ISO 27001 internes Audit Checkliste: Erfolgsaussichten steigern

Was ist ein internes ISO 27001 Audit?

Ein internes ISO 27001 Audit umfasst die detaillierte Bewertung des ISMS Ihrer Organisation und stellt sicher, dass dieses die Kriterien der Norm erfüllt.

Anders als die Evaluation zur Zertifizierung, wird ein internes Audit nach ISO 27001 von Ihren eigenen Mitarbeitern durchgeführt. Diese nutzen die Ergebnisse, um die Zukunft Ihres ISMS zu gestalten. Die Anforderungen an ein internes Audit sind in Kapitel 9.2 der ISO 27001 beschrieben.

Mehr über die Zertifizierung nach ISO 27001, die damit verbundenen Kosten und wie Organisationen langfristig von der Norm profitieren, erfahren Sie in unserem Leitfaden zur ISO 27001.

Im Fokus einer internen Prüfung nach ISO 27001 steht das Informationssicherheits-Managementsystem Ihrer Organisation. Das interne Audit ermittelt die Bereiche, die Ihre Aufmerksamkeit erfordern, und hilft Ihnen, die Abläufe in Ihrer Organisation zu verbessern.

Verbesserungsmöglichkeiten erkennen Sie, indem Sie die ermittelte Ist-Situation Ihrer Abläufe und ISMS-Prozesse mit der Soll-Situation vergleichen. Bei den regelmäßigen Meetings zur Überprüfung durch das Management, diese sollten ein- bis viermal im Jahr stattfinden, dokumentieren Sie Ihre Beobachtungen und analysieren die Auditergebnisse.

Was besagt Kapitel 9.2 der ISO 27001? 

Kapitel 9 der ISO 27001:2013 Management-Standards beschäftigt sich mit der Leistungsbewertung.

Unterkapitel 9.2 besagt, dass die Organisation in festgelegten Abständen interne Audits durchführen muss. Dabei wird ermittelt, ob das Informationssicherheitsmanagementsystem (ISMS):

• den Anforderungen des Informationssicherheits-Managementsystems der Organisation entspricht.
• die Anforderungen der internationalen Norm ISO 27001 erfüllt.
• ordnungsgemäß installiert und gewartet wird.

Dafür wird der ISO-Auditor überprüfen, ob die Organisation folgende Punkte erfüllt:

• Wurde ein Auditprogramm geplant, durchgeführt und aufrechterhalten?
• Wurden für jedes Audit die Auditkriterien und der Umfang festgelegt?
• Wurden die Auditoren im Hinblick auf ihre Objektivität und Unparteilichkeit ausgewählt?
• Wurde das verantwortliche Management über die Audits unterrichtet?
• Wurden die Audit-Ergebnisse dokumentiert und als Nachweis aufbewahrt?

Wie kann eine Organisation interne ISMS Audits durchführen und die Anforderungen der ISO 27001 erfüllen?

Mit einem internen Auditverfahren stellen Sie sicher, dass eine Organisation alle Voraussetzungen erfüllt, um die Effizienz ihres Informationssicherheits-Managementsystems (ISMS) anhand der ISO 27001 Vorgaben und der eigenen ISMS-Kriterien zu überprüfen.

Um dies zu gewährleisten, müssen interne Audits gemäß Norm (ISO/IEC 27001, 2013) von unabhängigen und unvoreingenommenen Auditoren durchgeführt werden.

Einen Überblick über alle notwendigen Dokumentationen für das Audit finden Sie in dieser Checkliste.

Warum sollten Organisationen ihr ISMS auditieren?

Interne Audits nach ISO 27001 geben die Gewissheit, dass ein installiertes Managementsystem und seine Verfahren den Kriterien der Norm entsprechen. Sobald die Verfahren den Mitarbeitern und Managern bekanntgemacht wurden, müssen sie effizient durchgeführt werden, um einen zügigen und funktionierenden Prozess zu gewährleisten.  

Die Vorteile eines internen Audits: 

• Sie erkennen Nichtkonformitäten, bevor es andere tun.
• Schon bevor es zu einem sicherheitsrelevanten Ereignis kommt, haben Sie die Bereiche identifiziert, die zur Aufrechterhaltung einer stabilen Sicherheitslage besonderer Aufmerksamkeit bedürfen.
• Es informiert das Management und zeigt Ihr Engagement.
• Es unterstützt Mitarbeiter dabei, Risikosituation besser zu erfassen und sich dieser bewusst zu werden.
• Es gibt Impulse zur kontinuierlichen Verbesserung.

Zusammenfassend besteht das Ziel des Audits darin, etwaige Nichtkonformitäten zu ermitteln, die Wirksamkeit des ISMS festzustellen und der Organisation eine Chance zur Verbesserung zu geben.

ISO 27001 internes Audit Checkliste

Mit der folgenden Checkliste stellen Organisationen in fünf Schritten sicher, dass sie die Kriterien für ein internes Audit nach ISO 27001 erfüllen.

Prüfung der Dokumentation

Starten Sie mit einer Sichtung der Dokumentation, die Sie während der Einführung Ihres ISMS erstellt haben. Denn der Umfang des Audits sollte mit den Anforderungen Ihrer Organisation übereinstimmen. Die Dokumentationen macht klare Vorgaben für das, was geprüft werden muss. Sie sollten auch die wichtigsten Interessengruppen des ISMS ermitteln. Dies erleichtert Ihnen das Anfordern von Unterlagen, die während des Audits benötigt werden.

Review durch das Management

Bevor Sie einen Auditplan erstellen, sollten Sie sich mit dem Management beraten und einen Zeitrahmen sowie die Ressourcen für das Audit festzulegen. Dazu gehört auch die Definition von Zielen, zu denen Sie dem Management Zwischenberichte vorlegen werden. Das Treffen mit der Geschäftsführung in diesem frühen Stadium erlaubt es beiden Seiten, etwaige Bedenken und Probleme zu äußern.

Überprüfung vor Ort

In diesem Schritt findet die praktische Evaluation Ihrer Organisation statt.

Typischerweise bedeutet dies:

• Sie evaluieren in Gesprächen mit Mitarbeitenden wie das ISMS in der Praxis funktioniert.
• Die vorhandenen Konformitätsnachweise werden in Audit-Tests validiert
• Sie erstellen Audit-Reports, um die Ergebnisse der einzelnen Tests zu dokumentieren.
• Alle ISMS-Papiere, Ausdrucke und andere relevante Informationen werden geprüft.

Analyse

Die im Zuge des Audits gesammelten Nachweise sollten strukturiert und im Hinblick auf den Risikobehandlungsplan und die Kontrollziele Ihrer Organisation analysiert werden. So lassen sich Nachweislücken aufdecken oder Bedarfe nach weiteren Audittests erkennen.

Bericht

Die Ergebnisse des Audits müssen der Geschäftsleitung vorgelegt werden. Die folgenden Punkte sollten in Ihrem internen Auditbericht nach ISO 27001 enthalten sein:

• Einleitung mit Erläuterungen zu Fokus, Zielen, Zeitplan und Umfang der durchgeführten Arbeiten.
• Management Summary mit den wichtigsten Erkenntnissen, einer Analyse auf hohem Niveau und Schlussfolgerungen.
• Definition der Berichtzielgruppen sowie gegebenenfalls Regeln für die Klassifizierung und Verbreitung.
• Eine eingehende Untersuchung der Ergebnisse. Schlussfolgerungen und Vorschläge zur Verbesserung.
• Eine Erklärung mit Vorschlägen oder Einschränkungen für den Umfang des Projekts. 

Da der Abschlussbericht in der Regel eine Verpflichtungserklärung des Managements zu einem Aktionsplan enthält, kann eine weitere Überprüfung und Änderung erforderlich sein.

In unserem Artikel ISO 27001 Checkliste: ein umfassender Leitfaden lesen Sie über die wichtigsten Aspekte für eine ISO 27001 Zertifizierung. 

Wie oft muss Ihre Organisation ein internes ISO 27001 Audit durchführen?

Die ISO 27001 macht keine Vorgaben dazu, wie oft eine Organisation ein internes Audit durchführen muss. Der Grund: Das ISMS jeder Organisation ist einzigartig und muss als solches behandelt werden.

Nach Ansicht von Experten sollte ein internes Audit nach ISO 27001 mindestens einmal jährlich durchgeführt werden. Dies wird nicht in allen Fällen praktikabel und möglich sein. Der komplette Auditprozess, inklusive externer Prüfung, ist jedoch alle drei Jahre vorgesehen, da eine Zertifizierung sonst ihre Gültigkeit verliert. Mehr über das gesamte ISO 27001 Audit erfahren Sie hier. 

Für diesen Zeitraum validieren auch die meisten ISO 27001-Zertifizierungsstellen das ISMS einer Organisation, dann endet die Gültigkeit der Zertifikate. Denn nach drei Jahren, so die Annahme, entspricht das ISMS einer Organisation vermutlich nicht mehr den Anforderungen der ISO 27001. 

Welche Anforderungen stellt die ISO 27001 an ein internes Audit?

Kapitel 9.2 der ISO/IEC 27001 definiert die Anforderungen an ein internes Audit. Allem voran muss Ihre Organisation beachten, dass die Auditierung nicht in der Verantwortung einer einzelnen Person oder eines einzelnen Teams liegen darf.

Die Einführung eines Auditverfahrens ist zudem ein fortlaufender Prozess. Diese wird in regelmäßigen Abständen oder bei wesentlichen Änderungen in der Organisation ausgelöst. Es geht also nicht um eine einmalige Aktion zur Erlangung der ISO 27001 Zertifizierung.  

Sobald das Auditverfahren eingerichtet ist, müssen Sie die Auditoren auswählen. Achten Sie bei der Auswahl der Auditoren darauf, dass diese unparteiisch und unabhängig sind. Für die Auswahl kompetenter, unabhängiger und objektiver Auditoren gemäß ISO 27001 legen Sie am besten Kriterien fest, die den Anforderungen entsprechen.

Als Auditoren können Sie interne Kräfte auswählen, die bereits über entsprechende Erfahrungen verfügen oder zu Auditoren ausgebildet werden. Bei Bedarf können Sie auch externe Hilfe in Anspruch nehmen. Sie sind in der Wahl völlig frei, solange die ausgewählten Personen nicht etwas bewerten, das sie selbst mitgestaltet oder umgesetzt haben.

Sachkenntnis, Objektivität und Überparteilichkeit heißen die drei Säulen für saubere interne Audits. Daher ist es üblich, externe Fachkräfte für interne ISO 27001 Audits einzusetzen. 

Erfahren Sie mehr über die Zertifizierung nach ISO 27001 und wie Sie DataGuard darauf vorbereitet.

Wie läuft ein ISO 27001 internes Audit ab?

Vor Beginn eines internen ISO 27001 Audits erstellen Sie einen Zeitplan oder ein Gantt-Diagramm. So stellen Sie sicher, dass Mitarbeiter ihre Zeit entsprechend einteilen können und dass das Audit nicht in Zeiten mit hoher Geschäftsaktivität stattfindet.

Besonders wichtig ist dies für Organisationen, die sich auch Audits durch Aufsichtsbehörden und Kunden stellen müssen und die eine dadurch bedingte „Auditmüdigkeit“ vermeiden wollen.

Bei der Durchführung des Audits sollten die organisatorischen Bereiche Priorität haben, die für die Risikobewertung besonders wichtig sind. Zugleich muss vermieden werden, das einzelne Organisationseinheiten überdurchschnittlich langwierig auditiert, ignoriert oder besonders behandelt werden.   

Wichtig ist auch, dass jede Prüfung umfassend protokolliert wird. In der Regel geschieht dies in Form eines Berichts. Dieser sollte genau dokumentieren, wer kontaktiert und was gesagt wurde sowie welche Nachweise vorliegen. Eine Zusammenfassung der Ergebnisse ist ebenfalls Pflicht. Der Bericht sollte zudem Folgendes enthalten:

• eventuell festgestellte Nicht-Konformitäten
• Möglichkeiten zur Verbesserung

Der abschließende Bericht zu einem internen Audit wird der Geschäftsleitung vorgelegt. Er liefert wichtige Informationen, da er Auskunft über Datenschutzbelange innerhalb der Organisation und die allgemeine Sicherheit des ISMS gibt.

Wie sie die Informationssicherheit Ihrer Organisation verbessern oder sich erfolgreich auf ein Zertifizierungsaudit nach ISO 27001 vorbereiten? Wir beraten Sie gerne!