Alles, was Sie über ISO 27001 Audits wissen müssen [+ Checkliste]
Ein wesentlicher Bestandteil der ISO 27001-Compliance sind regelmäßige Audits.
Audits stellen sicher, dass Ihr Informationssicherheits-Managementsystem (ISMS) nicht nur den Anforderungen der ISO/IEC 27001-Norm entspricht, sondern auch effektiv die Informationssicherheit für Ihre Organisation aufrechterhält.
Um sicherzustellen, dass Sie bereit sind, werden wir alles behandeln, was Sie über ISO 27001-Audits wissen müssen, einschließlich der verschiedenen Typen und warum sie wichtig sind.
Was ist ein ISO 27001-Audit?
Ein ISO 27001-Audit ist ein Überprüfungsprozess, bei dem untersucht wird, ob das ISMS einer Organisation die Anforderungen der Norm sowie die eigenen besten Praktiken der Informationssicherheit der Organisation erfüllt.
Der ultimative Leitfaden zu ISO 27001
Wenn Sie ein konformes ISMS aufbauen und die Zertifizierung erreichen möchten, enthält dieser Leitfaden alle Details, die Sie benötigen, um loszulegen.
Was sind die ISO 27001-Audit-Typen?
Im Folgenden finden Sie einen Überblick über die verschiedenen Arten von ISO 27001-Audits. Erfahren Sie, was sie sind, von wem sie durchgeführt werden und wie oft sie stattfinden.
Interne Audits
ISO 27001 verlangt von Organisationen, interne Audits zu planen und durchzuführen, um die Compliance nachzuweisen. Diese Audits sollen die Effektivität des ISMS des Unternehmens überprüfen und bewerten.
Sie müssen regelmäßig durchgeführt werden und den Auditprozess dokumentieren.
Diese Audits können von einem unternehmensinternen Auditorenteam durchgeführt werden. Wenn ein Unternehmen keinen internen Auditor hat, kann es eine externe Partei hinzuziehen. Diese Audits werden als „Second-Party-Audit“ bezeichnet.
Externe Audits
Externe Audits werden von einer Zertifizierungsstelle durchgeführt, um festzustellen, ob Ihre Organisation die ISO 27001-Anforderungen laufend erfüllt.
Der Begriff „externes Audit“ bezieht sich meist auf das Zertifizierungsaudit, bei dem ein externer Auditor Ihr ISMS bewertet, um zu überprüfen, ob es den ISO 27001-Anforderungen entspricht, und erteilt Ihre Zertifizierung. Der Begriff bezieht sich jedoch auch auf andere Arten von Audits, die von Zertifizierungsstellen durchgeführt werden. Sehen wir uns im Folgenden die drei Arten von externen ISO 27001-Audits an.
Zertifizierungsaudit
Das Zertifizierungsaudit wird von einer Zertifizierungsstelle durchgeführt, und wenn Sie die Konformität nachweisen, erhalten Sie ein Konformitätszertifikat, das drei Jahre gültig ist. Während dieser drei Jahre sind Sie verpflichtet, Ihr ISMS und die Prozesse, ISO 27001-Kontrollen und Anforderungen, die Ihnen zur Konformität verholfen haben, aufrechtzuerhalten.
Dies ist die einzige Art von ISO 27001-Audit, das nur einmal durchgeführt wird, wenn Sie Ihr erstes Konformitätszertifikat erhalten.
Überwachungsaudits
Nach der Erreichung der Zertifizierung müssen Sie Überwachungsaudits mit einer Zertifizierungsstelle planen.
