Audits in der ISO 27001

Wenn die Auditoren an der Haustür klopfen

Audit sind wichtige Instrumente für den Nachweis der Konformität, also der Einhaltung von Standards und Richtlinien. Hierbei gibt es unterschiedliche Betrachtungsweisen, in diesem Beitrag aus dem Blickwinkel der ISO 27001.

InformationssicherheitBlogThema

Das große Werk ist fertig, ein unternehmenseigenes Managementsystem, ob Datenschutz, Qualität oder Informationssicherheit, ist aufgebaut und soll die Unternehmensprozesse und die Zukunft des Unternehmens verbessern. Wirklich? Ist das System wirklich fehlerfrei oder wurdenn entscheidende Punkte übersehen?

Es wird schnell klar, das Managementsystem braucht eine Überprüfung. Und möglichst von Personen, die objektiv einen Blick werfen können und die entscheidenden Fragen stellen, ohne in Konflikte mit den eigenen Kollegen zu geraten. Diese Überprüfung wird als AUDIT bezeichnet.

Ein Audit ist laut ISO 19011 ein unabhängiger, systematischer und (wichtig!) dokumentierter Prozess, bei dem festgestellt wird, ob vorher festgelegte Auditkritierien erfüllt sind.

Es gibt zwei Arten von Audits: Interne und externe Audits.

Externe Audits werden z.B. im Rahmen einer Zertifizierung von externen Auditoren durchgeführt. Die Auditierung erfolgt überwiegend auf Basis von Dokumenten und sollte aus Kostengründen nur wenige Tage dauern. In meiner Arbeit bereite ich für meine Kunden die erforderlichen Unterlagen vor, prüfe Vollständigkeit und Aktualität, damit die nachfolgende Auditierung zügig und erfolgreich verläuft. Zertifizierungen erfolgen im DreiJahres-Rhythmus.

Einfacher und entspannter sind interne Audit, bei denen ein Unternehmen sich selber prüft und Abweichungen von den angestrebten Zielen identifiziert. Aufgrund der notwendigen Objektivität sollte ein Abteilung nur durch eine andere Abteilung oder eine externe Person geprüft werden. Wenn ich beauftragt werde, eine Auditierung durchzuführen, stimme ich im Vorfeld ab, was und welcher Bereich geprüft werden soll. Dann wird ein Besuch mit einer meiner Kollegen durchgeführt.

Mein bevorzugter Weg sind Interviews, weil dann im direkten Gespräch Details abgeklopft werden können. Der alternative Weg eines Fragebogens ist eher einen Massenscreening der nur grobe Probleme aufdecken kann.

Die ISO 27001

Die Norm fokussiert auf das Informationssicherheitssystem(ISMS) und verlangt in Kapitel 9.2., dass einerseits die Anforderungen des Unternehmens und die der Norm an das ISMS geprüft werden sollen. Die Prüfung erfolgt nicht in Richtung Ist-Zusatnd, sondern prüft auch die Zukunftsfähigkeit des ISMS.

Meine Beauftragungen erfolgen übrigens im Rahmen der Auditprogramme, die ein Unternehmen festgelegt hat. Auch eine Anforderung der ISO 27001, die die Festlegung der Häufigkeiten, Methoden, Verantwortlichkeiten, Anforderungen an Planung und Berichtserstattung fordert,. Nicht jeder Audit ist gleich, weil unterschiedliche zu prüfende Bereiche, und Audit sind nicht spontan, sondern geplant.

Wie die Norm fordert, werden mit den zuständigen Personen die Ergebnisse der Audits besprochen und als Nachweis dokumentiert.

Maßnahmen der ISO 27001

Bisher waren die Angaben der ISO 27001 recht allgemein, daher bietet sich ein Blick in den Anhang A an. Dort wird darauf eingegangen, was geprüft werden soll:

  • A.18.2 - Überprüfung, ob die Informationssicherheit mit den Richtlinien und Verfahren des Unternehmens übereinstimmt.
  • A.18.2.2 - Überprüfung, ob Sicherheitsrichtlinien und - standards eingehalten werden.
  • A.18.2.3 - Überprüfung, ob technische Vorgaben eingehalten werden.

Die Maßnahme A.18.2.3 weist auch darauf hin, dass Auditoren im Bereich 27001 ein gewisses Maß an technischem Verständnis im Bereich Informationssicherheit haben sollten.


Quellen:
  • ISO 19011
  • ISO 27001:2016 9.2