1 Einführung und Zielsetzung
First/second party audits
Die internationale Norm ISO/IEC 27007 [1] richtet sich an alle Organisationen und Personen, die Audits von Informationssicherheits-Managementsystemen (ISMS) durchführen oder für das Management derartiger Auditprogramme verantwortlich sind. Dabei liegt der Fokus auf internen Audits (first party audits) innerhalb der Organisation sowie auf externen Audits (second party audits), die von der Organisation z. B. bei Lieferanten durchgeführt werden.
Die internationale Norm ISO/IEC 27007 [1] richtet sich an alle Organisationen und Personen, die Audits von Informationssicherheits-Managementsystemen (ISMS) durchführen oder für das Management derartiger Auditprogramme verantwortlich sind. Dabei liegt der Fokus auf internen Audits (first party audits) innerhalb der Organisation sowie auf externen Audits (second party audits), die von der Organisation z. B. bei Lieferanten durchgeführt werden.
Ergänzung zur ISO 19011
ISO/IEC 27007 ist als Ergänzung zur ISO 19011:2018 [2] für den Bereich ISMS zu verstehen. Sie verweist in weiten Teilen auf die Inhalte der ISO 19011:2018 und fügt an einigen Stellen ISMS-spezifische Zusätze ein entsprechend dem jeweiligen Normkapitel der ISO 19011:2018. Daher wird dem Leser empfohlen, zunächst die Kurzübersicht zur ISO 19011 (vgl. Kap. 02580) zu lesen.
ISO/IEC 27007 ist als Ergänzung zur ISO 19011:2018 [2] für den Bereich ISMS zu verstehen. Sie verweist in weiten Teilen auf die Inhalte der ISO 19011:2018 und fügt an einigen Stellen ISMS-spezifische Zusätze ein entsprechend dem jeweiligen Normkapitel der ISO 19011:2018. Daher wird dem Leser empfohlen, zunächst die Kurzübersicht zur ISO 19011 (vgl. Kap. 02580) zu lesen.
Die Kapitelstruktur und die Dezimalnotation von ISO 19011:2018 und ISO/IEC 27007:2020 sind identisch, sodass bei Bedarf ein schneller Querverweis möglich ist. Im weiteren Verlauf dieses Kurzhinweises zur ISO/IEC 27007 wird im Wesentlichen auf die Unterschiede und Ergänzungen zur ISO 19011:2018 eingegangen.