Diese Audits umfassen:
- Alle Klauseln im ISO 27001-Rahmenwerk
- Anhang A-Anforderungen, die zwischen den Jahren eins und zwei nach Ihrem Zertifizierungsaudit aufgeteilt sind (Ihr Auditor wird bestimmen, wie die Anforderungen aufgeteilt werden)
- Überprüfung früherer Nichtkonformitäten, die im ersten Zertifizierungsaudit gefunden wurden, um festzustellen, ob sie ordnungsgemäß behoben wurden
Rezertifizierungsaudits
Nach Ablauf dieser drei Jahre muss Ihre Organisation ein Rezertifizierungsaudit durchführen, bei dem Sie Nachweise zur kontinuierlichen Konformität und zum fortlaufenden ISMS-Verbesserungen vorlegen müssen.
Wer kann ISO 27001-Audits durchführen?
Externe Audits müssen von einer Zertifizierungsstelle durchgeführt werden.
Ein internes Audit ist die einzige Art von ISO 27001-Audit, die nicht von einer Zertifizierungsstelle durchgeführt wird. Stattdessen kann eine unabhängige Partei mit ausreichender Fachkenntnis es durchführen. Diese Partei kann eine interne oder externe Ressource sein, solange sie unparteiisch ist und keine Funktionen oder Prozesse auditiert, die sie verwaltet oder erstellt hat.
Wenn Ihre Organisation niemanden hat, der diese Kriterien erfüllt, können Sie einen externen Auditor hinzuziehen, um Ihnen bei der Durchführung eines internen Audits zu helfen.
ISO 27001 Audit Häufigkeit
ISO 27001 ist ein strenger Standard, der häufig erneuert werden muss. Diese Häufigkeit variiert je nach Art des Audits.
ISO 27001-Konformität erfordert jedes Jahr ein internes Audit, um sicherzustellen, dass die Kontrollen langfristig genau überwacht werden und Ihr ISMS kontinuierlich verbessert wird. Dadurch wird es für Kunden viel einfacher, Ihnen ihre Daten und ihr Geschäft anzuvertrauen.
Ein Zertifizierungsaudit ist nur einmal erforderlich. Nachdem Sie Ihre Zertifizierung erhalten haben, muss Ihre Organisation in den Jahren eins und zwei nach Ihrem Zertifizierungsaudit Überwachungsaudits durchführen. Im dritten Jahr müssen Sie ein Rezertifizierungsaudit durchführen.
The Four Types of ISO 27001 Audits
| Internal audits | Certification audit | Recertification audits | Surveillance audits | |
|---|---|---|---|---|
| Performed by | Independent party (internal or external resource) with sufficient expertise | Certification body | Certification body | Certification body |
| Audit frequency | Once every year | Once, when you are first awarded your certificate | Once every three years | Annually in years one and two between certification and recertification audits |
Zertifizierungsaudit gegenüber internes Audit: Wie unterscheiden sich diese?
Der Hauptunterschied zwischen Zertifizierungsaudits und internen Audits liegt in den Zielen, die in der ISO 27001-Norm enthalten sind.
ISO 27001 besagt, dass interne Audits dazu gedacht sind:
- Bestätigen, dass das ISMS den eigenen Anforderungen der Organisation an das Informationssicherheitsmanagement entspricht
- Bestätigen, dass die ISO 27001-Norm effektiv implementiert und aufrechterhalten wird
ISO 27001 besagt, dass die Zertifizierungsaudits dazu gedacht sind:
- Bestätigen, dass die Organisation ihre eigenen Richtlinien, Ziele und Verfahren einhält
- Bestätigen, dass das ISMS allen Anforderungen der ISO 27001-Norm entspricht und die Ziele der Organisation erreicht
Das interne Audit konzentriert sich auf die Wirksamkeit des ISMS, unabhängig davon, wie dies innerhalb Ihres Unternehmens aussieht. Das Zertifizierungsaudit dient dazu, die Konformität eines ISMS mit den Anforderungen der ISO 27001 zu überprüfen.
Empfohlene Lektüre
ISO 27001 Checklist: Ihr 14-Schritte-Fahrplan zur ISO-Zertifizierung
Warum sind ISO 27001 Audits wichtig?
