Ein internes ISO 27001 Audit ist eine Effektivitätsprüfung und Bewertung des Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 im Unternehmen. Das Ziel ist es, die Sicherheit von Informationen in Unternehmen gewährleisten zu können.
Beim ISO 27001 Audit wird die Normkonformität in Unternehmensprozessen kontrolliert und überprüft, inwiefern den ISO-Anforderungen bereits nachgegangen wird. Auch werden Abweichungen und Nicht-Übereinstimmungen aufgedeckt. Die richtige Benennung dieses Standards ist ISO/IEC 27001, im Folgenden werden wir jedoch den im allgemeinen Sprachgebrauch etablierten Ausdruck ISO 27001 benutzen.
Wir erklären Ihnen, wie der Ablauf unseres internen ISO 27001 Audits ist und was im Prozess geprüft wird. Darüber hinaus erläutern wir Ihnen die Vorteile des Audits und legen dar, wie oft interne Audits nach ISO 27001 durchgeführt werden müssen.
Der Ablauf unseres ISO 27001 Audits besteht aus der Vorbereitung, der Durchführung der Prüfung und dem Abschlussgespräch. Für das Audit stellen wir Ihnen einen externen Auditor, der über nötige Qualifikationen zur Durchführung von internen ISMS-Audits verfügt. Dieser greift auf umfangreiches Praxiswissen zurück.
Ein externer Auditor ist bei einem internen Audit nach ISO 27001 die bessere Wahl, da dieser unparteiisch und unvoreingenommen ist. Ein qualifizierter Auditor aus Ihrem Unternehmen kann meist keinen neutralen Blick von außen gewährleisten.
Für die Vorbereitung auf das Audit erstellen wir eine Auditcheckliste, die als Grundlage für den Zeitplan bzw. Auditplan bildet. Der Auditplan bezieht die Vorgaben Ihres Auditprogramms mit ein. Der Auditplan wird mit allen im Prozess involvierten Personen und Bereichen abgestimmt. Auf diese Weise können Sie sich zeitlich und inhaltlich auf das ISO 27001 Audit einstellen.
Am Anfang des Audits führt der Auditor ein einleitendes Gespräch, in dem der Auditplan besprochen wird. Für die Datenerhebung spricht der Auditor mit den Prozessteilnehmern über ihre Tätigkeiten, um die Informationssicherheit im Unternehmen beurteilen und bewerten zu können.
Dem Auditor muss außerdem Einsicht in relevante Management-Dokumente, Fallbeispiele und Nachweise zu Unternehmensabläufen gewährt werden. Hierbei stellt der Auditor Abweichungen oder Norm-Übereinstimmungen fest und dokumentiert diese schriftlich. Darüber hinaus stellt er Verbesserungspotenziale und Maßnahmen für den kontinuierlichen Verbesserungsprozess (KVP) im Informationssicherheitsmanagement fest.
Das Ergebnis des Audits wird Ihnen und der Leitung am Ende präsentiert. Ebenfalls werden die festgestellten Abweichungen und Verbesserungspotenziale des Auditors erläutert. Der Auditor gibt an dieser Stelle seine erste Einschätzung zu Ihrem ISM-System nach ISO 27001.
Einen ausführlichen Bericht des Audits erhalten Sie durch unser Backoffice, der alle festgestellten Informationen enthält. Bei Bedarf geben wir Ihnen eine Punktebewertung in Form eines Turtel-Diagramms inklusive der Kalkulation des erreichten Erfüllungsgrads. Auf Wunsch unterstützen wir Sie bei der Umsetzung der Maßnahmen zur Verbesserung Ihres ISM-Systems als Vorbereitung auf die ISO 27001 Zertifizierung .
Beim ISO 27001 Audit wird in erster Linie das Informationssicherheitsmanagement im Unternehmen geprüft. Hierbei wird kontrolliert, wie das ISM-System in der Praxis funktioniert. Ebenfalls wird die Übereinstimmung Ihrer Prozesse und Abläufe im Unternehmen mit den ISO-Anforderungen überprüft.
Diese Übereinstimmung der Prozesse und Abläufe wird ebenfalls mit den Vorgaben der Organisation selbst beurteilt. Die Vorgaben der Organisation basieren auf der Risikobewertung und den daraus abgeleiteten, erforderlichen Maßnahmen.
Ein weiterer wichtiger Aspekt, der beim ISO 27001 Audit überprüft wird, sind die Management-Dokumentationen. Hierzu zählen beispielsweise die Managementbewertung, die Prüfdokumentation, die Aufzeichnungen zu besonderen Ereignissen und die Vorgabedokumente aus dem ISM-Handbuch.
Die Vorteile eines internen Audits nach ISO 27001 sind zum einen, dass sichergestellt wird, dass Ihr ISM-System mit den ISO-Anforderungen (weiterhin) übereinstimmt und zum anderen, dass ein kontinuierlicher Verbesserungsprozess (KVP) hinsichtlich des Informationssicherheitsmanagements im Unternehmen ermöglicht wird.
Des Weiteren wird mithilfe des Audits das ISM von allen Mitarbeitern verstanden und das Bewusstsein für das Thema gefördert. Ein weiterer Vorteil eines internen Audits nach ISO 27001 ist, dass es als Prüfung gilt, ob die bisherigen Sicherheitsstandards im Unternehmen funktionieren oder verbessert werden müssen.
Da Abweichungen bereits beim internen Audit festgestellt werden, können Sie sich mit diesem optimal auf das externe Audit, wie die Erstzertifizierung, die Rezertifizierung oder das Überwachungsaudit, vorbereiten. Wichtige Probleme werden somit bereits vor der Zertifizierung behoben.
Ein ISO 27001 Audit muss in der Regel vor der Erstzertifizierung durchgeführt werden. Danach sollte es einmal jährlich stattfinden. Hierbei gibt es jedoch unter bestimmten Voraussetzungen die Möglichkeit, einen Dreijahresplan zu erstellen. Mit dem Dreijahresplan müssen bestimmte Prozesse nur einmal in 3 Jahren auditiert werden. Aber auch hier gibt es einige Prozesse, bei denen es Pflicht ist, diese jedes Jahr zu prüfen.
Sollten Sie an einem internen ISO/IEC 27001 Audit zur Informationssicherheit interessiert sein, stellen wir Ihnen hierfür einen externen Auditor, der nicht von einer Betriebsblindheit betroffen ist. Somit können wir eine spätere externe Auditsituation optimal simulieren. Falls Sie dies möchten, bieten wir Ihnen ebenfalls eine ISO 27001 Beratung an und unterstützen Sie auch auf dem Weg zur Zertifizierung.
Wenn Sie einen Beratungstermin für ein ISO 27001 Audit wünschen, kontaktieren Sie uns gerne über das unten stehende Formular!
