Welche verschiedenen Arten von internen Audits nach ISO 27001 gibt es?

Einleitung

Diese Seite wurde erstellt, um die verschiedenen Arten interner ISO 27001-Audits zu erläutern. Zunächst legen wir den Grundstein, indem wir kurz die Anforderungen in der ISO 27001-Norm selbst erläutern, und dann sprechen wir über ein ISMS, warum es einer Prüfung bedarf und welche Ziele es hat. Wenn Sie mit diesen Titeln vertraut sind, scrollen Sie bitte zur zweiten Hälfte, in der es speziell um interne Audits und Methoden geht.

Was ist ISO 27001?

ISO 27001 ist ein von der Internationalen Organisation für Normung erstellter Standard. Es dient als Rahmenwerk für eine Organisation Informationssicherheits-Managementsystem (ISMS). Der Standard besteht aus zwei einfachen Abschnitten, den Abschnitten (Anforderungen und daher nicht optional) und Anhang A Steuerung (wird optional verwendet, um identifizierte Informationssicherheitsrisiken zu mindern).

Das Informationssicherheitsmanagementsystem (ISMS) muss gemäß ISO 27001 konzipiert, gepflegt und kontinuierlich verbessert werden. Es trägt dazu bei, bewährte Praktiken in der Informationssicherheit zu demonstrieren, auch in Teilen der EU Datenschutz-Grundverordnung (DS-GVO), indem wir dabei helfen, strenge Datensicherheitsprinzipien und daraus resultierende Prozesse, Systeme und Infrastruktur in allen Aspekten Ihres Unternehmens zu etablieren.

Was ist ein Informationssicherheits-Managementsystem (ISMS)?

Ein Informationssicherheits-Managementsystem beschreibt und demonstriert den Ansatz Ihres Unternehmens oder Ihrer Organisation zum Schutz von Daten und zur Wahrung der Privatsphäre. Es legt die Richtlinien, Verfahren, Systeme und anderen Komponenten fest, die zur Durchsetzung verwendet werden Informationssicherheit in der gesamten Organisation. Ein ISMS berücksichtigt auch interessierte Parteien (z. B. Lieferanten), der Umfang Ihrer Organisation (wo und wofür Ihr ISMS gilt) sowie interne und externe Probleme. Für Letzteres können Sie festlegen, dass diese Probleme Risiken oder Chancen für Ihr Unternehmen mit sich bringen, auf die Sie dann in Ihrem ISMS reagieren.

Warum brauchen Sie ein ISMS?

An Das Informationssicherheits-Managementsystem hilft bei der Identifizierung und Minderung von Risiken im Zusammenhang mit Ihren wertvollsten Informationen und den damit verbundenen Vermögenswerten. Letztendlich kann ein funktionierendes ISMS es einem Unternehmen ermöglichen, die durch Sicherheitsbedrohungen verursachten Störungen zu minimieren und zu berücksichtigen ständige Verbesserung. Zusätzlich zu diesem intern fokussierten Wert hat ein erfolgreiches ISMS oft einen greifbaren kommerziellen Wert.

Warum sollten Sie Ihr ISMS prüfen?

An Audit Ihres ISMS ermöglicht die Überprüfung des Managementsystems durch einen objektiven und kompetenten Prüfer. Dabei werden die Elemente des ISMS anhand von Standardanforderungen getestet. Es wird auch einen besseren Einblick in die ermöglichen das aktuelle Niveau der Organisation, ihre Bedürfnisse zu erfüllen und Unternehmensziele. Die Effizienz und Praktikabilität der schriftlichen Richtlinien und Verfahren werden ebenfalls gemessen. Zuletzt ein Audit Ihres ISMS kann auch die positiven Ergebnisse zur Kenntnis nehmen, um sicherzustellen, dass sie angemessen gepflegt werden und Entwicklungsmöglichkeiten für eine kontinuierliche Verbesserung bieten.

Was ist ein internes Audit?

Im Rahmen eines internen Audits Der Abschlussprüfer sammelt und dokumentiert Fakten in Zusammenarbeit mit der geprüften Stelle. Ein internes Audit misst die tatsächlichen Praktiken (und die daraus resultierenden Ergebnisse, wie z. B. Aufzeichnungen) anhand Ihrer ISMS, abgestimmt auf ISO 27001 Standard. Es stellt sicher, dass Sie Best Practices befolgen und Prozesse zum Schutz sensibler Daten. Ein kompetenter Prüfer muss ein internes Audit von innen oder (optional von außen, z. B. einem Berater) in enger Zusammenarbeit mit der Organisation durchführen.

Warum führen wir interne Audits durch?

Abschnitt 9.2 von ISO 27001 (und viele andere moderne ISO-Standards) verlangen, dass interne Audits in „geplanten Abständen“ durchgeführt werden. Daher müssen wir zunächst regelmäßige interne Audits durchführen. Im Übrigen sind die anderen Anforderungen von Abschnitt 9.2 recht einfach: Wir müssen unsere Prüfungsergebnisse dokumentieren und sicherstellen, dass das Prüfungsprogramm geplant, aber dynamisch ist. Dieser letzte Punkt stellt sicher, dass Sie dies berücksichtigen und entsprechend reagieren, wenn sich Ihr Unternehmen und das externe Geschäftsumfeld ändern.

Abgesehen von den ISO-Anforderungen sollten Sie dazu motiviert sein, mehrere zentrale organisatorische Faktoren zu prüfen:

• Ineffizienzen in Prozessen erkennen
• Erkennen von Mängeln bei der Erfüllung der Anforderungen der Norm
• Um bewährte Praktiken zu identifizieren, die repliziert werden können
• Nach möglichen Verbesserungen suchen
• Compliance erkennen

Arten interner ISO 27001-Audits

Beim Erreichen und Aufrechterhalten der ISO 27001-Zertifizierung kann es vorkommen, dass Sie ein internes Audit benötigen. Es gibt mehrere Möglichkeiten, Ihre interne Revisionsstrategie umzusetzen. Es gibt Zeiten auf Ihrem Weg zur Zertifizierung, in denen ein internes Audit Ihr Vertrauen in ein externes Audit stärken kann. Im Vorfeld der Erstzertifizierung bieten sich zwei tolle Möglichkeiten für ein internes Audit. Diese können als Vorprüfung der Stufe 1 (Bereitschaftsprüfung) und als Prüfung der Vorstufe 2 bezeichnet werden.

Erläuterungen zum Audit vor Stufe 1

Eine Vorstufe 1 ist ein Audit, das optional, aber sehr häufig, für ISO 27001 durchgeführt werden kann und sich darauf konzentriert, ob die aktuelle Richtlinien und Verfahren den in der Norm festgelegten Anforderungen entsprechen. Ein Pre-Stage-1-Audit kann auch als Readiness Review bezeichnet werden und betrachtet im Allgemeinen nur die von Ihrer Organisation erstellten dokumentierten Komponenten (Richtlinien, Verfahren usw.) Ihres ISMS und prüft, ob diese dem Standard entsprechen. Das Das Audit trägt dazu bei, dass Ihre Organisation besser auf eine externe Phase vorbereitet ist 1 Dokumentenprüfung durch eine Zertifizierungsstelle.

Das Ergebnis eines Audits vor Stufe 1 wäre ein Dokument, das eine Liste der Kontrollen und enthält Klauseln und ob die Organisation diese einhält mit jedem Normbereich. Es wird auch Möglichkeiten für Verbesserungen (OFIs) geben, die die Richtlinien hervorheben, die sich mit der Klausel oder dem Anhang befassen und möglicherweise überarbeitet werden müssen. Schließlich können Nichtkonformitäten aufgeführt werden, wenn der Prüfer der Meinung ist, dass das ISMS nicht mit der Norm ISO 27001 übereinstimmt.

Erläuterungen zum Audit vor Stufe 2

Das Audit vor Stufe 2 umfasst in der Regel eine ISO 27001-Kontrolle oder -Klausel Ihrer Wahl. Dieses Audit beweist die Wirksamkeit Ihrer Auditverfahren und -richtlinien in der Praxis. Dies baut auf dem Audit vor Stufe 1 auf und stellt sicher, dass Ihr Unternehmen die definierten Prozesse implementiert und praktiziert. Diese Bereiche werden vom Prüfer getestet und untersucht, um den aktuellen Stand Ihrer Organisation darzustellen Einhaltung der Informationssicherheit. Erkenntnisse werden erfasst und in Ihrem ISMS gespeichert.

In Anlehnung an Abschnitt 10 der ISO 27001, der sich mit Verbesserungen und Korrekturmaßnahmen befasst, dokumentiert eine Organisation nach Abschluss eines internen Audits vor Stufe 2 ihre Nichtkonformitäten und Verbesserungsbereiche innerhalb ihres ISMS. Für jede Feststellung wird ein Überprüfungstermin festgelegt, sobald ein Handlungsbedarf festgestellt wurde.

Audit-Programm

Das Die Norm ISO 27001 erfordert ein Audit Programm. Ein Auditprogramm definiert in der Regel einen Dreijahresplan zwischen externen Rezertifizierungsaudits. Ein robustes ISMS-Framework wie ISMS.online Gibt einen Projektbereich an, in dem die Zeitrahmen für die Prüfung festgelegt werden und in dem detailliert beschrieben wird, was angegangen werden muss, sowie andere relevante Details der geplanten Prüfung.

Innerhalb dieser drei Jahre sollten grundsätzlich alle Standardbereiche mindestens einmal bearbeitet werden. Auditprogramme können und müssen flexibel sein, um Ihren Anforderungen gerecht zu werden Bedürfnisse der Organisation und müssen nicht zu einem festgelegten Modell passen.

Jedes Audit wird geplant und der Auditplan enthält normalerweise Details wie:

• Wenn die Prüfung durchgeführt werden muss (den normalen Geschäftsbetrieb nicht stören)
• Welche Bereiche der Norm sollen abgedeckt werden?
• Wer führt die Prüfung durch?
• Das Ziel – warum wird das Audit durchgeführt? Dies kann ein geplantes Audit oder ein erneutes Audit eines zuvor identifizierten Nichtkonformitätsbereichs sein.
• Der Umfang des Audits – welche Unternehmensbereiche sollen in der zur Verfügung stehenden Zeit abgedeckt werden?

Es gibt subtil unterschiedliche Prüfmethoden:

• Audits können Klausel für Klausel und Kontrolle für Kontrolle durchgeführt werden. Ein gutes Beispiel dafür, wo dieser Ansatz hilfreich wäre, ist allgemeinerer Natur Anhang A-Kontrollen, wodurch ein Risiko für jeden gemindert wird. Dies würde bedeuten, Teile des Standards auszuwählen und einen vordefinierten Teil oder die gesamte Organisation zu prüfen. Ein Beispiel hierfür wäre A.11 Physische Sicherheit für jedes Ihrer Büros oder Standorte.
• Eine weitere Prüfungsmethode umfasst die Durchführung von Abteilungsprüfungen. Bei dieser Methode geht es darum, Audits auf der Grundlage von Abteilungsstrukturen und Arbeitsbereichen durchzuführen. Ein Abteilungsaudit kann sinnvoll sein, wenn Abteilungen in unterschiedlichen Regionen tätig sind. Ein Beispiel könnte ein Audit Ihres Unternehmens sein Personalabteilung (HR)-Abteilung und deren ISMS-Komponenten.
• Audits können auch auf Basis von Produkten/Dienstleistungen durchgeführt werden. Hierbei werden die Aufgaben und Vorgänge betrachtet, die zur Lieferung eines bestimmten Produkts erforderlich sind. Ein pragmatischer Weg, dies zu erreichen, besteht darin, vom Endprodukt auszugehen und rückwärts bis zu dem Zeitpunkt vorzuarbeiten, an dem die Maßnahmen erstmals eingeleitet wurden. Im Wesentlichen handelt es sich hierbei um eine Prüfung eines Prozesses.

Ungeplante/zusätzliche Audits

Manchmal haben Sie vielleicht das Gefühl, dass Sie Audits außerhalb Ihres anfänglichen Auditprogramms in Ihrer Organisation durchführen müssen. Dies kann mehrere Gründe haben, die mit der Wirksamkeit Ihres ISMS zusammenhängen. Geplante Audits sind eine Möglichkeit zu zeigen, dass Ihr Unternehmen proaktiv ist und eine kontinuierliche Verbesserung anstrebt. Es kann jedoch genauso wichtig sein, auf die Umstände Ihrer Organisation zu reagieren – dies ist Ihre Entscheidung, da es sich nicht um eine handelt Anforderung der ISO 27001.

Ein weiterer Grund, warum eine Organisation möglicherweise eine ungeplante Prüfung durchführen muss, wäre die Reaktion auf einen Sicherheitsvorfall oder ein Katastrophenereignis. Sollte es zu einer Sicherheitsverletzung durch eine Phishing-E-Mail kommen, könnte es für eine Organisation angebracht sein, Anhang A, Kontrolle A.7.2.2, zu prüfen, in der es um die Sensibilisierung und Schulung der Mitarbeiter geht. Damit soll sichergestellt werden, dass es nicht erneut zu Sicherheitsbeeinträchtigungen dieser Art kommt.

Ein Beispiel dafür, warum Sie möglicherweise zusätzliche Audits durchführen möchten, sind die Ergebnisse Ihrer geplanten Audits. Angenommen, Sie stellen in einem bestimmten Prüfbereich Nichtkonformitäten fest, ist es möglicherweise am besten, diese bestimmte Kontrolle oder Klausel in regelmäßigeren Abständen zu prüfen, bis das Problem weniger auftritt oder das Risiko tolerierbarer wird. Dies hängt von Ihrer Risikobereitschaft, dem potenziellen Schaden und der Häufigkeit von Nichtkonformitäten ab. Es kann auch hilfreich und angemessen sein, eine interne Prüfung aller Korrekturmaßnahmen durchzuführen, um den Erfolg sicherzustellen.