Sowohl interne als auch externe ISO 27001 Audits sind wichtig.
Externe Audits bieten eine Validierung durch Dritte für Ihre Sicherheitslage. Ein Auditor kann eine Expertenmeinung und objektive Einschätzung Ihrer Sicherheitskontrollen und -richtlinien abgeben sowie aufschlussreiche Empfehlungen dazu geben, was Sie tun könnten, um Ihre allgemeine Sicherheitslage weiter zu verbessern. Zertifizierungsaudits sind besonders wichtig, weil sie Ihr Engagement für Sicherheit beweisen. Eine hoch angesehene Zertifizierung durch Dritte wie die ISO 27001 kann einen starken Wettbewerbsvorteil darstellen. Sie kann auch den Verkaufszyklus beschleunigen und Ihnen ermöglichen, schneller in höhere Marktsegmente vorzudringen.
Interne Audits sind wichtig, weil sie in der ISO 27001 Norm gefordert werden. Abschnitt 9.2 der Norm schreibt ein internes Auditprogramm vor, um nachzuweisen, dass ein ISMS konform ist und effektiv arbeitet. Abgesehen davon, dass sie eine Anforderung sind, bieten sie Unternehmen auch eine Vielzahl von Vorteilen, einschließlich der Entdeckung von Nichtkonformitäten und der Möglichkeit, diese zu beheben, bevor dies eine Zertifizierungsstelle tut.
Weitere Vorteile interner und externer ISO 27001 Audits umfassen:
- Beruhigung, dass Ihr ISMS angemessen umgesetzt ist und den Anforderungen der Norm entspricht
- Sicherheit, dass Ihr ISMS effektiv dazu beiträgt, Informationssicherheitsrisiken zu reduzieren
- Wissen, dass Nichtkonformitäten zeitnah behoben werden
- Detaillierte Dokumentation von Informationssicherheitsschwächen, Ereignissen und Vorfällen, die dazu beitragen können, Verbesserungen und Änderungen zur Stärkung des ISMS zu informieren
- Verpflichtung zur kontinuierlichen Verbesserung
ISO 27001 Audit Zeitachse
Vor Ihrem Zertifizierungsaudit müssen Sie mehrere Schritte zur Vorbereitung abschließen, einschließlich Risikomanagement und der Implementierung von Sicherheitskontrollen. Zunächst müssen Sie den Umfang Ihres ISMS definieren und entscheiden, welche Vermögenswerte auf Ihrem ISO 27001-Zertifikat dargestellt werden sollen.
Als nächstes müssen Sie eine Risikoanalyse durchführen, um Bedrohungen zu identifizieren, und einen Behandlungsplan erstellen, um zu entscheiden, wie jedes Risiko auf ein akzeptables Niveau reduziert werden kann. Sie können auch einen externen Berater beauftragen, eine Gap-Analyse durchzuführen und Ihnen Anweisungen zu geben, wie Sie die Anforderungen der ISO 27001 erfüllen können.
Zu diesem Zeitpunkt müssen Sie auch Dokumentationen vorbereiten, einschließlich der Erstellung von Sicherheits- und Datenschutzrichtlinien, der Fertigstellung der Erklärung zur Anwendbarkeit (Statement of Applicability, SOA), der Sammlung von Nachweisen für Kontrollen und der Durchführung von Cybersicherheitsbewusstseinsschulungen für Ihre Mitarbeiter.
Sobald Sie diese Vorbereitungsphase abgeschlossen haben, werden Sie mit den Stufen 1 und 2 der Zertifizierungsaudits, Überwachungsaudits und Rezertifizierungsaudits fortfahren.
Jahr 1: ISO 27001 Zertifizierungsaudit
Sobald Sie bereit sind, einem Auditor nachzuweisen, dass Sie effektive Richtlinien und Kontrollen etabliert haben und dass diese den Anforderungen der ISO 27001-Norm entsprechen, können Sie einen Zertifizierungsaudit planen.
Ein Zertifizierungsaudit erfolgt in zwei Stufen. Zunächst führt der Auditor ein Stufe-1-Audit durch, bei dem er Ihre ISMS-Dokumentation prüft, um sicherzustellen, dass Sie die richtigen Richtlinien und Verfahren implementiert haben.
Anschließend wird in einem Stufe-2-Audit Ihre Geschäftsprozesse und Sicherheitskontrollen geprüft. Sobald die Stufe-1- und Stufe-2-Audits abgeschlossen sind, erhalten Sie eine ISO 27001-Zertifizierung, die für drei Jahre gültig ist.
Jahr 2 und 3: ISO 27001 Überwachungs- und interne Audits
Während der dreijährigen Zertifizierungsperiode müssen Sie laufende Audits durchführen. Diese Audits stellen sicher, dass Ihr ISO 27001-Konformitätsprogramm weiterhin effektiv ist und aufrechterhalten wird.
Überwachungsaudits überprüfen, ob Organisationen ihr ISMS und die Kontrollen des Anhangs A ordnungsgemäß aufrechterhalten. Überwachungsauditoren prüfen auch, ob alle im Zertifizierungsaudit festgestellten Nichtkonformitäten oder Ausnahmen behoben wurden.
Interne Audits sind ebenfalls Teil dieser kontinuierlichen Überwachung. Interne Auditoren untersuchen Prozesse und Richtlinien, um potenzielle Schwachstellen und Verbesserungsbereiche zu identifizieren, bevor ein externes Audit durchgeführt wird. Dadurch können Sie notwendige Korrekturmaßnahmen vor Ihrem Rezertifizierungsaudit abschließen.
Jahr 4: ISO 27001 Rezertifizierungsaudit
Im letzten Jahr des dreijährigen ISO-Zertifizierungstermins kann Ihre Organisation ein Rezertifizierungsaudit durchführen.
Ähnlich wie in Stufe 2 wird der Auditor eine detaillierte Bewertung durchführen, um festzustellen, ob Ihre Organisation die Anforderungen der ISO 27001 an Prozess-/Kontrolldesign und operative Wirksamkeit erfüllt.
Nach Abschluss des Rezertifizierungsaudits ist die ISO 27001-Zertifizierung Ihrer Organisation weitere drei Jahre gültig.
Überwachungs-, interne und Rezertifizierungsaudits müssen im 5. Jahr und darüber hinaus fortgesetzt werden, um die ISO 27001-Konformität einer Organisation aufrechtzuerhalten.
Wie man ein internes ISO-Audit in 5 Schritten durchführt
Ein internes Audit kann einer Organisation helfen, sich auf alle externen ISO-Audits vorzubereiten, einschließlich des ersten und einzigen Zertifizierungsaudits. Daher ist es wichtig, dass Sie verstehen, wie man eines durchführt.
Da interne ISO-Audits an die speziellen Bedürfnisse und Anforderungen Ihrer Organisation angepasst werden können, variiert der Prozess für deren Durchführung. Unten haben wir einige der wichtigsten Schritte zur Durchführung eines internen ISO 27001-Audits aufgeführt.
1. Dokumentenprüfung.
Zuerst einmal: Ihr zugewiesener Auditor (intern oder extern) sollte die Dokumentation überprüfen, wie das ISMS erstellt wurde. Dies hilft, den Umfang des internen Audits an den des ISMS anzupassen, da das interne Audit diesen abdeckt.
Die Dokumentation sollte auch die wichtigsten Interessengruppen identifizieren, die für die Kontrollen und Prozesse des ISMS verantwortlich sind. Dies hilft dem Auditor, falls er weitere Informationen zu ISMS-spezifischen Details anfordern muss.
2. Planung und Vorbereitung
In dieser Phase sollten das Management und die Auditoren einen detaillierten internen ISO 27001-Auditplan erstellen, was zu tun ist. Bei der Erstellung der Aktionspläne sollten die Ressourcen berücksichtigt werden, die zur Durchführung des Audits benötigt werden, sowie der Zeitrahmen.
3. Feldarbeit
Die Feldarbeit ist der eigentliche Auditprozess, bei dem das ISMS getestet, beobachtet und darüber berichtet wird. In dieser Phase wird Ihr Auditteam Mitarbeiter interviewen und beobachten, wie das ISMS im gesamten Unternehmen implementiert wird.
4. Analyse
Die Auditanweisungen sollten sortiert, abgelegt und im Hinblick auf die von Ihrer Organisation und der ISO 27001-Norm festgelegten Risiken und Kontrollziele überprüft werden.
Sobald die Beweise gesammelt wurden, müssen sie sortiert und im Vergleich zur ISO 27001-Norm überprüft werden. Dieser Prozess kann Lücken in der Beweissammlung aufdecken und zusätzliche Auditprüfungen erforderlich machen.
5. Bericht an das Management
Sobald die Feldarbeitstests abgeschlossen sind, wird Ihr Auditteam einen Bericht zur Überprüfung durch das Management vorlegen. Die Ergebnisse sollten als Leistungsnachweis und Nachweis dafür aufbewahrt werden, dass Ihr Unternehmen die ISMS-Anforderungen der Norm erfüllt.
Dieser Bericht enthält typischerweise:
- Eine Einführung, die den Umfang, die Ziele, den Zeitrahmen und die Zusammenfassung der durchgeführten Arbeiten erläutert.
- Eine Zusammenfassung der wichtigsten Ergebnisse, eine kurze Analyse und eine Schlussfolgerung.
- Detaillierte Ergebnisse und Analysen.
- Eine Erklärung des/der Auditor(en), die Empfehlungen und Umfangsbeschränkungen enthält.
Sobald der Bericht an das Management übergeben wurde, ist dieses dafür verantwortlich, die Korrektur der während des Audits festgestellten Unstimmigkeiten zu verfolgen.
ISO 27001-Audit-Checkliste
Wir haben eine einfache, fünfstufige ISO 27001-Audit-Checkliste erstellt, um Ihnen die Aufgaben zu erläutern, die zum Abschluss eines internen ISO 27001-Audits erforderlich sind. Sie können die PDF-Datei unten herunterladen.
Wie Secureframe Ihnen bei der Vorbereitung auf ISO-Audits helfen kann
Oft hat eine Organisation niemanden im Team, der qualifiziert ist, ein internes Audit durchzuführen und gleichzeitig nicht direkt an der Erstellung und Wartung des ISMS beteiligt ist.
Wenn dies der Fall ist, ist es wichtig, einen externen Auditor zu finden, der Ihnen hilft, das interne Audit abzuschließen. Secureframe kann helfen, indem es Sie mit einem leitenden Auditor zusammenbringt, der nicht nur Ihre Branche kennt, sondern auch die Norm in- und auswendig versteht.
Dies wird Ihnen helfen, Ihr ISMS vor dem Zertifizierungsprozess effizient und effektiv zu beurteilen.
Secureframe kann Ihnen auch bei der Vorbereitung auf Ihre Zertifizierungs-, Überwachungs- und Rezertifizierungsaudits helfen und dabei Zeit und Ressourcen sparen. Unsere Automatisierung erhöht Ihre Chancen, die ISO-Zertifizierung zu erhalten und aufrechtzuerhalten, erheblich, indem sie Ihnen hilft, Ihre Systeme zu überwachen, Schwachstellen zu beheben, Ihren Sicherheits-Stack zu integrieren und mehr.
Um mehr darüber zu erfahren, wie Secureframe den ISO 27001-Zertifizierungsprozess optimieren kann, vereinbaren Sie noch heute eine Demo.