Was ist ein internes Audit in ISO 27001?

Überblick

Ein internes Audit ist eine systematische, unabhängige Bewertung Ihres ISMS, um zu verifizieren, dass es den Anforderungen der ISO 27001:2022 entspricht und effektiv umgesetzt wird. Es ist eine verbindliche Anforderung gemäß Klausel 9.2 und ein entscheidendes Instrument zur Identifizierung von Lücken vor Ihrem Zertifizierungsaudit.

Interne Audits liefern objektive Nachweise dafür, dass Ihr ISMS wie beabsichtigt funktioniert, und tragen zur kontinuierlichen Verbesserung bei.

Internes Audit in der Praxis

ISO 27001:2022 verlangt die Durchführung interner Audits in geplanten Abständen, um zu beurteilen, ob Ihr ISMS:

• Den eigenen ISMS-Anforderungen und den ISO 27001:2022-Standards entspricht

• Effektiv implementiert und aufrechterhalten wird

• Die beabsichtigten Ergebnisse erzielt, die in Ihren Informationssicherheitszielen definiert sind

Sie müssen ein Auditprogramm festlegen, das die Bedeutung der Prozesse, Änderungen im Unternehmen und die Ergebnisse früherer Audits berücksichtigt.

Kernkomponenten interner Audits

Auditplanung

Ihr Auditprogramm muss Folgendes definieren:

• Audithäufigkeit (in der Regel jährlich, wobei Hochrisikobereiche häufigere Überprüfungen erfordern können)

• Audit-Umfang, der alle ISMS-Klauseln (4-10) und die anwendbaren Kontrollen aus Anhang A abdeckt

• Auditkriterien basierend auf den ISO 27001:2022-Anforderungen und Ihren dokumentierten Verfahren

• Auditmethoden (Dokumentenprüfung, Interviews, Beobachtung, Stichprobenprüfung)

Durchführung des Audits

Während des Audits sollten Sie:

• Dokumentierte Informationen prüfen (Richtlinien, Verfahren, Aufzeichnungen)

• Prozessverantwortliche und Mitarbeiter interviewen

• Die Implementierung von Kontrollen beobachten

• Nachweise für die Wirksamkeit der Kontrollen stichprobenartig prüfen

• Feststellungen objektiv mit Belegen dokumentieren

Audit-Berichterstattung

Klausel 9.2 verlangt, dass Sie dokumentierte Informationen als Nachweis für die Auditergebnisse aufbewahren. Ihre Auditberichte sollten Folgendes enthalten:

• Identifizierte Konformitäten und Nichtkonformitäten

• Verbesserungspotenziale

• Belege, die die Feststellungen stützen

• Anforderungen für Korrekturmaßnahmen bei Nichtkonformitäten

Anforderungen an Auditoren

ISO 27001:2022 Klausel 9.2 legt fest, dass Auditoren:

• Kompetent im Bereich Auditierung und Informationssicherheit sein müssen

• Unparteiisch und objektiv sein müssen

• Nicht ihre eigene Arbeit auditieren dürfen (Unabhängigkeitsgebot)

Beispiel: Ein IT-Sicherheitsmanager kann HR-Prozesse auditieren, aber eine andere Person muss die IT-Sicherheitskontrollen auditieren, für die der Manager verantwortlich ist.

Audithäufigkeit und Zeitplan

Obwohl ISO 27001:2022 keine spezifischen Intervalle vorschreibt, umfassen Best Practices:

• Vollständiges ISMS-Audit mindestens einmal jährlich

• Häufigere Audits für kritische oder risikoreiche Bereiche

• Zusätzliche Audits nach wesentlichen Änderungen

• Eine Zeitplanung, die Korrekturmaßnahmen vor externen Zertifizierungsaudits ermöglicht

Häufige Audit-Bereiche

Ihr internes Audit sollte Folgendes abdecken:

• Klausel 4: Kontext, Anwendungsbereich und ISMS-Grenzen

• Klausel 5: Führung, Engagement und Richtlinien

• Klausel 6: Risikobewertung und Risikobehandlung

• Klausel 7: Ressourcen, Kompetenz, Bewusstsein, Kommunikation

• Klausel 8: Betriebliche Planung und Implementierung von Kontrollen

• Klausel 9: Überwachung, Messung, internes Audit, Managementbewertung

• Klausel 10: Nichtkonformität und Korrekturmaßnahmen, fortlaufende Verbesserung

• Anhang A: Anwendbare Kontrollen aus Ihrer Erklärung zur Anwendbarkeit (SoA)

Verwandte Begriffe

• ISMS – Das System, das auditiert wird

• Managementbewertung – Verwendet Auditergebnisse als Input

• Kontrolle – Einzelne Sicherheitsmaßnahmen, die in Audits bewertet werden

• Erklärung zur Anwendbarkeit – Definiert, welche Kontrollen zu auditieren sind