So bereiten Sie sich auf ein internes ISO 27001-Audit vor – Die Perspektive des geprüften Unternehmens

Einleitung

An allen Prüfungen sind mindestens ein Prüfer (manchmal mehr als einer, wobei die verantwortliche Person allgemein als leitender Prüfer bekannt ist) und mindestens eine geprüfte Stelle beteiligt. Die Rolle der geprüften Stellen besteht darin, mit dem Prüfungsteam zusammenzuarbeiten, um:

  • Navigieren Sie durch die verschiedenen ISMS-Dokumente und -Systeme
  • Besprechen und vereinbaren Sie die Wirksamkeit der Teile des ISMS wird geprüft
  • Legen Sie bei Bedarf Nachweise darüber vor ISMS Vorgänge (normalerweise Datensätze)
  • Erläutern Sie die Hintergrundgedanken und den geschäftlichen Kontext des Audits

Der Schwerpunkt dieses Artikels liegt auf der Betrachtung der Vorbereitung auf interne Audits aus der Sicht des geprüften Unternehmens

 

Was ist ein internes ISO 27001-Audit?

Interne Audits der ISO 27001 unterstützen Organisationen dabei, sicherzustellen, dass ihre Anforderungen und die Anforderungen der Norm erfüllt werden. Beim internen Audit nach ISO 27001 wird zunächst festgestellt, ob ein Unternehmen über die erforderlichen Verfahren, Prozesse, Protokolle und Mitarbeiter verfügt, um seine Informationen und Informationsmanagementsysteme vor dem ISO 27001-Standard zu schützen. Zweitens wird bei der Prüfung durch Einsicht in Dokumente und Aufzeichnungen und mit Unterstützung der geprüften Stelle geprüft, ob die verschiedene ISMS-Komponenten funktionieren wie geplant und erfüllen die Anforderungen (achten Sie auf das Wort „soll“) der ISO-Norm.

Was brauchen wir für interne ISO 27001-Audits?

Mehrere Fahrer machen Durchführung interner Audits verpflichtend. Abschnitt 9.2 von ISO 27001 schreibt vor, dass Prüfungen in „geplanten Abständen“ durchgeführt werden. Die meisten Unternehmen sind bestrebt, einen echten Mehrwert aus ihrem ISMS zu schaffen, und das Top-Management leitet diese strategische Absicht. Interne Audits werden daher als wichtiges Instrument zur Geschäftsverbesserung angesehen und eingesetzt.

Durch die Durchführung eines internen Audits wird sichergestellt, dass die Abläufe eines Unternehmens planmäßig durchgeführt werden. Positives und negatives Feedback zu einem Projekt Die interne Revision ist für die Verbesserung der Informationsmanagementprozesse Ihrer Organisation von unschätzbarem Wert.

Jeder, dem wir bei der Zertifizierung nach ISO 27001 geholfen haben, hat beim ersten Mal bestanden. Du könntest auch.
Buchen Sie Ihre Demo

 

Der Unterschied zwischen externen und internen ISO 27001-Audits

Das externer Auditprozess ist im Wesentlichen identisch mit den internen Auditprozessen, doch gemeinsam ist ihnen letztlich das Ziel, die ISO 27001-Zertifizierung zu erreichen und aufrechtzuerhalten. In der Regel führen zertifizierte Stellen externe Audits durch professionelle Prüfer durch. Während die Prüfungsprozesse im Wesentlichen gleich sind, extern Audits sind tendenziell formeller und strukturierter als interne Audits.

Als Referenz finden Sie hier eine kurze Zusammenfassung der verschiedenen Audit-Typen

Audits durch Dritte

Dies ist der Fall, wenn eine andere Organisation Ihre Organisation prüft – das offensichtliche Beispiel ist die Prüfung Ihres ISMS durch die von Ihnen gewählte Zertifizierungsstelle – allgemein bekannt als „externes Audit“.

Audits durch Dritte

Dies kann innerhalb Ihrer Organisation erfolgen (ein Kunde prüft Sie) oder außerhalb Ihrer Organisation (z. B. prüfen Sie einen potenziellen oder aktuellen Lieferanten).

First-Party-Audits

Bei First-Party-Audits handelt es sich um ein internes Audit, bei dem sich eine Organisation selbst auditiert.

 

Definition des Audits

Um den größtmöglichen Nutzen aus Ihrem Audit zu ziehen, müssen Sie die Audit-Parameter vordefinieren. Dazu gehören der Umfang, die Kriterien und das Ziel des Audits. Das Prüfungsziel ist der Zweck oder das Ziel der Prüfung. Der Prüfungsumfang gibt an, welche Aktivitäten und Aufzeichnungen einer Prüfung unterliegen. Die Auditkriterien bestehen aus Richtlinien, Verfahren und Anforderungen, anhand derer das Audit geprüft wird, in diesem Fall anhand der Norm ISO 27001:2013.

 

Die Bedeutung der ISO 27001-Auditvorbereitung

Wenn es ein Produkt gibt, von dem wir uns alle mehr wünschen würden, dann ist es die Zeit. Wie Benjamin Franklin einmal sagte: „Wer sich nicht vorbereitet, bereitet sich auf das Scheitern vor.“ Ich bin mir sicher, dass er sich damals nicht auf ISO 27001-Audits bezog, aber die Relevanz besteht immer noch. Eine Prüfung Ihres gesamten Informationssicherheitsmanagementsystems, einschließlich seiner Technologien, Prozesse und Verfahren sowie seiner Mitarbeiter, wird sich mit ziemlicher Sicherheit als Herausforderung erweisen.

Je umfangreicher und komplexer die Organisation ist, desto wahrscheinlicher ist es, dass Auditergebnisse die Zertifizierung verzögern. Es gibt jedoch einige Schritte, die Sie im Voraus unternehmen können, um Ihre Prüfung effizienter und weniger mühsam zu gestalten. Stellen Sie sicher, dass Sie vor dem Audit alle erforderlichen Dokumente zusammentragen, um Ihre Compliance-Bemühungen nachzuweisen. Stellen Sie außerdem sicher, dass Sie die Anforderungen der relevanten Standardbereiche verstehen, die einer Prüfung unterliegen. Stellen Sie abschließend sicher, dass Sie in allen kontinuierlichen Arbeitsbereichen auf dem neuesten Stand sind, z Korrekturmaßnahmen, Managementbewertungen und das Auditprogramm; Diese werden mit hoher Wahrscheinlichkeit im Rahmen der internen Revision überprüft.

So bereiten Sie sich praktisch auf das Interne Audit vor

Sowohl der Auditor als auch die Organisation müssen angemessen auf das Audit vorbereitet sein. Während man sich über die Dokumentation Gedanken macht, vergisst man leicht, dass es viele praktische Dinge gibt, auf die man vorbereitet sein muss. Vor dem Audit (z. B. zwei Wochen vorher) ist es in der Regel eine gute Idee, sicherzustellen, dass alle relevanten Richtlinien/Verfahren/Systeme/Aufzeichnungen/Kontrollen so aktuell wie möglich sind und geeignete Genehmigungs-Audit-Trails vorhanden sind. Wenn Sie es für angebracht halten, können Sie Ihre relevanten Richtlinien, Prozesse und Verfahren noch einmal durchlesen, um sich noch einmal mit ihnen vertraut zu machen, und sie gegebenenfalls vor der Prüfung noch einmal durchgehen. Nachdem Sie dieses Dokument gelesen haben, wird es Sie nicht überraschen, dass Sie im Rahmen des Audits möglicherweise eine Dokumentation vorlegen müssen. Daher ist es wahrscheinlich eine gute Idee, sicherzustellen, dass Sie die Dokumentation vor dem Audit griffbereit haben oder zumindest wissen, wie Sie darauf zugreifen können. Wenn Sie in letzter Minute herumlaufen und nach Dingen suchen, verschwenden Sie nur Ihre Zeit und die der Prüfer. Zugang und Freigabe sollten im Voraus geklärt werden. Sie sollten alle notwendigen Sicherheitsberechtigungen sicherstellen, wie zum Beispiel den Zugang zum Serverraum oder eine Schlüsselkarte zum Lager. Ebenso müssen Sie möglicherweise im Voraus besondere Vorkehrungen treffen, z. B. einen Alarm ausschalten oder die Produktion vorübergehend unterbrechen.

