🖐 Was für ein Tag! Der Anwendertag, der 5. Juni, war voller Höhepunkte
Lesen Sie mehr
Icon-StartseiteChevron-Right-SymbolBlogChevron-Right-SymbolInformationssicherheit

ISO 27001-Audit

Jan-Kees HarmsenInformationssicherheit
Lesedauer:
5
Minuten
In diesem Artikel
ISO2HANDLE QHSE Armaturenbrett
Superkräfte für
Informationssicherheit
Ein unglaublich leistungsstarkes Paket an Superkräften sorgt dafür, dass Sie Ihre Prozesse für Qualität, (Gesundheits-) Sicherheit, Personal und Umwelt im Handumdrehen unter Kontrolle haben.
Google Bewertungen
Star bewertenStar bewertenStar bewertenStar bewertenStar bewerten
4.9 Bewertung
Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.
Vereinbaren Sie eine Demo

ISO 27001-Audit

Ein internes Audit ist zwar von entscheidender Bedeutung für die Einhaltung von ISO 27001, der Auditprozess kann für einige Organisationen sehr komplex erscheinen. Für einen erfolgreichen ISO 27001 Audit für ein vollwertiges Informationssicherheitsmanagementsystem (ISMS = Information Security Management System), die folgenden fünf Phasen sind unerlässlich:

1) Umfang und Studie vor dem Audit

Die Auditoren müssen eine Risikoanalyse durchführen, um den Schwerpunkt der Prüfung festzulegen. Dies gilt auch für Bereiche, die normalerweise außerhalb der Reichweite liegen. Als Informationsquellen können die Ergebnisse einer zuvor durchgeführten Studie, früherer ISMS-Berichte oder andere Dokumente wie die ISMS-Richtlinie verwendet werden.

Der Umfang des Audits muss zunächst für die Organisation relevant sein. Dies bedeutet, dass es dem Umfang des ISMS entsprechen muss, das zertifiziert werden soll. Bei großen Organisationen müssen Auditoren die ISMS überprüfen, die an allen Unternehmensstandorten eingesetzt werden. In einer Situation, in der es viele Standorte gibt, kann eine repräsentative Stichprobe ausreichen.

In der Vorphase der Untersuchung zum Zweck der eigentlichen Prüfung sollten die Prüfer auch die wichtigsten Akteure des ISMS identifizieren und sich an sie wenden. Ziel ist es, die Unterlagen anzufordern, die während des Audits überprüft werden.

2) Planung und Vorbereitung

Sobald der Umfang des ISMS-Audits festgelegt wurde, müssen die Auditoren ihn detailliert aufschlüsseln, indem sie einen ISMS-Auditplan erstellen. In diesem Plan werden der Zeitpunkt und die Ressourcen der Prüfung mit dem Management vereinbart. Herkömmliche Projektplanungsdiagramme wie Gantt können dabei helfen.

Die Festlegung von Prüfungsplänen und die Festlegung von Grenzen für die verbleibenden Phasen des Audits beinhalten häufig „Benchmarks“, die spezifische Möglichkeiten für Auditoren beschreiben, den Führungskräften wichtige Zwischeninformationen zu geben. Solche Aktualisierungen ermöglichen es den Prüfern, kritische Probleme im Zusammenhang mit dem Zugang zu Informationen zu erkennen. Solche Probleme können für das Management auch für den Fortschritt des Auditprozesses wichtig sein.

Der Zeitpunkt der spezifischen Aufgaben im Auditprozess ist wichtig, um die richtigen Prioritäten zu setzen. Auf diese Weise kann bestimmten Aspekten, die ein großes Risiko für die Organisation darstellen können, rechtzeitig Aufmerksamkeit geschenkt werden, wenn sich herausstellt, dass das ISMS unzureichend ist.

3) Feldarbeit

Sobald ein Arbeitsplan für das ISMS-Audit erstellt wurde, müssen Auditoren Daten sammeln, indem sie Mitarbeiter, Manager und andere am ISMS beteiligte Interessengruppen befragen. In dieser Phase finden auch das Sammeln von ISMS-Dokumenten, das Drucken, Anzeigen von Daten und die Beobachtung der aktuellen ISMS-Prozesse statt. Darüber hinaus müssen Audittests durchgeführt werden, um die zuvor festgestellten Ergebnisse zu validieren, sowie die Erstellung von Arbeitsdokumenten im Zusammenhang mit dem Audit, in denen die durchgeführten Tests dokumentiert werden.

