Im Rahmen der Managementsystemanforderungen ist Klausel 9.2 Einzelheiten dazu, was bei internen Audits zu tun ist. Hierzu gehört auch die Verpflichtung zur Aufbewahrung dokumentierter Nachweis der Prüfung Ergebnisse, und zwar in Form eines Prüfberichtes.
An ISO 27001 Bei der internen Revision handelt es sich um einen kompetenten und objektiven Prüfer, der die Prüfung durchführt ISMS oder Elemente davon und testen, dass:
Zusätzlich zur allgemeinen Konformität und Wirksamkeit des ISMS, as ISO 27001 soll es einer Organisation ermöglichen, ihre Informationssicherheit zu verwalten Um die Risiken auf ein erträgliches Maß zu reduzieren, muss überprüft werden, ob die implementierten Kontrollen das Risiko tatsächlich so weit reduzieren, dass der/die Risikoeigentümer das Restrisiko gerne tolerieren.
Ziffer 9.2 Interne Revisionsmandate:
„Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber bereitzustellen, ob das Informationssicherheitsmanagementsystem:
a) entspricht
b) wirksam umgesetzt und aufrechterhalten wird.
Die Organisation muss:
c) ein oder mehrere Prüfprogramme planen, einrichten, umsetzen und aufrechterhalten, einschließlich Häufigkeit, Methoden, Verantwortlichkeiten, Planungsanforderungen und Berichterstattung. Das/die Auditprogramm(e) müssen die Bedeutung der betreffenden Prozesse und die Ergebnisse früherer Audits berücksichtigen;
d) die Prüfungskriterien und den Prüfungsumfang für jede Prüfung festlegen;
e) Prüfer auswählen und Prüfungen durchführen, die die Objektivität und Unparteilichkeit des Prüfungsprozesses gewährleisten;
f) sicherstellen, dass die Ergebnisse der Audits dem zuständigen Management gemeldet werden; Und
g) dokumentierte Informationen als Nachweis für das/die Auditprogramm(e) und die Auditergebnisse aufbewahren.“
Laden Sie Ihren kostenlosen Leitfaden für eine schnelle und nachhaltige Zertifizierung herunter
Wir benötigen nur ein paar Details, damit wir Ihnen Ihren Leitfaden zur erstmaligen Erreichung von ISO 27001 per E-Mail zusenden können
Laden Sie jetzt Ihren kostenlosen Leitfaden herunter und wenn Sie Fragen haben, dann Demo buchen or Kontakt. Wir helfen Ihnen gerne weiter.
Interne Audits für ISO 27001 basieren auf einem Auditprogramm, das die Audits festlegt, die vor der Zertifizierung und während jedes Zertifizierungszeitraums durchgeführt werden müssen.
Sie Für die Durchführung jedes internen Audits ist die Auswahl eines kompetenten und objektiven Prüfers erforderlich Überprüfung der Einhaltung der Anforderungen des Standards, der eigenen Informationsanforderungen und Ziele der Organisation für das ISMS sowie der Wirksamkeit und Effizienz der Richtlinien, Prozesse und anderen Kontrollen.
Zu den Tätigkeiten eines internen Audits gehören:
Allerdings ist in der ISO 27001 selbst nicht klar, wie oft Sie interne Audits durchführen müssen. Es wird erwartet, dass das Auditprogramm denselben Anforderungen entspricht, die an die Zertifizierungsstellen für die Durchführung ihrer Audits gemäß ISO/IEC 27006:2015 – Anforderungen an Stellen, die Audits und Zertifizierungen von ISMS durchführen, gestellt werden.
Innerhalb ISO 27006 In Anforderung 9.1.5.2 e heißt es, dass das Auditprogramm „repräsentative Stichproben des Umfangs der ISMS-Zertifizierung innerhalb des Dreijahreszeitraums abdeckt“.
Daher müssen Sie während des Zertifizierungszeitraums (3 Jahre für UKAS-akkreditierte Zertifikate) interne Audits durchführen, die mindestens den gesamten Standard abdecken.
Sie könnten dies als einzelnes Audit durchführen, es wird jedoch häufiger in kleinere Audits über einen Zeitraum von drei Jahren unterteilt.
Es ist auch wichtig, einige Bereiche häufiger zu prüfen, wenn das Risiko hoch ist oder der Bereich häufigen Änderungen unterliegt.
Es wird empfohlen, dass Sie Auditierung des Managementsystems Anforderungen (Absätze 4–10) jährlich. Dies kann in Ihr ISMS-Management-Review eingebunden werden, das ebenfalls jährlich durchgeführt werden muss.
Innerhalb von ISMS.online stellen wir einen vorgefertigten Arbeitsbereich für das Auditprogramm bereit, der Folgendes umfasst:
Unser ISMS ist mit Tools, Frameworks und Dokumentation vorkonfiguriert, die Sie übernehmen, anpassen oder ergänzen können. Einfach.
Unsere Assured-Results-Methode ist darauf ausgelegt, Sie gleich beim ersten Versuch zertifizieren zu lassen. 100 % Erfolgsquote.
Vergessen Sie zeitraubende und kostspielige Schulungen. Unsere Virtual Coach-Videoserie steht Ihnen rund um die Uhr zur Verfügung, um Sie dabei zu unterstützen.
Die Norm verlangt von Ihnen, die Auditergebnisse zu dokumentieren – Abschnitt 9.2 der ISO 27001 enthält die Anforderung, „dokumentierte Informationen als Nachweis der ……… Auditergebnisse aufzubewahren“.
Dies erfolgt im Rahmen eines Auditberichts.
Bevor Sie den Auditbericht dokumentieren können, müssen Sie natürlich das Audit planen und durchführen. Anschließend können Sie die Erkenntnisse im Bericht dokumentieren.
Für jedes Audit müssen Sie Folgendes planen:
Bei jedem Audit ist die Überprüfung der relevanten Dokumentation erforderlich, einschließlich Richtlinien, Verfahren, Standards und Leitlinien, die für den/die Bereich(e) des zu auditierenden Standards relevant sind. Es ist eine gute Praxis, die zu prüfenden Personen über die abzudeckenden Bereiche zu informieren, um einen einfachen und zeitnahen Zugriff auf die relevante Dokumentation zu gewährleisten.
In ISMS.online wird dies vereinfacht, indem die Dokumentation entweder im System vorhanden ist oder im entsprechenden Abschnitt der Norm verlinkt wird.
Bei den meisten Prüfungen ist die Stichprobe von Beweismitteln in geringerem oder größerem Umfang erforderlich. Dies kann die Befragung relevanter Schlüsselmitarbeiter, Endbenutzer und manchmal sogar Zeitarbeitskräften und Auftragnehmern umfassen.
Quellen für die Probenahme können beispielsweise sein:
Mit ISMS.online sparen Sie Zeit und Geld bei der ISO 27001-Zertifizierung und vereinfachen die Wartung.
Informationssicherheitsmanager, Honeysuckle Health
Sobald die Datenerfassung für das Audit abgeschlossen ist, muss der Auditor die Ergebnisse bewerten und analysieren, um etwaige Nichtkonformitäten oder Verbesserungsmöglichkeiten festzustellen.
Befunde werden normalerweise in eine der folgenden Kategorien eingeteilt:
Einige Zertifizierungsstellen verwenden auch:
Nach der Analyse der Ergebnisse kann nun der Auditbericht erstellt und der Person oder dem Team vorgelegt werden Verantwortlich für das ISMS zur Überprüfung und Nachbereitung.
Der Prüfbericht muss wie folgt erstellt werden dokumentierte Informationen, aber das bedeutet nicht, dass es sich um ein separates Word- oder PDF-Dokument handeln muss. Innerhalb der ISMS.online-PlattformWir versuchen, die Erstellung solcher Dokumente zu vermeiden und stattdessen einen Arbeitsbereich bereitzustellen, in dem der Bericht direkt dokumentiert werden kann. Dieser Bereich bietet zusätzliche Funktionen, einschließlich der Möglichkeit der einfachen Verknüpfung mit anderen Arbeitsbereichen, Richtlinien, Kontrollen, Risiken, Korrekturmaßnahmen und Verbesserungs-„Tickets“ und mehr.
Die Executive Summary ist nützlich, damit sich die Geschäftsleitung schnell und einfach einen Überblick über die Ergebnisse verschaffen kann, einschließlich möglicher kritischer Probleme, Trends und Verbesserungsmöglichkeiten. Dieses lässt sich dann ganz einfach mit dem verknüpfen ISMS-Managementbewertung gemäß Abschnitt 9.3.
Dazu gehören in der Regel:
Um ein gemeinsames Verständnis der Ergebnisse des Berichts zu gewährleisten, ist es notwendig, die Definitionen einiger verwendeter Terminologien aufzunehmen, die entweder spezifisch für die Organisation, den Prüfungsprozess oder den Standard sind. Denken Sie daran, dass nicht jeder, der den Bericht lesen, bewerten und verstehen muss, zwangsläufig auch die gesamte verwendete Terminologie versteht.
Dies beinhaltet:
Für jeden Abschnitt des Audits sollten Sie die Ergebnisse dokumentieren, einschließlich Notizen zu entnommenen Beweisproben.*
Es ist eine gute Praxis, die Einhaltung von Vorschriften und positive Punkte aufzuzeichnen und etwaige Nichtkonformitäten oder Verbesserungsmöglichkeiten zu dokumentieren.
Die Ergebnisse sollten die für das ISMS und den Standard relevanten Fakten aufzeichnen und keine Meinungen oder Vermutungen enthalten, die über eine vernünftige Extrapolation hinausgehen.
*Hinweis – wenn beweiskräftige Proben personenbezogene Daten enthaltenEs ist üblich, die Daten im Einklang mit datenschutzrechtlichen Anforderungen wie der DSGVO zu pseudonymisieren oder zu anonymisieren.
Wenn Nichtkonformitäten und Verbesserungsmöglichkeiten identifiziert werden, müssen diese klar dokumentiert werden, damit Korrekturmaßnahmen und Verbesserungspunkte aufgezeichnet und durch die anerkannten Prozesse der Organisation verwaltet werden können, wie in Abschnitt 10.1 Nichtkonformität und Korrekturmaßnahmen dokumentiert. und 10.2 Kontinuierliche Verbesserungen.
Da es sich um einen internen Auditbericht handelt, ist es einem Prüfer gestattet, Empfehlungen dazu abzugeben, wie eine Organisation mit den Feststellungen umgehen könnte. Letztlich müssen die Entscheidungen über Korrekturmaßnahmen und Verbesserungen von den jeweiligen Personen oder Teams getroffen werden, die für das ISMS und die Informationssicherheit verantwortlich sind.
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Die ISMS.online-Plattform macht das Erstellen von Word-Dokumenten, PDFs und Tabellenkalkulationen überflüssig und bietet eine Komplettlösung zur einfachen Dokumentation und Verknüpfung aller Aspekte des ISMS, einschließlich der Dokumentation von Auditberichten.
ISMS.online enthält ein vorgefertigtes Auditprogrammprojekt, das sowohl interne als auch externe Audits abdeckt.
Das vorgefertigte Auditprogramm umfasst:
Jede interne Auditaktivität enthält eine Vorlage für einen kombinierten Auditplan und -bericht.
Vor der Durchführung des Audits dient die Vorlage als Auditplan – einschließlich der zu prüfenden Bereiche und der Hinweise zur Aufzeichnung, wann und von wem das Audit durchgeführt wird.
Während oder nach der Durchführung der Prüfung kann der Prüfer Notizen direkt in die Vorlage für die Prüfungsaktivität schreiben.
Neben der einfachen Bereitstellung der Audit-Aktivitätsvorlagen bietet ISMS.online auch die Möglichkeit, sich schnell mit anderen Arbeitsbereichen innerhalb der Plattform zu verknüpfen, was bedeutet, dass die Verknüpfung von Audit-Ergebnissen mit Kontrollen, Korrekturmaßnahmen und Verbesserungen und sogar mit Risiken einfach und zugänglich ist. Dadurch können Sie Ihrem externen Prüfer die ganzheitliche Verwaltung der ermittelten Feststellungen einfach nachweisen.
Kontakt, und wir können Sie unterstützen.
ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.
Arbeiten Sie ganz einfach zusammen, erstellen Sie Dokumente und zeigen Sie, dass Sie jederzeit den Überblick über Ihre Dokumentation haben
Mehr erfahrenBewältigen Sie Bedrohungen und Chancen mühelos und erstellen Sie dynamische Leistungsberichte
Mehr erfahrenTreffen Sie bessere Entscheidungen und zeigen Sie mit Dashboards, KPIs und zugehörigen Berichten, dass Sie die Kontrolle haben
Mehr erfahrenMachen Sie Korrekturmaßnahmen, Verbesserungen, Audits und Managementbewertungen zu einem Kinderspiel
Mehr erfahrenBeleuchten Sie kritische Beziehungen und verknüpfen Sie Bereiche wie Vermögenswerte, Risiken, Kontrollen und Lieferanten elegant
Mehr erfahrenWählen Sie Vermögenswerte aus der Asset Bank aus und erstellen Sie ganz einfach Ihr Asset-Inventar
Mehr erfahrenSofort einsatzbereite Integrationen mit Ihren anderen wichtigen Geschäftssystemen, um Ihre Compliance zu vereinfachen
Mehr erfahrenFügen Sie sorgfältig weitere Compliance-Bereiche hinzu, die sich auf Ihr Unternehmen auswirken, um noch mehr zu erreichen
Mehr erfahrenBinden Sie Mitarbeiter, Lieferanten und andere jederzeit mit dynamischer End-to-End-Compliance ein
Mehr erfahrenVerwalten Sie Due Diligence, Verträge, Kontakte und Beziehungen über deren Lebenszyklus
Mehr erfahrenOrdnen Sie interessierte Parteien visuell zu und verwalten Sie sie, um sicherzustellen, dass ihre Bedürfnisse klar berücksichtigt werden
Mehr erfahrenStarke Privatsphäre durch Design und Sicherheitskontrollen, die Ihren Bedürfnissen und Erwartungen entsprechen
Mehr erfahren