eine Zertifizierung nach ISO 27001 ist ein bereits eingeführtes und im Unternehmen wirksames Informationssicherheitsmanagementsystem nach ISO 27001. Vor der Zertifizierung ist mindestens ein First Party Audit gemäß der ISO 27001 durchzuführen, damit sich Unternehmen für das Zertifizierungsaudit anmelden können.

Des Weiteren sind der Zertifizierungsgesellschaft bestimmte Management-Dokumente vom Unternehmen vorzulegen. Die nachfolgenden Management-Dokumente werden unter anderem während des Third Party Audits geprüft.

  • Informationssicherheitsbewertung
  • Einhaltung gesetzlicher Vorschriften
  • Informationssicherheitsrisiken im Unternehmen und Erklärung zum Umgang mit diesen
  • Ergriffene Maßnahmen zur Verbesserung der Informationssicherheit und Umgang mit Abweichungen
  • Anwendbarkeit des ISMS
  • Betriebsabläufe und Prozessbeschreibungen in Bezug auf die Informationssicherheit
  • Festlegung von Rollen und Verantwortlichkeiten für Unternehmensprozesse hinsichtlich der Informationssicherheit
  • Informationssicherheit bei Lieferanten
  • Pflege der Informationssicherheit
  • Management-Bewertung

Wie kann man sich auf ein ISO 27001 Audit vorbereiten?

Man kann sich auf ein ISO 27001 Audit vorbereiten, indem man genaue Rollen und Verantwortlichkeiten intern unter den Mitarbeitern hinsichtlich des ISM aufteilt. Ein Basiswissen zur ISO 27001 sollte mindestens vorhanden sein, um ein problemloses Audit durchführen zu können. Zur Vorbereitung sind ebenfalls die vorhandene Management-Dokumentation zusammenzutragen.

Die Leitung und alle beteiligten Mitarbeiter bereiten sich auf das ISO 27001 Audit vor, indem sie sich mit der Funktionsweise und den Prozessen des ISM-Systems auskennen. Auf diese Weise sind alle involvierten Personen für die Gespräche und die Interviews während des Audits mit dem zuständigen Auditor geschult.   

Wie häufig sollte ein internes ISO 27001 Audit durchgeführt werden? 

Ein internes ISO 27001 Audit sollte vor der Erstzertifizierung und danach jährlich durchgeführt werden. Unter bestimmten Voraussetzungen kann jedoch ein Dreijahresplan erstellt werden, sodass bestimmte Themen und Prozesse nur einmal in 3 Jahren auditiert werden müssen. In einigen Bereichen ist es Pflicht, diese einmal im Jahr überprüfen zu lassen.

Darüber hinaus muss ein internes Audit vor jeder Rezertifizierung ausgeführt werden. Nach drei Jahren läuft das Zertifikat für die Zertifizierung nach ISO 27001 aus, weswegen das interne Audit alle drei Jahre vor der Rezertifizierung stattzufinden hat. Nach drei Jahren ist davon auszugehen, dass das ISMS aufgrund der ständigen Veränderungen nicht mehr den aktuellen Anforderungen der ISO-Norm entspricht.

Mehr zur ISO 27001

Sollten Sie an einem internen ISO 27001 Audit zur Informationssicherheit interessiert sein, stellen wir Ihnen hierfür einen externen Auditor, der nicht von einer Betriebsblindheit betroffen ist. Auf diese Weise können wir eine spätere externe Auditsituation optimal simulieren. Falls Bedarf besteht, unterstützen wir Sie ebenfalls auf dem Weg zur Zertifizierung.

Wünschen Sie sich eine ISO 27001 Beratung inklusive der Durchführung eines internen ISO 27001 Audits und einer Schulung Ihrer Mitarbeiter, kontaktieren Sie uns gerne über das unten stehende Kontaktformular oder auf Ihrem bevorzugten Kontaktweg!

Sprechen sie uns an

Kontakt Formular
02933. 78 63 185
info@iqi-gmbh.de
IQI Privates Institut für Qualität und Innovation GmbH 
Niedensteinsweg 8
59846 Sundern
Die IQI GmbH ist seit mehr als 20 Jahren nach DIN EN ISO 9001 zertifiziert und wendet damit selbst ein Qualitätsmanagementsystem an. Damit zeigen wir, dass wir aktiv leben, was wir Ihnen anbieten.

Als AVPQ-zertifiziertes Unternehmen weisen wir die Einhaltung sozialer Standards, gesetzlicher Anforderungen sowie unsere Leistungsfähigkeit als zuverlässiger Lieferant nach. Die Nachweise entsprechen den Anforderungen der Einheitlichen Europäischen Eigenerklärung (EEE) und der Vergabe- und Vertragsordnung für Leistungen (VOL).

Wir sind Mitglied in der Deutschen Gesellschaft für Luft-und Raumfahrt (DGLR) und der Deutschen Gesellschaft für Qualität (DGQ), beteiligen uns an Experten-Netzwerken und stellen unsere fachliche Weiterentwicklung sicher.

Mit unserer Mitgliedschaft im “Wirtschaft in Südwestfalen e.V.” wollen wir gemeinsam mit regionalen Unternehmen den Standort Südwestfalen als Marke fördern.
Copyright © 2024
 iqi-gmbh.de. 
Alle Rechte vorbehalten
envelopephone-handsetmap-markermagnifiercross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram