Der Ablauf eines internen Audits für die ISO 27001-Zertifizierung

ISO 27001 ist ein international anerkannter Standard, der die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) festlegt. Um die Zertifizierung zu erlangen, müssen Unternehmen einen strengen Bewertungsprozess durchlaufen, zu dem auch ein internes Audit gehört. Das ist ein wichtiger Prozess, um sicherzustellen, dass das ISMS eines Unternehmens mit allen Vorschriften, Verfahren und Standards übereinstimmt. Indem die Dokumentation der Richtlinien und Verfahren überprüft wird, können alle Fehler und Mängel im Unternehmenssystem aufgedeckt werden. Hier erfahrt ihr, was ihr von einem internen Audit für die ISO 27001-Zertifizierung erwarten könnt.

Der Ablauf eines internen ISO 27001-Audit

Wichtig ist, festzuhalten, dass ein internes Audit im Gegensatz zum externen Audit von einem eigenen Mitarbeiter oder einer eigenen Mitarbeiterin durchgeführt wird.

1. Vor der Umsetzung eines Prüfungsplans ist es wichtig, sich mit der Geschäftsführung zusammenzusetzen und sich auf einen Zeitplan und ein Budget zu einigen. So wird sichergestellt, dass die Prüfung reibungslos abläuft und es keine Überraschungen gibt. Das Letzte, was man bei Planung der Durchfürung will, ist Abstriche machen zu müssen oder Ressourcen einsparen zu müssen, weil die Leitung den Zeitplan oder das Budget nicht genehmigt hat.

2. Sobald sich auf einen Zeitplan und ein Budget geeinigt wurde, kann ein Auditplan erstellt werden. In diesem Plan werden der Umfang des Audits, die zu auditierenden Personen und der Zeitpunkt des Audits festgelegt. Nun kann mit der Umsetzung des Prüfungsplans begonnen werden. Während des gesamten Prozesses sollte die Geschäftsführung miteinbezogen bleiben, damit alle auf dem gleichen Stand sind.

3. Die Aufgabe des Prüfers oder der Prüferin besteht darin, unvoreingenommen und objektiv zu beurteilen, ob eine Organisation alle Vorschriften, Verfahren und Standards einhält. Dazu sollte die unternehmensinterne Dokumentation überprüft werden, die bei der Einführung des ISMS erstellt wurde. Dazu gehören die Richtlinien und Verfahren, die eingeführt wurden, sowie die Aufzeichnungen über Schulungen und Sensibilisierungsmaßnahmen. Dies kann unterstützt werden durch Befragungen und Beobachtungen. So kann sich ein Überblick über das System verschaffen und festgestellt werden in welchen Bereichen noch Handlungsbedarf besteht.

4. Sobald die Informationen gesammelt sind, ist es Zeit für die Analyse. Hier werden die Daten genauer unter die Lupe genommen, um festzustellen, wie die Risikomanagementstrategie des Unternehmens insgesamt aussieht und welche Maßnahmen ergriffen werden müssen, um Unstimmigkeiten aufzudecken oder die Notwendigkeit weiterer Prüfungen aufzuzeigen. Der Prüfer oder die Prüferin erstellt fortlaufend Prüfungsberichte, um die Ergebnisse jeder Prüfung zu dokumentieren. Diese Berichte helfen der Organisation, ihr Compliance-Programm zu verbessern. Durch die Analyse der Daten kann eine effektivere Risikomanagementstrategie entwickelt werden, die dazu beiträgt, Verluste zu minimieren und das Vermögen des Unternehmens zu schützen. Indem auf der Grundlage der Ergebnisse der Datenanalyse Maßnahmen ergriffen werden, kann außerdem sichergestellt werden, dass das Unternehmen auf alle potenziellen Risiken, die in der Zukunft auftreten können, vorbereitet ist.

5. Nach der Analyse der Daten wird ein abschließender Bericht erstellt, in dem die Ergebnisse mit der Geschäftsleitung geteilt werden. In diesem formellen Bericht wird die Unternehmensführung über die detaillierten Ergebnisse der Prüfung informiert. Der Bericht enthält Informationen über den Umfang, die Ziele, eine Zusammenfassung der wichtigsten Feststellungen, die Zielgruppe für den Bericht und ggf. eine eingehende Analyse der Feststellungen, Schlussfolgerungen und empfohlene Korrekturmaßnahmen, Vorschläge oder Einschränkungen usw. Die Leitung wird in der Regel auch über andere Aspekte der Prüfung informiert, die für sie relevant sein könnten, z. B. über Bereiche, in denen Verbesserungen erforderlich sind, oder über Dinge, die gut gelaufen sind. Nach Erhalt des Prüfungsberichts bespricht die Geschäftsführung diesen normalerweise mit den Prüfer:innen, um unklare Punkte zu klären.

Schlussfolgerung

‍Ein internes Audit ist ein wichtiger Bestandteil des Prozesses zur Erlangung der ISO 27001-Zertifizierung. Durch das Stellen strategischer Fragen können sich die Auditor:innen bereits intern ein klares Bild von der Einhaltung der Vorschriften durch das Unternehmen machen. 

Mit der richtigen Vorbereitung können Unternehmen so auch das externe ISO 27001-Audit bestehen und die Zertifizierung bekommen.

‍