Das ISO 27001-Audit erfolgreich meistern

Was ist ein ISO 27001-Audit?

Umgangssprachlich wird das ISO 27001-Audit oft auch als ISMS-Audit bezeichnet. Und es stimmt: auditiert wird genau genommen das ISMS eines Unternehmens. Die ISO 27001 ist die internationale Norm für den Aufbau solcher Managementsysteme. Bei einem ISO 27001-Audit wird geprüft, inwiefern die im Sinne der ISO 27001 implementierten Prozesse und Maßnahmen im Unternehmen umgesetzt werden.

Ein ISO 27001-Audit besteht aus…

• der Dokumentenprüfung,
• Mitarbeiterinterviews
• und einer Inspektion, also dem Einblick in entsprechende Systeme.

Als Ergebnis werden Haupt- und Nebenabweichungen festgehalten, ein Verbesserungsprozess definiert und unter Umständen ein Nachaudit festgelegt.

Einen ausführlichen Beitrag zum Thema ISMS finden Sie hier.

Die unterschiedlichen Auditarten im Überblick

Beim ISO 27001-Audit denken die meisten zuerst an das Zertifizierungsaudit. Hier entscheidet sich schließlich, ob ein Unternehmen die ersehnte ISO 27001-Zertifzierung bekommt. Oft wird diese von Kunden gefordert oder muss im Rahmen einer Due-Diligence-Prüfung durch einen Investor vorgelegt werden.

Doch bevor es zum Zertifizierungsaudit kommen kann, muss mindestens ein internes Audit durchgeführt werden. Und auch nach Erhalt der Zertifizierung sind weitere interne sowie externe Audits vorgesehen. Externe Audits wiederum teilen sich ebenfalls in fünf Audit-Typen auf.

Anleitung für ein internes ISO 27001-Audit

Bei einem internen ISO27001-Audit wird Ihr ISMS im Gegensatz zu einem Zertifizierungsaudit von Ihren eigenen Mitarbeitern bewertet.

In kleineren Unternehmen (mit weniger als 200 Mitarbeitern) ist es oft schwierig, einen internen Auditor zu finden, der vom Betrieb des ISMS unabhängig ist. Daher entscheiden solche Unternehmen sich oft, externe Dienstleister wie Berater oder unser Expertenteam von DataGuard heranzuziehen. Die Ergebnisse werden zur Weiterentwicklung Ihres ISMS herangezogen.

Schritt 1: Überprüfung der Dokumentation

Wie beim externen Audit sollten Sie auch im internen Audit zunächst die Dokumentation überprüfen, die während der Einführung Ihres ISMS erstellt wurde. So wird der Anwendungsbereich Ihres Audits klar abgegrenzt und gewährleistet, dass dieser dem Umfang Ihrer Organisation entspricht. Identifizieren Sie außerdem die Haupt-Stakeholder des ISMS, um u. U. benötigte Unterlagen anfordern zu können.

Schritt 2: Management-Review 

Hier beginnt das eigentliche Audit. Vor der Umsetzung Ihres Auditplans sollten Sie mit der Geschäftsleitung sprechen, um Zeitpunkt und benötigte Ressourcen abzustimmen. Dazu ist es oft erforderlich, regelmäßige Checkpoints einzurichten, an denen Sie Zwischenergebnisse abgeben.

Schritt 3: Vor-Ort-Prüfung

Anschließend können Sie die Einhaltung von Vorschriften, Verfahren und Standards stichprobenartig überprüfen.

1. Im Rahmen von Mitarbeitergesprächen können Sie beobachten, wie das ISMS in der Praxis funktioniert.
2. Validieren Sie die gesammelten Informationen.
3. Erstellen Sie Audit-Berichte, um die Ergebnisse der einzelnen Prüfungen zu dokumentieren.
4. Überprüfen Sie die ISMS-Dokumentation und sonstigen relevanten Daten.

Schritt 4: Analyse

Nun folgt die Analyse der Auditdaten vor dem Hintergrund der allgemeinen Risikomanagementstrategie und der Maßnahmen Ihrer Organisation. Mitunter kann diese Überprüfung Unstimmigkeiten in den Nachweisen aufdecken oder die Notwendigkeit weiterer Audits aufzeigen.

Schritt 5: Reporting

Abschließend müssen Sie die Ergebnisse des Audits an Ihr Management weiterleiten. Ein internes ISO 27001-Audit-Reporting sollte Folgendes beinhalten:

• Detaillierte Angaben zum Anwendungsbereich, zu den Zielen, zum zeitlichen Rahmen und zum Umfang des Audits
• Eine Zusammenfassung der wichtigsten Ergebnisse – eine High-Level-Auswertung
• Die Zielgruppe für den Bericht und falls erforderlich Regeln für die Kategorisierung und Verteilung
• Eine eingehende Analyse der Ergebnisse, Schlussfolgerungen und empfohlene Korrekturmaßnahmen
• Dokumentation, aus der spezifische Vorschläge oder Einschränkungen hervorgehen

Eine weiterführende Überprüfung und Überarbeitung ist unter Umständen erforderlich, bis dieUnternehmensleitung mit den nächsten Schritten einverstanden ist.

Ein internes Audit ist insbesondere dafür wichtig, vorhandene Risikolücken in der Informationssicherheit aufzudecken und vor dem externen Audit einzudämmen. Um eine Zertifizierung nicht zu gefährden, haben wir in unserem Leitfaden die vier häufigsten Fehler bei der Umsetzung der ISO 27001 und wie Sie diese vermeiden können dargestellt. 

Ablauf von externen Audits

Wenn Ihr internes Audit erfolgreich verlaufen ist, sind Sie gut auf das externe Audit vorbereitet. Der Ablauf ist nicht wesentlich anders, allerdings kommt eben ein externer Auditor zu Ihnen ins Haus.

Schritt 1: Dokumentenprüfung

Auch beim externen Audit werden im ersten Schritt (Stage 1) alle Dokumente überprüft, die Ihr ISMS produziert. Das geschieht häufig remote, gerade in Pandemiezeiten. Es ist aber keine schlechte Idee, den Auditor schon hier persönlich einzuladen und eine persönliche Beziehung aufzubauen.

Schritt 2: Vor-Ort-Audit 

Im zweiten Schritt (Stage 2) wird vor Ort geprüft. Dafür werden einige Ihrer Mitarbeiter befragt und auch Ihre Systeme stichprobenartig unter die Lupe genommen. Neben Mitarbeitern wie Ihrem CISO / ISB, die sich natürlich ganz direkt mit dem ISMS beschäftigen, sollte auch Ihr CFO oder CEO zumindest kurz vorbeischauen und dem Auditor gegenüber bestätigen, dass die finanziellen Ressourcen zum Betrieb des ISMS weiter fest eingeplant sind.

Bereits während der Begehung Ihres Betriebs wird sich abzeichnen, ob Sie mit einem positiven Ausgang rechnen können. Neben- und ggf. Hauptabweichungen werden direkt angesprochen und Verbesserungsprozesse gemeinsam besprochen. Eine Hauptabweichung führt automatisch zu einem nicht bestandenen Audit. Dann legen Sie gemeinsam den Termin und die Bedingungen für ein Nachaudit fest. Die Ergebnisse sollten Sie direkt mit in den nächsten Management-Review nehmen.

Schritt 3: Audit-Bericht und ISO 27001-Zertifikat

Schließlich bekommen Sie von Ihrem Auditor einen Auditbericht und das Zertifikat zugeschickt. Viele Zertifizierungsunternehmen sind derzeit ausgelastet, daher kann das Ganze ein paar Monate dauern. Die Deutsche Akkreditierungsstelle (Dakks) muss nämlich jedes Auditergebnis noch einmal prüfen und kann Auditergebnisse auf Basis der eingereichten schriftlichen Unterlagen sogar noch einmal verändern – z. B., indem eine Nebenabweichung zur Hauptabweichung erklärt wird.

Vorbereitung auf ein ISO 27001-Audit

Beantworten Sie sich in Vorbereitung auf Ihr Audit folgende Fragen:

Sind die Prozesse des ISMS korrekt implementiert und funktionsfähig?

1. Kontext der Organisation – Dazu gehört es, das organisatorische Umfeld und die Anforderungen an die Informationssicherheit zu verstehen und zu dokumentieren, wobei auch die interessierten Stakeholder einbezogen werden. Auf diese Weise wird der Anwendungsbereich des ISMS dokumentiert.
2. Risiko- und Chancenmanagement – Identifizierung und Analyse der Bedrohungen und Chancen für die Informationssicherheit Ihrer Organisation und Erstellung eines Handlungskonzepts.
3. Leadership – Die Sicherheitsrichtlinien Ihrer Organisation sollten eine schriftliche Erklärung und einen Nachweis über die für die Einrichtung einer starken Führung auf höchster Ebene erforderlichen Ressourcen enthalten.
4. Management-Review – Das ISMS Ihrer Organisation muss einem formellen Management-Review gemäß (Abschnitt 9.3) unterzogen werden
5. Korrigierende Maßnahmen und kontinuierliche Verbesserung – Ihre Organisation muss kontinuierliche Korrektur- und Verbesserungsmaßnahmen effizient und effektiv steuern und umsetzen. 

Liegen die erforderlichen Unterlagen vor?

Um die Einhaltung der ISO 27001 nachzuweisen, muss Ihre Organisation die folgenden Dokumente vorlegen:

• Erklärung zum Anwendungsbereich des ISMS (Abschnitt 4.3)
• Organisatorische Informationssicherheitspolitik (Abschnitt 5.2)
• Risikomanagementmethode (Abschnitt 6.1.2 & 6.1.3)
• Risikoregister und Risikobehandlungsplan (Abschnitt 6.1.3 e)
• Erklärung zur Anwendbarkeit (Abschnitt 6.1.3 d)
• Richtlinien und Prozesse, die gemäß Anhang A erforderlich sind, wenn Maßnahmen anwendbar sind.

Achten Sie außerdem darauf, dass Ihre Mitarbeiter und Unterauftragnehmer leichten Zugang zu Unterlagen und Nachweisen über Fragen der Informationssicherheit haben.

Eine Übersicht aller notwendigen Dokumentationen im Rahmen einer ISO 27001-Zertifizierung finden Sie in der folgenden Checkliste.

Sind Ihre Mitarbeiter auf Auditgespräche vorbereitet?

Eine gute Strategie ist es dafür zu sorgen, dass die geprüften Personen im Voraus wissen, worauf sie sich einstellen müssen und wie sie reagieren können. Beachten Sie dabei unbedingt die Tipps in der unten stehenden Infobox.

Eine ISO 27001 Checkliste finden Sie als detaillierten Leitfaden in diesem Artikel. 

Kosten für ein ISO 27001-Zertifzierungsaudit

Wir schlüsseln in diesem Beitrag die Gesamtkosten für eine ISO 27001-Zertifzierung auf. Die Kosten für das externe Audit durch eine Zertifzierungsstelle sind nur ein kleiner Teil der Kosten insgesamt und lassen sich pauschal nicht beziffern. Wie teuer die Auditierung wird, hängt maßgeblich von folgenden Faktoren ab:

• Anwendungsbereich des ISMS
• Unternehmensgröße
• Komplexität der Prozesse
• Anzahl der Standorte (da jeder Standort eigens besichtigt werden muss)

Ein Auditor von einer akkreditierten Zertifzierungsstelle kostet um die 1.600 € / Tag. Im Erstaudit ist eine Mindestdauer von 29 Stunden angesetzt, das Audit dauert jedoch eher ein bis zwei Wochen. Ein Rezertifizierungsaudit dauert weniger länger (ca. zwei bis drei Tage) und ist demnach günstiger als das Erstaudit.

Als grobe Orientierung können Sie mit folgenden Zertifizierungskosten rechnen:

Ein mittelständisches Unternehmen mit 100 Mitarbeitern und relativ geringer Prozesskomplexität kann pro 15 bis 20 Mitarbeitern mit einem Audit-Tag rechnen – also rund fünf bis sieben Audit-Tagen insgesamt. Dabei fallen üblicherweise Kosten von bis zu 25.000€ an.

Bei größeren Unternehmen sind Auditkosten von 50.000€ durchaus normal.

Für ein kleines Unternehmen mit einem Standort können erfahrungsgemäß Zertifizierungskosten von rund 10.000 € anfallen. Ein verbindliches Angebot bekommen Sie aber nur im direkten Kontakt mit Ihrer Zertifizierungsstelle.

Fazit

Die Zertifizierung nach dem Standard ISO 27001 bringt einige Vorteile mit sich, darunter unter anderem die Minimierung von Risiken und die Optimierung von Prozessen. Sie bietet sich zudem ideal dafür an, einen international anerkannten Informationssicherheitsstandard nach außen zu kommunizieren.  

Und wer die Zertifizierung erfolgreich erlangen und behalten möchte, kommt an regelmäßigen internen und externen Audits nicht vorbei. Diese bieten immer auch eine Chance, das eigene ISMS neu zu evaluieren und immer weiter zu verbessern.

Sie brauchen Hilfe, um sich in der Welt der Informationssicherheit zurechtzufinden oder um sich auf ein Zertifizierungsaudit vorzubereiten? Wir helfen Ihnen gerne weiter – nehmen Sie noch heute Kontakt mit einem unserer Experten auf.