Wie man ein ISO® 27001-Audit besteht – ein umfassender Leitfaden

Wenn Ihr Unternehmen mit Informationssicherheit zu tun hat, lohnt es sich, ein Audit nach ISO® 27001 in Erwägung zu ziehen. Die erfolgreiche Auditierung verbessert nicht nur Ihre Glaubwürdigkeit bei anderen Unternehmen, sondern trägt auch zur Verbesserung der Qualität Ihres Informationssicherheitsmanagementsystems (ISMS) bei.

Um das ISO® 27001-Audit zu bestehen, müssen Sie jedoch mehrere Anforderungen erfüllen. Da dieses Thema so komplex ist, bieten Dienste wie ISMS Connect umfassende Leitfäden zur ISO® 27001-Norm sowie fachkundige Beratung an, damit sich Unternehmen besser auf die Zertifizierung vorbereiten können.

In diesem Artikel befassen wir uns mit den Grundlagen von ISO® 27001, mit der Vorbereitung auf ein Audit und damit, was Ihre Organisation tun muss, um das Audit zu bestehen.

Fangen wir an.

Was ist ein ISO® 27001-Audit?

Bei einem ISO® 27001-Audit wird Ihr ISMS von einem Auditor bewertet, um festzustellen, ob es den ISO® 27001-Richtlinien entspricht. Wenn Sie ein erstes Audit bestehen, erhalten Sie die ISO® 27001-Zertifizierung. 

Die Aufrechterhaltung dieser Zertifizierung erfordert jährliche Überwachungsaudits, um sicherzustellen, dass Sie die ISO® 27001-Konformität aufrechterhalten. Außerdem müssen Sie Ihre Zertifizierung alle drei Jahre erneuern, indem Sie ein weiteres ISO® 27001-Audit bestehen.

Den Unternehmen wird empfohlen, interne Audits außerhalb der Zertifizierung durchzuführen, um ihre Bereitschaft für das offizielle Audit zu testen. Es ist auch eine gute Möglichkeit, die Wirksamkeit Ihres ISMS regelmäßig zu überprüfen, falls bestimmte Bereiche verbessert werden müssen.

Warum ist ein ISO® 27001-Audit wichtig?

Voraussetzung für die Zertifizierung nach ISO® 27001

ISO® 27001-Audits sind ein notwendiger Schritt zur Erlangung der Zertifizierung. Das Bestehen des Audits beweist, dass Ihr ISMS der Norm ISO® 27001 entspricht, und hilft Ihnen, die Zertifizierung zu erhalten.

Obwohl Informationssicherheits-Managementsysteme diese Zertifizierung nicht haben müssen, ist sie ein international anerkannter Standard, der von vielen Unternehmen respektiert wird. Wenn Sie zertifiziert sind, wirkt Ihr Unternehmen auf Kunden oder Partner glaubwürdiger und vertrauenswürdiger.

Sicherstellen eines gut gepflegten ISMS und einfaches Erkennen von Schwachstellen

Die regelmäßige Durchführung von ISO® 27001-Audits ermöglicht es Ihnen, Ihre Verfahren zur Informationssicherheit kontinuierlich zu verbessern und Schwachstellen besser zu entschärfen. Während der Audits können Sie Schwachstellen in Ihrem ISMS aufdecken, bevor es zu einem größeren Zwischenfall kommt.

Sie können dann proaktive Maßnahmen ergreifen und Wege finden, diese Schwachstellen zu verbessern, um das Risiko von Sicherheitsverletzungen zu verringern (stellen Sie nur sicher, dass Sie die betroffenen Parteien benachrichtigen, wenn Sie Sicherheitsverfahren ändern). Es ist auch von Vorteil, einen Risikobehandlungsplan zu erstellen, wenn bestimmte Probleme auftreten, um den Behebungsprozess zu beschleunigen.

Verbessertes Risikomanagement und Sicherstellung der Einhaltung gesetzlicher Vorschriften

ISO® 27001-Audits helfen Ihnen bei der konsequenten Einhaltung von Compliance-Vorschriften. Wenn Sie Ihr ISMS regelmäßig überprüfen, können Sie frühzeitig erkennen, wenn bestimmte Anforderungen nicht erfüllt werden. Dadurch wird verhindert, dass Sie die Qualität Ihrer Sicherheit verringern und senkt die Wahrscheinlichkeit von Sicherheitsvorfällen.

Arten von ISO® 27001-Audits

Internes Audit

Bei einem internen Audit bewerten Sie Ihr ISMS anhand der Anforderungen der ISO® 27001. Sie können diese Aufgabe einem Team von internen Mitarbeitern übertragen oder einen externen Prüfer beauftragen.

