Was ist der ISO 27001-Auditprozess?

Was beinhaltet ein ISO 27001-Audit?

Audits werden üblicherweise verwendet, um sicherzustellen, dass eine Aktivität eine Reihe definierter Kriterien erfüllt. Bei allen ISO-Managementsystemnormen werden Audits eingesetzt, um sicherzustellen, dass das Managementsystem den Anforderungen der jeweiligen Norm sowie den eigenen Anforderungen und Zielen der Organisation entspricht und effizient und effektiv bleibt. Um dies zu bestätigen, ist die Durchführung eines Auditprogramms erforderlich.

Was ist ein ISO 27001-Audit?

Bei einem ISO 27001-Audit überprüft ein kompetenter und objektiver Prüfer das ISMS oder Elemente davon und prüft, ob es den Anforderungen der Norm, den eigenen Informationsanforderungen und Zielen der Organisation für das ISMS entspricht und ob die Richtlinien, Prozesse und anderen Kontrollen wirksam sind und effizient.

Zusätzlich zur allgemeinen Compliance und Wirksamkeit der ISMSDa ein ISO 27001-Audit darauf ausgelegt ist, eine Organisation in die Lage zu versetzen, ihre Informationssicherheitsrisiken auf ein erträgliches Maß zu reduzieren, muss überprüft werden, ob die implementierten Kontrollen das Risiko tatsächlich auf ein Niveau reduzieren, das der/die Risikoverantwortliche(n) gerne tolerieren das Restrisiko.

Welche Arten von Audits gibt es?

Der Standard verlangt, dass eine Organisation dazu verpflichtet ist Planen und führen Sie einen Zeitplan für „interne Audits“ durch, um die Einhaltung geltend machen zu können zum Standard. Wenn eine Organisation außerdem eine Zertifizierung erreichen möchte, muss sie „externe Audits“ durch eine „Zertifizierungsstelle“ durchführen lassen – eine akkreditierte Organisation mit den kompetenten Ressourcen für Audits gemäß ISO 27001.

Um den größtmöglichen Nutzen aus dem ISMS zu ziehen, wird dringend empfohlen, sicherzustellen, dass die ausgewählte Zertifizierungsstelle von einer anerkannten Aufsichtsbehörde akkreditiert ist. Im Vereinigten Königreich sind Zertifizierungsstellen von UKAS – dem United Kingdom Accreditation Service – akkreditiert. Dies ist die einzige staatlich beauftragte Akkreditierungsstelle im Vereinigten Königreich.

Interne Anhörung

Interne AuditsDabei handelt es sich, wie der Name schon vermuten lässt, um Audits, die von der Organisation zum organisatorischen ISMS durchgeführt werden. Wenn die Organisation dies nicht hat kompetent und objektiver Auditoren innerhalb des eigenen Personals, können diese Audits von einem Auftragnehmer durchgeführt werden.

Externe Prüfung

Der Begriff „externe Audits“ bezieht sich am häufigsten auf Audits, die von einer Zertifizierungsstelle zum Zweck der Erlangung oder Aufrechterhaltung der Zertifizierung durchgeführt werden. Er kann jedoch auch für Audits verwendet werden, die von anderen durchgeführt werden interessierte Parteien (z. B. Partner oder Kunden) möchten sich selbst ein Bild vom ISMS der Organisation machen. Dies gilt insbesondere dann, wenn eine solche Partei Anforderungen stellt, die über die Norm hinausgehen.

Warum sind ISO 27001-Audits wichtig?

Ohne zu überprüfen wie Ihr ISMS verwaltet wird und funktioniertgibt es keine wirkliche Garantie dafür, dass die Ziele erreicht werden, die es erreichen soll. Audits tragen dazu bei, diese Sicherheit zu gewährleisten.

Warum muss ich mein ISMS prüfen?

Es gibt eine Reihe von Gründen für die Prüfung Ihres ISMS:

• Die Norm verlangt es – Abschnitt 9.2, Interne Anhörung schreibt ein Programm interner Audits vor.
• Um sicherzustellen, dass Ihr ISMS angemessen implementiert und betrieben wird.
• Zu Stellen Sie sicher, dass das ISMS den Anforderungen entspricht des Standards.
• Um sicherzustellen, dass das ISMS den eigenen Anforderungen der Organisation entspricht.
• Zu Stellen Sie sicher, dass das ISMS die von der Organisation festgelegten Ziele für die Informationssicherheit erfüllt gegen Ziffer 6.2 Informationssicherheitsziele und Planung zu deren Erreichung.
• Um sicherzustellen, dass das ISMS bei der Reduzierung wirksam ist Risiken der Informationssicherheit auf ein erträgliches Maß.
• Um sicherzustellen, dass alle Nichtkonformitäten und Korrekturmaßnahmen werden zeitnah angegangen.
• Um sicherzustellen, dass Informationssicherheit Schwachstellen, Ereignisse und Vorfälle werden effektiv und effizient gemeldet, verwaltet und gelöst.

Was ist mit internen Audits nach ISO 27001 verbunden?

Überprüfung der Dokumentation – Hierbei handelt es sich um eine Überprüfung der Richtlinien, Verfahren, Standards und Leitdokumente der Organisation, um sicherzustellen, dass sie ihren Zweck erfüllen und überprüft und gepflegt werden.

Beweisprüfung (oder Feldprüfung) – Hierbei handelt es sich um eine Prüfungsaktivität, bei der aktiv Beweise geprüft werden, um zu zeigen, dass Richtlinien eingehalten werden, dass Verfahren und Standards eingehalten werden und dass Leitlinien berücksichtigt werden.

Analyse – Im Anschluss an die Überprüfung der Dokumentation und/oder die beweiskräftige Stichprobe bewertet und analysiert der Prüfer die Ergebnisse, um zu bestätigen, ob die Anforderungen der Norm erfüllt werden.

Prüfbericht – Um die Sichtbarkeit zu gewährleisten, muss gemäß der Norm in Abschnitt 9.2 f) ein Auditbericht erstellt und dem Management zur Verfügung gestellt werden.

Managementbewertung – Dies ist eine erforderliche Aktivität gemäß Abschnitt 9.3 Managementbewertung, bei der die Ergebnisse der durchgeführten Audits berücksichtigt werden müssen, um sicherzustellen, dass Korrekturmaßnahmen und Verbesserungen bei Bedarf umgesetzt werden.

Was beinhaltet ein externes ISO 27001-Audit?

Die Prozesse für externe Audits sind im Wesentlichen dieselben wie für das interne Auditprogramm, werden jedoch in der Regel zum Zweck der Erlangung und Aufrechterhaltung der Zertifizierung durchgeführt. Das Programm der externen [Zertifizierungs-]Audits wird von den externen Auditoren [Zertifizierungsstelle] festgelegt, folgt jedoch einer systematischen Anforderung.

Der zuständige Prüfer legt einen Plan für das Audit vor. Sobald dieser von der Organisation bestätigt wurde, werden die Ressourcen zugewiesen und Termine, Zeiten und Orte vereinbart. Das Audit wird dann gemäß dem Auditplan durchgeführt.

Wie oft werden externe Audits durchgeführt?

Verschiedene Akkreditierungsstellen auf der ganzen Welt stellen unterschiedliche Anforderungen an das Zertifizierungsprogramm Audits umfassen jedoch im Falle von UKAS-akkreditierten Zertifikaten:

• Erstzertifizierungsaudit – durchgeführt in 2 Stufen.
• Regelmäßige Überwachungsaudits – typischerweise alle sechs Monate oder mindestens einmal jährlich.
• Alle 3 Jahre werden Rezertifizierungsaudits durchgeführt.

Welche Arten und Phasen gibt es bei externen Audits?

