Internal Audit vs. Management-Review: Wo liegt der Unterschied?

Management Review oder Internal Audit – was macht mehr Sinn? Diese Frage stellen häufig Newcomer, die sich zum ersten Mal mit der Norm ISO 27001 befassen.

Was ist ein Internal Audit?

Ein internes Audit ist eine Selbstkontrolle zur Überprüfung von drei wesentlichen Punkten durch einen sachverständigen Prüfer:

• Werden die Anforderungen der ISO 27001-Norm (in der jeweils gültigen Fassung) erfüllt?
• Erfüllt das ISMS (Informationssicherheitsmanagementsystem) die Anforderungen der eigenen Organisation?
• Und schließlich: Setzt die Organisation das ISMS wirksam um?

Als Voraussetzung gilt, dass die Verantwortlichen im Unternehmen alle Normanforderungen kennen und aktiv leben. Zum anderen sollten die Zuständigen die Anforderungen der Organisation ermitteln. Ansonsten kann nicht überprüft werden, ob diese erfüllt werden.

Ergebnisse eines Internal Audits

Nach einem internen Audit wird ein Bericht verfasst. Dieser zeigt Stärken, Schwachstellen (ggf. auch Nichtkonformitäten) und Möglichkeiten zur Optimierung auf. Mit diesen Erkenntnissen kann die Organisation im nächsten Schritt die fortlaufende Weiterentwicklung aktiv leben und sich konsequent um die Verbesserung ihrer Prozesse bemühen.

Das interne Auditprotokoll ist jedoch nicht nur Inputquelle für die nachhaltige Optimierung. Zudem sollte ein Management Review das Protokoll als einen der wesentlichen Aspekte berücksichtigen.

Was ist ein Management Review?

Ein sogenannter Management Review informiert die Entscheidungsträger und Führungskräfte einer Organisation regelmäßig über Verbesserungsmöglichkeiten, relevante Änderungen des ISMS sowie über die Ergebnisse interner Prüfungen. Die Wirksamkeit des Informationssicherheitsmanagementsystems wird so immer wieder überprüft und neu bewertet. Die Ergebnisse der internen Audits sind daher Bestandteil jedes Management Reviews.

So können Entscheider in Unternehmen wichtige Veränderungen ableiten und beschließen. Hierzu zählen auch Investitionen oder Schulungen. Das Management Review ist somit ein wesentlicher Teil gelebter Verantwortung für die Organisation und deren Informationssicherheit. Denn Führungskräfte und Entscheidungsträger sind gefordert, sich aktiv mit dem ISMS auseinanderzusetzen und alle sichehreitsrelevanten Entscheidungen zu treffen.

Interne Audits in Eigenregie oder durch externe Prüfer?

Im Übrigen: Der Begriff „Internal Audit“ bedeutet ausdrücklich nicht, dass eine Organisation einen solchen Check durch eigenes Personal durchführen muss.

Tatsächlich haben Unternehmen keine oder nur unzureichende Kompetenzen und Ressourcen, um die Prüfungen selbst durchzuführen. Oft sind oder waren die kompetenten Personen innerhalb der Organisation mit dem Aufbau und dem Betrieb des ISMS beschäftigt. Demzufolge wären sie befangen, wenn sie ihre eigene Arbeit überprüfen. Somit sind sie aufgrund der erforderlichen Aufgabentrennung („Segregation of Duty“) nicht als interne Auditoren geeignet. In solchen Fällen können, dürfen und sollten Unternehmen externe Hilfe in Anspruch nehmen.

Wir von der TEN Information Management GmbH führen regelmäßig solche internen Audits für kleine und große Institutionen durch. Alle unsere Auditoren verfügen über langjährige Erfahrung und das nötige Fingerspitzengefühl für solche Untersuchungen. Sprechen Sie uns also gerne an!

Foto: John Schnobrich