Interne Audits sollen Lücken und Schwachstellen in Ihrem Sicherheitssystem aufdecken, damit Sie sich auf ein externes Audit vorbereiten können. Wenn Sie diese Lücken entdeckt haben, können Sie daran arbeiten, sie zu schließen, bevor Sie die Zertifizierung ablegen.

Externe Prüfung

Externe Audits beinhalten auch, dass jemand Ihr ISMS bewertet, um die Einhaltung der ISO® 27001 zu überprüfen. Externe Audits führen jedoch, wenn sie bestanden sind, zu einer offiziellen Zertifizierung (oder zur Erneuerung, wenn Sie die Zertifizierung bereits erhalten haben). Gemäß den ISO® 27001-Vorschriften sollten Sie interne Audits durchführen, bevor Sie ein externes Audit durchführen.

Wer führt ein ISO® 27001-Audit durch?

ISO® 27001-Audits werden von professionellen Auditoren durchgeführt. Sie müssen die Norm ISO® 27001 und das Auditverfahren kennen. Offizielle Auditoren müssen den ISO® 27001-Lead-Auditor-Kurs oder eine gleichwertige Qualifikation absolvieren, mindestens 200 Stunden Auditerfahrung und 2 Jahre Berufserfahrung (davon mindestens 1 Jahr im Bereich Informationssicherheit) vorweisen.

Viele Zertifizierungsstellen führen ISO® 27001-Audits durch, die alle unterschiedlich teuer sind. Sie können auf Websites wie ANAB CB Directory (für die USA) oder DAkkS Datenbank (Deutschland) nach ihnen suchen.

Wie man ein ISO® 27001-Audit besteht

Investieren Sie in ein ISMS-Beratungsunternehmen, um Ihr Audit-Programm in Gang zu bringen

Wenn Sie sich bei der Durchführung des Audits unsicher sind und professionelle Hilfe in Anspruch nehmen möchten, investieren Sie in Dienste wie ISMS Connect, um über Slack oder Videokonferenzen unbegrenzten Zugang zu fachkundigen ISO® 27001-Beratern zu erhalten. Außerdem bieten wir Ihnen ausführliche Leitfäden und Dokumente zur Umsetzung von ISO® 27001, um Sie bei der Vorbereitung auf das offizielle Audit zu unterstützen.

Wenden Sie sich an Ihren Berater, wenn Sie Ratschläge zur Erfüllung der Anforderungen von ISO® 27001 benötigen oder wenn Sie Fragen zur Zertifizierung haben:

• Zeitplanung

• Kosten

• Suche nach Prüfern

Sie helfen Ihnen auch bei der Vorbereitung auf die Prüfung, die die Umsetzung der Anforderungen, die Ausarbeitung konformer Richtlinien, die Durchführung von Risikobewertungen und vieles mehr umfasst.

Worauf Sie bei einem Berater für ein ISO® 27001-Audit achten sollten

Bei der Entscheidung, welchen Berater Sie für Ihr ISO® 27001-Audit beauftragen, gibt es einige Dinge zu beachten. Zunächst einmal sollten Sie verstehen, dass sich ihre Rolle nicht auf Beratung beschränkt – ein Großteil ihrer Aufgaben besteht darin, Sie direkt beim Aufbau Ihres ISMS zu unterstützen und Bewertungen durchzuführen.

Zweitens sollten Sie auf das Preismodell des Unternehmens achten, um zu sehen, ob es Garantien für die Fertigstellung Ihres Projekts gibt. Wenn Sie sich nicht sicher sind, können Sie sich für weitere Informationen an sie wenden. Bei ISMS Connect gibt es beispielsweise ein Nachrichtenformular oder eine E-Mail, über die Sie Ihre Anfrage übermitteln können.

Es ist auch wichtig, Details über ihr Fachwissen oder ihre Erfahrung zu erfahren, um festzustellen, wie qualifiziert sie in Bezug auf die Einhaltung von ISO® 27001 und die Informationssicherheit sind.

Hier finden Sie einen kurzen Überblick über die Aufgaben eines ISO® 27001-Beraters:

• ISMS-Anwendungsbereich definieren

• Entwurf, Erstellung und Umsetzung eines ISMS

• Entwurf von Verfahren zur Informationssicherheit, Richtlinien und SoA (Statement of Applicability)

• Teilnahme an Schulungen zum Sicherheitsbewusstsein der Mitarbeiter

• Durchführung von Gap-Analysen und internen Audits (zur Ermittlung der Bereitschaft zur Auditierung)

• Durchführung von Risikobewertungen und Erstellung von Behandlungsplänen

• Implementierung eines Risikomanagements für Lieferanten

Entwickeln Sie ein ISO® 27001-Arbeitsteam und sichern Sie sich die Zustimmung der Führungsebene

Bilden Sie ein Team von Mitarbeitern, die für die Einhaltung von ISO® 27001 zuständig sind. Außerdem müssen Sie sich die Genehmigung von höheren Stellen einholen, bevor Sie mit der Prüfungsvorbereitung fortfahren. Recherchieren Sie die ISO® 27001-Norm im Detail und erläutern Sie den Führungskräften, wie das Unternehmen von der Zertifizierung profitieren kann, um ihre Unterstützung zu erhalten.

