Interne Audits sind Prüfungshandlungen, die ein ISMS-Betreiber selbst durchführen muss, um regelmäßig die Konformität des ISMS zu den Anforderungen der Norm nachzuweisen.

Warum es keine gute Idee ist, als ISO 27001 Anwenderunternehmen dieses Internal Audit selbst durchzuführen, erklärt Thomas Neeff, Geschäftsführer von TEN Information Management: “Die wenigsten ISO 27001-zertifizierten Organisationen – und solche auf dem Weg zur Zertifizierung – können sich den Luxus leisten, qualifizierte Auditoren selbst zu beschäftigen. Darüberhinaus sind die Personen innerhalb der Organisation, die aktiv am Aufbau und Betrieb eines ISMS mitwirken, befangen – und erfüllen die Anforderung der Neutralität und Objektivität nicht. Jemand, der eine Rolle im ISMS-Kontext hat, würde also seine eigene Arbeit überprüfen – ein klarer Verstoß gegen die Prinzipien der Funktionstrennung (“segregation of duty”)!”.

Es spricht also mehr dafür, die Durchführung eines ISMS Internal Audits nach ISO 27001 auszulagern, als diese Prüfungshandlung selbst durchzuführen. Und das ist auch problemlos möglich: Der Name „Internal Audit“ (oder auch „Internes Audit“) suggeriert ausdrücklich nicht, dass ein Internes Audit zwingend von einem Mitarbeiter der auditierten Organisation durchgeführt werden muss. Der Begriff beschreibt vielmehr die Selbstüberprüfung des ISMS im Hinblick auf Aspekte wie die Normkonformität – ohne zu fordern, dass eine ISO 27001-Anwenderorganisation dieses Interne Audit zwingend selbst machen muss.

Was also tun, wenn im eigenen Haus keine eigene Auditorenkompetenz vorhanden ist – oder die vorhandenen Ressourcen befangen oder schlicht ausgelastet sind? In einem solchen Fall steht TEN Information Management mit Expertise und Auditorenkompetenz zur Durchführung Ihrer internen Audits zur Verfügung. Wir führen Ihre internen Audits kosteneffizient und mit Augenmaß durch – unter Einhaltung des Prinzips “segregation of duty”.

Gerne freuen wir uns auf Ihre Kontaktaufnahme.

Tags

Beitrag teilen

Weitere Artikel

Vor einigen Monaten berichtete der BR über Angriffe, die sehr ähnlich dem analogen “Enkel-Trick” funktionieren. Angreifer geben sich als ein nahes Familienmitglied aus und suggerieren, sich in einer Notlage zu befinden – und dringend Geld...
“37,0 Prozent der Unternehmen in Deutschland schulen ihre Mitarbeiter nicht regelmäßig zu Themen wie Spam oder Phishing. (…) Nur jedes dritte Unternehmen (35,5 Prozent) (verfügt) über eine Patch-Management-Richtlinie. Dabei gehören Sicherheitslücken in Anwendungen und Betriebssystemen...
Wenn wir auf das Jahr 2022 zurückblicken, erinnern wir uns an eine Vielzahl von IT-Sicherheitsbedrohungen und -vorfällen. Einige der wichtigsten Ereignisse und Trends im Bereich der IT-Sicherheit im vergangenen Jahr waren: Ransomware und Datenlecks Ransomware:...