So schreiben Sie einen internen Prüfungsbericht für ISO 27001

Im Rahmen der Managementsystemanforderungen ist Klausel 9.2 Einzelheiten dazu, was bei internen Audits zu tun ist. Hierzu gehört auch die Verpflichtung zur Aufbewahrung dokumentierter Nachweis der Prüfung Ergebnisse, und zwar in Form eines Prüfberichtes.

Wie funktionieren interne Audits nach ISO 27001?

Interne Audits für ISO 27001 basieren auf einem Auditprogramm, das die Audits festlegt, die vor der Zertifizierung und während jedes Zertifizierungszeitraums durchgeführt werden müssen.

Sie Für die Durchführung jedes internen Audits ist die Auswahl eines kompetenten und objektiven Prüfers erforderlich Überprüfung der Einhaltung der Anforderungen des Standards, der eigenen Informationsanforderungen und Ziele der Organisation für das ISMS sowie der Wirksamkeit und Effizienz der Richtlinien, Prozesse und anderen Kontrollen.

Zu den Tätigkeiten eines internen Audits gehören:

• Überprüfung der Dokumentation
• Beweishafte Probenahme
• Mitarbeiterbefragung mit Schlüssel Verantwortlichkeiten im Bereich Informationssicherheit
• Befragung anderer Mitarbeiter (und möglicherweise Auftragnehmer)
• Beurteilung der Erkenntnisse
• Verfassen des Auditberichts.

Wie oft muss ich ein Audit durchführen?

Allerdings ist in der ISO 27001 selbst nicht klar, wie oft Sie interne Audits durchführen müssen. Es wird erwartet, dass das Auditprogramm denselben Anforderungen entspricht, die an die Zertifizierungsstellen für die Durchführung ihrer Audits gemäß ISO/IEC 27006:2015 – Anforderungen an Stellen, die Audits und Zertifizierungen von ISMS durchführen, gestellt werden.

Innerhalb ISO 27006 In Anforderung 9.1.5.2 e heißt es, dass das Auditprogramm „repräsentative Stichproben des Umfangs der ISMS-Zertifizierung innerhalb des Dreijahreszeitraums abdeckt“.

Daher müssen Sie während des Zertifizierungszeitraums (3 Jahre für UKAS-akkreditierte Zertifikate) interne Audits durchführen, die mindestens den gesamten Standard abdecken.

Sie könnten dies als einzelnes Audit durchführen, es wird jedoch häufiger in kleinere Audits über einen Zeitraum von drei Jahren unterteilt.

Es ist auch wichtig, einige Bereiche häufiger zu prüfen, wenn das Risiko hoch ist oder der Bereich häufigen Änderungen unterliegt.

Es wird empfohlen, dass Sie Auditierung des Managementsystems Anforderungen (Absätze 4–10) jährlich. Dies kann in Ihr ISMS-Management-Review eingebunden werden, das ebenfalls jährlich durchgeführt werden muss.

Innerhalb von ISMS.online stellen wir einen vorgefertigten Arbeitsbereich für das Auditprogramm bereit, der Folgendes umfasst:

• Aktivitäten für 2 empfohlene Audits vor der Zertifizierung
• Ein Plan interner Audits für den ersten dreijährigen Zertifizierungszeitraum
• Platzhalter für Ihre externe Zertifizierung und regelmäßige Audits

Warum muss ich einen Bericht für ein internes Audit erstellen?

Die Norm verlangt von Ihnen, die Auditergebnisse zu dokumentieren – Abschnitt 9.2 der ISO 27001 enthält die Anforderung, „dokumentierte Informationen als Nachweis der ……… Auditergebnisse aufzubewahren“.

Dies erfolgt im Rahmen eines Auditberichts.

Was ist bei der Erstellung des Berichts zu beachten?

Bevor Sie den Auditbericht dokumentieren können, müssen Sie natürlich das Audit planen und durchführen. Anschließend können Sie die Erkenntnisse im Bericht dokumentieren.

Beginnen Sie mit Ihrem ISO 27001-Auditplan

Für jedes Audit müssen Sie Folgendes planen:

• Was das Audit abdecken wird – welche Abschnitte des Standards, Standorte, Geschäftsprozesse usw
• Wer der Prüfer sein soll – muss kompetent und objektiv sein.
• Wenn das Audit durchgeführt wird, darf es keine wesentlichen nachteiligen Auswirkungen auf den Betrieb der Organisation haben.
• Die Methode(n) des Audits – Überprüfung der Dokumentation, Stichproben, Interviews usw
• Wer muss in die Prüfung einbezogen werden?

Überprüfung der Dokumentation

Bei jedem Audit ist die Überprüfung der relevanten Dokumentation erforderlich, einschließlich Richtlinien, Verfahren, Standards und Leitlinien, die für den/die Bereich(e) des zu auditierenden Standards relevant sind. Es ist eine gute Praxis, die zu prüfenden Personen über die abzudeckenden Bereiche zu informieren, um einen einfachen und zeitnahen Zugriff auf die relevante Dokumentation zu gewährleisten.

In ISMS.online wird dies vereinfacht, indem die Dokumentation entweder im System vorhanden ist oder im entsprechenden Abschnitt der Norm verlinkt wird.

Beweisproben und Interviews

Bei den meisten Prüfungen ist die Stichprobe von Beweismitteln in geringerem oder größerem Umfang erforderlich. Dies kann die Befragung relevanter Schlüsselmitarbeiter, Endbenutzer und manchmal sogar Zeitarbeitskräften und Auftragnehmern umfassen.

Quellen für die Probenahme können beispielsweise sein:

• Interviews mit Mitarbeitern und anderen Personen
• Beobachtungen von Aktivitäten sowie der umgebenden Arbeitsumgebung und -bedingungen
• Dokumente wie Richtlinien, Ziele, Pläne, Verfahren, Standards, Anweisungen, Lizenzen und Genehmigungen, Spezifikationen, Zeichnungen, Verträge und Bestellungen
• Aufzeichnungen wie Inspektionsprotokolle, Sitzungsprotokolle, Auditberichte, Aufzeichnungen des Überwachungsprogramms und Ergebnisse von Messungen
• Datenzusammenfassungen, Analysen und Leistungsindikatoren
• Informationen zu den Probenahmeplänen des geprüften Unternehmens und den Verfahren zur Kontrolle der Probenahme- und Messprozesse
• Berichte aus anderen Quellen, z. B. Kundenfeedback, externe Umfragen und Messungen, zusätzlich relevant Informationen von externen Parteien und Lieferanten Bewertungen
• Datenbanken und Websites
• Simulation und Modellierung

Analyse

Sobald die Datenerfassung für das Audit abgeschlossen ist, muss der Auditor die Ergebnisse bewerten und analysieren, um etwaige Nichtkonformitäten oder Verbesserungsmöglichkeiten festzustellen.

Befunde werden normalerweise in eine der folgenden Kategorien eingeteilt:

• Schwerwiegende Nichtkonformität
• Kleinere Abweichung
• Möglichkeit zur Verbesserung

Einige Zertifizierungsstellen verwenden auch:

• Beobachtung – wenn es frühe Anzeichen gibt, kann eine geringfügige Nichtkonformität vorliegen oder sich entwickeln, wenn keine Maßnahmen ergriffen werden.
• Positiver Punkt – wird entweder dann vergeben, wenn eine Organisation über anerkannte gute Praktiken hinausgegangen ist oder wenn es in einem Bereich seit dem letzten Audit erhebliche Verbesserungen gegeben hat.

Profil melden

Nach der Analyse der Ergebnisse kann nun der Auditbericht erstellt und der Person oder dem Team vorgelegt werden Verantwortlich für das ISMS zur Überprüfung und Nachbereitung.

Wie wird ein interner Revisionsbericht erstellt?

Der Prüfbericht muss wie folgt erstellt werden dokumentierte Informationen, aber das bedeutet nicht, dass es sich um ein separates Word- oder PDF-Dokument handeln muss. Innerhalb der ISMS.online-PlattformWir versuchen, die Erstellung solcher Dokumente zu vermeiden und stattdessen einen Arbeitsbereich bereitzustellen, in dem der Bericht direkt dokumentiert werden kann. Dieser Bereich bietet zusätzliche Funktionen, einschließlich der Möglichkeit der einfachen Verknüpfung mit anderen Arbeitsbereichen, Richtlinien, Kontrollen, Risiken, Korrekturmaßnahmen und Verbesserungs-„Tickets“ und mehr.

Erstellen Sie eine Zusammenfassung

Die Executive Summary ist nützlich, damit sich die Geschäftsleitung schnell und einfach einen Überblick über die Ergebnisse verschaffen kann, einschließlich möglicher kritischer Probleme, Trends und Verbesserungsmöglichkeiten. Dieses lässt sich dann ganz einfach mit dem verknüpfen ISMS-Managementbewertung gemäß Abschnitt 9.3.

Dazu gehören in der Regel:

• Ein allgemeiner Überblick über die Funktionsweise der im Audit abgedeckten Bereiche des ISMS.
• Eine numerische Zusammenfassung der Befundkategorien.
• Die Hervorhebung dringender/kritischer Erkenntnisse.
• Eine kurze Beschreibung der nächsten Schritte, die zur Behebung etwaiger Feststellungen unternommen werden müssen.

Stellen Sie die verwendete Terminologie vor

Um ein gemeinsames Verständnis der Ergebnisse des Berichts zu gewährleisten, ist es notwendig, die Definitionen einiger verwendeter Terminologien aufzunehmen, die entweder spezifisch für die Organisation, den Prüfungsprozess oder den Standard sind. Denken Sie daran, dass nicht jeder, der den Bericht lesen, bewerten und verstehen muss, zwangsläufig auch die gesamte verwendete Terminologie versteht.

Beschreiben Sie den Auditplan

Dies beinhaltet:

• Der Umfang des Audits – abzudeckende(r) Bereich(e), Standorte, Mitarbeiter, Geschäftsprozesse usw
• Der Name des/der Prüfer(s)
• Die Daten, Zeiten und Orte des Audits

Beschreiben Sie die gefundenen Fakten

Für jeden Abschnitt des Audits sollten Sie die Ergebnisse dokumentieren, einschließlich Notizen zu entnommenen Beweisproben.*

Es ist eine gute Praxis, die Einhaltung von Vorschriften und positive Punkte aufzuzeichnen und etwaige Nichtkonformitäten oder Verbesserungsmöglichkeiten zu dokumentieren.

Die Ergebnisse sollten die für das ISMS und den Standard relevanten Fakten aufzeichnen und keine Meinungen oder Vermutungen enthalten, die über eine vernünftige Extrapolation hinausgehen.

*Hinweis – wenn beweiskräftige Proben personenbezogene Daten enthaltenEs ist üblich, die Daten im Einklang mit datenschutzrechtlichen Anforderungen wie der DSGVO zu pseudonymisieren oder zu anonymisieren.

Dokumentieren Sie Abweichungen und Verbesserungsmöglichkeiten

Wenn Nichtkonformitäten und Verbesserungsmöglichkeiten identifiziert werden, müssen diese klar dokumentiert werden, damit Korrekturmaßnahmen und Verbesserungspunkte aufgezeichnet und durch die anerkannten Prozesse der Organisation verwaltet werden können, wie in Abschnitt 10.1 Nichtkonformität und Korrekturmaßnahmen dokumentiert. und 10.2 Kontinuierliche Verbesserungen.

Beschreiben Sie Empfehlungen

Da es sich um einen internen Auditbericht handelt, ist es einem Prüfer gestattet, Empfehlungen dazu abzugeben, wie eine Organisation mit den Feststellungen umgehen könnte. Letztlich müssen die Entscheidungen über Korrekturmaßnahmen und Verbesserungen von den jeweiligen Personen oder Teams getroffen werden, die für das ISMS und die Informationssicherheit verantwortlich sind.