Interne Audits sind Prüfungshandlungen, die ein ISMS-Betreiber selbst durchführen muss, um regelmäßig die Konformität des ISMS zu den Anforderungen der Norm nachzuweisen.

Warum es keine gute Idee ist, als ISO 27001 Anwenderunternehmen dieses Internal Audit selbst durchzuführen, erklärt Thomas Neeff, Geschäftsführer von TEN Information Management: “Die wenigsten ISO 27001-zertifizierten Organisationen – und solche auf dem Weg zur Zertifizierung – können sich den Luxus leisten, qualifizierte Auditoren selbst zu beschäftigen. Darüberhinaus sind die Personen innerhalb der Organisation, die aktiv am Aufbau und Betrieb eines ISMS mitwirken, befangen – und erfüllen die Anforderung der Neutralität und Objektivität nicht. Jemand, der eine Rolle im ISMS-Kontext hat, würde also seine eigene Arbeit überprüfen – ein klarer Verstoß gegen die Prinzipien der Funktionstrennung (“segregation of duty”)!”.

Es spricht also mehr dafür, die Durchführung eines ISMS Internal Audits nach ISO 27001 auszulagern, als diese Prüfungshandlung selbst durchzuführen. Und das ist auch problemlos möglich: Der Name „Internal Audit“ (oder auch „Internes Audit“) suggeriert ausdrücklich nicht, dass ein Internes Audit zwingend von einem Mitarbeiter der auditierten Organisation durchgeführt werden muss. Der Begriff beschreibt vielmehr die Selbstüberprüfung des ISMS im Hinblick auf Aspekte wie die Normkonformität – ohne zu fordern, dass eine ISO 27001-Anwenderorganisation dieses Interne Audit zwingend selbst machen muss.

Was also tun, wenn im eigenen Haus keine eigene Auditorenkompetenz vorhanden ist – oder die vorhandenen Ressourcen befangen oder schlicht ausgelastet sind? In einem solchen Fall steht TEN Information Management mit Expertise und Auditorenkompetenz zur Durchführung Ihrer internen Audits zur Verfügung. Wir führen Ihre internen Audits kosteneffizient und mit Augenmaß durch – unter Einhaltung des Prinzips “segregation of duty”.

Gerne freuen wir uns auf Ihre Kontaktaufnahme.

Tags

Beitrag teilen

Weitere Artikel

Wie funktioniert eigentlich die Technik hinter Watchdog by TEN IM? Antwort: wir verwenden mit Wazuh eine der führenden SIEM-Plattformen am Markt. Wazuh ist eine Open-Source-Sicherheitsplattform, die entwickelt wurde, um Unternehmen bei der Überwachung und Sicherung...
Umstellung auf die aktuellste Normversion Unternehmen, die nach der internationalen Norm ISO 27001 zertifiziert sind, müssen sich im Jahr 2024 Gedanken über die Umstellung ihres ISMS auf die neueste Version der Norm machen. Nachdem im...
Jedes Unternehmen, dass Microsoft-Technologien verwendet, kennt das: die eigene Windows-Umgebung wächst beständig, im Active Directory werden täglich zahlreiche Einstellungen verändert, Objekte angelegt und wieder gelöscht. Wie steht es eigentlich um die Gefahren, die sich aus...