So vermeiden Sie allgemeine ISO 27001 interne Prüfungsfehler

Interne Audits des Managementsystems sind eine zwingende Anforderung der ISO 27001 und aller anderen gängigen ISO-Standards. Die Anforderungen sind sehr gering, bei objektiver Betrachtung sind die Einzelheiten jedoch sehr unverbindlich. Dies bedeutet, dass es erhebliche Möglichkeiten gibt, die Prüfungsprozesse zu rationalisieren und echte Geschäftsvorteile aus Ihren internen Prüfungen zu ziehen. Leider ist es manchmal historisch gesehen so Audits werden als nicht wertschöpfender Schmerz angesehen; Warum das passieren kann und wie man es vermeidet, erklären wir Ihnen anhand unserer internen Audit-Checkliste.

Häufiger Fehler: Nicht annehmen interne Audits als Instrument zur Geschäftsverbesserung

Gelegentlich kann ein objektiver Blick auf Ihre Prozesse und Systeme viele ungenutzte Werte freisetzen.

Was ist ein internes Audit nach ISO 27001?

„Audit“ ist ein Wort, das niemand gerne hört – es hat historisch und allgemein eine negative und belastende Konnotation. Diese sind in erster Linie veraltet; jedoch – aufgeklärte Organisationen sehen Audits als Verbesserungsinstrument für ihre Managementsysteme und Prozess. Im Falle eines ISO 27001-Informationssicherheitsmanagementsystems (ISMS) konzentrieren sich diese Audits auf informationssicherheitsbezogene Vorkehrungen.

Häufiger Fehler: Die Durchführung eines Zertifizierungsaudits auf aufdringliche und überformelle Weise

Der „Ton“ des Interner Revisionsbericht kann (und unserer Meinung nach muss) vom Prüfer dazu gebracht werden, freundlich und kooperativ zu sein. Solange am Ende des Auditprozesses relevante Erkenntnisse zutage treten, ist das ein erfolgreiches Ergebnis.

Das ISMS besteht aus den notwendigen Prozessen, Verfahren, Protokollen und Personen, um seine Informationen und Informationssysteme vor dem ISO 27001-Standardrahmen zu schützen. Bei einem internen Audit nach ISO 27001 wird festgestellt, ob Ihr ISMS wie geplant funktioniert und nach Verbesserungen gesucht wird (gemäß Abschnitt 10.2 – einprägsamer Titel: „kontinuierliche Verbesserung“). Praktisch eine interne ISO 27001 Audit hilft Organisationen sicherzustellen, dass sie ihre selbst vorgegebenen Anforderungen (auch im ISMS definiert) und die Standardanforderungen einhalten.

Häufiger Fehler: Definieren Sie in Ihrem ISMS, dass etwas passiert – obwohl es in der Realität nicht passiert

Es ist unverzeihlich, wie Sie Ihr definieren Managementsystem, das zu Ihrem Unternehmen passt. Sie haben daher eine Audit-Falle in Ihr Managementsystem eingebaut. In Abschnitt 9.2 besagen die Managementanforderungen der ISO 27001, dass die Organisation interne Audits in „geplanten Abständen“ durchführen muss – wie auch immer Sie diese Intervalle definieren.

Häufiger Fehler: Im Auditprogramm werden keine geeigneten „geplanten Intervalle“ definiert

Diese Definition soll Flexibilität bei der Festlegung Ihres Programms ermöglichen. Es kommt jedoch häufig vor, dass der geeignete „Sweet Spot“ nicht gefunden wird, was zu einer Unter- oder Überprüfung führt.

Jeder, dem wir bei der Zertifizierung nach ISO 27001 geholfen haben, hat beim ersten Mal bestanden. Du könntest auch.
Buchen Sie Ihre Demo

 

Warum sind interne Audits wichtig?

