Herzlichen Glückwunsch! Sie haben die ISO 27001-Zertifizierung erreicht, was keine leichte Aufgabe ist. Aber jetzt müssen Sie die Zertifizierung aufrechterhalten — und das bedeutet, regelmäßige interne Audits durchzuführen.
Ein internes Audit nach ISO 27001 ist genau das, wonach es klingt: ein Audit, das Ihre Organisation intern durchführt, um zu überprüfen, ob Ihr Informationssicherheits-Managementsystem (ISMS) weiterhin den ISO 27001-Standard erfüllt.
Dieser Artikel führt Sie durch die Durchführung eines internen Audits, das die Anforderungen der ISO 27001 erfüllt. Erfahren Sie, wie oft Sie ein internes Audit durchführen sollten, welche Schritte dafür erforderlich sind, und erhalten Sie eine Checkliste für interne Audits nach ISO 27001, um den Prozess zu vereinfachen.
Was ist ein internes Audit nach ISO 27001?
Im Gegensatz zur Zertifizierungsprüfung, die von einem akkreditierten externen Auditor durchgeführt wird, wird das interne Audit von Ihren eigenen Mitarbeitern durchgeführt. Die Ergebnisse dieser internen Audits helfen Ihnen, das ISMS im Laufe der Zeit zu verbessern und sicherzustellen, dass es weiterhin die Anforderungen für die ISO 27001-Zertifizierung erfüllt.
Die Norm ISO/IEC 27001 legt die Anforderungen für ein internes Audit in Klausel 9.2 fest. Diese Klausel verlangt, dass interne Audits:
- in geplanten Abständen durchgeführt werden
- bestimmen, ob das ISMS sowohl die eigenen Standards der Organisation als auch die Anforderungen der ISO 27001 erfüllt
- als Teil eines formellen Auditprogramms dokumentiert werden
- von einem unabhängigen und unparteiischen internen Auditor durchgeführt werden (also nicht von jemandem, der operative Kontrolle oder Eigentum über das ISMS hat oder an dessen Entwicklung beteiligt war)
- Audit-Ergebnisse enthalten, die dem Management gemeldet und als Teil der Organisationsunterlagen aufbewahrt werden
Obwohl die Norm nicht festlegt, wie oft ein internes Audit durchgeführt werden muss, empfehlen unsere ISO 27001-Experten, mindestens einmal jährlich ein internes Audit durchzuführen.
Warum ein internes ISMS-Audit durchführen?
Regelmäßige interne Audits nach ISO 27001 ermutigen Organisationen, proaktiv bei der Aufrechterhaltung des ISMS zu sein. Ein Programm für interne Audits hilft Organisationen außerdem:
- Eine starke Sicherheitslage zu fördern, indem Nichtkonformitäten und Schwachstellen identifiziert werden, bevor ein Sicherheitsvorfall eintritt
- Regelmäßige Risikobewertungen durchzuführen und neue Informationssicherheitsrisiken zu überwachen
- Mitarbeiter und Stakeholder über sich ändernde Sicherheitsanforderungen oder Informationssicherheitsrichtlinien zu informieren
- Sicherzustellen, dass das Personal sich seiner Rollen und Verantwortlichkeiten im Zusammenhang mit dem ISMS bewusst bleibt
- Möglichkeiten zur kontinuierlichen Verbesserung des ISMS zu identifizieren
Der interne Audit-Prozess nach ISO 27001
Schritt 1: Den Umfang Ihres internen Audits definieren
Der erste Schritt bei Ihrem internen Audit besteht darin, einen Auditplan zu erstellen. Sie müssen festlegen, welche Informationssysteme und Vermögenswerte in die Bewertung einbezogen werden sollen. Bestimmen Sie, welche ISO 27001:2013 Klauseln und Anhang A Kontrollen für Ihr Zertifizierungsaudit relevant sind (eine Erklärung zur Anwendbarkeit ist hier hilfreich).
Als nächstes müssen Sie einen internen Auditor identifizieren, der die Bewertung durchführt. Diese Person wird typischerweise von der Geschäftsleitung oder dem Vorstand ausgewählt. ISO 27001 erfordert, dass der interne Auditor unparteiisch ist, daher sollte es jemand sein, der nicht an der Erstellung, Implementierung oder dem täglichen Betrieb des ISMS beteiligt ist.
Schritt 2: Sammlung von Beweismitteln & Dokumentenprüfung
Der interne Auditor muss Ihre Informationssicherheitspolitik und die von Ihnen implementierten Kontrollen überprüfen, um Ihr ISMS zu schützen. Hier sind einige Beispiele für Dokumentationen, die Sie wahrscheinlich benötigen:
- ISMS-Geltungsbereichserklärung: Dieses Dokument definiert die Informationen und Prozesse, die Ihr ISMS schützen soll.