Darüber hinaus benötigen Sie möglicherweise PSA für den Prüfer, wenn er einer gefährlichen Umgebung ausgesetzt ist, beispielsweise einen Schutzhelm oder sogar einen Overall. Dies ist besonders wichtig, da ein Versäumnis, dies zu vereinbaren, dazu führen kann, dass der Abschlussprüfer seinen Pflichten nicht nachkommt. Ebenso kann es eine bestimmte Abteilung oder Person geben, die geprüft wird, z Human Resources . Das müssen Sie sicherstellen Fachpersonal ist sich dessen bewusst über die Prüfung informiert und stehen dem Prüfer als Ansprechpartner zur Verfügung. Stellen Sie sicher, dass Sie Ihre Kollegen/Mitarbeiter rechtzeitig informieren. Der Auditplan hilft Ihnen bei der Ausarbeitung dieser Regelungen.

Schließlich müssen möglicherweise noch einige logistische Vorbereitungen getroffen werden, beispielsweise die Einrichtung eines geeigneten Arbeitsplatzes für den Prüfer. Dies könnte zur Bearbeitung der Prüfungsfeststellungen und der Niederschrift genutzt werden. Ebenso benötigt der Prüfer möglicherweise eine Internetverbindung, um einige Aspekte der Prüfung durchzuführen. Daher müssen Sie sie anweisen, einen Hotspot mitzubringen, wenn Ihre Richtlinien den Beitritt von Gästen zum Netzwerk nicht zulassen. Andererseits erleichtert es dem Prüfer die Arbeit, ein Gast-WLAN und ein Passwort zur Hand zu haben.

Keine Vorbereitung ist die beste Vorbereitung

Es mag Sie überraschen, aber das ideale ISMS müsste sich nicht auf ein Audit vorbereiten. Ein erfolgreiches ISMS ist auf dem neuesten Stand kontinuierliche Standardanforderungen wie Management-Reviews, Audits, Korrekturmaßnahmen usw. Sich über diese Arbeitsbereiche auf dem Laufenden zu halten, wird Ihnen nur als Hilfe für Ihre Geschäftspraktiken dienen Kontinuierliche Verbesserungen Ihres ISMS. Vor Ihrer Prüfung sind möglicherweise einige Reinigungsarbeiten angebracht. Allerdings bietet Ihnen ein System, das Sie an To-Dos, anstehende Aufgaben, Richtlinienüberprüfungen und andere fortlaufende Aufgaben erinnert, die beste Chance, ISO-Panik zu vermeiden. Hier kommen wir ins Spiel. Wir bieten ein Komplettpaket Plattform für die Verwaltung und den Aufbau Ihres ISMS. Dank unserer Lösungen, können Ihr Unternehmen, Ihre Kunden und andere Stakeholder auf Compliance-Vertrauen und Zertifizierungssicherheit vertrauen. Vom Informationssicherheits-Neuling bis zum erfahrenen Veteranen sind wir es gewohnt, mit Kunden unterschiedlichster Herkunft zusammenzuarbeiten. Während Ihr Unternehmen wächst und sich verändert, entstehen ständig neue Bedrohungen für die Informationssicherheit. Wir haben unsere Plattform entworfen um Ihnen zu helfen, es an all das und noch mehr anzupassen, während sich die Welt weiterentwickelt.

 

Frühere Prüfungsergebnisse und Korrekturmaßnahmen – Werden sie geprüft?

Ziel ist es, das ISMS intern anhand der ISO 27001 zu prüfen, sodass keine neuen Nichtkonformitäten entstehen. Deshalb müssen Sie mit der Gewissheit der Konformität in das Audit gehen. Daher ist eine Überprüfung der Dokumentation unerlässlich. Wir müssen überprüfen, ob alle Richtlinien eingereicht und von meinem Management genehmigt wurden. Andernfalls könnte die Konformität zu Kl.5.2 gefährdet sein.

