Internes ISO 27001 Audit: Wie läuft es ab?

aktualisiert am 13. September 2023

Um die Sicherheit von Informationen im Unternehmen gewährleisten zu können, ist die Einführung eines Informationssicherheitsmanagement­systems (ISMS) nach ISO/IEC 27001 wichtig. Die Effektivität dieses Managementsystems wird schließlich durch ein ISO/IEC 27001 Audit geprüft. 

Die richtige Benennung dieses Standards ist ISO/IEC 27001, da nicht nur die International Organization for Standardization, sondern auch die International Electrotechnical Commission an der Einführung des Standards gearbeitet haben. Im Folgenden werden wir jedoch den im allgemeinen Sprachgebrauch etablierten Ausdruck ISO 27001 benutzen. 

In diesem Artikel erklären wir Ihnen, was ein internes ISO 27001 Audit ist, wie ein Audit durch uns abläuft, erläutern Ihnen die Vorteile und was hierbei geprüft wird und legen dar, wie oft interne Audits durchgeführt werden müssen. 

Was ist ein internes ISO 27001 Audit?

Ein internes ISO 27001 Audit ist die Bewertung und Prüfung eines ISM-Systems nach ISO 27001. Dabei wird die Normkonformität in Unternehmensprozessen kontrolliert und überprüft, inwiefern den ISO-Anforderungen bereits nachgegangen wird. Auch werden Abweichungen und Nicht-Übereinstimmungen aufgedeckt.

Wie läuft ein internes ISO 27001 Audit durch uns ab?

Ein internes ISO 27001 Audit besteht aus der Vorbereitung, der Durchführung und dem Abschlussgespräch. Für das Audit stellen wir Ihnen einen externen Auditor, der über nötige Qualifikationen zur Durchführung von internen ISMS-Audits verfügt. Dieser greift auf umfangreiches Praxiswissen zurück. 

Vorbereitung auf das Audit nach ISO 27001

Für die Vorbereitung auf das Audit erstellen wir einen Zeitplan bzw. Auditplan, der die Vorgaben Ihres Auditprogramms mit einbezieht. Der Auditplan wird mit allen im Prozess involvierten Personen abgestimmt. Auf diese Weise können Sie sich zeitlich und inhaltlich auf das ISO 27001 Audit einstellen.

Durchführung des ISO 27001 Audits

Während des Audits führt der Auditor Gespräche mit den Prozessteilnehmern, um die Informationssicherheit im Unternehmen beurteilen und bewerten zu können. 

Dem Auditor muss außerdem Einsicht in relevante Management-Dokumente, Fallbeispiele und Nachweise zu Unternehmensabläufen gewährt werden. Hierbei stellt der Auditor Abweichungen oder Norm-Übereinstimmungen fest und dokumentiert diese schriftlich.

Darüber hinaus stellt er Verbesserungspotenziale und Maßnahmen für den kontinuierlichen Verbesserungsprozess (KVP) im Informationssicherheitsmanagement fest.

Audit-Abschluss mit Präsentation der Ergebnisse  

Das Ergebnis des Audits wird Ihnen und der Leitung am Ende präsentiert. Ebenfalls werden die festgestellten Abweichungen und Verbesserungspotenziale des Auditors erläutert. Der Auditor gibt an dieser Stelle seine erste Einschätzung zu Ihrem ISM-System.

Einen ausführlichen Bericht des Audits erhalten Sie durch unser Backoffice, der alle festgestellten Informationen enthält. Bei Bedarf geben wir Ihnen eine Punktebewertung in Form eines Turtel-Diagramms inklusive der Kalkulation des erreichten Erfüllungsgrads.

Auf Wunsch unterstützen wir Sie bei der Umsetzung der Maßnahmen zur Verbesserung Ihres ISM-Systems. 

Was sind die Vorteile eines internen Audits nach ISO 27001?

Die Vorteile eines internen Audits nach ISO 27001 sind zum einen, dass sichergestellt wird, dass Ihr ISM-System mit den ISO-Anforderungen (weiterhin) übereinstimmt und zum anderen, dass ein kontinuierlicher Verbesserungsprozess (KVP) im Informationssicherheitsmanagement ermöglicht wird.