Die erste Phase der Feldarbeit umfasst in der Regel die Überprüfung der im Zusammenhang mit dem ISMS erstellten und daraus resultierenden Unterlagen durch einen Auditor. Diese Ergebnisse könnten darauf hindeuten, dass spezielle Audittests erforderlich sind, um das reibungslose Funktionieren des ISMS sicherzustellen. ISO 27001 zu überprüfen.

4) Analyse

Die Prüfungsnachweise müssen sortiert, aufbewahrt und in Bezug auf die Risiken und die festgelegten Ziele bewertet werden. Gelegentlich kann eine Analyse Lücken aufdecken, die es erforderlich machen, mehr Prüfungen durchzuführen. In diesem Fall kann nicht ausgeschlossen werden, dass zusätzliche Feldtests wünschenswert sind.

5) Berichterstattung

Dieser wesentliche Teil des Auditprozesses besteht in der Regel aus einer Reihe wichtiger Dinge:

  • Eine Einführung zur Klärung des Umfangs, der Ziele, des Zeitplans und des Umfangs der durchgeführten Arbeiten;
  • Eine Zusammenfassung mit den wichtigsten Ergebnissen, einer kurzen Analyse und einer Schlussfolgerung;
  • Die beabsichtigten Empfänger des Berichts und in Einzelfällen die Richtlinien zur Klassifizierung und Verbreitung;
  • Detaillierte Ergebnisse und Analysen;
  • Schlußfolgerungen und Empfehlungen;
  • Eine Erklärung des Abschlussprüfers mit detaillierten Empfehlungen oder Einschränkungen.

Der Entwurf des Prüfungsberichts

Der Entwurf des Prüfungsberichts sollte dem Management zur weiteren Erörterung der Ergebnisse vorgelegt werden. Eine zusätzliche Überprüfung und Überprüfung kann erforderlich sein, da sich der Abschlussbericht in der Regel auf das Management bezieht, das den Aktionsplan ausgearbeitet hat.

FAQ

FAQ

Unsere Superkräfte für
Möchten Sie QHSE-Manager ausprobieren?
Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.
Eröffnen Sie ein kostenloses Testkonto
AUTOR
Jan-Kees Harmsen

Die einzig unmögliche Reise ist die, die man nie beginnt.“ -Toni Robbins

Sind Sie ein QHSE-Manager und suchen nach einer leistungsstarken Lösung? Mit unserem Software für das Qualitätsmanagement Sie erhalten Superkräfte, die Ihnen im Handumdrehen die Kontrolle über Prozesse in den Bereichen Qualität, (Gesundheits-) Sicherheit, Personal und Umwelt geben. Mit Sitz in den Niederlanden sind wir stolz darauf, Hunderte von Unternehmen weltweit zu unterstützen.

Verpassen Sie diese Artikel nicht

Informationssicherheit
NIS2 und ISO27001, Unterschiede und Gemeinsamkeiten
Sicherheit
Machen Sie sicheres Arbeiten zu einer Kultur
Qualität
Verwaltungssoftware. Machen Sie Ihre eigenen Jobs oder entscheiden Sie sich für Professionalität?
Über unsGeschichten von KundenPreiseIntegrationenBlogNormenVakanzenUnterstützungKontakt
Kontakt
info@iso2handle.nl
+ (31) 850 806 340
Lösungen
RI&ENachhaltigkeitBenachrichtigungenSicherheitRisikomanagementQualität
Starte noch heute
Vereinbaren Sie eine kostenlose DemoKostenloses TestkontoE-Books und Whitepapers
Preise
PreiseROI-RechnerAuswahlverfahrenUmsetzungPilotprojektTreuhandkonto
Ressourcen
KontaktSicherheit der DatenStatusVeröffentlichungenPatchesDURCHSCHN.AnforderungenCookie-RichtlinieDatenschutzrichtlinie
ISO2HANDLE-Logo
Landdrostallee 51
7327 GM Apeldoorn
Die Niederlande
Wir verleihen Superkräfte Qualitäts- und Risikomanager.
Alle Rechte vorbehalten | KVK-Nummer: 67160492 | Umsatzsteuer: NL856855236B01
© Urheberrecht ISO2HANDLE | www.iso2handle.nl
Schauen Sie sich die Google-Bewertungen von ISO2HANDLE an
5,0/5
bei Google-Bewertungen