03665 Durchführung von internen Audits zu ISO/IEC 27001
|
Interne Audits nach ISO/IEC 27001 sind ein zentrales Instrument, um die Wirksamkeit eines Information Security Management Systems (ISMS) zu prüfen und gezielt zu verbessern.
Der Beitrag erläutert die Durchführung interner Audits nach ISO/IEC 27001 in drei Phasen: Vorbereitung und Planung, Durchführung sowie Abschluss und Nachbereitung. Behandelt werden Auditumfang, Auditkriterien, Auditteam, Auditplan, Prüfkatalog, Auditfeststellungen, Abweichungen und Folgemaßnahmen. Ideal für Unternehmen, die ihre Informationssicherheit verbessern und Auditprozesse professionell aufsetzen wollen. von: |
1 Gründe für die Durchführung interner Audits
Für die Durchführung eines internen Audits kann es verschiedene Gründe geben:
Geplante Audits
So können interne Audits zunächst periodisch im Rahmen der geplanten Termine im Auditrahmenplan initiiert werden. In diesem Fall sind sie als eine Routineüberprüfung der Prozesse (oder auch Produkte) oder des gesamten ISMS des Unternehmens zu sehen.
So können interne Audits zunächst periodisch im Rahmen der geplanten Termine im Auditrahmenplan initiiert werden. In diesem Fall sind sie als eine Routineüberprüfung der Prozesse (oder auch Produkte) oder des gesamten ISMS des Unternehmens zu sehen.
Ungeplante Audits
Interne Audits können auch durch das plötzliche Auftreten von Fehlern, z. B. durch eine steigende Rate von Verletzungen der IT-Sicherheitspolitik, erforderlich werden. Schließlich können interne Audits dann durchgeführt werden, wenn in einem vorangegangenen Audit schwerwiegende Abweichungen festgestellt worden sind. Der Wirksamkeitsnachweis der im Anschluss durchgeführten Auditfolgemaßnahmen kann z. B. in Form eines Nachaudits erfolgen.
Interne Audits können auch durch das plötzliche Auftreten von Fehlern, z. B. durch eine steigende Rate von Verletzungen der IT-Sicherheitspolitik, erforderlich werden. Schließlich können interne Audits dann durchgeführt werden, wenn in einem vorangegangenen Audit schwerwiegende Abweichungen festgestellt worden sind. Der Wirksamkeitsnachweis der im Anschluss durchgeführten Auditfolgemaßnahmen kann z. B. in Form eines Nachaudits erfolgen.
Auditarten
Entsprechend ihrer Zielsetzung können im Wesentlichen drei Auditarten unterschieden werden (siehe auch Abbildung 1):
Entsprechend ihrer Zielsetzung können im Wesentlichen drei Auditarten unterschieden werden (siehe auch Abbildung 1):
| • | Produktaudit, |
| • | Prozessaudit und |
| • | Systemaudit. |
Produkt-/Dienstleistungsaudit
Ein Produktaudit wird dann durchgeführt, wenn ein hergestelltes oder beschafftes Produkt auf Übereinstimmung mit vorgegebenen Spezifikationen, Kundenanforderungen, Normen oder Gesetzen überprüft werden soll. Es dient der Bestimmung und Verbesserung der Produktqualität sowie der rechtzeitigen Erkennung von Fehlern. Analog kann für die Bestimmung der Konformität von Dienstleistungen ein Dienstleistungsaudit durchgeführt werden.
Ein Produktaudit wird dann durchgeführt, wenn ein hergestelltes oder beschafftes Produkt auf Übereinstimmung mit vorgegebenen Spezifikationen, Kundenanforderungen, Normen oder Gesetzen überprüft werden soll. Es dient der Bestimmung und Verbesserung der Produktqualität sowie der rechtzeitigen Erkennung von Fehlern. Analog kann für die Bestimmung der Konformität von Dienstleistungen ein Dienstleistungsaudit durchgeführt werden.
Prozessaudit
Ein Prozess- oder Verfahrensaudit dient der Beurteilung der Qualitätsfähigkeit sowie der Einhaltung und Zweckmäßigkeit eines festgelegten Prozesses. Dies kann sich sowohl auf die Eingaben, also den Prozessinput, als auch auf den Prozessablauf und die Prozessergebnisse (Output) beziehen. Mit einem Prozessaudit lassen sich insbesondere komplexe Prozesse oder Teilprozesse analysieren. Anlässe für Prozessaudits können z. B. Veränderungen in einem Software-Entwicklungsprozess oder die Einführung neuer Regelungen zur Telearbeit sein.
Ein Prozess- oder Verfahrensaudit dient der Beurteilung der Qualitätsfähigkeit sowie der Einhaltung und Zweckmäßigkeit eines festgelegten Prozesses. Dies kann sich sowohl auf die Eingaben, also den Prozessinput, als auch auf den Prozessablauf und die Prozessergebnisse (Output) beziehen. Mit einem Prozessaudit lassen sich insbesondere komplexe Prozesse oder Teilprozesse analysieren. Anlässe für Prozessaudits können z. B. Veränderungen in einem Software-Entwicklungsprozess oder die Einführung neuer Regelungen zur Telearbeit sein.
Systemaudit
Ein Systemaudit wird dann erforderlich, wenn die gesamte Aufbau- und Ablauforganisation des ISMS überprüft werden soll. Es wird insbesondere durchgeführt, um die Zweckmäßigkeit und Wirksamkeit zu überprüfen und den Nachweis zu erbringen, dass das System die Normanforderungen der ISO/IEC 27001 erfüllt, und um Verbesserungsmaßnahmen aufzuzeigen.
Ein Systemaudit wird dann erforderlich, wenn die gesamte Aufbau- und Ablauforganisation des ISMS überprüft werden soll. Es wird insbesondere durchgeführt, um die Zweckmäßigkeit und Wirksamkeit zu überprüfen und den Nachweis zu erbringen, dass das System die Normanforderungen der ISO/IEC 27001 erfüllt, und um Verbesserungsmaßnahmen aufzuzeigen.
Projektaudit
In der Abbildung 1 nicht dargestellt ist der Fall des „Projektaudits”. Bei diesem Audittyp steht ein IT-Security-Projekt (z. B. das Projekt zur Einführung eines ISMS) auf dem Prüfstand. Derartige Audits können zu Beginn, bzgl. Meilensteinen und am Ende eines Projektes sinnvoll sein. Als weitere Spezialtypen von Audits sind noch das Performance- und das Compliance-Audit zu nennen:
In der Abbildung 1 nicht dargestellt ist der Fall des „Projektaudits”. Bei diesem Audittyp steht ein IT-Security-Projekt (z. B. das Projekt zur Einführung eines ISMS) auf dem Prüfstand. Derartige Audits können zu Beginn, bzgl. Meilensteinen und am Ende eines Projektes sinnvoll sein. Als weitere Spezialtypen von Audits sind noch das Performance- und das Compliance-Audit zu nennen:
Performance Audit
Gegenstand eines Performance-Audits ist es, die Ergebnisse der Unternehmensleistung durch die systematische Verfolgung von Leistungsfähigkeitskennzahlen zu verbessern.
Gegenstand eines Performance-Audits ist es, die Ergebnisse der Unternehmensleistung durch die systematische Verfolgung von Leistungsfähigkeitskennzahlen zu verbessern.
Compliance-Audit
Das Compliance-Audit dient der Überprüfung der Einhaltung von gesetzlichen und behördlichen Anforderungen an ein Unternehmen, ein Produkt oder an eine Dienstleistung.
Das Compliance-Audit dient der Überprüfung der Einhaltung von gesetzlichen und behördlichen Anforderungen an ein Unternehmen, ein Produkt oder an eine Dienstleistung.
Auditdurchführung in 3 Phasen
Um interne Audits effektiv durchführen zu können, empfiehlt sich ein systematisches Vorgehen in folgenden Phasen:
Um interne Audits effektiv durchführen zu können, empfiehlt sich ein systematisches Vorgehen in folgenden Phasen:
Phase 1: Vorbereitung und Planung,
Phase 2: Durchführung,
Phase 3: Abschluss und Nachbereitung.
2 Vorbereitung und Planung des internen Audits
Auditleiter
In der Vorbereitungs- und Planungsphase sollte zunächst ein Auditleiter benannt werden, der die Verantwortung für die Durchführung des internen Audits trägt und den Auditoren ihre Aufgaben zuweist.
In der Vorbereitungs- und Planungsphase sollte zunächst ein Auditleiter benannt werden, der die Verantwortung für die Durchführung des internen Audits trägt und den Auditoren ihre Aufgaben zuweist.
Auditziele
Im nächsten Schritt sind die Ziele des internen Audits zu definieren. Auditziele legen fest, was mit dem Audit erreicht werden soll. Mögliche Auditziele sind z. B. die
Im nächsten Schritt sind die Ziele des internen Audits zu definieren. Auditziele legen fest, was mit dem Audit erreicht werden soll. Mögliche Auditziele sind z. B. die
| • | Prüfung der Zweckmäßigkeit eines Prozesses, |
| • | Verbesserung der Produkt- oder Prozessqualität, |
| • | Einhaltung von gesetzlichen Vorgaben oder die |
| • | Bewertung des ISMS anhand der Normanforderungen der ISO/IEC 27001. |
Auditumfang
Sowohl für den Auditor als auch für die zu auditierende Organisationseinheit ist es wichtig, den Umfang des geplanten Audits zu kennen. Daher ist festzulegen, welche Produkte, Prozesse, Standorte oder Bereiche in welchem Zeitrahmen auditiert werden sollen. Der Auditumfang sollte sich aus der Auditrahmenplanung ergeben.
Sowohl für den Auditor als auch für die zu auditierende Organisationseinheit ist es wichtig, den Umfang des geplanten Audits zu kennen. Daher ist festzulegen, welche Produkte, Prozesse, Standorte oder Bereiche in welchem Zeitrahmen auditiert werden sollen. Der Auditumfang sollte sich aus der Auditrahmenplanung ergeben.
Auditkriterien
Außerdem ist zu bestimmen, nach welchen Kriterien das interne Audit durchgeführt werden soll. Auditkriterien sind Vorgehensweisen, Verfahren oder Anforderungen, die dem Auditor als Referenz dienen. Führt ein Auditor beispielsweise ein Prozessaudit durch, so stehen ihm die entsprechenden Prozess-Spezifikationen als Vorgabe zur Verfügung, wie auch die für den Prozess relevanten Gesetze und Normen.
Außerdem ist zu bestimmen, nach welchen Kriterien das interne Audit durchgeführt werden soll. Auditkriterien sind Vorgehensweisen, Verfahren oder Anforderungen, die dem Auditor als Referenz dienen. Führt ein Auditor beispielsweise ein Prozessaudit durch, so stehen ihm die entsprechenden Prozess-Spezifikationen als Vorgabe zur Verfügung, wie auch die für den Prozess relevanten Gesetze und Normen.