Das interne Audit

Unternehmen sind im Rahmen des Informationssicherheitsmanagementsystems (ISMS) gemäß ISO/EC 27001 dazu verpflichtet, in geplanten Abständen interne Audits durchzuführen. Das erklärte Ziel dieser Prüfungen ist es festzustellen, ob die Normanforderungen sowie die eigenen internen Vorgaben erfüllt werden und das ISMS auch wirklich gelebt wird. Die Durchführung solcher Audits stellt gerade für kleine und mittelständische Unternehmen (KMU) eine fast unlösbare Aufgabe dar, besonders wenn sie aufgrund der Mitarbeiteranzahl die Unabhängigkeit des internen Auditors vom auditierten Umfeld und Tätigkeit nicht gewährleisten können. In solchen Fällen und wenn der Fokus auf der Identifikation von Verbesserungspotentialen liegt, empfiehlt es sich die Prüfung des Managementsystems auf Normkonformität durch einen externen berufenen Auditor durchführen zu lassen.

 

Auditor ≠ Auditor
Auch im Bereich der Informationssicherheit gibt es leider keine gesetzlich geschützte Berufsbezeichnung für die Tätigkeit des Auditors und somit erhebliche Qualitätsunterschiede. So ist es möglich das Personen den Titel führen, die eine nur wenige Tage dauernde Schulung absolviert haben und in ihrer beruflichen Laufbahn noch keine operative Verantwortung im Bereich der IT-Sicherheit und Informationssicherheit innehatten. Wer selbst operativ in der IT tätig ist, weiß das die Praxis sich oft anders verhält als die Theorie es vorsieht und dieses praktische Wissen ist gerade für die Prüfung der Norm ISO/EC 27001 und Identifikation von Verbesserungspotentialen von besonderer Bedeutung. Denn im Gegensatz zu einigen anderen populären Normen, wie zum Beispiel der ISO/EC 9001, besitzt die ISO/EC 27001 einen Anhang mit Maßnahmen, der von den Unternehmen häufig nicht nur organisatorisch, sondern auch technisch umgesetzt wird. Die von der DAkkS akkreditierten Zertifizierungsstellen haben diesen Umstand erkannt und stellen klare Anforderungen an die Auditoren, bevor diese berufen werden und im Namen der Stelle Zertifizierungen durchführen dürfen.

Anforderungen an berufene Auditoren:

  • Abgeschlossenes Studium im einschlägigen Bereich sowie 4 Jahre Berufserfahrung im Bereich der IT, davon mindestens 2 Jahre in der Informationssicherheit oder ohne Studium 8 Jahre Berufserfahrung im Bereich der Informationssicherheit
  • Nachgewiesene Kenntnisse in den Bereichen IT-Sicherheit, IT-Risikomanagement, IT-Compliance, Informationssicherheits- und Datenverarbeitungssysteme 
  • Auditorenausbildung und erfolgreicher Abschluss des Trainee-Programms

Vorteile der internen Prüfung durch einen berufenen Auditor:

  • Unzweifelhafte Compliance mit den Normvorgaben für die Durchführung von internen Audits
  • Hohe Sach- und Fachkenntnisse
  • Objektive Bewertung auf dem Niveau eines Zertifizierungsaudits
  • Effizientes und routiniertes Vorgehen bei der Durchführung des Audits

 

Eignung der Ansätze für interne Audits:

Vollständiges internes Audit

 

Überprüfung sämtlicher Punkte der jeweiligen Prüfungsgrundlage

 

Partielles internes Audit

 

Überprüfung der im Auditprogramm vorgesehenen Punkte

 

Individuelles internes Audit

 

Überprüfung einzelner Punkte gemäß Auftrag

 


Wie eingangs erwähnt, dient das interne Audit als Nachweis dafür, dass die Normanforderungen sowie die eigenen internen Vorgaben erfüllt werden und das ISMS auch wirklich gelebt wird. Denn nur durch die regelmäßige Prüfung kann objektiv ein kontinuierlicher Verbesserungsprozess belegt und ein funktionierendes ISMS nachgewiesen werden. Aus diesem Grund sind interne Audits erst dann als Nachweis ausreichend, wenn sie im Zeitraum der Zertifizierung alle Normanforderungen prüfen und ein adäquates Auditprogramm dahinter steht.

Als berufener Auditor, der bereits für mehrere akkreditierte Stellen tätig ist, freue ich mich darauf Sie bei Ihrem internen Audit unterstützen zu dürfen! Reservieren Sie jetzt online und bis zur finalen Beauftragung unverbindlich den von Ihnen gewünschten Zeitraum.

Schwerpunkte, Branchen & KRITIS-Sektoren

Automobil, Banken, Ernährung, Energie, Finanzen, Handel, Industrie, IT, Logistik, Medien, Rechtsberatung, Steuerberatung, Telekommunikation, Versicherung

Berufen für...

  • ISO 27001, Informationssicherheit
  • IT-Sicherheitskatalog, Energieversorger

Zusätzliche Prüfkompetenz für…

  • B3S KRITIS, Kritische Infrastrukturen 

Im Berufungsverfahren für…

  • ISO 20000-1, IT Service Management
  • ISO 22301, Business Continuity Management
  • VDA-ISA (o. Ä.), Automobilhersteller & Zulieferer