Audits stellen die Leistung eines ISMS im Hinblick auf die gesetzten Ziele sicher. Ohne diese Zusicherung gibt es keine echte Garantie dafür, wie gut die Daten Ihres Unternehmens geschützt werden. Interne Audits sind unerlässlich, da sie Unternehmen dabei helfen, Schwachstellen in ihren Unternehmen zu erkennen und zu beheben Informationssicherheits-Managementsystem. Die Prüfungskriterien/-ergebnisse werden dann auf verschiedene Weise verwendet:

  • Beurteilung der Führung/des Managements der Leistung des ISMS
  • Zu Verbesserung des ISMS
  • Suche nach Synergien im Hinblick auf mögliche Probleme und Korrekturen
  • Teile der Systeme und Prozesse reparieren, die nicht ordnungsgemäß funktionieren

Häufiger Fehler: Das Management wird nicht schnell genug benachrichtigt, wenn Handlungsbedarf besteht

Möglicherweise setzt die Geschäftsleitung Änderungen an Ihrem ISMS im Rahmen einer Überprüfung nicht direkt um. Dennoch müssen sie einbezogen werden, bewusst von Problemen, treiben Abhilfemaßnahmen und Verbesserungen voran.

Was besagt die ISO-Norm, was wir tun müssen?

Abschnitt 9.2 der ISO 27001 fordert nur wenige Dinge für Ihre internen Audits

  • Dass sie „geplant“ sind – das heißt, dass ein Auditprogramm definiert und dokumentiert ist
  • Das Auditprogramm ist dynamisch und auf Ihr Unternehmen abgestimmt
  • Auditergebnisse werden dokumentiert
  • Das Management erhält eine angemessene Beurteilung der Prüfungsergebnisse

Der Prozess sollte daher nicht zu anspruchsvoll sein und der allgemeine Ansatz erfordert die Anwendung des gesunden Menschenverstandes. Beispielsweise werden Teile Ihres Unternehmens, die in der Vergangenheit schlechte Prüfungsergebnisse erzielt haben, in Zukunft wahrscheinlich eingehender, möglicherweise häufiger und möglicherweise von Ihrem ranghöchsten Prüfer geprüft. Umgekehrt könnte bei den Bereichen, die frühere Prüfungen durchlaufen haben, die Prüftiefe, die Prüfungshäufigkeit oder beides im Zukunftsprogramm entsprechend reduziert werden.

Die meisten Organisationen erstellen ein Auditprogramm für das Unternehmen für das kommende Jahr, manchmal auch länger, beispielsweise für den dreijährigen Lebenszyklus ihrer Zertifizierung.

Häufiger Fehler: Nichteinhaltung des Auditprogramms

Bei Ihren internen Audits ins Hintertreffen zu geraten, ist eine der einfachsten Möglichkeiten, dies zu erreichen ISMS-Zertifizierung in Gefahr. Wenn dies geschieht, ist es immer der beste Rat, es so schnell wie möglich zu beheben.

Häufiger Fehler: Unter- oder Überprüfung von Teilen Ihres Managementsystems

Über die Häufigkeit muss man sich Gedanken machen und eine Balance finden. Der ISO-Standard erfordert die Berücksichtigung der „Bedeutung von Prozessen“, was bedeutet, dass einige Teile Ihres ISMS gegebenenfalls häufiger geprüft werden als andere.

Häufiger Fehler: Störung des normalen Geschäftsbetriebs durch ein ungeeignetes Auditprogramm

Wenn in Ihrem Unternehmen viel los ist, wäre es dumm, zu diesem Zeitpunkt zu viele Audits einzuplanen. In ähnlicher Weise stellen viele Organisationen ihren Betrieb beispielsweise zu Ostern oder Weihnachten ein, und dies kann ein guter Zeitpunkt sein, um einige interne Audits durchzuführen, oder auch nicht. Du entscheidest.

 

Was sagt die ISO-Norm NICHT, was wir tun müssen?

Es ist faszinierend zu sehen, was ISO-Klausel 9.2 sagt NICHT, dass es erforderlich ist. Seien Sie sehr deutlich, wenn es sich nicht um eine absolute Aussage handelt Anforderung im ISO-Standard (achten Sie auf das Wort „soll“), dann können Sie mit entsprechender Überlegung Ihre Regelungen in Ihrem ISMS so definieren, dass sie zu Ihrer Organisation passen. Beispielsweise sieht die ISO-Norm keine Anforderung für ungeplante oder stichprobenartige interne Audits vor. Sie könnten, wenn Sie möchten, einige davon tun.

Ein weiteres Beispiel ist die Tiefe und Dauer Ihres internen Audits. Theoretisch könnten Sie eine Prüfung eines Prozesses in wenigen Minuten durchführen, sie könnte sich aber auch über Stunden hinziehen. Da dies keine Anforderung des Standards ist, haben Sie in jedem Fall die Wahl. Wir empfehlen, langwierige Prüfungen in kleinere Abschnitte (z. B. eine Stunde) aufzuteilen, um sowohl dem Prüfer als auch der geprüften Stelle etwas Bedenkzeit und die Möglichkeit zu geben, sich aufzufrischen.

Vergessen Sie nicht – die meisten internen Prüfer ernähren sich von Tee, Kaffee, Wasser und sehr oft von Keksen und Kuchen …

Häufiger Fehler: Der Versuch, Ihren internen Prüfer zu „kaufen“ oder übermäßig zu beeinflussen

Prüfer müssen unparteiisch und objektiv bleiben – weder Kuchen noch Freundlichkeit können die Objektivität des Prüfungsergebnisses beeinträchtigen.

Häufiger Fehler: Nicht genügend (oder angemessene) Zeit und Ressourcen investieren

Der Versuch, ein Mindestmaß an Audits durchzuführen oder oberflächliche Audits durchzuführen, wird keinen Wert freisetzen und kein Engagement für das ISMS (das eine Anforderung von ISO 27001 ist) beweisen.

Häufiger Fehler: Der Prüfer überschreitet seine Frist

Wenn ein internes Audit beispielsweise für eine Stunde geplant ist, sollte es nicht länger als diese Stunde dauern. Eine Überschreitung kann andere geplante Geschäftsaktivitäten mit allen negativen Auswirkungen, die dieses Szenario mit sich bringt, erheblich beeinträchtigen. Der Lösung besteht darin, die noch zu behandelnden Unvollständigkeiten im Auditbericht zu dokumentieren.

CTA-Bild

Sehen Sie, wie einfach es mit ISMS.online ist

Buchen Sie Ihre Demo

Wer führt ein internes ISO 27001-Audit durch?

ISO 27001-Audits erfordern Kompetenz (gemäß Abschnitt 7.2) und objektive Auditoren, die Kenntnisse über die Norm und Erfahrung in der Durchführung eines ISO 27001-Audits nachgewiesen haben. Oft sind interne Prüfer bereits in Ihrem Unternehmen tätig und wissen daher, wie Ihr Unternehmen funktioniert.

Objektiv betrachtet kann dies je nach Situation eine Stärke oder eine Schwäche sein. Ein interner Auditor kann seine Kompetenz unter Beweis stellen, indem er an einem Kurs für leitende Auditoren nach ISO 27001 teilnimmt oder praktische Erfahrungen sammelt, in denen er sein Wissen über die Norm demonstriert und Audits erfolgreich durchführt.

Häufiger Fehler: Interne Audits mit inkompetenten Prüfern durchführen

Man kann nicht einfach irgendjemanden benutzen. Sie würden die Empfangsdame nicht dazu nutzen, Ihren Kernreaktor zu steuern. Das gleiche Prinzip gilt für Ihre internen Audits.

Mit den hohen Kosten von Schulungen Vor diesem Hintergrund kann es für einen Prüfer vorzuziehen sein, sein Kompetenzniveau durch praktische Erfahrung bei der Implementierung eines ISMS nachzuweisen. ISMS.online kann Ihnen dabei helfen, Ihr Selbstvertrauen und Ihre Kompetenz bei der Prüfung Ihres ISMS nach ISO 27001 durch verschiedene wertvolle Funktionen wie unseren virtuellen Coach zu stärken. Bei dieser Funktion handelt es sich um eine ständig verfügbare Reihe von Videos, Checklisten und Leitfäden, die sich auf die Sichtweise des Prüfers für viele Klauseln und Kontrollen konzentrieren.

Für kleinere Organisationen mit begrenzter Kapazität oder Unternehmen, die eine größere Objektivität anstreben, kann es praktischer sein, eine externe (Drittanbieter-)Lösung zu nutzen. Wirtschaftsprüfer zur Durchführung interner Audits. Beachten Sie, dass dies im Hinblick auf die ISO-Anforderungen durchaus akzeptabel ist. Der Prüfer könnte ein Berater sein, oder ISMS.online kann helfen; Dieser Ansatz sorgt für Unabhängigkeit und kann mehr Objektivität sowie die Vorteile umfassenderer Erfahrungen in anderen ähnlichen Organisationen bieten.

Häufiger Fehler: Die eigene Arbeit prüfen

Tun Sie dies niemals, da dadurch Unparteilichkeit und Unabhängigkeit stark beeinträchtigt werden.

Was suchen Wirtschaftsprüfer?

Das Ziel eines ISO-Auditors besteht darin, das Ziel Ihres Informationssicherheitsmanagementsystems zu verstehen und Nachweise zu erhalten, die dessen Konformität mit der Norm ISO 27001 belegen. Entgegen der landläufigen Meinung achten Prüfer sowohl auf positive als auch auf negative Ergebnisse (und sollten diese auch melden).

ISO 27001-Auditoren suchen auch nach Lücken oder Mängeln in Ihrem Informationssicherheitssystem. Im Wesentlichen wird Ihr Auditor in Ihrem gesamten Unternehmen nach Beweisen für die Anforderungen der ISO 27001-Norm suchen. Sie können dies unter Beweis stellen, indem Sie proaktiv Richtlinien und Kontrollen einführen, die die Risiken für die Informationen Ihres Unternehmens mindern. Schließlich werden alle potenziellen Verbesserungen des ISMS, die zwischen dem Auditor und dem geprüften Unternehmen gemeinsam vereinbart wurden, Teil des Auditberichts sein.

Häufiger Fehler: Das Audit so lange laufen lassen, bis Abweichungen festgestellt werden

Bei einer ausgewogenen Prüfung wird berichtet, was gefunden wurde. Wenn keine Abweichungen erkennbar sind, ist dies KEIN Hinweis auf ein mangelhaftes Audit. Objektive Prüfer (d. h. die Mehrheit der Prüfer) bekommen kein warmes Gefühl, wenn sie eine Nichtkonformität mit Ihrem ISMS feststellen können …

Häufiger Fehler: Compliance nicht melden

Für Organisationen ist es ebenso wichtig, sich über Nichteinhaltungen und mögliche Verbesserungen im Klaren zu sein. Warum sollten Sie sich die Mühe machen, das Audit zu planen und durchzuführen, aber kein positives Ergebnis melden?

Interne Audits sind nicht subjektiv

Als Prüfer möchten Sie möglicherweise übermäßig viele Implementierungen zum ISMS Ihrer Organisation oder allgemeine Verbesserungspotenziale vorschlagen, die als Verbesserungsmöglichkeiten (Opportunities for Improvement, OFI) bezeichnet werden. Es ist jedoch wichtig zu bedenken, dass die Norm zwar Interpretationsspielraum bietet, Maßnahmen außerhalb der Normanforderung jedoch nicht verpflichtend sind. Dies bedeutet, dass bestimmte Vorschläge aufgrund der besonderen Situation Ihrer Organisation aus Sicht eines Prüfers möglicherweise überflüssig sind, insbesondere wenn sie außerhalb der ISO 27001-Anforderungen liegen.

Häufiger Fehler: Sie haben ein Audit weder „bestanden“ noch „nicht bestanden“.

Prüfungsberichte sind Tatsachenbehauptungen und sollten gelassen und nicht emotional betrachtet werden. Alle daraus resultierenden erforderlichen Änderungen an Ihrem ISMS sollten ermittelt und umgesetzt (und bei Bedarf erneut überprüft) werden. Nachweise spielen eine wesentliche Rolle bei der Erlangung der ISO 27001-Zertifizierung; Klausel 10.1 erfordert ausdrücklich Organisationen um Beweise über Nichtkonformitäten und daraus resultierende Maßnahmen aufzubewahren. Als Auditor bedeutet dies, dass Ihre Feststellungen zu Nichtkonformitäten auf Beweisen basieren sollten, die die Bereiche, in denen Verbesserungen oder systematische Korrekturen erforderlich sind, klar umreißen.

Häufiger Fehler: Fakten werden nicht zur Bestimmung von Prüfungsergebnissen herangezogen

Die Meinungen und Überzeugungen der Prüfer können das Prüfungsergebnis negativ beeinflussen. Objektive und unparteiische Prüfungsergebnisse werden nur durch Fakten und Erfahrung bestimmt.

Warum sollten Sie ISMS.online wählen, um Ihnen zu helfen?

Um ISO 27001-konform zu werden oder sich erstmals zertifizieren zu lassen, steht Ihnen unser ISMS.online zur Verfügung Methode mit gesicherten Ergebnissen (ARM) bietet eine einfache, zeiteffiziente und praktische Anwendung. ARM unterstützt Sie bei der Bestimmung, welche Vermögenswerte, Systeme, Personen, Standorte usw. in den Geltungsbereich Ihres Informationsmanagement-Sicherheitssystems passen. Dadurch können Sie mit ARM über die Risiken nachdenken, denen sie ausgesetzt sind.

Das Übernehmen Anpassen Hinzufügen (AAA)-Philosophie für Abschnitt 9.2 bietet einen bewährten und getesteten Prozess für interne Audits. Mit unserem vorkonfigurierten ISMS können Sie die Anforderungen der Ziffer 9.2 schnell und einfach nachweisen. Darüber hinaus erhalten Sie ein Auditprogramm zur Durchführung interner Audits. Mithilfe unseres Audit-Projekts können Sie die Ziele und den Umfang jedes Audits festlegen, dann die Ergebnisse aufzeichnen und alle während des Audits festgestellten Nichtkonformitäten im Improvement Track der Plattform beheben.

Abschnitt 10.1 deckt die Nichtkonformitäts- und Korrekturmaßnahmenanforderungen für ISO IEC 27001 ab. Sie müssen dem Auditor Nachweise darüber vorlegen, wie Ihre Organisation Nichtkonformitäten erkennt, darauf reagiert, sie bewertet, überprüft und dokumentiert. Über unsere ISMS.online-Plattform können Sie die Adopt Adapt Add-Philosophie mit unserer vorab empfohlenen Richtlinie für Abschnitt 10.1 nutzen. Die ISMS.online-Plattform bietet einen praktischen Korrekturmaßnahmen- und Verbesserungspfad, um zu zeigen, wie Ihr Unternehmen Korrekturmaßnahmen und Verbesserungen einfach verwaltet. Sie können Korrekturmaßnahmen und Verbesserungen auch mit anderen Bereichen innerhalb der Plattform verknüpfen, beispielsweise mit Richtlinien, während Sie Kollegen Aufgaben zuweisen und Fälligkeitstermine hinzufügen.

Unsere ISMS.online-Plattform bietet außerdem einen Rahmen, der es Organisationen ermöglicht, die während ihres Zertifizierungszeitraums ein dreijähriges Auditprogramm für alle Kontrollen durchführen möchten.
Mit unserer ISMS.online-Plattform wird die Beweisführung ganz einfach. Sie können Daten, Richtlinien, Kontrollen, Verfahren, Risikobewertungen, identifizierte Risiken, Aktionen, Projekte, zugehörige Dokumentation und Berichte innerhalb der Plattform aufzeichnen und so eine einfache Bewertung für Prüfer erstellen.

Zusätzliche Hilfe erhalten Sie vom Service Development and Delivery (SDD)-Team

Mitarbeiter, die für die Implementierung Ihres Informationssicherheitssystems verantwortlich sind, haben möglicherweise Schwierigkeiten und Fragen zum Standard. Hier können unsere Support-Teams Sie durch den Prozess begleiten. Innerhalb unserer Organisation verfügt das Serviceentwicklungs- und Bereitstellungsteam über umfangreiche Erfahrung und Fachwissen im Bereich Informationssicherheit. Sie können Sie bei der anfänglichen Implementierung Ihres Informationssicherheitsmanagementsystems unterstützen und bei allen wesentlichen Standardschwierigkeiten beratend zur Seite stehen.

Bereit zum Handeln?

Buchen Sie Ihre Demo

CTA-Bild

« Welche verschiedenen Arten von internen Audits nach ISO 27001 gibt es?

Was ist der ISO 27001-Auditprozess? »

Zuletzt bearbeitet: 7. Februar 2022
Autor

Micha Mutsani

Als Teil des Services Delivery and Development (SDD)-Teams dreht sich Micahs Rolle um ISO 27001-Kenntnisse, Fachwissen und Implementierung. Sein Ziel ist es, Kunden mit ISMS.online möglichst schnell und einfach zur Zertifizierung zu verhelfen.

Alle Beiträge von Micah Mutsani anzeigen

Zusammenhängende Posts

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren