ISO 27001 - Internal Audit

Interne Audits müssen regelmäßig durchgeführt werden

Interne Audits sind Prüfungshandlungen, die ein ISMS-Betreiber selbst durchführen muss, um regelmäßig die Konformität des ISMS zu den Anforderungen der Norm nachzuweisen. Der Name „Internal Audit“ (oder auch „Internes Audit“) dient dabei der Abgrenzung vom Zertifizierungsaudit – und suggeriert ausdrücklich nicht, dass ein Internes Audit von einem Mitarbeiter der auditierten Organisation durchgeführt werden muss. Oft ist dies weder gewünscht – z.B., weil die kompetenten Personen aktiv an der Implementierung und dem Betrieb des ISMS mitwirken – und häufig auch gar nicht möglich, wenn die Organisation nicht über einen kompetenten Auditor verfügt.

In einem solchen Fall stehen wir mit Expertise und Auditorenkompetenz zur Durchführung Ihrer internen Audits zur Verfügung. Bei einem Internal Audit gemäß der internationalen Norm ISO 27001 überprüfen unsere langjährig erfahrenen und zertifizierten Experten, die selbst als Auditoren tätig sind, Ihr ISMS im Hinblick auf:

Konformität zu ISO 27001

Anforderungen der Organisation

Wirksame Umsetzung des ISMS

Wir berücksichtigen dabei den definierten Geltungsbereich des ISMS sowie die Geschäftsprozesse der jeweiligen Organisation.

Unser Vorgehen bezieht dabei auch Ihre interne Auditplanung ein. Die Schwerpunkte können nach Absprache auf als besonders wichtig erachtete Themen gesetzt werden. Über das Ergebnis erhalten Sie einen detaillierten Bericht, den Sie beim Zertifizierungsaudit vorweisen können.

Wie läuft ein internes Audit Ihres ISMS ab?

Zunächst versuchen wir, der zu auditierenden Organisation einen Kollegen oder eine Kollegin mit Expertise in der Branche des Kunden zuzuweisen. Alle unsere Auditoren sind hervorragend qualifizierte ISMS-Fachleute – naturgemäß haben die Kolleginnen und Kollegen unterschiedliche Branchenschwerpunkte, sodaß wir schauen, einen möglichst guten “Match” zwischen den Branchenerfahrungen unseres Kollegen und der jeweiligen Zielorganisation hinzubekommen.

Der Startpunkt jedes internen Audits ist die initiale Kontaktaufnahme, bei der wir Ihnen den/die zugewiesene(n) Auditor(in) vorstellen. Er/Sie wird sich mit Ihnen sodann über die spezifische Situation Ihrer Organisation austauschen: welche Sprache während des Audits und im Bericht gesprochen werden soll (Deutsch oder Englisch), ob Sie erstmalig zertifiziert werden oder bereits sind, und welches die gewünschten Auditschwerpunkte sind – um nur einige Fragen zu nennen.

Sodann erstellt der Auditor einen Auditplan, der sich an der ISO 19011 orientiert. Dies ist das Dokument, das den “roten Faden” für Ihr internes Audit bildet. Alle Prüfaktivitäten folgen diesem Auditplan. Im Idealfall kann Ihre Organisation vorab Zugriff für den Auditor auf die interne ISMS-Dokumentation (z.B.: Richtlinien, Verfahren, Risiken, Nachweise) einräumen, dies ermöglicht uns eine optimale Vorbereitung. Ihr zugewiesener Auditor wird sich nun mit den zur Verfügung gestellten Unterlagen beschäftigen und bei Bedarf vor dem internen Audit nochmals mit Ihnen Rücksprache halten.

Zum Zeitpunkt des geplanten Audits treffen sich die Ansprechpartner des Kunden und der Auditor mittels eines Online-Kollaborationstools wie Microsoft Teams oder Zoom und führen das Audit durch. Die verwendeten Prüftechniken umfassen dabei Interviews sowie die Sichtung von ISMS-Dokumentationen. Sie erhalten bereits während des Audits wertvolle Hilfestellungen und Hinweise, die Sie bis zum eigentlichen (Re)Zertifizierungsaudit noch umsetzen können. Unser Fokus liegt bei allen Prüfungshandlungen auf einer partnerschaftlichen Durchführung gemeinsam mit den Kundenansprechpartnern. Das Ziel ist es, dass der Kunde – abseits der formalen Normanforderung zur Durchführung eines Internal Audits – möglichst viel Know-How mitnehmen kann, um sich bestmöglich auf die offizielle Prüfungshandlung/Zertifizierung vorzubereiten.

Am Ende der Prüfungshandlungen erstellt der Auditor einen Auditbericht, der alle relevanten Erkenntnisse enthält. Dieser dient dem Kunden nicht nur als Basis zur Abarbeitung etwaiger Nichtkonformitäten und/oder Verbesserungsmöglichkeiten, sondern auch als Nachweis gegenüber der Zertifizierungsstelle, dass ein Internes Audit gemäß Normanforderung 9.2 durchgeführt wurde.

FAQ für Internal Audits

Nein. Der Begriff “Internal Audit” ist die Bezeichnung für die Selbstüberprüfung des ISMS durch die Organisation. Er suggeriert nicht, dass die Prüfungshandlung von einem Mitglied dieser Organisation durchgeführt werden muss. Es kann auch ein kompetenter Dritter (wie z.B. die erfahrenen Experten der TEN Information Management GmbH) beauftragt werden.

Prüfgegenstand bei einem Internal Audit gemäß ISO 27001:2022 Abschnitt 9.2.1 ist die Konformität der Abläufe mit den eigenen Zielen der Organisation, mit den Anforderungen der Norm – sowie die Frage, ob das ISMS effektiv implementiert ist. Die Effizienz (also mit welchem Mitteleinsatz dies geschieht) ist hingegen nicht Gegenstand der Prüfung.

Der Auditor wird die zu auditierende Organisation zunächst nach den Schwerpunkten befragen, die auditiert werden sollen; hierbei hilft das interne Auditprogramm. Sofern ein solches nicht existiert, hilft der Auditor dabei, die Schwerpunkte festzulegen. Der Auditor erstellt sodann einen Auditplan, der rechtzeitig vor dem Audit an die zu auditierende Organisation übermittelt wird. Auf dessen Basis erfolgt dann die Prüfung entweder vor Ort oder per Online-Session. Über die Ergebnisse erhalten Sie einen Bericht, den Sie zur Behebung etwaiger Schwächen und zum Nachweis der Durchführung des Internal Audits gegenüber der Zertifizierungsstelle verwenden können.

Der Auditplan ist das Dokument, welches die Agenda für das Internal Audit setzt. Für die dort aufgeführten Punkte sollte vorab überlegt werden, wie und anhand welcher Dokumente (z.B. Vorgabendokumente, Aufzeichnungen) die Nachweise der Umsetzung erbracht werden sollen. Wichtig ist, den internen Auditor als Quelle für Verbesserungsmaßnahmen zu verstehen. Bei einem internen Audit geht es immer auch darum, zu lernen, was bis zum Zertifizierungsaudit noch angepasst werden soll.

Über die Ergebnisse des Internal Audits wird ein Auditbericht erstellt, der zur Behebung etwaiger Schwächen und zum Nachweis der Durchführung des Internal Audits gegenüber der Zertifizierungsstelle verwendet werden kann.

Abhängig von der Organisationsgröße sollte mit einer Dauer zwischen zwei und vier Personentagen (jeweils inklusive Vor- und Nachbereitung) gerechnet werden.

Maßgebliche Faktoren sind die Anzahl der Mitarbeitenden im ISMS-Scope sowie die Anzahl der Standorte.

Keine. Einzige Vorgabe ist, dass die in Normkapitel 9.2.1 genannten Aspekte abgedeckt werden müssen. Im eigenen Interesse sollten auditierte Organisationen jedoch darauf achten, dass der Auditor/die Auditorin über entsprechende Erfahrungen verfügt.

Die Wahl der Sprache ist freigestellt. Insbesondere muss die Sprache des Internal Audits nicht dieselbe sein wie die, in der die ISMS-Dokumentation abgefasst ist. In der Praxis kommt es beispielsweise häufig vor, dass das ISMS in englischer Sprache dokumentiert ist, die Arbeitssprache und auch die Dokumentationssprache für das Internal Audit jedoch Deutsch ist.

Nicht zwingend. Eine Remote-Durchführung ist grundsätzlich möglich, wobei jedoch speziell für Aspekte der physischen Sicherheit eine Vor-Ort-Durchführung vorteilhaft sein kann.

Der Internal Audit ist die Selbstüberprüfung der Organisation im Hinblick auf die Themen Konformität des ISMS zu den Vorgaben der Norm, zu den eigenen Zielen der Organisation sowie die Überprüfung der effektiven Implementierung. Die Notwendigkeit zur Selbstüberprüfung ist eine direkte Normanforderung (Normabschnitt 9.2.1). Bei einem offiziellen Zertifizierungsaudit werden dieselben Punkte geprüft – allerdings vom Auditor der Zertifizierungsstelle. Er oder sie muss in diesem Zusammenhang auch prüfen, ob die Organisation einen Internal Audit durchgeführt hat.

