25. Oktober 2022

Wie läuft eigentlich ein ISMS Audit ab?

Informationssicherheit ist für Unternehmen in Zeiten von Vernetzung, Digitalisierung und Remote Work ein unerlässliches Thema. Ein internes Managementsystem für Informationssicherheit (ISMS) sorgt dafür, dass notwendige Maßnahmen erkannt und umgesetzt werden. Um sicherzustellen, dass das ISMS den internen und internationalen Anforderungen genügt, werden regelmäßig Audits gemacht.

Worum geht es bei einem Audit?

Ein Audit dient dem Zweck, sicherzustellen, dass das Managementsystem des Unternehmens zuverlässig und effektiv funktioniert. Die Anforderungen, die dafür erfüllt werden müssen, hängen von den gesetzten Zielen bzw. von der Art des Audits ab. Ein Audit ist jedoch nicht – wie häufig verstanden – eine Prüfungssituation, bei der es um „Bestehen“ und „Nicht-Bestehen“ geht. Bei einem Audit geht es vielmehr darum, den Stand der Dinge festzustellen, zu bewerten und Verbesserungspotenzial zu erkennen.

Das Audit soll nicht nur Schwächen, sondern auch Stärken aufdecken. Lösungen, die bereits reibungslos funktionieren, können häufig auf andere Bereiche des Unternehmens übertragen werden und somit zur Optimierung beitragen.

Verschiedene Arten von ISMS Audits

Grundsätzlich unterscheidet man bei Audits zwischen First-, Second- und Third-Party Audits. Ein First-Party-Audit ist ein internes Audit, das innerhalb des Unternehmens durchgeführt wird, um die Wirksamkeit des eigenen Managementsystems zu überprüfen. Diese internen Audits werden meist von einem/einer geschulten Mitarbeiter:in durchgeführt.

Bei einem Second-Party Audit geht es darum, dass ein Unternehmen beispielsweise bei einem Lieferanten ein Audit durchführt, um die Wirksamkeit dessen Managementsystems für die Informationssicherheit zu prüfen. Ziel ist die Sicherstellung der Lieferketten-Sicherheit.

Ein Third-Party Audit hingegen ist ein externes Audit, das häufig als Zertifizierungsaudit durchgeführt wird. Diese Audits werden durch unabhängige Dritte durchgeführt und finden beispielsweise statt, um eine Zertifizierung nach ISO 27001 zu erhalten.

So läuft ein ISMS Audit ab

Erfolgreiche Audits sind klar strukturiert und folgen einem planmäßigen Vorgehen. Grundsätzlich lässt sich der Ablauf eines ISMS Audits in drei Phasen einteilen:

  1. Vorbereitung
  2. Durchführung
  3. Nachbereitung

1. Die Vorbereitung eines Audits

In der Vorbereitung macht der oder die Auditor:in sich mit dem auditierten Bereich und den gestellten Anforderungen vertraut. Dafür werden unter anderem Dokumente gesichtet, die zum Informationssicherheits-Managementsystem gehören. Diese Dokumentenprüfung gibt bereits Aufschluss über die Nachvollziehbarkeit und Vollständigkeit der Dokumentation und ist deshalb ein Teil des ISO 27001 Audits. Des Weiteren wird eine Auditcheckliste der zu prüfenden Punkte erstellt und daraus ein Auditplan entwickelt. Der Auditplan ist die Grundlage für den Ablauf des Audits.

2. Durchführung eines Audits

Ein Audit beginnt mit einer gemeinsamen Besprechung, in der der Auditplan vorgestellt und besprochen wird. Das Audit besteht anschließend in einer Prüfung und Sichtung von Dokumenten, Begehung oder Begutachtung vor Ort, sowie Gesprächen mit Mitarbeitenden. Die Auditgespräche sind meist der Kernteil eines Audits, da hier die bestehenden Systeme und Vorgaben mit der gängigen Praxis und dem Vorgehen abgeglichen werden. So werden Abweichungen festgestellt und direkt mögliche Optimierungsmaßnahmen besprochen.

3. Nachbereitung des Audits

Nach dem eigentlichen Audit erstellt der oder die Auditor:in einen Auditbericht, der anschließend an das auditierte Unternehmen gegeben wird. Auf Basis dieses Berichts werden Maßnahmen zur Verbesserung des Managementsystems festgelegt. Das Unternehmen bzw. die Abteilung sind selbst dafür verantwortlich, diese Maßnahmen umzusetzen. Es kann auch eine Frist vereinbart werden, bis zu der die Maßnahmen umgesetzt werden müssen.

Welche Kompetenzen und Schulungen braucht man für die Durchführung eines Audits?

Der Erfolg eines Audits ist in hohem Maße von der Kompetenz des/der Auditor:in abhängig. Für ein Zertifizierungsaudit nach ISO 27001 sind in der Norm selbst die Anforderungen an den oder die Auditor:in festgelegt. Die darin geforderten Fähigkeiten und Kenntnisse können in einer entsprechenden Schulung mit Prüfung erworben und nachgewiesen werden.

Als ISMS Auditor:in ist man zum einen befähigt, interne Audits durchzuführen, oder kann als externe:r Auditor:in beauftragt werden, Zertifizierungsaudits nach ISO 27001 durchzuführen. Mehr zu den Aufgabenbereichen eines Auditors können Sie in unserem Beitrag „Was macht eigentlich ein ISMS Auditor“ nachlesen – oder sich direkt über die ISMS Auditor Schulung der isits AG informieren. Gerne beraten wir Sie bei Fragen oder Anliegen persönlich!

geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security

Immer auf dem Laufenden:
News direkt in Ihr Postfach.

Wir feiern unser 20-jähriges Firmenjubiläum!

Laden Sie sich jetzt kostenlos unsere neue, umfassende Weiterbildungsbroschüre herunter:

Mit Klick auf den Button melden Sie sich zu unserem E-Mail-Verteiler an & erhalten unsere Weiterbildungs-News direkt in Ihr Postfach. Dieser Nutzung kann jederzeit widersprochen werden.