Das interne Auditprogramm legt den Rahmen für die systematische Planung, Durchführung und Überwachung interner Audits fest. Es stellt sicher, dass alle relevanten Bereiche des Informationssicherheitsmanagementsystems (ISMS) regelmäßig und risikobasiert überprüft werden. Diese Klausel fordert ein strukturiertes, dokumentiertes und wirksam gesteuertes Auditprogramm.
Zweck der Klausel
Klausel 9.2.2 soll gewährleisten, dass die Organisation ein geeignetes internes Auditprogramm festlegt, um die Konformität und Wirksamkeit des ISMS kontinuierlich zu überwachen. Ziel ist es, durch regelmäßige Audits Verbesserungspotenziale zu identifizieren und die fortlaufende Verbesserung des ISMS zu unterstützen.
Anforderungen und Maßnahmen
1. Festlegung des Auditprogramms
Die Organisation muss ein Auditprogramm festlegen, das:
alle relevanten ISMS-Prozesse und Bereiche abdeckt
den Auditzeitraum (z. B. jährlich) definiert
die Auditarten (System-, Prozess-, Kontrollaudits) berücksichtigt
dokumentiert und genehmigt ist
Das Programm bildet die Grundlage der Auditplanung.
2. Risikobasierte Planung
Das Auditprogramm muss risikobasiert gestaltet sein:
Berücksichtigung der Ergebnisse der Risikobewertung
Fokus auf kritische Prozesse und Controls
Einbeziehung von Vorfällen und Änderungen
Berücksichtigung von Ergebnissen früherer Audits
So werden relevante Risiken priorisiert.
3. Festlegung von Häufigkeit und Umfang
Die Häufigkeit und der Umfang der Audits müssen bestimmt werden:
Auditintervalle je Bereich
Tiefe der Prüfungen
organisatorische und technische Abgrenzung
zeitliche Planung
Die Planung muss angemessen und nachvollziehbar sein.
4. Zuweisung von Verantwortlichkeiten
Für das Auditprogramm müssen Verantwortlichkeiten festgelegt werden:
Planung und Koordination
Auswahl und Einsatz von Auditoren
Überwachung der Durchführung
Berichterstattung an die Führungsebene
Klare Zuständigkeiten sichern die Umsetzung.
5. Sicherstellung der Kompetenz der Auditoren
Auditoren müssen kompetent sein:
Fachkenntnisse zur ISO/IEC 27001
Verständnis des ISMS und der Prozesse
Auditmethodische Kenntnisse
Unabhängigkeit vom geprüften Bereich
Kompetenz ist Voraussetzung für belastbare Audits.
6. Durchführung und Überwachung der Audits
Die Durchführung der Audits muss überwacht werden:
Einhaltung des Auditprogramms
Qualität der Auditdurchführung
Vollständigkeit der Berichte
Einhaltung von Zeitplänen
Abweichungen müssen adressiert werden.
7. Nutzung der Auditergebnisse
Die Ergebnisse der Audits müssen genutzt werden:
Identifikation von Abweichungen
Ableitung von Korrekturmaßnahmen
Priorisierung von Verbesserungen
Input für Managementbewertungen
Audits sind ein Steuerungsinstrument.
8. Dokumentation und Aktualisierung des Auditprogramms
Das Auditprogramm muss dokumentiert und aktuell gehalten werden:
Dokumentierte Auditpläne
Anpassung bei Änderungen oder neuen Risiken
Berücksichtigung von Auditerkenntnissen
Archivierung früherer Programme
Die Dokumentation ist auditrelevant.
Zusammenfassung
Klausel 9.2.2 fordert, dass Organisationen ein strukturiertes internes Auditprogramm für ihr Informationssicherheitsmanagementsystem festlegen und umsetzen. Durch risikobasierte Planung, klare Verantwortlichkeiten, kompetente Auditoren und die Nutzung der Auditergebnisse wird sichergestellt, dass das ISMS regelmäßig überprüft und kontinuierlich verbessert wird. Diese Klausel ist ein zentrales Element der internen Kontrolle nach ISO/IEC 27001:2022.