Achten Sie beim Aufbau Ihres ISO® 27001-Teams darauf, dass Sie die Rollen und Verantwortlichkeiten den richtigen Personen zuweisen. So sollten beispielsweise Mitarbeiter, die eher technische Aspekte des ISMS beaufsichtigen, über Fachwissen in diesen Bereichen verfügen. Achten Sie nur darauf, dass Sie bei der Teamzuweisung keine Schlüsselrollen oder -aufgaben verpassen.

Sie sollten auch überlegen, wer von den Änderungen an Ihrer Informationssicherheit betroffen sein wird, damit Sie diese Personen im Voraus über Ihre Pläne informieren können. Das Bestehen des ISO® 27001-Audits erfordert viel Arbeit und die Unterstützung verschiedener Abteilungen – deshalb sind eine gute Kommunikation und Transparenz im gesamten Unternehmen unerlässlich.

Festlegen von Richtlinien und Zuweisen von Verantwortlichkeiten

Zur Erfüllung der Anforderungen von ISO® 27001 gehört auch die Schulung Ihrer Mitarbeiter in Sachen Informationssicherheit und Risikomanagement. Ihr Team sollte wissen, wie man auf Sicherheitsbedrohungen reagiert und welche Kontrollen in verschiedenen Szenarien zu implementieren sind. Die Erstellung von Richtlinien kann dazu beitragen, die Mitarbeiter darüber zu informieren, was sie im Rahmen Ihres ISMS tun dürfen und was nicht.

Ziel ist es, sicherzustellen, dass sie bei der Behebung von Schwachstellen die richtigen Verfahren anwenden, so dass Ihre sensiblen Daten und Vermögenswerte gut geschützt sind. Vergessen Sie nicht, die Gründe für diese Richtlinien zu erläutern, damit Ihre Mitarbeiter wissen, wie sie sie ordnungsgemäß umsetzen können (Sie können sie im Rahmen von Schulungen zum Sicherheitsbewusstsein schulen).

Entwurf und Aufbau Ihres ISMS (einschließlich der Festlegung des Umfangs)

Ein großer Teil der Erfüllung der ISO® 27001-Normen besteht darin, ein ISMS zu entwickeln und einzurichten, das die Anforderungen erfüllt. Legen Sie den Umfang Ihres ISMS fest, bevor Sie es aufbauen – denken Sie daran:

• welche Werte oder Daten Sie mit dem System schützen wollen

• Welche Software und Hardware zu verwenden ist

• Welche Mitarbeiter sollen das System überwachen?

• Wer kann auf das ISMS zugreifen?

Die Norm ISO® 27001 enthält auch Vorschriften für die Umsetzung und kontinuierliche Verbesserung Ihres ISMS sowie für die Minderung der im System identifizierten Risiken.

Durchführung einer Lückenanalyse und einer Risikobewertung

Sobald Sie Ihr ISMS aufgebaut und eingeführt haben, ist es an der Zeit, eine Lückenanalyse durchzuführen, um festzustellen, was Sie ändern müssen, um die Konformität zu erreichen. Bei einer Lückenanalyse wird Ihr ISMS anhand der Anforderungen der ISO® 27001 überprüft, um festzustellen, in welchen Bereichen Sie Defizite haben.

Nach der Lückenanalyse sollten Sie eine Risikobewertung durchführen, um Schwachstellen in Ihrem ISMS zu ermitteln, die Ihre Datenbestände gefährden. Überlegen Sie, wie Sie diese Schwachstellen und Lücken in Ihrem Informationssicherheitssystem beseitigen können, und überlegen Sie, welche Ressourcen Sie dafür benötigen.Dies kann Ihnen helfen, ein Budget für Ihre Prüfungsvorbereitung festzulegen und im Voraus zu planen.

