{"id":3807,"date":"2023-06-15T08:56:59","date_gmt":"2023-06-15T06:56:59","guid":{"rendered":"http:\/\/www.capri-soft.de\/blog\/?p=3807"},"modified":"2023-06-15T09:36:49","modified_gmt":"2023-06-15T07:36:49","slug":"iso-27001-vorbereitung-auf-interne-audits","status":"publish","type":"post","link":"https:\/\/www.capri-soft.de\/blog\/?p=3807","title":{"rendered":"ISO 27001: Interne Audits planen und durchf\u00fchren"},"content":{"rendered":"\n

Ein internes Audit wird durchgef\u00fchrt, um die Wirksamkeit, Konformit\u00e4t und Effektivit\u00e4t eines Managementsystems zu bewerten. <\/p>\n\n\n\n

Vorbereitung: Erstellen Sie ein Audit-Programm<\/h2>\n\n\n\n

Ein Auditprogramm ist ein systematischer Ansatz zur Planung, Organisation und Durchf\u00fchrung von Audits in einer Organisation. Es handelt sich um einen Rahmen oder einen Leitfaden, der festlegt, wie interne oder externe Audits durchgef\u00fchrt werden.

Das Auditprogramm der Organisation sollte in der Regel im Voraus bekannt gegeben werden. Dies erm\u00f6glicht den betroffenen Mitarbeitern und Abteilungen, sich auf das Audit vorzubereiten und die erforderlichen Informationen und Dokumente bereitzustellen.<\/p>\n\n\n\n

Die genaue Zeitspanne, in der das Auditprogramm angek\u00fcndigt wird, kann je nach Organisation und Art des Audits variieren. In der Regel wird das Auditprogramm jedoch einige Wochen oder sogar Monate im Voraus angek\u00fcndigt, um ausreichend Zeit f\u00fcr die Vorbereitung zu gew\u00e4hrleisten.<\/p>\n\n\n\n

Die Ank\u00fcndigung des Auditprogramms sollte die folgenden Informationen enthalten:<\/p>\n\n\n\n

    \n
  1. Datum und Zeitraum des Audits: Geben Sie den genauen Zeitpunkt oder den Zeitraum an, in dem das Audit stattfinden wird. Dies erm\u00f6glicht den betroffenen Mitarbeitern, ihre Verf\u00fcgbarkeit entsprechend zu planen.<\/li>\n\n\n\n
  2. Auditbereich und -ziel: Beschreiben Sie den Bereich des Managementsystems, der auditiert wird, sowie das Ziel des Audits. Dies hilft den betroffenen Mitarbeitern, sich auf die relevanten Prozesse, Verfahren und Dokumente vorzubereiten.<\/li>\n\n\n\n
  3. Kontaktpersonen: Nennen Sie die Auditoren und die Kontaktpersonen, an die sich die Mitarbeiter wenden k\u00f6nnen, wenn sie Fragen oder Bedenken haben oder weitere Informationen ben\u00f6tigen.<\/li>\n\n\n\n
  4. Vorbereitungshinweise: Geben Sie Anleitungen und Hinweise zur Vorbereitung auf das Audit. Dies kann beispielsweise die Bereitstellung von Dokumenten, Aufzeichnungen oder Zugang zu bestimmten R\u00e4umlichkeiten umfassen.<\/li>\n<\/ol>\n\n\n\n

    Die fr\u00fchzeitige Bekanntgabe des Auditprogramms erm\u00f6glicht es der Organisation, einen reibungslosen Ablauf des Audits zu gew\u00e4hrleisten und den betroffenen Mitarbeitern die M\u00f6glichkeit zu geben, sich angemessen vorzubereiten. Es f\u00f6rdert auch die Transparenz und Offenheit im Auditprozess.<\/p>\n\n\n\n

    Schritte f\u00fcr die Durchf\u00fchrung eines internen Audits<\/h2>\n\n\n\n

    Hier sind die grundlegenden Schritte, die bei der Durchf\u00fchrung eines internen Audits \u00fcblicherweise befolgt werden:<\/p>\n\n\n\n

      \n
    1. Vorbereitung:\n
        \n
      • Festlegung des Auditumfangs und -ziels: Definieren Sie den Bereich des Managementsystems, der gepr\u00fcft werden soll, sowie das Ziel des Audits.<\/li>\n\n\n\n
      • Auditplanung: Erstellen Sie einen detaillierten Auditplan, der den Zeitplan, die Auditmethoden, die zu pr\u00fcfenden Dokumente und Verfahren sowie die zugewiesenen Auditoren enth\u00e4lt.<\/li>\n\n\n\n
      • Auswahl des Auditteams: Benennen Sie erfahrene und qualifizierte interne Auditoren, die unabh\u00e4ngig und objektiv das Audit durchf\u00fchren.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
      • Durchf\u00fchrung des Audits:\n
          \n
        • Er\u00f6ffnungsbesprechung: Beginnen Sie das Audit mit einer Er\u00f6ffnungsbesprechung, um den Zweck des Audits zu erl\u00e4utern, den Ablauf zu erl\u00e4utern und Erwartungen zu kl\u00e4ren.<\/li>\n\n\n\n
        • Datenerhebung: Sammeln Sie Informationen durch Beobachtungen, Interviews mit Mitarbeitern, \u00dcberpr\u00fcfung von Dokumenten und Aufzeichnungen sowie ggf. technische Pr\u00fcfungen.<\/li>\n\n\n\n
        • Bewertung und Analyse: Bewerten Sie die erhobenen Daten, um die Konformit\u00e4t mit den Anforderungen des Managementsystems zu beurteilen und potenzielle Schwachstellen oder Verbesserungsm\u00f6glichkeiten zu identifizieren.<\/li>\n\n\n\n
        • Dokumentation: Halten Sie Ihre Feststellungen, Abweichungen, Empfehlungen und Verbesserungspotenziale in Auditberichten oder Checklisten fest.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
        • Kommunikation der Ergebnisse:\n
            \n
          • Abschlussbesprechung: Halten Sie eine Abschlussbesprechung ab, um die Ergebnisse des Audits mit dem gepr\u00fcften Personal zu teilen und eventuelle Missverst\u00e4ndnisse zu kl\u00e4ren.<\/li>\n\n\n\n
          • Auditbericht: Erstellen Sie einen schriftlichen Auditbericht, der die Ergebnisse des Audits, die identifizierten Abweichungen und Verbesserungsvorschl\u00e4ge enth\u00e4lt.<\/li>\n\n\n\n
          • Follow-up: \u00dcberwachen Sie die Umsetzung von Korrekturma\u00dfnahmen und \u00fcberpr\u00fcfen Sie bei Bedarf die Wirksamkeit der getroffenen Ma\u00dfnahmen.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
          • Nachverfolgung:\n
              \n
            • \u00dcberwachung und \u00dcberpr\u00fcfung: \u00dcberwachen Sie die Umsetzung von Korrekturma\u00dfnahmen und \u00fcberpr\u00fcfen Sie deren Wirksamkeit im Laufe der Zeit.<\/li>\n\n\n\n
            • Planung weiterer Audits: Basierend auf den Ergebnissen und Erkenntnissen des internen Audits planen Sie weitere Audits, um die kontinuierliche Verbesserung des Managementsystems sicherzustellen.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n

              Die genaue Vorgehensweise kann je nach Organisation und Art des Managementsystems variieren. Wichtig ist jedoch, dass das interne Audit unabh\u00e4ngig, objektiv und systematisch durchgef\u00fchrt wird, um die Konformit\u00e4t mit den Anforderungen festzustellen und Verbesserungspotenziale zu identifizieren.<\/p>\n\n\n\n

              Was steht in einem Audit-Programm nach ISO 27007?<\/h2>\n\n\n\n

              Die Norm ISO\/IEC 27007:2020 „Information technology – Security techniques – Guidelines for information security management systems auditing“ enth\u00e4lt Leitlinien f\u00fcr das Auditieren von Informationssicherheitsmanagementsystemen (ISMS). Ein Audit-Programm nach ISO 27007 umfasst typischerweise die folgenden Informationen:<\/p>\n\n\n\n

                \n
              1. Zielsetzung: Das Audit-Programm sollte seine Ziele klar definieren. Diese k\u00f6nnen beispielsweise die Bewertung der Konformit\u00e4t mit den Anforderungen der ISO\/IEC 27001-Norm, die Identifizierung von Schwachstellen oder die \u00dcberpr\u00fcfung der Effektivit\u00e4t des ISMS sein.<\/li>\n\n\n\n
              2. Auditbereich und Umfang: Das Audit-Programm legt den Bereich oder die Bereiche des ISMS fest, die auditiert werden sollen. Es definiert den Umfang des Audits, einschlie\u00dflich der Standorte, Prozesse, Abteilungen oder Systeme, die einbezogen werden sollen.<\/li>\n\n\n\n
              3. Auditverfahren und -methoden: Das Audit-Programm beschreibt die spezifischen Verfahren und Methoden, die w\u00e4hrend des Audits angewendet werden sollen. Dies kann beispielsweise die Durchf\u00fchrung von Interviews, \u00dcberpr\u00fcfung von Dokumenten und Aufzeichnungen, Beobachtung von Prozessen oder technische Pr\u00fcfungen umfassen.<\/li>\n\n\n\n
              4. Audit-Ressourcen: Das Audit-Programm legt die erforderlichen Ressourcen f\u00fcr das Audit fest, einschlie\u00dflich des Audit-Teams, der Zeitpl\u00e4ne, des Budgets und der technischen Hilfsmittel.<\/li>\n\n\n\n
              5. Zeitplan: Das Audit-Programm enth\u00e4lt einen Zeitplan f\u00fcr die Durchf\u00fchrung des Audits. Es legt fest, wann das Audit beginnt und endet, sowie die geplanten Aktivit\u00e4ten und Meilensteine w\u00e4hrend des Auditprozesses.<\/li>\n\n\n\n
              6. Audit-Ergebnisse und Berichterstattung: Das Audit-Programm beschreibt die Erwartungen und Anforderungen an die Dokumentation der Audit-Ergebnisse. Dies umfasst die Erstellung von Auditberichten, in denen die Feststellungen, Empfehlungen, Verbesserungspotenziale und ggf. Nichtkonformit\u00e4ten festgehalten werden.<\/li>\n\n\n\n
              7. Nachverfolgung und \u00dcberpr\u00fcfung: Das Audit-Programm kann auch Ma\u00dfnahmen zur Nachverfolgung und \u00dcberpr\u00fcfung der umgesetzten Korrekturma\u00dfnahmen enthalten, um sicherzustellen, dass festgestellte Abweichungen behoben werden und das ISMS kontinuierlich verbessert wird.<\/li>\n<\/ol>\n\n\n\n

                Das Audit-Programm nach ISO\/IEC 27007 dient als Leitfaden f\u00fcr die Planung und Durchf\u00fchrung von ISMS-Audits. Es stellt sicher, dass das Audit effektiv und systematisch durchgef\u00fchrt wird, um die Informationssicherheit zu bewerten und die Compliance mit den Anforderungen der ISO\/IEC 27001-Norm sicherzustellen.<\/p>\n