Prüfungsergebnisse

Bei der Durchführung eines Audits ist es wichtig, Ihre Entdeckungen zu dokumentieren und sicherzustellen ständige Verbesserung. Positive Ergebnisse werden ebenfalls zur Kenntnis genommen, um die Entwicklung von Ideen zu unterstützen und sicherzustellen, dass bewährte Verfahren beibehalten werden. Nichtkonformitäten werden aufgezeichnet, um sicherzustellen, dass Korrekturmaßnahmen ergriffen und Probleme einem verantwortlichen Eigentümer zugewiesen werden. Eine häufig strukturierte Art und Weise, wie Prüfungsergebnisse dokumentiert werden, ist wie folgt:

• Konformität – Es wird beurteilt, dass die Vereinbarungen die Anforderungen der anwendbaren Klausel(n) oder Kontrolle(n) angemessen erfüllen.
• Möglichkeiten für Verbesserung – Festgestellte Bereiche, in denen das ISMS könnte nach Ermessen der Organisation möglicherweise verbessert werden. Die Organisation sollte die Feststellung sorgfältig prüfen und gegebenenfalls die Änderungen am ISMS dokumentieren.
• Nichtkonformität – Ein Problem, das gegen eine Anforderung von ISO 27001 verstößt. Dies erfordert eine vollständige und ordnungsgemäße Lösung unverzüglich vor dem nächsten externen Audit.
• Schwerwiegende Nichtkonformität – Die Nichteinhaltung des Standards auf systemischer Ebene erfordert wahrscheinlich die Aufmerksamkeit der Geschäftsleitung und eine Umstrukturierung der Informationssicherheitspraxis.

Beachten Sie, dass der obige Ansatz keine Anforderung von ISO 27001 ist. Sie könnten also völlig andere Ansätze verwenden, wenn diese für Ihr Unternehmen funktionieren.

Wie ISMS.online bei internen Audits hilft

Mit ISMS.online macht unser Softwareservice Ihr Informationssicherheitsmanagementsystem zu einem allumfassend zugänglichen Ort. Dazu gehört ein flexibler Auditprogrammbereich, der Auditberichte zwischen Zertifizierungszeiträumen dokumentieren kann. Zweitens unterstützt ISMS.online Organisationen dabei, ihre Prüfungsergebnisse zu verwalten und entsprechend zu reagieren. Außerdem bietet es innerhalb unseres Softwareservices einen Bereich zur Erfüllung von Klausel 10 (Verbesserung), indem es eine Spur von Korrekturmaßnahmen und Verbesserungen bereitstellt. Dies ermöglicht Ihrem Unternehmen, bei Nichtkonformitäten und Verbesserungen proaktiver vorzugehen. Dies geschieht durch Einsehen des Status, Zuweisen eines verantwortlichen Eigentümers und Terminen für die Fertigstellung und Überprüfung. All diese Funktionen sorgen dafür, dass sich ein Unternehmen für ein externes Audit besser organisiert fühlt, da alle Arbeitsbereiche und Berichte leicht zugänglich sind und angezeigt werden können, was einen reibungsloseren Ablauf des Prozesses ermöglicht.

ISMS.online bietet auch interne Auditdienste an, die von Spezialisten für Informationssicherheit durchgeführt werden. Dadurch wird sichergestellt, dass Organisationen über einen kompetenten Prüfer verfügen, der ihre internen Audits gemäß Anhang A.18.2.1 durchführt, in dem es heißt, dass Prozesse und Verfahren unabhängig überprüft werden müssen. Dadurch können Ihre Prüfungsergebnisse objektiv, genau und wertvoll für Ihr Unternehmen sein.

Um zusätzliche Unterstützung zu bieten, bietet ISMS.online auch eine virtueller Coach Add-on, das Videos, Leitfäden und Checklisten enthält, die Informationen zum Umgang mit dem ISO 27001-Standard bieten. Es gibt einen Abschnitt zu 9.2 (Interne Audits) und anderen relevanten Bereichen. Dies gibt Ihrer Organisation die Richtung vor und hilft, Zeit zu sparen, die Sie für die Konzentration auf allgemeinere Vorgänge nutzen können. Der Einsatz von Virtual Coach wird Ihrem Unternehmen helfen, pragmatischer zu werden und Ihre Ziele zu steigern Informationssicherheit Vertrauen.