Für viele Unternehmen ist die Vorbereitung auf eine ISO/IEC 27001:2022 (kurz: ISO 27001) Zertifizierung ein Kraftakt. Aber auch all die unterjährigen Maßnahmen des Informationssicherheitsmanagementsystems (kurz: ISMS) kosten Zeit und sollten daher gut geplant und organisiert sein. Die Durchführung von internen Audits ist ein wesentlicher Baustein eines gut funktionierenden ISMS und zudem formale Vorgabe durch den Standard. Wir haben Andrea Rupprich, Managing Security Consultant der usd AG, gefragt, was sie Unternehmen aus ihren 25 Jahren Erfahrung in diesem Bereich zum Thema interne Audits nach ISO 27001 mitgeben würde.
Andrea, was ist der Unterschied zwischen einem internen und dem eigentlichen ISO 27001 Audit?
Interne Audits sind ein wiederkehrender Probelauf und dienen letztlich der kontinuierlichen Verbesserung des Managementsystems. Sie dürfen durch das Unternehmen mit internen Ressourcen geplant und durchgeführt werden. Das ISO 27001 Audit dagegen, ist ein Zertifizierungsaudit und wird immer durch extern akkreditierte Auditor*innen im Namen einer Zertifizierungsstelle durchgeführt.
Wie oft sind interne ISO 27001 Audits durchzuführen?
Grundsätzlich jährlich, der konkrete Inhalt und Ablauf wird jedoch unternehmensindividuell im Rahmen des sogenannten Auditprogramms festgelegt.
Was umfasst ein Auditprogramm?
Hier werden risikobasiert auf Basis des Scopes der Zertifizierung Angaben zur Häufigkeit von Überprüfungen, den damit avisierten Zielen, eingesetzten Verfahren, Zuständigkeiten aber auch zur Nachverfolgung und Berichterstattung gemacht.
Wird beim internen Audit immer alles geprüft?
Nein, in der Regel nicht. Vor einer Erstzertifizierung umfasst das interne Audit alle Kapitel der ISO 27001 und den gesamten Scope. Ab dann muss über das Auditprogramm sichergestellt werden, dass das ISMS zu den von der Organisation erlassenen Anforderungen daran konform ist. Um dies zeigen zu können sind prinzipiell alle durch das ISMS abgedeckten Geschäftsprozesse (laut Scope) mindestens einmal in drei Jahren, mindestens stichprobenhaft zu auditieren.
Was ist bei der Planung der zu auditierenden Bereiche im Auditprogramm wichtig?
Wichtig ist, dass es sich in der Praxis gut umsetzen lässt. Die zu auditierenden Bereiche sollten also einzeln und mit überschaubarem Aufwand auditiert werden können. Außerdem sollten die Kritikalität der Geschäfts- bzw. Serviceprozesse und die Schwere der Feststellungen aus vorangegangenen Audits bei der Auswahl der Auditbereiche berücksichtigt werden.
Wer sind typische Teilnehmer*innen der Auditsessions in meinem Unternehmen?
Je nach zu prüfendem Geschäftsprozess und Normkapitel, sind neben dem Information Security Officer (kurz: ISO) in der Regel Vertreter*innen aus der IT, der Entwicklung und dem jeweiligen Bereich aber auch aus HR, Compliance, Legal, Einkauf sowie aus dem Top Management dabei. Bei vor-Ort-Begehungen werden zudem Mitarbeiter*innen des Empfangs und des Facility Managements involviert, um Zutritte zu ermöglichen.
Was sollte ich vorbereitend zu Begehungen berücksichtigen?
Interne Auditor*innen benötigen, genau wie auch externe Auditor*innen im späteren Überwachungs- bzw. Zertifizierungsaudit, Standort- bzw. Raumpläne zur Vorbereitung. Hier sollten insbesondere vorhandene Sicherheitszonen sichtbar sein, deren Zutrittsbeschränkungen bei der Begehung geprüft werden. Zudem wird bei Begehungen auch immer überprüft, ob als vertraulich klassifizierte Informationen ungewollt einsehbar sind, Clean Desk ist also für Mitarbeiter*innen unbedingt zu berücksichtigen.
Gibt es eiserne Regeln, die beim internen Audit gelten?
Ich würde es mal auf zwei beschränken, die ich besonders wichtig finde.
Erstens: Denken Sie an die „Heilige Dreifaltigkeit“ eines Audits. Sind alle Vorgaben der ISO 27001 in Richtlinien dokumentiert, setzen Sie diese Vorgaben um und können Sie die Umsetzung über geeignete Nachweise belegen? Denn im Rahmen der Interviews, Dokumentensichtungen und Begehungen werden immer Stichproben genommen. Das gilt für interne Audits ebenso, wie für externe.
Zweitens: Keine Sorge vor Findings. Das interne Audit bietet die Chance, Verbesserungsmöglichkeiten aufzuzeigen. Alle Beteiligten sollten also ehrlich sein und transparent aufzeigen, wie der Status ist. Nur so können Abweichungen identifiziert werden, die wichtige Basis des kontinuierlichen Verbesserungsprozesses sind.
Was bekomme ich als Ergebnis aus dem internen Audit?
Ergebnis des internen Audits ist ein formaler Auditbericht, der Verbesserungsmöglichkeiten, sogenannte Opportunities for Improvement (OFIs), Minor und Major Abweichungen enthalten kann. Anders als beim eigentlichen Audit, werden hier auch wertvolle konkrete Maßnahmenempfehlungen zur möglichen Behebung der Feststellungen gegeben. Das Ergebnis dient damit als eine weitere Planungsgrundlage zur Festlegung notwendiger Maßnahmen und Investitionen vor der eigentlichen Auditdurchführung.
Haben Sie Fragen oder benötigen Sie Unterstützung bei der Durchführung Ihres internen Audits? Kontaktieren Sie uns, wir helfen Ihnen gerne.