03665 Durchführung von internen Audits zu ISO/IEC 27001
Das Ziel der Durchführung von internen Audits ist es, festzustellen, ob die Anforderungen an das Information Security Management System (ISMS) erfüllt sind und ob dieses Managementsystem wirksam verwirklicht und aufrechterhalten wird.
Interne Audits sind ein leistungsfähiges Instrument des kontinuierlichen Verbesserungsprozesses in einem ISMS gesehen und gewinnen daher zunehmend an Bedeutung. Darüber hinaus sind interne Audits bei einer Zertifizierung des ISMS nach ISO/IEC 27001 nachzuweisen. Wesentlich für den Erfolg eines internen Audits ist eine geplante und systematische Vorgehensweise. von: |
1 Gründe für die Durchführung interner Audits
Für die Durchführung eines internen Audits kann es verschiedene Gründe geben:
Geplante Audits
So können interne Audits zunächst periodisch im Rahmen der geplanten Termine im Auditrahmenplan initiiert werden. In diesem Fall sind sie als eine Routineüberprüfung der Prozesse (oder auch Produkte) oder des gesamten ISMS des Unternehmens zu sehen.
So können interne Audits zunächst periodisch im Rahmen der geplanten Termine im Auditrahmenplan initiiert werden. In diesem Fall sind sie als eine Routineüberprüfung der Prozesse (oder auch Produkte) oder des gesamten ISMS des Unternehmens zu sehen.
Ungeplante Audits
Interne Audits können auch durch das plötzliche Auftreten von Fehlern, z. B. durch eine steigende Rate von Verletzungen der IT-Sicherheitspolitik, erforderlich werden. Schließlich können interne Audits dann durchgeführt werden, wenn in einem vorangegangenen Audit schwerwiegende Abweichungen festgestellt worden sind. Der Wirksamkeitsnachweis der im Anschluss durchgeführten Auditfolgemaßnahmen kann z. B. in Form eines Nachaudits erfolgen.
Interne Audits können auch durch das plötzliche Auftreten von Fehlern, z. B. durch eine steigende Rate von Verletzungen der IT-Sicherheitspolitik, erforderlich werden. Schließlich können interne Audits dann durchgeführt werden, wenn in einem vorangegangenen Audit schwerwiegende Abweichungen festgestellt worden sind. Der Wirksamkeitsnachweis der im Anschluss durchgeführten Auditfolgemaßnahmen kann z. B. in Form eines Nachaudits erfolgen.