ISO/IEC 27001 Internes Audit
ISO/IEC 27001 Internes AuditSystematische Bewertung und Verbesserung
Der ISO/IEC 27001 Normkapitel 9.2 schreibt die Planung und regelmäßige Durchführung von internen Audits vor. Bei ihrer Planung und Organisation sind einige wichtige Regeln und Kriterien zu beachten, u.a. die Objektivität, Unparteilichkeit und Unabhängigkeit des Auditors. Im Rahmen der Auditplanung werden die Auditziele, Termine, involvierten Mitarbeiter, der Inhalt und der Ablauf festgelegt und kommuniziert. Die Vorgaben für die Auditorganisation liefern vor allem folgende Normen: ISO 19011: 2018 „Leitfaden zur Auditierung von Managementsystemen“ und ISO 27007:2020 „Leitfaden für das Audit von Informationssicherheitssystemen“.
Erkenntnisse gewinnenStep-by-Step: Audit planen, durchführen, bewerten und berichten
Die ISO-Norm schreibt eine regelmäßige Überprüfung des ISMS auf seine Wirksamkeit vor. Mit dem Best Practice-Verfahren unter Berücksichtigung der Wirtschaftlichkeit planen wir gemeinsam und führen das ISO/IEC 27001 interne Audit durch. Unsere Leistungen:
- Eine effiziente, effektive und risikobasierende Durchführung eines internen Audits hängt u.a. von einem gut strukturierten Auditplan ab. Im Rahmen der Auditplanung werden folgende Sachverhalte festgelegt:
- Verantwortlichkeiten (Rollen) u.a. Auditteamleiter, Auditteammitglieder und weitere involvierte Personen, sowie Ansprechpartner seitens der auditierenden Institution,
- Auditziele, Auditkriterien und alle relevanten Referenzdokumente,
- Terminplanung und dafür die benötigten Ansprechpartner für einzelne Themengebiete.
- Die normbedingten dokumentierten Informationen (ISMS-Dokumentation) werden auf ihre Vollständigkeit und ihren Inhalt überprüft. Dazu zählen vor allem:
- die Leitlinien und technischen Richtlinien,
- Verfahrens- und Prozessbeschreibungen
- und weitere ISMS-relevanten Unterlagen.
- Die in der Auditplanung festgelegten Sachverhalte werden geprüft und die Ergebnisse protokolliert.
- Die festgestellten Abweichungen von der Norm werden konkret mit Beispielen und nachvollziehbar dokumentiert.
- Der Auditbericht erfolgt schriftlich.
- Neben den formellen Angaben über die Auditkriterien und -ziele, Auftraggeber, Termine und Orte, in dem das Audit durchgeführt wurde, werden die Auditfeststellungen mit den entsprechenden Nachweisen sowie die Auditschlussfolgerung beschrieben.
- Vorstellung der Ergebnisse des internen Audits (Zusammenfassung) und der damit verbundenen Empfehlungen vor der Unternehmensleitung und involvierten Mitarbeitern.