Interne Audits sind ein zentrales Instrument zur Überprüfung der Wirksamkeit und Konformität des Informationssicherheitsmanagementsystems (ISMS). Sie dienen dazu, festzustellen, ob das ISMS den Anforderungen der ISO/IEC 27001, den eigenen Vorgaben der Organisation sowie den geplanten Regelungen entspricht und wirksam umgesetzt wird. Diese Klausel stellt sicher, dass interne Audits systematisch geplant, durchgeführt und ausgewertet werden.
Zweck der Klausel
Klausel 9.2.1 soll gewährleisten, dass die Organisation regelmäßig interne Audits durchführt, um die Konformität und Wirksamkeit des ISMS zu bewerten. Ziel ist es, Abweichungen frühzeitig zu erkennen, Verbesserungspotenziale zu identifizieren und die kontinuierliche Verbesserung des ISMS zu unterstützen.
Anforderungen und Maßnahmen
1. Festlegung eines Auditprogramms
Die Organisation muss ein Auditprogramm festlegen, das:
Häufigkeit und Zeitplanung der Audits definiert
Auditumfang und -kriterien beschreibt
Prioritäten auf Basis von Risiken und Ergebnissen früherer Audits setzt
alle relevanten Bereiche des ISMS abdeckt
Das Auditprogramm muss dokumentiert sein.
2. Bestimmung der Auditkriterien
Für interne Audits müssen klare Kriterien festgelegt werden, insbesondere:
Anforderungen der ISO/IEC 27001
eigene Richtlinien, Verfahren und Vorgaben
gesetzliche, regulatorische und vertragliche Anforderungen
definierte ISMS-Ziele
Die Kriterien bilden die Bewertungsgrundlage.
3. Festlegung des Auditumfangs
Der Auditumfang muss bestimmt werden:
organisatorische Bereiche und Prozesse
Informationswerte, Systeme und Standorte
relevante Controls und Maßnahmen
zeitliche Abgrenzung
Der Umfang muss risikobasiert gewählt werden.
4. Sicherstellung der Objektivität und Unabhängigkeit
Auditoren dürfen nicht ihre eigenen Tätigkeiten auditieren
ausreichende fachliche Kompetenz der Auditoren
Unabhängigkeit von geprüften Bereichen
Vermeidung von Interessenkonflikten
Objektivität ist Voraussetzung für belastbare Ergebnisse.
5. Planung und Durchführung der Audits
Audits müssen geplant und systematisch durchgeführt werden:
Erstellung von Auditplänen
Nutzung geeigneter Auditmethoden
Durchführung von Interviews und Prüfungen
Sammlung geeigneter Nachweise
Die Durchführung muss nachvollziehbar sein.
6. Bewertung der Konformität und Wirksamkeit
Im Audit ist zu bewerten:
Konformität mit normativen Anforderungen
Umsetzung interner Vorgaben
Wirksamkeit von Maßnahmen und Prozessen
Erreichung der ISMS-Ziele
Dies ermöglicht eine ganzheitliche Beurteilung.
7. Berichterstattung der Auditergebnisse
Die Ergebnisse der Audits müssen berichtet werden:
Feststellungen und Abweichungen
positive Beobachtungen
Verbesserungspotenziale
Zusammenfassung der Ergebnisse
Die Berichte müssen klar und verständlich sein.
8. Dokumentation und Nachweisführung
Interne Audits müssen dokumentiert sein:
Auditprogramm und -pläne
Auditberichte und Nachweise
Bewertungen und Feststellungen
Aufzeichnungen über durchgeführte Audits
Die Dokumentation ist auditrelevant.
Zusammenfassung
Klausel 9.2.1 fordert, dass Organisationen interne Audits als systematisches Instrument zur Bewertung ihres Informationssicherheitsmanagementsystems einsetzen. Durch ein strukturiertes Auditprogramm, objektive Durchführung, klare Bewertungskriterien und nachvollziehbare Dokumentation wird sichergestellt, dass Konformität und Wirksamkeit des ISMS regelmäßig überprüft und kontinuierlich verbessert werden. Diese Klausel ist ein wesentlicher Bestandteil der Selbstkontrolle im ISMS nach ISO/IEC 27001:2022.