Des Weiteren wird mithilfe des Audits das ISM von allen Mitarbeitern verstanden und das Bewusstsein für das Thema wird gefördert. 

Ein weiterer Vorteil eines internen Audits nach ISO 27001 ist, dass es als Prüfung gilt, ob die bisherigen Sicherheitsstandards im Unternehmen funktionieren oder verbessert werden müssen. 

Da Abweichungen bereits beim internen Audit festgestellt werden, können Sie sich mit diesem optimal auf das externe Audit, wie die Erstzertifizierung, die Rezertifizierung oder das Überwachungsaudit, vorbereiten. 

Was wird beim ISO 27001 Audit überprüft?

Beim ISO 27001 Audit wird in erster Linie das Informationssicherheitsmanagement geprüft. Hierbei wird kontrolliert, wie das ISM-System in der Praxis, sprich im Unternehmen, funktioniert. Ebenfalls wird die Übereinstimmung Ihrer Prozesse und Abläufe im Unternehmen mit den ISO-Anforderungen überprüft.

Diese Übereinstimmung der Prozesse und Abläufe wird ebenfalls mit den Vorgaben der Organisation selbst, die auf der Risikobewertung und den daraus abgeleiteten, erforderlichen Maßnahmen basieren, beurteilt. 

Ein weiterer wichtiger Aspekt, der beim ISO 27001 Audit überprüft wird, sind die Management-Dokumentationen. Hierzu zählen beispielsweise:

  • Managementbewertung
  • Prüfdokumentation
  • Aufzeichnungen zu besonderen Ereignissen
  • Vorgabedokumente aus dem ISM-Handbuch 

Wann muss ein ISO 27001 Audit durchgeführt werden?

Ein ISO 27001 Audit muss in der Regel vor der Erstzertifizierung durchgeführt werden. Danach sollte es einmal jährlich stattfinden. Hierbei gibt es jedoch unter bestimmten Voraussetzungen die Möglichkeit, einen Dreijahresplan zu erstellen.

Mit dem Dreijahresplan müssen bestimmte Prozesse dann nur einmal in 3 Jahren auditiert werden. Aber auch hier gibt es einige Prozesse, bei denen es Pflicht ist, diese jedes Jahr zu prüfen.

Sie möchten ein internes ISO/­IEC 27001 Audit durch uns durchführen lassen?

Sollten Sie an einem internen ISO/IEC Audit zur Informationssicherheit interessiert sein, stellen wir Ihnen hierfür einen externen Auditor, der nicht von einer Betriebsblindheit betroffen ist. Somit können wir eine spätere externe Auditsituation optimal simulieren. 

Falls Sie dies möchten, unterstützen wir Sie ebenfalls auf dem Weg zur Zertifizierung.

Wenn Sie einen Beratungstermin für ein ISO 27001 Audit wünschen, kontaktieren Sie uns gerne!

Mehr zur ISO 27001

Weitere Audits

Sprechen sie uns an

Kontakt Formular
02933. 78 63 185
info@iqi-gmbh.de
IQI Privates Institut für Qualität und Innovation GmbH 
Niedensteinsweg 8
59846 Sundern
Die IQI GmbH ist seit mehr als 20 Jahren nach DIN EN ISO 9001 zertifiziert und wendet damit aktiv ein Qualitätsmanagementsystem an. Damit wollen wir zeigen, dass wir selbst aktiv leben, was wir Ihnen anbieten.

Als Mitglied in der Deutschen Gesellschaft für Luft-und Raumfahrt (DGLR) und der Deutschen Gesellschaft für Qualität (DGQ) beteiligen wir uns an Experten-Netzwerken und stellen unsere fachliche Weiterentwicklung sicher.

Mit unserer Mitgliedschaft im “Wirtschaft in Südwestfalen e.V.” wollen wir gemeinsam mit regionalen Unternehmen den Standort Südwestfalen als Marke fördern.
Copyright © 2023
iqi-gmbh.de
Alle Rechte vorbehalten
envelopephone-handsetmap-markermagnifiercross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram