So schreiben Sie einen internen Prüfungsbericht für ISO 27001

Sie müssen die Struktur eines internen Auditberichts für ISO 27001 kennen.

Die Erstellung eines effektiven und professionellen internen Auditberichts ist für jede erfolgreiche ISO 27001-Implementierung unerlässlich.

Ein qualitativ hochwertiger interner Auditbericht ist eine Momentaufnahme des gesamten Implementierungsprozesses und zeichnet den Status Ihrer ISO 27001-Implementierung im Vorfeld der Zertifizierung sowie Einzelheiten zu Bereichen auf, die noch angegangen werden müssen.

Als Teil der Anforderungen an das ManagementsystemIn Abschnitt 9.2 wird detailliert beschrieben, was bei internen Audits zu tun ist. Hierzu gehört auch die Verpflichtung zur Aufbewahrung dokumentierter Nachweise über die Gesamtheit Der Auditprozess und die Auditergebnisse werden durch einen Auditbericht dokumentiert.

Was ist ein internes Audit nach ISO 27001?

Bei einem internen Audit nach ISO 27001 überprüft ein kompetenter und objektiver Prüfer das ISMS oder Elemente davon und prüft, ob es den Anforderungen der Norm, den eigenen Informationsanforderungen und Zielen der Organisation für das ISMS sowie den Richtlinien, Prozessen und anderen Kontrollen entspricht effektiv und effizient.

Neben der Gesamtkonformität und Wirksamkeit des ISMSDa ISO 27001 darauf ausgelegt ist, einer Organisation zu ermöglichen, ihre Informationssicherheitsrisiken auf ein erträgliches Maß zu beschränken, muss überprüft werden, ob die implementierten Kontrollen das Risiko tatsächlich so weit reduzieren, dass der/die Risikoeigentümer dies gerne tolerieren Restrisiko.

Internes Audit für ISO 27001-Anforderung 9.2

Ziffer 9.2 Interne Revisionsmandate:

Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber zu liefern, ob das Informationssicherheitsmanagementsystem:

• Entspricht den eigenen Anforderungen der Organisation Informationssicherheit Managementsystems und den Anforderungen dieser internationalen Norm.
• Wird effektiv umgesetzt und gepflegt.

Die Organisation muss:

• Planen, erstellen, implementieren und pflegen Sie ein oder mehrere Auditprogramme, einschließlich Häufigkeit, Methoden, Verantwortlichkeiten, Planungsanforderungen und Berichterstattung. Die Auditprogramme müssen die Bedeutung der betreffenden Prozesse und die Ergebnisse früherer Audits berücksichtigen.
• Definieren Sie die Auditkriterien und den Auditumfang für jedes Audit.
• Wählen Sie Prüfer aus und führen Sie Prüfungen durch, die die Objektivität und Unparteilichkeit des Prüfungsprozesses gewährleisten.
• Stellen Sie sicher, dass die Ergebnisse der Audits dem zuständigen Management gemeldet und aufbewahrt werden dokumentierte Informationen als Nachweis des/der Auditprogramm(e) und der Auditergebnisse.

Das Ziel eines internen Audits besteht darin, zu bestätigen, dass die Organisation alle angemessenen Vorkehrungen getroffen hat, um sicherzustellen, dass ihr Informationssicherheits-Managementsystem (ISMS) den Standards der ISO 27001 und den eigenen ISMS-Standards der Organisation entspricht.

Interne Audits müssen von einem unabhängigen und unvoreingenommenen Prüfer durchgeführt werden um dies zu erreichen, so der Standard.

Wie funktionieren interne Audits nach ISO 27001?

Interne Audits für Arbeiten Sie nach ISO 27001, indem Sie einem Auditprogramm folgen Darin sind die Audits aufgeführt, die vor der Zertifizierung und während jedes Zertifizierungszeitraums durchgeführt werden müssen.

Sie erfordern die Auswahl von a kompetent und objektiv Der Prüfer führt bei jedem internen Audit die Einhaltung der Anforderungen des Standards, der eigenen Informationsanforderungen und Ziele der Organisation für das ISMS sowie die Wirksamkeit und Effizienz der Richtlinien, Prozesse und anderen Kontrollen durch.

Im Rahmen eines internen Audits enthaltene Aktivitäten:

• Überprüfung der Dokumentation
• Beweishafte Probenahme
• Mitarbeiterbefragung mit Schlüssel Verantwortlichkeiten im Bereich Informationssicherheit
• Befragung anderer Mitarbeiter (und möglicherweise Auftragnehmer)
• Beurteilung der Erkenntnisse
• Verfassen des Auditberichts

Wie oft muss ich ein Audit durchführen?

Während in der ISO 27001 selbst nicht klar ist, wie oft interne Audits durchgeführt werden müssen, wird erwartet, dass das Auditprogramm denselben Anforderungen folgt, die an die Zertifizierungsstellen für die Durchführung ihrer Audits gemäß ISO XNUMX gestellt werden ISO / IEC 27006: 2015 – Anforderungen an Stellen, die die Prüfung und Zertifizierung von ISMS durchführen.

In der ISO 27006-Anforderung 9.1.5.2e heißt es, dass das Auditprogramm „repräsentative Stichproben des Umfangs der ISMS-Zertifizierung innerhalb des Dreijahreszeitraums abdeckt“.

Daher müssen Sie durchführen Interne Audits, die den gesamten Standard abdecken, mindestens über den Zertifizierungszeitraum (3 Jahre für UKAS-akkreditierte Zertifikate).

Sie könnten dies als einzelnes Audit durchführen, es wird jedoch häufiger in kleinere Audits über einen Zeitraum von drei Jahren unterteilt. Es ist auch wichtig, einige Bereiche häufiger zu prüfen, wenn das Risiko hoch ist oder der Bereich häufigen Änderungen unterliegt.

Es wird empfohlen, dass Sie Auditierung des Managementsystems Anforderungen (Absätze 4-10) auf jährlicher Basis und kann in Ihr ISMS-Management-Review eingebunden werden, das ebenfalls jährlich durchgeführt werden muss. Bestimmte Organisationen mit ausgefeilten und gut etablierten Managementsystemen möchten möglicherweise Audits in einem Dreijahreszyklus statt jährlich durchführen.

Allerdings muss jedes Unternehmen seine Prozesse, Managementsysteme und andere relevante Kriterien sorgfältig prüfen, um einen sinnvollen Zeitplan zu entwickeln, der seinen Anforderungen gerecht wird und für ihn angemessen ist. Bei ISMS.online ist unsere cloudbasierte Plattform darauf ausgelegt, den Prüfungsprozess zu unterstützen.

Wir bieten einen vorgefertigten Arbeitsbereich für das Auditprogramm, der Folgendes umfasst:

• Aktivitäten für 2 empfohlene Audits vor der Zertifizierung
• Ein Plan interner Audits für den ersten dreijährigen Zertifizierungszeitraum
• Platzhalter für Ihre externe Zertifizierung und regelmäßige Audits

Fordern Sie noch heute eine Demo an, um zu sehen, wie unsere Die Lösung kann Ihrem Unternehmen dabei helfen, die Einhaltung von ISO 27001 nachzuweisen.

Warum muss ich einen Bericht für ein internes Audit erstellen?

Die Norm verlangt von Ihnen, die Auditergebnisse zu dokumentieren – Klausel 9.2 der ISO 27001 enthält die Anforderung, „dokumentierte Informationen als Nachweis der ……… Auditergebnisse aufzubewahren“. Dies erfolgt im Rahmen eines Auditberichts.

Was ist bei der Erstellung des Berichts zu tun?

Für jedes Audit müssen Sie Folgendes planen:

• Was das Audit abdecken wird – welche Abschnitte des Standards, Standorte, Geschäftsprozesse usw
• Wer der Prüfer sein soll – muss kompetent und objektiv sein.
• Wann das Audit durchgeführt wird – darf keine wesentlichen, nachteiligen Auswirkungen auf den Betrieb der Organisation haben.
• Die Methode(n) des Audits – Überprüfung der Dokumentation, Stichproben, Interviews usw
• Wer muss in die Prüfung einbezogen werden?

Überprüfung der Dokumentation

Bei jedem Audit ist die Überprüfung der relevanten Dokumentation erforderlich, einschließlich Richtlinien, Verfahren, Standards und Leitlinien, die für den/die Bereich(e) des geprüften Standards relevant sind. Es empfiehlt sich, die zu prüfenden Personen über die abzudeckenden Bereiche zu informieren, damit sie einen einfachen und zeitnahen Zugriff auf die relevante Dokumentation gewährleisten können

In ISMS.online wird dies vereinfacht, indem entweder die Dokumentation im System vorhanden ist oder im entsprechenden Abschnitt der Norm darauf verlinkt wird.

Beweisproben und Interviews

Bei den meisten Prüfungen ist in geringerem oder größerem Umfang die Stichprobe von Beweisen erforderlich. Dazu können Befragungen relevanter Schlüsselmitarbeiter, Endnutzer und manchmal sogar Zeitarbeitskräfte und Auftragnehmer gehören.

Quellen für die Probenahme können beispielsweise sein:

• Interviews mit Mitarbeitern und anderen Personen.
• Beobachtungen von Aktivitäten sowie der umgebenden Arbeitsumgebung und -bedingungen.
• Dokumente wie Richtlinien, Ziele, Pläne, Verfahren, Standards, Anweisungen, Lizenzen und Genehmigungen, Spezifikationen, Zeichnungen, Verträge und Bestellungen.
• Aufzeichnungen wie Inspektionsprotokolle, Sitzungsprotokolle, Auditberichte, Aufzeichnungen von Überwachungsprogramm und die Ergebnisse der Messungen.
• Datenzusammenfassungen, Analysen und Leistungsindikatoren.
• Informationen zu den Probenahmeplänen des geprüften Unternehmens und zu den Verfahren zur Kontrolle der Probenahme- und Messprozesse.
• Berichte aus anderen Quellen, z. B. Kundenfeedback, externe Umfragen und Messungen, andere relevante Informationen Informationen von externen Parteien und Lieferanten Bewertungen.
• Datenbanken und Websites.
• Simulation und Modellierung.

Analyse

Sobald die Datenerfassung für das Audit abgeschlossen ist, muss der Auditor die Ergebnisse bewerten und analysieren, um festzustellen, ob Abweichungen oder Verbesserungsmöglichkeiten vorliegen.

Befunde werden normalerweise in eine der folgenden Kategorien eingeteilt:

• Schwerwiegende Nichtkonformität
• Kleinere Abweichung
• Möglichkeit zur Verbesserung

Einige Zertifizierungsstellen verwenden auch:

• Beobachtung – Hier gibt es frühe Anzeichen dafür, dass eine geringfügige Nichtkonformität vorliegt oder sich entwickeln könnte, wenn keine Maßnahmen ergriffen werden.
• Positiver Punkt – wird entweder dann verliehen, wenn eine Organisation über anerkannte gute Praktiken hinausgegangen ist oder wenn es in einem Bereich seit dem letzten Audit erhebliche Verbesserungen gegeben hat.

Profil melden

Nach der Analyse der Ergebnisse kann nun der Auditbericht erstellt und der für das ISMS verantwortlichen Person oder dem Team zur Prüfung und Nachbereitung vorgelegt werden.

Wie wird ein interner Revisionsbericht erstellt?

Der Auditbericht muss als dokumentierte Information erstellt werden, was jedoch nicht bedeutet, dass es sich um ein separates Word- oder PDF-Dokument handeln muss. Innerhalb der ISMS.online-Plattform Wir versuchen, die Erstellung solcher Dokumente zu vermeiden, sondern stellen stattdessen einen Arbeitsbereich bereit, in dem der Bericht direkt dokumentiert werden kann. Dieser Bereich bietet zusätzliche Funktionalität, einschließlich der Möglichkeit, einfach mit anderen Arbeitsbereichen, Richtlinien, Kontrollen, Risiken und Korrekturmaßnahmen zu verknüpfen und Verbesserungstickets und mehr.

Erstellen Sie eine Zusammenfassung

Die Zusammenfassung ist nützlich, damit sich die Geschäftsleitung schnell und einfach einen Überblick über die Ergebnisse verschaffen kann, einschließlich möglicher kritischer Probleme, Trends und Verbesserungsmöglichkeiten. Diese lässt sich dann problemlos in die ISMS-Managementbewertung gemäß Ziffer 9.3 einbinden.

Dazu gehören in der Regel:

• Ein allgemeiner Überblick über die Funktionsweise der im Audit abgedeckten Bereiche des ISMS.
• Eine numerische Zusammenfassung der Befundkategorien.
• Die Hervorhebung dringender/kritischer Erkenntnisse.
• Eine kurze Beschreibung der nächsten Schritte, die zur Behebung etwaiger Feststellungen unternommen werden müssen.

Stellen Sie die verwendete Terminologie vor

Um sicherzustellen, dass ein gemeinsames Verständnis der Ergebnisse des Berichts besteht, ist es notwendig, die Definitionen einiger verwendeter Terminologien aufzunehmen, die entweder spezifisch für die Organisation, den Prüfungsprozess oder den Standard sind. Denken Sie daran, dass nicht jeder, der den Bericht lesen, bewerten und verstehen muss, zwangsläufig auch die gesamte verwendete Terminologie versteht.

Beschreiben Sie den Auditplan

Dies beinhaltet:

• Der Umfang des Audits – abzudeckende(r) Bereich(e), Standorte, Mitarbeiter, Geschäftsprozesse usw.
• Der Name des/der Prüfer(s)
• Die Daten, Zeiten und Orte des Audits

Beschreiben Sie die gefundenen Fakten

Für jeden Abschnitt des Audits sollten die Ergebnisse dokumentiert werden, einschließlich Notizen zu allen entnommenen Beweisproben.*

Es ist eine bewährte Vorgehensweise, die Einhaltung von Vorschriften und positiven Punkten zu dokumentieren sowie etwaige Abweichungen oder Verbesserungsmöglichkeiten zu dokumentieren. Die Ergebnisse sollten die für das ISMS und den Standard relevanten Fakten aufzeichnen und keine Meinungen oder Vermutungen enthalten, die über eine vernünftige Extrapolation hinausgehen.

*Hinweis: Wenn Beweisproben personenbezogene Daten enthalten, ist es üblich, die Daten im Einklang mit den Anforderungen der Datenschutzgesetze zu pseudonymisieren oder zu anonymisieren, z DSGVO.

Dokumentieren Sie Abweichungen und Verbesserungsmöglichkeiten

Wenn Nichtkonformitäten und Verbesserungsmöglichkeiten identifiziert werden, müssen diese klar dokumentiert werden, damit Korrekturmaßnahmen und Verbesserungspunkte aufgezeichnet und durch die anerkannten Prozesse der Organisation gemanagt werden können, wie in Abschnitt 10.1 Nichtkonformität und Korrekturmaßnahmen dokumentiert. und 10.2 Kontinuierliche Verbesserung.

Beschreiben Sie Empfehlungen

Da es sich um einen internen Auditbericht handelt, ist es für einen Prüfer zulässig, Empfehlungen dazu abzugeben, wie mit den Feststellungen umgegangen werden könnte. Letztendlich müssen die Entscheidungen in Bezug auf Korrekturmaßnahmen und Verbesserungen jedoch von den entsprechenden Personen oder Teams getroffen werden, die für das ISMS und die Informationssicherheit verantwortlich sind .

Wie ISMS.online das Reporting einfach macht

Die ISMS.online-Plattform macht die Erstellung von Word-Dokumenten, PDFs und Tabellenkalkulationen überflüssig und bietet eine Komplettlösung zur einfachen Dokumentation und Verknüpfung aller Aspekte des ISMS, einschließlich der Dokumentation von Auditberichten.

ISMS.online enthält ein vorgefertigtes Auditprogrammprojekt, das sowohl interne als auch externe Audits abdeckt.

Das vorgefertigte Auditprogramm umfasst:

• Aktivitäten für 2 empfohlene Audits vor der Zertifizierung
• Ein Plan interner Audits für den ersten dreijährigen Zertifizierungszeitraum
• Platzhalter für Ihre externe Zertifizierung und regelmäßige Audits

Jede interne Auditaktivität enthält eine Vorlage für einen kombinierten Auditplan und -bericht.

Vor der Durchführung des Audits dient die Vorlage als Auditplan – einschließlich der zu prüfenden Bereiche und der Hinweise zur Aufzeichnung, wann und von wem das Audit durchgeführt wird.

Während oder nach der Durchführung des Audits kann der Auditor Notizen direkt in die Vorlage für die Auditaktivität schreiben.

Neben der einfachen Bereitstellung der Audit-Aktivitätsvorlagen bietet ISMS.online auch die Möglichkeit, sich schnell mit anderen Arbeitsbereichen innerhalb der Plattform zu verknüpfen, was bedeutet, dass die Verknüpfung von Audit-Ergebnissen mit Kontrollen, Korrekturmaßnahmen und Verbesserungen und sogar mit Risiken einfach und zugänglich ist. Dadurch können Sie Ihrem externen Prüfer die ganzheitliche Verwaltung der ermittelten Feststellungen einfach nachweisen.

Benötigen Sie Hilfe bei Ihrem ISO 27001-Audit?

Starten Sie bald mit einem ISO 27001-Audit und fühlen Sie sich dadurch gestresst? Das ist ganz natürlich, denn die Durchführung eines ISO 27001-Audits ist ein sehr ernster Schritt.

Die Experten hier von ISMS.online können Ihnen den bestmöglichen Service bieten. Wir können Sie bei der Prüfung und Berichterstattung Ihres Managementsystems unterstützen, Sie hinsichtlich Informationssicherheit und Risikominderungsstrategien beraten, Schulungen für Ihr Personal durchführen oder Sie bei einer Lückenanalyse Ihrer bestehenden Kontrollen unterstützen.

Fordern Sie noch heute eine Demo an.