Ja. Üblicherweise wird vorab ein Auditplan erstellt, welcher die Grundlage für die Prüfungshandlung bildet.

Die auditierte Organisation selbst. Diese sollte über ein internes Auditprogramm verfügen. Bei der Festlegung eines solchen sollte beachtet werden, dass innerhalb eines Auditierungszyklus’ alle Normanforderungen mindestens einmal geprüft werden.

Die Bewertung orientiert sich an denselben Maßstäben wie bei einem “offiziellen” Zertifizierungsaudit. OFIs (Opportunities for improvement) sind Verbesserungsmöglichkeiten, die zur Umsetzung empfohlen werden. Minor Non-Conformities (oft auch: NC1) sind sog. Nebenabweichungen, d.h. eine Normanforderung ist nicht erfüllt, dieser Umstand beeinträchtigt jedoch nicht die Effektivität des ISMS als Ganzes. Major Non-Conformities (auch als NC2 bezeichnet) sind sog. Hauptabweichungen, deren Implikation gravierend ist.

Nein. Der Internal Audit dient eher einer Bestandsaufnahme des ISMS und liefert wertvolle Hinweise, die bis zum endgültigen Zertifizierungsaudit noch umgesetzt werden sollten.

Grundsätzlich sollte innerhalb eines Zertifizierungszyklus’ jede normative Mindestanforderung mindestens einmal geprüft werden. Wir empfehlen grundsätzlich, im ersten Jahr (d.h. vor dem erstmaligen Zertifizierungsaudit) alle normativen Mindestanforderungen im Rahmen des Internal Audit zu überprüfen.

Das Interne Auditprogramm definiert im Jahreszyklus die Prüfungen und Inhalte, die durchzuführen sind. Interne Audits sind ein Bestandteil der durchzuführenden turnusmäßigen Überprüfungen.

Mindestens jährlich, d.h. einmal pro Jahr – wobei auch mehrere Durchführungen pro Jahr möglich sind.

Das Erfordernis ergibt sich aus der Normanforderung 9.2.1. Organisationen, die die Konformität mit der Norm beanspruchen, müssen alle normativen Mindestanforderungen aus den Normkapiteln 4-10 umsetzen – so auch 9.2.1, welche die Durchführung eines Internal Audits vorschreibt.

Ja!

Die ausgewählte Person sollte neutral und unbefangen sein und über entsprechende Fachkompetenz, d.h. eine Auditorenausbildung (z.B. als CISA – Certified Information Systems Auditor) samt entsprechender Berufserfahrung und ggfs. auch Branchenerfahrung verfügen. Hilfreich sind auch Kenntnisse der ISO 19011, einer Empfehlung zur Auditierung von Managementsystemen.

Die ausgewählte Person sollte möglichst zur auditierten Organisation “passen”, d.h. über entsprechende Fach- und Sozialkompetenz verfügen. Hilfreich ist es nach unserer Erfahrung außerdem, wenn der/die Auditor(in) über Erfahrungen in der Auditierung von Organisationen ähnlicher Größe und inhaltlicher Ausrichtung besitzt.

Die Ergebnisse des Internal Audits sind im Rahmen der Management-Bewertung zu würdigen und entsprechende Schlüsse daraus zu ziehen. Außerdem empfiehlt es sich, aus den Ergebnissen des Internal Audits entsprechende Handlungsstränge abzuleiten, um das ISMS weiter zu verbessern – bevor das Zertifizierungsaudit ansteht.

Die Person wird nicht neutral und objektiv genug sein, um das ISMS zu bewerten. Er/sie würde seine/ihre eigene Arbeit beurteilen, was ein Verstoß gegen das Prinzip der Funktionstrennung (“segregation of duty”) wäre. Aus diesem Grund sollte ein Internal Audit von einer Person durchgeführt werden, die bei der Implementierung des ISMS nicht mitgewirkt hat.

Bei einem Internal Audit wird im Detail die Konformität des ISMS mit der Norm, mit den eigenen Zielen sowie die effektive Umsetzung überprüft. Die Management-Bewertung findet auf einer höheren Detailebene statt. Im Rahmen der Management-Bewertung werden die Ergebnisse aus dem Internal Audit bewertet und entsprechende Schlussfolgerungen gezogen. Auch ist der Kreis der verantwortlichen Personen ein anderer: bei einem Internal Audit führt ein Auditor eine Beschau durch, wohingegen beim Management Review die oberste Leitung der Organisation die Ergebnisse aus dem Internal Audit (und weitere Themen) würdigt.