IT- und Informationssicherheit sind ein stetiger Prozess. Technische Fortschritte oder organisatorische Veränderungen im Unternehmen stellen ständig neue Anforderungen an die Sicherheit. Was sind in diesem Kontext die konkreten Aufgaben und Arbeitsbereiche eines ISMS Auditors? Für wen lohnt sich die entsprechende Weiterbildung? Dies erfahren Sie in diesem Beitrag.
ISMS – für welche Unternehmen ist das relevant?
Die IT-Infrastruktur ist inzwischen zum Kernelement von Unternehmen und Organisationen geworden. Um ein angemessenes Sicherheitsniveau zu gewährleisten, implementieren viele Unternehmen ein sogenanntes Informationssicherheits-Managementsystem (ISMS). Dieses System ist ein Sicherheitskonzept für die Informationssicherheit im Unternehmen. Es bietet die Grundlage für die entsprechenden Security-Maßnahmen und regelt deren Kontrolle, Steuerung und Optimierung.
Die Anforderungen an ein ISMS sind in der internationalen Normenreihe ISO/IEC 27001 festgehalten. Diese beinhalten darüber hinaus die Zertifizierungsanforderungen, nach denen das ISMS durch eine unabhängige akkreditierte Stelle zertifiziert wird. Beispielsweise Betreiber von Kritischen Infrastrukturen (KRITIS) haben die Pflicht, ein zertifiziertes ISMS nachzuweisen.
Für diese Zertifizierung, ihre Vor- und Nachbereitung und Begleitung sowie die stetige Überprüfung und Optimierung des ISMS braucht es regelmäßige Audits. Diese Aufgabe übernehmen Auditoren, die eine entsprechende Weiterbildung gemacht haben.
Audits: Definition und verschiedene Formen
Ein Audit ist – anders als es häufig verstanden wird – keine Prüfungssituation im Sinne des „Bestehens“ oder „Nicht-Bestehens“ von Anforderungen. Bei einem Audit geht es vielmehr darum, sachlich den „Stand der Dinge“ festzustellen; zu analysieren, zu bewerten und Verbesserungspotenzial zu erkennen. Dabei geht es immer um ein System, in diesem Fall das ISMS, welches das Unternehmen zum Erreichen seiner Ziele implementiert hat.
Grundlegend unterscheidet man bei Audits zwischen First-, Second- und Third-Party Audits. Bei einem „First-Party Audit“ ist nur das Unternehmen selbst involviert. Dieser Audit wird meist von einem internen Auditor, also einem entsprechend geschulten Mitarbeiter, durchgeführt. Das „Second-Party Audit“ betrifft zwei Parteien. Bei diesem Verfahren auditiert zum Beispiel der Beauftragte eines Unternehmens ein anderes Unternehmen auf die Eignung als Lieferant o.ä. Hier werden immer häufiger auch externe Auditoren beauftragt. Das „Third-Party Audit“ – in diesem Fall meist das Zertifizierungs-Audit – wird wiederum ausschließlich von externen Auditoren durchgeführt. Diese fungieren als unabhängige Dritte, weshalb hier eine entsprechende Akkreditierung erforderlich ist.
Aufgaben und Arbeitsbereiche eines ISMS Auditors
Die Haupt-Aufgabe eines ISMS Auditors – sei es intern oder extern – besteht darin, Audits der Informationssicherheit im Unternehmen zu planen, durchzuführen und nachzubereiten. Dazu gehört, das bestehende Informationssicherheitsniveau eines Unternehmens systematisch zu analysieren und zu bewerten. Es geht darum, bestehende Sicherheitsvorkehrungen zu prüfen und Verbesserungspotenzial zu erkennen. Ebenso gehört zum Aufgabenbereich, aussagekräftige Berichte zum Audit zu erstellen und festzulegen, wann das ISMS bereit ist für die externe Zertifizierung.
Als ISMS Auditor kann man demnach in verschiedenen Bereichen arbeiten. Als interner Auditor im eigenen Unternehmen ist das Auditieren meist eine Erweiterung des Aufgabenbereichs des Sicherheitsbeauftragten. Darüber hinaus kann man als externer Auditor tätig werden. Beispielsweise im Bereich der Unternehmensberatung oder in einer Tätigkeit für Prüfstellen.
Voraussetzungen für die ISMS Auditor Zertifizierung
Um sich als ISMS Auditor zertifizieren zu lassen, besucht man ein entsprechendes Seminar zur Weiterbildung. Dabei ist darauf zu achten, dass es sich um ein zertifiziertes Seminar handelt, sodass man bei Bestehen der Prüfung die entsprechende Berechtigung erwirbt, als Auditor nach ISO 27001 tätig zu werden. Das IRCA (International Register of Certified Auditors) Zertifikat ist beispielsweise ein weltweit anerkanntes Zertifikat, welches die Zulassung von Auditoren regelt.
Voraussetzung für die Teilnahme an einem solchen Seminar sind Kenntnisse der ISO/IEC 27001. Falls man noch kein solches Vorwissen besitzt, kann man ein entsprechendes vorbereitendes Seminar besuchen. Beispielsweise unser Seminar „ISMS Foundation nach ISO/IEC 27001“ bereitet gezielt auf die Schulung zum ISMS Auditor vor.
Möchte man als externer Auditor tätig werden, muss man darüber hinaus Praxiserfahrung nachweisen. Dafür werden vier Trainee-Audits an insgesamt 11 Tagen vor Ort begleitet. Dabei wird man von einem Senior oder Lead Auditor beurteilt. Nach erfolgreichem Absolvieren dieser Trainee-Audits und positiver Beurteilung kann man anschließend als externer Auditor tätig werden.
Karrierechance als ISMS Lead Auditor
Die abwechslungsreichen Aufgabenbereiche eines ISMS Auditors sind attraktiv und eine Zertifizierung als ISMS Auditor ermöglicht verschiedene Karriereperspektiven. Für viele ist die berufliche Perspektive besonders interessant, als Lead Auditor freiberuflich für Zertifizierungsstellen tätig zu sein oder externe Audits durchzuführen. Auch die Sparte der Unternehmensberatung streben viele an. Zudem ist die Zertifizierung nach ISO 27001 international anerkannt.
Doch auch für das eigene Unternehmen lohnt sich die Weiterbildung und Zertifizierung. Sowohl als Karriereperspektive, als auch interessante Erweiterung des eigenen Arbeitsbereichs. Indem man aktiv beim Aufbau eines ISMS mitwirkt, hilft man dabei, die Informationssicherheit des Unternehmens kontinuierlich zu verbessern und sensible Daten sowie Know-How des Unternehmens zu schützen.
Melden Sie sich jetzt an zu unserem Seminar „ISMS Auditor/Lead Auditor nach ISO/IEC 27001“ und werden Sie zertifizierter ISMS Lead Auditor.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security