• Stufe 1-Audit – „Dokumentationsprüfung“, um festzustellen, ob die Organisation über die erforderliche Dokumentation für ein operatives ISMS verfügt.
• Stufe 2-Audit – „Zertifizierungsaudit“ – ein beweiskräftiges Audit zur Bestätigung, dass die Organisation dies tut Betrieb des ISMS in Übereinstimmung mit dem Standard – das heißt, dass die dokumentierten Richtlinien, Verfahren und Standards umgesetzt, funktionsfähig und wirksam sind. Diese beweiskräftige Prüfung erfolgt stichprobenartig.
• Sicherheitsprüfung – Diese auch als „Periodische Audits“ bezeichneten Audits werden regelmäßig zwischen Zertifizierungs- und Rezertifizierungsaudits durchgeführt und konzentrieren sich auf einen oder mehrere Bereiche des ISMS.
• Rezertifizierungsaudit – Wird vor Ablauf des Zertifizierungszeitraums durchgeführt (3 Jahre für UKAS-akkreditierte Zertifikate) und stellt eine gründlichere Überprüfung dar als die, die während eines Überwachungsaudits durchgeführt werden. Es deckt alle Bereiche der Norm ab.

Zusätzlich zu dem oben genannten Programm formeller externer Zertifizierungsaudits müssen Sie sich möglicherweise einem externen Audit durch einen interessierten Dritten wie einen Kunden, Partner oder eine Regulierungsbehörde unterziehen. Die entsprechende Partei stellt Ihnen normalerweise einen Auditplan zur Verfügung und erstellt anschließend einen Auditbericht, der in Ihr ISMS eingespeist werden sollte Managementbewertung.

Der Wert eines ISO 27001-Audits mit/ohne Zertifizierung

Die Entscheidung der Organisation, etwas zu erreichen Einhaltung und ggf. Zertifizierung nach ISO 27001 hängt von den Gründen für die Implementierung und den Betrieb eines formellen, dokumentierten ISMS ab und wird häufig in einem Geschäftsfall dokumentiert, der die erwarteten Ziele und die Kapitalrendite ermittelt.

Ohne Zertifizierung kann die Organisation nur die „Konformität“ mit dem Standard behaupten, und diese Konformität wird nicht von akkreditierten Dritten gewährleistet. Wenn der Grund für die Implementierung des ISMS nur ein verbessertes Sicherheitsmanagement und eine interne Sicherung ist, kann dies ausreichend sein.

Um den größtmöglichen Nutzen und Return on Investment aus dem ISMS zu erzielen, indem es den Außenstehenden der Organisation Sicherheit bietet interessierte Parteien und Stakeholdern ist ein unabhängiges, externes, akkreditiertes Zertifizierungsprogramm erforderlich.

Bedenken Sie, dass der einzige Aufwandsunterschied zwischen „Compliance“ und „Zertifizierung“ im Programm der externen Zertifizierungsaudits besteht. Denn um wirklich die „Compliance“ des Standards zu beanspruchen, muss die Organisation dennoch alles tun, was der Standard verlangt – eine selbstgetestete „Compliance“ verringert nicht die erforderlichen Ressourcen und den Aufwand, der mit der Implementierung und dem Betrieb eines ISMS verbunden ist.

Vorbereitung auf ein ISO 27001-Zertifizierungsaudit

Bei der Vorbereitung auf ein Zertifizierungsaudit sollten folgende Kernpunkte beachtet werden:

Sind die Schlüsselprozesse des ISMS implementiert und betriebsbereit?

• Organisatorischer Kontext – Verständnis und Dokumentation des organisatorischen Kontexts und der Anforderungen an die Informationssicherheit, einschließlich derer interessierter Parteien. Dazu gehört auch Dokumentation des Umfangs des ISMS
• Risiko- und Chancenmanagement – Hat die Organisation identifiziert und bewertet? Informationssicherheit Risiken und Chancen ermittelt und einen Behandlungsplan dokumentiert?
• Leadership – Kann eine starke Führung auf höchster Ebene nachgewiesen werden – z. B. durch die Bereitstellung von Ressourcen und eine dokumentierte Verpflichtungserklärung innerhalb der Organisation? Sicherheitsrichtlinie.
• Interne Anhörung – Wurde ein Programm interner Audits gemäß Abschnitt 9.2 dokumentiert, vereinbart und eingeleitet?
• Managementbewertung – Wurde das ISMS einer formellen Managementbewertung gemäß Abschnitt 9.3 unterzogen?
• Abhilfe – Kann die Organisation nachweisen, dass Korrekturmaßnahmen und Verbesserungen effektiv und effizient verwaltet und umgesetzt werden?

