ISO 27001 – Internal Audits auslagern

Interne Audits sind Prüfungshandlungen, die ein ISMS-Betreiber selbst durchführen muss, um regelmäßig die Konformität des ISMS zu den Anforderungen der Norm nachzuweisen.

Warum es keine gute Idee ist, als ISO 27001 Anwenderunternehmen dieses Internal Audit selbst durchzuführen, erklärt Thomas Neeff, Geschäftsführer von TEN Information Management: “Die wenigsten ISO 27001-zertifizierten Organisationen – und solche auf dem Weg zur Zertifizierung – können sich den Luxus leisten, qualifizierte Auditoren selbst zu beschäftigen. Darüberhinaus sind die Personen innerhalb der Organisation, die aktiv am Aufbau und Betrieb eines ISMS mitwirken, befangen – und erfüllen die Anforderung der Neutralität und Objektivität nicht. Jemand, der eine Rolle im ISMS-Kontext hat, würde also seine eigene Arbeit überprüfen – ein klarer Verstoß gegen die Prinzipien der Funktionstrennung (“segregation of duty”)!”.

Es spricht also mehr dafür, die Durchführung eines ISMS Internal Audits nach ISO 27001 auszulagern, als diese Prüfungshandlung selbst durchzuführen. Und das ist auch problemlos möglich: Der Name „Internal Audit“ (oder auch „Internes Audit“) suggeriert ausdrücklich nicht, dass ein Internes Audit zwingend von einem Mitarbeiter der auditierten Organisation durchgeführt werden muss. Der Begriff beschreibt vielmehr die Selbstüberprüfung des ISMS im Hinblick auf Aspekte wie die Normkonformität – ohne zu fordern, dass eine ISO 27001-Anwenderorganisation dieses Interne Audit zwingend selbst machen muss.

Was also tun, wenn im eigenen Haus keine eigene Auditorenkompetenz vorhanden ist – oder die vorhandenen Ressourcen befangen oder schlicht ausgelastet sind? In einem solchen Fall steht TEN Information Management mit Expertise und Auditorenkompetenz zur Durchführung Ihrer internen Audits zur Verfügung. Wir führen Ihre internen Audits kosteneffizient und mit Augenmaß durch – unter Einhaltung des Prinzips “segregation of duty”.

Gerne freuen wir uns auf Ihre Kontaktaufnahme.