Darüber hinaus wäre es hilfreich, wenn Sie sich die Korrekturmaßnahmen im ISMS ansehen würden; Diese Daten können zur Vorbereitung Ihres bevorstehenden internen Audits genutzt werden. Die von der CA bereitgestellten Informationen (Korrekturmaßnahmen) zeigen Ihnen zuvor identifizierte Bereiche auf, die einer Verbesserung bedürfen. Manchmal können die Korrekturmaßnahmen aus einer Managementbewertung oder einer Reaktion auf einen Sicherheitsvorfall stammen. Wir werden uns jedoch auf Korrekturmaßnahmen konzentrieren, die sich aus einem Audit ergeben. Diese Zertifizierungsstellen müssen unbedingt überprüft werden, da sie mit ziemlicher Sicherheit bei Ihrem Audit überprüft werden. Das folgende Audit muss sich mit den Verbesserungsmöglichkeiten und allen Abweichungen befassen, die bei Ihrem vorherigen Audit zutage getreten sind. Dies soll Ihr anhaltendes Engagement für die kontinuierliche Verbesserung des ISMS unter Beweis stellen. Da der Begriff „angesprochen“ vage ist, stehen wir zur Klärung zur Verfügung. Um die Konformität in diesem Bereich zu erreichen, müssen Sie dem Prüfer nachweisen, dass Sie die empfohlenen Änderungen umgesetzt haben. Dies geschieht mithilfe unseres Korrekturmaßnahmen-Trackers und des verknüpfte Arbeitsfunktion um die Änderungen anzuzeigen, die Sie als Reaktion auf das Ergebnis vorgenommen haben. Wenn Sie die Schulung nicht umgesetzt haben, geraten Sie nicht in Panik, die Einhaltung ist immer noch möglich. Es muss nachgewiesen werden, dass über die Feststellung nachgedacht wird und entsprechend gehandelt wird. Im Allgemeinen reicht es aus, den Befund einfach im CA-Tracker zu dokumentieren und ein Fälligkeitsdatum/einen Beauftragten festzulegen; Es zeigt, dass Ihr Unternehmen den Vorschlag berücksichtigt und dabei ist, über die nächste Vorgehensweise zu entscheiden. Darüber hinaus müssen alle überfälligen CAs vor jedem Audit angegangen werden, um das Engagement für eine kontinuierliche Verbesserung des ISMS zu demonstrieren.

 

Warum sollten Sie uns wählen?

Alliantist, das Unternehmen hinter ISMS.online, ist von einer vom UKAS akkreditierten Zertifizierungsstelle nach ISO 27001 zertifiziert. Wir bieten unseren Kunden umfassende ISO- und ISMS-Unterstützung. Je nachdem, für welches Paket sie sich entscheiden, variiert der Umfang der Unterstützung, die sie erhalten, aber es werden immer echte Menschen involviert sein. Weitere Informationen finden Sie in unseren Support-Richtlinien oder wenden Sie sich gerne an unsere Support-Abteilung. Compliance- und Zertifizierungssicherheit können Sie mit unseren Dienstleistungen ganz einfach für Ihr Unternehmen, Ihre Kunden und andere Stakeholder erreichen. Wir sind es gewohnt, mit Kunden auf allen Ebenen zusammenzuarbeiten Neueinsteiger zu Veteranen.

Bereit zum Handeln?

Buchen Sie Ihre Demo

CTA-Bild

 

« So schreiben Sie einen internen Prüfungsbericht für ISO 27001

Welche verschiedenen Arten von internen Audits nach ISO 27001 gibt es? »

Zuletzt bearbeitet: 20. Juni 2022
Autor

Sami Derfoufi

Sami trat der ISMS.online Academy bei und absolvierte eine Reihe von Schulungen zu ISO 27001 und Compliance.

Alle Beiträge von Sami Derfoufi anzeigen

Zusammenhängende Posts

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren