Das passende Leistungspaket für Ihre Bedürfnisse

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über 2.000 zufriedene Kunden

Jedox  Logo Contact Demodesk Logo Contact Elevate Logo Contact Canon  Logo Contact CBTL Logo Contact Alasco  Logo Contact RightNow Logo Contact Veganz Logo Contact Escada Logo Contact First Group Logo Contact

Erhalten Sie Infos zu unseren Preisen & Services

Oder rufen Sie uns an: (089) 8967 551 000

Certified by Proven Experts

Das ISO 27001 Audit erfolgreich meistern - das sollten Sie beachten

Das Thema Informationssicherheit wird für Unternehmen immer wichtiger. Die zu verarbeitenden Datenmengen steigen fast so rasant wie deren Gefahren: von Datenverlusten über Systemausfälle bis hin zu Hackerangriffen.  

Ein Informationssicherheits-Managementsystem (ISMS) sorgt in puncto Informationssicherheit für Transparenz sowie vorhersagbare Prozesse und KPI-Ergebnisse. Und die ISO 27001 ist die internationale Norm für den Aufbau solcher Managementsysteme.

Eine Zertifizierung des ISMS nach ISO 27001 ist für alle Unternehmen sinnvoll, die ihre Informationssicherheit gegenüber Dritten nachweisen müssen oder wollen. Aber Zertifizierungen gibt es (natürlich) nicht geschenkt. Auf dem Weg dahin müssen zahlreiche Audits erfolgreich gemeistert werden. Hier erfahren Sie, worauf Sie sich einstellen sollten.

Welche Vorteile bringt ein nach ISO 27001 zertifiziertes ISMS?

Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem bringt viele Vorteile. Ersten werden Risiken im Hinblick auf Ihre IT, Geschäftsaktivitäten und Prozesse systematisch erkannt und minimiertSie überlassen Ihre Informationssicherheit also nicht länger dem Zufall. Dabei besteht das Ziel weniger darin, 100%ige Sicherheit zu erzielen. Vielmehr muss Ihr ISMS zu dem Risikoappetit Ihrer Organisation passen.

Auch die Außenwirkung einer ISO 27001-Zertifizierung ist nicht zu unterschätzen. Wenn Sie in einem noch wenig regulierten Markt unterwegs sind, können Sie bei Ihren Kunden mit hohen Standards in der Informationssicherheit punkten und durch Ihre Zertifizierung Vertrauen schaffen. In anderen Geschäftsfeldern ist eine Zertifizierung vielleicht sogar erwartet und notwendig, um Kunden zu gewinnen.

Für Startups ist eine ISO 27001-Zertifizierung besonders im Rahmen von Due-Diligence-Prüfungen von großem Vorteil. Investoren können sich dann darauf verlassen, dass das Startup einen Überblick über seine Prozesse und Informationswerte gewonnen hat. 

Aufbau und Betrieb eines ISMS folgen, vereinfacht gesagt, einem klassischen PDCA-Zyklus. PDCA steht für PLAN, DO, CHECK, ACT.                                                                                     

Einen ausführlichen Beitrag zum Thema ISMS finden Sie hier.

Welche Rolle spielen ISO 27001-Audits auf dem Weg zur Zertifizierung?

Der Zertifizierungsprozess nach ISO 27001 ist kein kurzer Prozess und mit einer Reihe von Audits und Bewertungen verbunden. So sieht die Norm interne Audits vor, mit denen Unternehmen sich selbst regelmäßig überprüfen. Die externen Audits und Kontrollen durch eine unabhängige, akkreditierte Zertifizierungsstelle hingegen dienen der Bewertung von außen und müssen erfolgreich bestanden werden, um die Zertifizierung zu erlangen bzw. zu behalten.

Die wichtigsten Ziele von ISO 27001-Audits: 

  • Sicherstellen, dass Ihr ISMS reibungslos und effektiv funktioniert und die Informationssicherheitsrisiken wirksam auf ein überschaubares Niveau reduziert.
  • Mängel identifizieren, damit diese so schnell wie möglich behoben und Korrekturmaßnahmen durchgeführt werden können. Diese Maßnahmen sind in den sogenannten ISO 27001 Controls festgehalten

Interne Audits

Bei einem internen ISO27001-Audit wird Ihr ISMS im Gegensatz zu einer Zertifizierungsprüfung von Ihren eigenen Mitarbeitern bewertet. Die Ergebnisse werden zur Weiterentwicklung Ihres ISMS herangezogen.

Wenn Ihnen eigene, qualifizierte und objektive interne Auditoren fehlen, können Sie auch einen Dienstleister heranziehen. Dieser agiert als interner Auditor in Ihrem Auftrag.

Die wichtigsten Schritte zur Durchführung eines internen Audits:

Schritt 1 – Überprüfung der Dokumentation

Zunächst sollten Sie die Dokumentation überprüfen, die während der Einführung Ihres ISMS erstellt wurde. So wird der Anwendungsbereich Ihres Audits klar abgegrenzt und gewährleistet, dass dieser dem Umfang Ihrer Organisation entspricht. Identifizieren Sie außerdem die Haupt-Stakeholder des ISMS, um u. U. benötigte Unterlagen anfordern zu können.

Schritt 2 – Management-Review 

Hier beginnt das eigentliche Audit. Vor der Umsetzung Ihres Auditplans sollten Sie mit der Geschäftsleitung sprechen, um Zeitpunkt und benötigte Ressourcen abzustimmen. Dazu ist es oft erforderlich, regelmäßige Checkpoints einzurichten, an denen Sie Zwischenergebnisse abgeben.

Schritt 3 – Vor-Ort-Prüfung

Anschließend können Sie die Einhaltung von Vorschriften, Verfahren und Standards stichprobenartig überprüfen.

Am besten durch diese Maßnahmen:

  • Im Rahmen von Mitarbeitergesprächen können Sie beobachten, wie das ISMS in der Praxis funktioniert.
  • Validieren Sie die gesammelten Informationen.
  • Erstellen Sie Audit-Berichte, um die Ergebnisse der einzelnen Prüfungen zu dokumentieren.
  • Überprüfen Sie die ISMS-Dokumentation und sonstigen relevanten Daten.

Schritt 4 – Analyse

Nun folgt die Analyse der Auditdaten vor dem Hintergrund der allgemeinen Risikomanagementstrategie und der Maßnahmen Ihrer Organisation. Mitunter kann diese Überprüfung Unstimmigkeiten in den Nachweisen aufdecken oder die Notwendigkeit weiterer Audits aufzeigen.

Schritt 5 – Reporting

Abschließend müssen Sie die Ergebnisse des Audits an Ihr Management weiterleiten. Ein internes ISO 27001-Audit-Reporting sollte Folgendes beinhalten:

  • Detaillierte Angaben zum Anwendungsbereich, zu den Zielen, zum zeitlichen Rahmen und zum Umfang des Audits
  • Eine Zusammenfassung der wichtigsten Ergebnisse eine High-Level-Auswertung Fazit
  • Die Zielgruppe für den Bericht und falls erforderlich Regeln für die Kategorisierung und Verteilung
  • Eine eingehende Analyse der Ergebnisse, Schlussfolgerungen und empfohlene Korrekturmaßnahmen
  • Dokumentation, aus der spezifische Vorschläge oder Einschränkungen hervorgehen

Eine weiterführende Überprüfung und Überarbeitung ist unter Umständen erforderlich, bis dieUnternehmensleitung mit den nächsten Schritten einverstanden ist.

Ein internes Audit ist insbesondere dafür wichtig, vorhandene Risikolücken in der Informationssicherheit aufzudecken und vor dem externen Audit einzudämmen. Um eine Zertifizierung nicht zu gefährden, haben wir in unserem Leitfaden die vier häufigsten Fehler bei der Umsetzung der ISO 27001 und wie Sie diese vermeiden können dargestellt. 

Externe Audits

Wie interne Audits auch dienen externe Audits der Zertifizierung nach ISO 27001.

Dabei werden sie allerdings von externen Auditoren bzw. Zertifizierungsstellen durchgeführt. Wenn ein Auditplan vereinbart ist, werden Ressourcen zugewiesen und Termine, Zeiten und Orte festgelegt. Das Audit wird dann im Einklang mit der Auditstrategie durchgeführt. 

Man unterscheidet zwischen folgenden Arten externer Audits:

  1. Überwachungsaudit – Zwischen den Zertifizierungs- und Rezertifizierungsaudits finden planmäßige Bewertungen statt, die als periodische Audits bezeichnet werden. Der Schwerpunkt dieser Bewertungen liegt auf einem oder mehreren Aspekten eines ISMS.

  2. Rezertifizierungsaudit – Im Rahmen eines Rezertifizierungsaudits wird eine umfassendereBeurteilung als bei einem Überwachungsaudit durchgeführt. Sie erfolgt vor Ablauf des Zertifizierungszeitraums (alle drei Jahre). Das ISMS wird in vollem Umfang auditiert.

  3. Audit der Stufe 1 – Überprüfung der Dokumentationsunterlagen – Hierbei wird überprüft, ob ein funktionierendes ISMS eingerichtet ist und ob alle relevanten Unterlagen vorhanden sind.

  4. Audit der Stufe 2 – Zertifizierungsaudit – Ein faktenbasiertes Audit, bei dem erörtert wird, ob das ISMS im Einklang mit der ISO 27001 betrieben wird und die schriftlichen Richtlinien und Verfahren umgesetzt werden. Bei diesem Audit handelt es sich um ein stichprobenartiges Verfahren, dessen Ergebnisse analysiert werden.

Wie bereite ich mich am besten auf ein ISO 27001-Audit vor?

Bei der Vorbereitung auf ein ISO 27001 Audit sollten die folgenden Fragen mit „ja“ beantwortet werden:

Sind die wichtigsten Prozesse des ISMS korrekt implementiert und funktionsfähig?

  1. Kontext der OrganisationDazu gehört es, das organisatorische Umfeld und die Anforderungen an die Informationssicherheit zu verstehen und zu dokumentieren, wobei auch die interessierten Stakeholder einbezogen werden. Auf diese Weise wird der Anwendungsbereich des ISMS dokumentiert.

  2. Risiko- und Chancenmanagement – Identifizierung und Analyse der Bedrohungen und Chancen für die Informationssicherheit Ihrer Organisation und Erstellung eines Handlungskonzepts.

  3. Leadership Die Sicherheitsrichtlinien Ihrer Organisation sollten eine schriftliche Erklärung und einen Nachweis über die für die Einrichtung einer starken Führung auf höchster Ebene erforderlichen Ressourcen enthalten.

  4. Management-Review – Das ISMS Ihrer Organisation muss einem formellen Management-Review gemäß (Abschnitt 9.3) unterzogen werden

  5. Korrigierende Maßnahmen und kontinuierliche VerbesserungIhre Organisation muss kontinuierliche Korrektur- und Verbesserungsmaßnahmen effizient und effektiv steuern und umsetzen. 

Liegen Ihnen die für das Audit erforderlichen Unterlagen vor?

Um die Einhaltung der ISO 27001 nachzuweisen, muss Ihre Organisation die folgenden Dokumente vorlegen:

Eine Übersicht aller notwendigen Dokumentationen im Rahmen einer ISO 27001-Zertifizierung finden Sie in der folgenden Checkliste.

Download Roadmap

Sind die Unterlagen zur Beweisführung leicht auffindbar und zugänglich?

Sie müssen sicherstellen, dass Mitarbeiter und Unterauftragnehmer leichten Zugang zu Unterlagen und Nachweisen über Fragen der Informationssicherheit haben, da dies ein wesentlicher Bestandteil des Audits ist.

Sind Ihre Mitarbeiter auf Audit-Gespräche vorbereitet?

Eine gute Strategie ist es dafür zu sorgen, dass die geprüften Personen im Voraus wissen, worauf sie sich einstellen müssen und wie sie reagieren können.

Eine ISO 27001 Checkliste finden Sie als detaillierten Leitfaden in diesem Artikel. 

Wie oft müssen ISO 27001-Audits wiederholt werden?

Weil die Umsetzung von Informationssicherheitsmaßnahmen kein einmaliges Projekt ist, sondern ein fortlaufender Prozess, müssen auch Zertifizierungen in gewissen Abständen aufgefrischt werden. Die ISO 27001 sieht alle drei Jahre eine Re-Zertifizierung mit einem komplett neuen Audit-Prozess vor. Weniger umfangreiche Kontrollen durch die Zertifizierungsstelle müssen sogar jährlich stattfinden.

 Werden hier gravierende Mängel festgestellt, kann Unternehmen die Zertifizierung frühzeitig entzogen werden. Zudem enthält die ISO 27001 Anforderungen, die interne Audits im Jahresrhythmus vorsehen.

Fazit

Die Zertifizierung nach dem Standard ISO 27001 bringt einige Vorteile mit sich, darunter unter anderem die Minimierung von Risiken und die Optimierung von Prozessen. Sie bietet sich zudem ideal dafür an, einen international anerkannten Informationssicherheitsstandard nach außen zu kommunizieren.  

Und wer die Zertifizierung erfolgreich erlangen und behalten möchte, kommt an regelmäßigen internen und externen Audits nicht vorbei. Diese bieten immer auch eine Chance, das eigene ISMS neu zu evaluieren und immer weiter zu vernessern.

Sie brauchen Hilfe, um sich in der Welt der Informationssicherheit zurechtzufinden oder um sich auf ein Zertifizierungsaudit vorzubereiten? Wir helfen Ihnen gerne weiter – nehmen Sie noch heute Kontakt mit einem unserer Datenschutzexperten auf.

Kostenlose Erstberatung vereinbaren

 

Zurück zum Seitenanfang

Über den Autor