- ISMS-Erklärung zur Anwendbarkeit: Diese Erklärung erläutert, welche Anhang A Sicherheitskontrollen für das ISMS Ihrer Organisation anwendbar sind – oder nicht.
- Informationssicherheitspolitik: Diese Richtlinie bietet einen Überblick darüber, wie die Organisation die Informationssicherheit angeht.
- ISO 27001 Risikoanalyse und Risikobehandlungsplan: Diese Dokumente identifizieren organisatorische Risiken, bestimmen die Wahrscheinlichkeit und Auswirkung jedes Risikos und skizzieren, wie die Organisation auf jedes Risiko reagieren wird.
- Protokolle der ISMS-Managementbewertungssitzungen: Die Managementbewertung stellt sicher, dass das ISMS mit dem Zweck, den Zielen und den Risiken der Organisation übereinstimmt.
- ISMS-Korrekturaktionsbericht/Lückenanalyse: Erklärt, wie die Organisation Schwachstellen und Nichtkonformitäten angehen und das ISMS verbessern wird.
- Geschäftskontinuitätspolitik: Dieses Dokument skizziert, wie Ihre Organisation im Falle einer ungeplanten Unterbrechung weiterhin kritische Dienstleistungen erbringen und wichtige Geschäftsprozesse wiederherstellen wird.
Schritt 3: Durchführung des internen Audits
Jetzt ist es an der Zeit, dass der interne Auditor mit seiner Bewertung beginnt. Er wird die Dokumentation und Kontrollen überprüfen, Interviews mit Kontrollinhabern führen und operative Verfahren in Aktion beobachten. All dies wird die Bewertung des Auditors darüber informieren, ob Ihre Organisationsziele erreicht werden und den Anforderungen von ISO 27001 entsprechen. Es hilft ihnen auch, etwaige Lücken zu identifizieren, die vor dem nächsten Zertifizierungsaudit geschlossen werden müssen.
Schritt 4: Erstellung des internen Auditberichts
Wie bei einem externen Audit wird auch das interne Audit einen Abschlussbericht erzeugen. Hier fasst der interne Auditor seine Ergebnisse zusammen, einschließlich etwaiger Nichtkonformitäten und Handlungspunkte. Der interne Auditbericht sollte Folgendes umfassen:
Ihr ISO 27001 interner Auditbericht sollte Folgendes umfassen:
- Eine Einführung, die den Prüfungsgegenstand, die Ziele, den Zeitplan und die Bewertungen zusammenfasst.
- Eine Zusammenfassung der wichtigsten Ergebnisse des Audits.
- Empfehlungen dazu, wer den Bericht überprüfen sollte und ob die darin enthaltenen Informationen klassifiziert werden sollten.
- Eine detaillierte Analyse der Prüfungsergebnisse, einschließlich etwaiger Empfehlungen und Korrekturmaßnahmen.
- Eine Erklärung zu etwaigen Einschränkungen des Prüfungsgegenstands.
Schritt 5: Managementbewertung
Der interne Auditor wird die Prüfungsergebnisse der Geschäftsleitung und interessierten Parteien vorstellen, etwaige größere und/oder kleinere Nichtkonformitäten teilen und Verbesserungspotenziale des ISMS diskutieren. Diese Managementbewertung wird auch darüber informieren, ob die Organisation bereit für ein ISO 27001 Stage 2 Zertifizierungsaudit ist.
ISO 27001 interne Auditvorlage
Jedes interne ISO 27001-Audit einer Organisation ist so einzigartig wie ihr ISMS. Dennoch kann eine interne Audit-Checkliste eine unglaublich nützliche Ergänzung zu Ihrem ISO 27001-Toolkit sein.
Diese interne Auditvorlage listet jede Klausel und jeden Anhang A-Kontrolle im Tabellenformat auf, um Ihren internen Auditor durch die Anforderungen des Standards zu führen. Identifizieren Sie Kontroll-/Risiko-Eigner, halten Sie Evidenzdokumente organisiert und erkennen Sie problemlos eventuelle Lücken oder Redundanzen.
Vereinfachen Sie Ihre internen ISO 27001-Audits mit Secureframe
Unsere Plattform zur Automatisierung der Compliance vereinfacht den internen Auditprozess und erstellt einen ISO 27001-Bereitschaftsbericht. Sie werden in der Lage sein, alle Ihre Richtlinien und Dokumentationen an einem Ort zu sehen und automatisch Beweise für die interne Überprüfung zu sammeln. Sehen Sie genau, wie nah Sie daran sind, die ISO 27001-Anforderungen zu erfüllen, und erhalten Sie umsetzbare Ratschläge zur Schließung etwaiger Lücken. Fordern Sie eine Demo an, um mehr darüber zu erfahren, wie wir die Implementierung von ISO 27001 vereinfachen.