Implementierung eines formellen Risikomanagementprogramms

Sobald Sie eine Risikobewertung durchgeführt haben, sollten Sie Pläne zur Risikobehandlung entwerfen, um alle entdeckten Schwachstellen oder Bedrohungen zu beseitigen. In diesen Plänen sollte detailliert beschrieben werden, wie der Schweregrad einer Bedrohung zu bewerten ist und wie sie beseitigt oder bewältigt werden kann. Der ISO® 27001-Rahmen stellt eine Liste von Sicherheitsmaßnahmen zur Auswahl, die Sie dann in Ihren Behandlungsplan aufnehmen können.

Neue Vorschriften einhalten

Sicherheitsbedrohungen und Vorschriften entwickeln sich ständig weiter, daher sollten Sie sich stets über die neuesten Informationssicherheitsprotokolle informieren. Sorgen Sie dafür, dass Ihre Mitarbeiter auch durch Programme zur Förderung des Sicherheitsbewusstseins informiert werden.

Leistung überprüfen und Fortschritte verfolgen

Überwachen und bewerten Sie die Leistung Ihres ISMS kontinuierlich, um sicherzustellen, dass es wie vorgesehen funktioniert. Mit internen Audits können Sie regelmäßig überprüfen, wie nah Sie der ISO® 27001-Norm sind, und Ihre Fortschritte messen. Sie sollten alle Ihre Audits und Verbesserungen dokumentieren, damit jeder, auch die oberste Führungsebene, die an Ihrem ISMS vorgenommenen Änderungen nachvollziehen kann.

Legen Sie einen Zeitplan für die Durchführung interner Audits oder Bewertungen fest, damit Sie wissen, wie oft Sie diese durchführen müssen. Sie sollten sich auch für die Prüfer entscheiden – soll ein internes Team die Prüfungsaufgaben übernehmen oder ein externer Experte beauftragt werden?

Wie finde ich den richtigen Partner für das ISO® 27001-Audit?

Sobald Sie alle Vorbereitungen für das ISO® 27001-Audit abgeschlossen haben, sollten Sie mit der Suche nach einer akkreditierten Zertifizierungsstelle beginnen, die das offizielle Audit für Sie durchführt.

Die Suche nach dem richtigen Auditor ist schwierig, da es viele Zertifizierungsstellen zur Auswahl gibt. Im Folgenden finden Sie eine Liste mit Tipps, die Ihnen helfen, den perfekten Auditor für Ihr Unternehmen zu finden:

• Suchen Sie nach akkreditierten Zertifizierungsstellen oder fragen Sie Ihren Berater nach Empfehlungen

• Bewertung ihrer Fähigkeiten, Berufserfahrung und Branchenkenntnisse

• Prüfen Sie die Qualifikation der Prüfer (offizielle Prüfer müssen einen “Lead Auditor”-Kurs absolvieren)

• Versuchen Sie, Kundenzeugnisse und Referenzen als Beweis für die Qualität ihrer Arbeit zu finden.

• ihre Prüfungsmethodik zu bewerten

• Berücksichtigen Sie die Kosten für die Einstellung und die Kompatibilität mit Ihrem Unternehmen

• Bitten Sie um ein Treffen, um die Zeitplanung zu besprechen

Verstehen Sie, wie viel es kostet, einen Partner einzustellen

Die Kosten für ISO® 27001-Audits variieren in Abhängigkeit von einigen Faktoren wie der Größe Ihres Unternehmens und der Komplexität Ihres ISMS. Das Zertifizierungsverfahren umfasst zwei Hauptstufen: ein Audit der Stufe 1 und ein Audit der Stufe 2.

In Stufe 1 bewertet der Auditor Ihre Dokumentation, um zu prüfen, ob Ihr ISMS in Übereinstimmung mit der Norm ISO® 27001 aufgebaut wurde.

In Phase 2 wird der Auditor eine eingehendere Prüfung Ihrer ISMS-Aktivitäten und -Entwicklung, Ihrer Verfahren und Richtlinien sowie der Funktionsweise Ihres ISMS in der Praxis vornehmen. Auch Ihre Mitarbeiter werden befragt, um zu überprüfen, ob Sie die ISO® 27001-Vorschriften befolgt haben.

Je nach Anzahl der Mitarbeiter kosten beide Audits zusammen 10.000 bis 50.000 Euro, während die Überwachungsaudits zwischen 3.000 und 20.000 Euro kosten.

Fazit

Um ein ISO® 27001-Audit zu bestehen, müssen Sie sich gut vorbereiten und sich von Experten der Norm beraten lassen. Dienste wie ISMS Connect vereinfachen diesen verwirrenden Prozess, indem sie Ihnen unbegrenzten Zugang zu professionellen ISO® 27001-Beratern sowie umfassende Leitfäden und vorausgefüllte Dokumentenvorlagen bieten.

Nutzen Sie noch heute unsere Beratungsdienste, um sich auf Ihr Audit vorzubereiten.