Sind die erforderlichen Dokumente vorhanden und genehmigt?

• ISMS-Geltungsbereich Aussage (Abschnitt 4.3)
• Organisatorisch Informationssicherheitspolitik (Klausel 5.2)
• Risikomanagement Methode (Abschnitt 6.1.2 und 6.1.3)
• Risikoregister & Behandlungsplan (6.1.3 e)
• Erklärung zur Anwendbarkeit (Ziffer 6.1.3 d)
• Richtlinien und Prozesse gemäß Anhang A erforderlich, wo Kontrollen erfolgen sind anwendbar

Sind beweiskräftige Aufzeichnungen leicht zu finden und zugänglich?

Lassen Sie alle Mitarbeiter und relevanten Auftragnehmer empfangen Aufklärung, Schulung und Sensibilisierung für Informationssicherheit?

Es ist auch eine gute Praxis, sicherzustellen, dass die Befragten darüber informiert werden, was sie während des Audits erwartet und wie sie reagieren sollen. Stellen Sie außerdem sicher, dass sie problemlos auf Dokumente und Nachweise zugreifen können, die der Prüfer möglicherweise anfordert.

Wer führt ein ISO 27001-Audit durch?

Alle Audits nach ISO 27001 müssen von kompetenten und objektiven Prüfern durchgeführt werden.

Um die Kompetenz für ein ISO 27001-Audit nachzuweisen, ist es in der Regel erforderlich, dass der Auditor nachweislich über Kenntnisse der Norm und der Durchführung eines Audits verfügt. Dies kann durch die Teilnahme an einem ISO 27001 Lead Auditor-Kurs oder durch eine andere anerkannte Auditierungsqualifikation und anschließend nachweisbare Kenntnisse der Norm geschehen. Es kann zwar möglich sein, die Kompetenz eines Auditors auch ohne formelle Ausbildung nachzuweisen, allerdings dürfte dies ein schwierigeres Gespräch mit Ihrer Zertifizierungsstelle sein.

Um die Objektivität nachzuweisen, muss nachgewiesen werden, dass der Prüfer nicht seine eigene Arbeit prüft und dass er durch seine Berichtslinien nicht unzulässig beeinflusst wird. Für kleinere Organisationen oder diejenigen, die eine klarere Objektivität wünschen, kann es praktischer sein, einen Vertragsprüfer hinzuzuziehen.

Zertifizierungsstellen haben die Kompetenz ihrer Auditoren überprüft und sollten bereit sein, Ihnen diese auf Anfrage nachzuweisen.

Wie funktioniert
ISMS.online den Auditprozess effizienter machen?

ISMS.online umfasst ein vorgefertigtes Auditprogrammprojekt, das sowohl interne als auch externe Audits abdeckt und möglicherweise auch Audits dazu umfasst DSGVO wenn Sie diese Option gewählt haben.

Das vorgefertigte Auditprogramm umfasst:

• Aktivitäten für 2 empfohlene Audits vor der Zertifizierung
• A Plan für interne Audits für den ersten 3-jährigen Zertifizierungszeitraum
• Platzhalter für Ihre externe Zertifizierung und regelmäßige Audits

Neben der Bereitstellung des Audit-Programmprojekts besteht auch die Möglichkeit, schnell eine Verbindung zu anderen Arbeitsbereichen innerhalb des All-in-One-Place herzustellen ISMS.online-Plattform bedeutet, dass die Verknüpfung von Auditergebnissen mit Kontrollen, mit Korrekturmaßnahmen und Verbesserungen und sogar mit Risiken einfach und zugänglich gemacht wird. Dadurch können Sie Ihrem externen Prüfer die ganzheitliche Verwaltung der ermittelten Feststellungen einfach nachweisen.

Benötigen Sie weitere Informationen? Bitte nehmen Sie Kontakt auf Sprechen Sie noch heute mit einem unserer Experten.