Referenzen der ISO 27007
Referenz | Thema |
ISO 19011:2018 siehe DIN EN ISO 19011:2018-10 | Leitfaden zur Auditierung von Managementsystemen |
ISO 31000:2018 siehe DIN ISO 31000:2018-10 | Risikomanagement – Leitlinien |
ISO/IEC 17021-1:2015 siehe DIN EN ISO/IEC 17021-1:2015-11 | Konformitätsbewertung – Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren |
ISO/IEC 17024 siehe DIN EN ISO/IEC 17024 | Konformitätsbewertung — Allgemeine Anforderungen an Stellen, die Personen zertifizieren |
ISO/IEC 27000:2018 siehe DIN EN ISO/IEC 27000:2020-06 | Glossar, Informationssicherheits-managementsysteme — Überblick und Terminologie |
ISO/IEC 27001:2013 siehe DIN EN ISO/IEC 27001:2017-06 | Informationssicherheits-managementsysteme – Anforderungen |
ISO/IEC 27002 siehe DIN EN ISO/IEC 27002 | Informationssicherheits- maßnahmen |
ISO/IEC 27006:2015 siehe DIN EN ISO/IEC 27006:2021-05 | Anforderungen an Institutionen, die Audits und Zertifizierungen von Informationssicherheits-Managementsystemen anbieten |
ISO 27007 Kapitel 4 Grundsätze der Auditierung: „Es gelten die Grundsätze der Auditierung nach ISO 19011:2018, Abschnitt 4“
ISO 19011 Abschnitt 4 : Grundsätze der Auditierung / Auditprinzipien
- Integrität: die Grundlage der Professionalität.
- Sachliche Darstellung: die Pflicht, wahrheitsgemäß und genau zu berichten.
- Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt und Urteilsvermögen beim Auditieren.
- Vertraulichkeit: Sicherheit von Informationen.
- Unabhängigkeit: die Grundlage für die Unparteilichkeit des Audits sowie für die Objektivität der Auditschlussfolgerungen.
- Faktengestützter Ansatz: die rationale Methode, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu gelangen.
- Risikobasierter Ansatz
Die „Grundsätze der Auditierung“ nach ISO 19011:2018, Abschnitt 4, sind wie folgt:
- Integrität: Der Auditor soll objektiv und unparteiisch handeln und seine Arbeit auf eine ehrliche und vertrauenswürdige Weise ausführen.
- Vertraulichkeit: Der Auditor soll die Vertraulichkeit der Informationen wahren, die ihm während der Auditierung zur Verfügung gestellt werden.
- Kompetenz: Der Auditor soll über das notwendige Wissen, die Fähigkeiten und Erfahrungen verfügen, um die Auditierung sachgerecht durchzuführen.
- Verantwortungsbewusstsein: Der Auditor soll seine Verantwortung im Rahmen der Auditierung anerkennen und seine Pflichten entsprechend erfüllen.
- Unabhängigkeit: Der Auditor soll frei von Interessenkonflikten sein und nicht in einer Weise handeln, die seine Unabhängigkeit beeinträchtigt.
- Aufrechterhaltung der Professionalität: Der Auditor soll sein Verhalten und seine Arbeitsweise so gestalten, dass er die Integrität, die Vertraulichkeit und die Objektivität der Auditierung aufrechterhält.
- Durchführung von evidenzbasierten Auditierungen: Der Auditor soll seine Entscheidungen auf einer sorgfältigen Analyse und Bewertung von Beweismitteln gründen und sicherstellen, dass diese in angemessener Weise gesammelt und bewertet wurden.
- Risikobasiertes Vorgehen: Der Auditor soll bei der Planung und Durchführung der Auditierung das Risiko berücksichtigen und geeignete Maßnahmen ergreifen, um das Risiko zu minimieren.
- Anwendbarkeit: Der Auditor soll die Anwendbarkeit der Auditierung auf die spezifischen Anforderungen des Auditsystems und der zu auditierenden Organisation sicherstellen.
Zitat: ISO 19011:2018, Abschnitt 4 „Auditprinzipien“
Die Anleitung in den Abschnitten 5 bis 7 basiert auf
Zitat aus der ISO 19011:2018, Abschnitt 4
den folgenden sieben Prinzipien:
a) Integrität: die Grundlage der Professionalität
Auditoren sowie die Person(en), die ein Auditprogramm steuert (steuern), sollte(n):
— ihre Arbeit moralisch vertretbar, mit Ehrlichkeit und Verantwortung ausführen;
— nur Audittätigkeiten durchführen, bezüglich derer sie Kompetenz besitzen;
— ihre Arbeit unparteiisch ausführen, d. h.
sachlich und in ihren Handlungen frei von
Voreingenommenheit bleiben;
— sensibel gegenüber jeglichen Einflüssen
auf ihr Urteilsvermögen sein, die während
der Durchführung eines Audits ausgeübt
werden können.
b) Sachliche Darstellung: die Pflicht, wahrheitsgemäß und genau zu berichten
Auditfeststellungen, Auditschlussfolgerungen und Auditberichte sollten die Audittätigkeiten wahrheitsgemäß und genau widerspiegeln.
Signifikante, während des Audits festgestellte Hindernisse und ungelöste Meinungsverschiedenheiten zwischen dem Auditteam und der auditierten Organisation sollten berichtet
werden. Die Kommunikation sollte wahrheitsgetreu, genau, objektiv, zeitgerecht, klar und vollständig sein.
c) Angemessene berufliche Sorgfalt: Anwendung von Sorgfalt und Urteilsvermögen beim Auditieren
Auditoren sollten entsprechend der Bedeutung der Aufgabe, die sie ausführen, und dem Vertrauen, welches der Auditauftraggeber sowie andere interessierte Parteien in sie setzen, Sorgfalt walten lassen. Ein wichtiger Faktor bei der Ausführung ihrer Arbeit mit
angemessener beruflicher Sorgfalt ist die Fähigkeit, in allen Auditsituationen begründete Urteile zu fällen.
d) Vertraulichkeit: Sicherheit von Informationen
Auditoren sollten bei der Verwendung und dem Schutz von Informationen, die sie im Verlaufe ihrer Aufgaben erworben haben, umsichtig sein. Auditinformationen sollten nicht unangemessen zur persönlichen Bereicherung des Auditors oder des Auditauftraggebers oder in einer Weise verwendet werden, die nachteilig für die berechtigten Interessen der auditierten Organisation ist. Dieses Konzept schließt den ordnungsgemäßen Umgang mit sensiblen oder vertraulichen Informationen ein.
e) Unabhängigkeit: die Grundlage für die Unparteilichkeit des Audits sowie für die Objektivität der Auditschlussfolgerungen
Wo immer möglich, sollten Auditoren unabhängig von der Tätigkeit sein, die auditiert wird, und sie sollten in allen Fällen frei von Voreingenommenheit und Interessenkonflikten handeln. Bei internen Audits sollten Auditoren unabhängig von der auditierten Funktion sein, sofern dies in der Praxis umsetzbar ist.
Die Auditoren sollten während des gesamten Auditprozesses Objektivität aufrechterhalten, um sicherzustellen, dass sich die
Auditfeststellungen und -schlussfolgerungen nur auf die Auditnachweise stützen.
Bei kleineren Organisationen kann es sein, dass die internen Auditoren nicht komplett unabhängig von der Tätigkeit sind, die auditiert wird; es sollten aber alle Anstrengungen unternommen werden, um Voreingenommenheit zu beseitigen und Objektivität zu fördern.
f) Faktengestützter Ansatz: die rationale Methode, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu gelangen
Auditnachweise sollten verifizierbar sein. Üblicherweise sollten sie auf Stichproben aus den verfügbaren Informationen beruhen, da
ein Audit während eines festgelegten Zeitraums und mit begrenzten Ressourcen durchgeführt wird. Die Stichprobenahme sollte angemessen erfolgen, da dies eng mit dem Vertrauen verbunden ist, das in die Auditschlussfolgerungen gesetzt werden kann
g) Risikobasierter Ansatz: ein Auditansatz, der
Risiken und Chancen berücksichtigt
Der risikobasierte Ansatz sollte die Planung, Durchführung und Berichterstattung von Audits maßgeblich beeinflussen, um sicherzustellen, dass die Audits auf die für den Auditauftraggeber und für die Erreichung der Ziele des Auditprogramms relevanten Themen ausgerichtet sind.
ISO 27007 Kapitel 5.1 Allgemeines: „Es gilt der Leitfaden nach ISO 19011:2018, 5.1“
Das Kapitel 5.1 der ISO 19011:2018 beschäftigt sich mit der Vorbereitung von Audits und gibt Anleitung zur Planung und Durchführung von Audits.
Konkret werden in diesem Kapitel folgende Aspekte behandelt:
- Festlegung des Auditziels und des Auditumfangs: Es wird empfohlen, dass die Auditplanung auf die spezifischen Bedürfnisse und Ziele der auditierten Organisation abgestimmt wird. Hierzu gehört auch die Festlegung des Auditumfangs und der Auditkriterien.
- Auswahl des Auditteams: Die Auswahl des Auditteams sollte auf der Basis von Kompetenzen und Erfahrungen erfolgen und sicherstellen, dass das Team über ausreichende Fähigkeiten und Kenntnisse verfügt, um das Audit durchzuführen.
- Erstellung eines Auditplans: Der Auditplan sollte alle relevanten Aspekte des Audits abdecken, einschließlich des Auditumfangs, des Zeitplans, der Ressourcen und des Kommunikationsplans mit der auditierten Organisation.
- Identifizierung von Risiken und Chancen: Es ist wichtig, potenzielle Risiken und Chancen im Zusammenhang mit dem Audit zu identifizieren und zu berücksichtigen, um sicherzustellen, dass das Audit effektiv und effizient durchgeführt werden kann.
- Vorbereitung der Auditdokumentation: Die Auditdokumentation sollte im Vorfeld des Audits erstellt werden und alle relevanten Informationen für das Auditteam enthalten, einschließlich der Auditkriterien, der Checklisten und der Verfahren für die Datenerfassung.
Dieses Kapitel betont die Wichtigkeit einer sorgfältigen Planung und Vorbereitung für ein effektives und effizientes Audit. Es wird empfohlen, dass die Auditplanung auf die spezifischen Bedürfnisse und Ziele der auditierten Organisation abgestimmt wird und dass alle relevanten Aspekte des Audits berücksichtigt werden.
ISO 27007 Kapitel 5.2.1 Festlegung der Ziele des Auditprogramms: „Es gilt der Leitfaden nach ISO 19011:2018, 5.2. Außerdem gilt die Anleitung in 5.2.2.“
Im Leitfaden der ISO 19011:2018, Kapitel 5.2., geht es um die Planung von Audits. Dieses Kapitel legt fest, wie eine Auditplanung durchgeführt werden soll, um sicherzustellen, dass alle relevanten Aspekte der Auditierung berücksichtigt werden. Folgende Punkte sind im Kapitel 5.2. detailliert beschrieben:
- Festlegung der Auditziele und -kriterien
- Auswahl des Auditteams
- Festlegung des Auditumfangs und -zeitplans
- Identifizierung von Risiken und Chancen
- Ermittlung von Ressourcen und Kompetenzen, die für die Auditierung benötigt werden
- Festlegung von Verfahren zur Datenerfassung und -analyse
- Festlegung von Verfahren zur Kommunikation mit der auditierten Organisation
- Dokumentation der Auditplanung.
Das Kapitel gibt auch Hinweise darauf, wie man bei der Planung von Audits mit besonderen Umständen wie Multi-Site-Auditierungen oder Audits von Lieferketten umgehen sollte. Es wird betont, dass die Planung von Audits auf die spezifischen Anforderungen der Organisation und des Auditsystems zugeschnitten sein sollte. Schließlich wird in diesem Kapitel betont, dass die Auditplanung ein wichtiger Teil des Auditprozesses ist und dass eine sorgfältige Planung dazu beitragen kann, effektive und effiziente Audits durchzuführen.
Das Kapitel 5.2.2 der ISO 19011:2018 beschäftigt sich mit der Auswahl des Auditteams. In diesem Abschnitt werden die Anforderungen an die Mitglieder des Auditteams sowie ihre Aufgaben und Verantwortlichkeiten beschrieben.
Im Detail werden folgende Aspekte behandelt:
- Qualifikationen und Kompetenzen der Auditoren: Die Auditoren sollten über ausreichende Kenntnisse und Fähigkeiten verfügen, um die geplanten Audits durchzuführen. Es wird empfohlen, dass die Auditoren eine formale Ausbildung oder Zertifizierung in Auditierung haben und dass ihre Erfahrung und Kompetenzen in Bezug auf die Art und den Umfang des geplanten Audits angemessen sind.
- Anzahl der Auditoren: Die Anzahl der Auditoren hängt vom Umfang des Audits und der Komplexität des Managementsystems ab. Die ISO 19011 empfiehlt jedoch, dass mindestens zwei Auditoren für ein Auditteam ausgewählt werden.
- Aufgaben der Auditoren: Die Aufgaben der Auditoren umfassen die Vorbereitung und Durchführung von Audits sowie die Bewertung der Konformität des Managementsystems gegenüber den Auditkriterien. Die Auditoren müssen sicherstellen, dass sie objektiv und unparteiisch arbeiten und ihre Ergebnisse dokumentieren.
- Verantwortlichkeiten der Auditoren: Die Auditoren sind dafür verantwortlich, dass sie den Auditplan einhalten und dass sie ihre Ergebnisse in Übereinstimmung mit den geltenden Standards dokumentieren. Sie müssen auch sicherstellen, dass sie ihre Ergebnisse und Empfehlungen in angemessener Weise kommunizieren.
Zusammenfassend betont dieses Kapitel die Wichtigkeit der Auswahl eines qualifizierten und kompetenten Auditteams und stellt sicher, dass das Team über die notwendigen Fähigkeiten und Kenntnisse verfügt, um die geplanten Audits durchzuführen.