Interne Audits

Das Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 gibt den Unternehmen, die sich zertifizieren lassen wollen, vor, in regelmäßigen Intervallen interne Audits durchzuführen. Diese internen Audits dienen insbesondere der Prüfung der Umsetzung der Maßnahmen, die einerseits durch das ISMS, aber auch durch das Unternehmen selbst vorgegeben wurden. Doch insbesondere für kleine und mittelständische Unternehmen (KMU) kann nicht nur die Umsetzung eines ISMS zur Mammutaufgabe werden, sondern insbesondere auch die Auswahl eines unvoreingenommenen internen Auditors aus der eigenen Belegschaft erweist sich in diesen Fällen regelmäßig als sehr schwierig. Daher ist es ratsam, auch bereits für das interne Audit einen unbefangenen Dritten hinzuzuziehen, der insbesondere zur Identifikation von Verbesserungs-potentialen beitragen kann.

Auditor ist nicht gleich Auditor

Wie in anderen Bereichen auch, ist der „Auditor“ kein geschützter Titel, was mitunter zu Schwankungen in der Qualität der Mitbewerber führen kann. Unter Umständen treten Anbieter auf, die selbst nur tageweise entsprechende Schulungen besucht haben, und kaum nennenswerte Referenzen vorweisen können. Auch sog. Berater, mit unzureichender praktischer Erfahrung und teilweise ausschließlich theoretischem Wissen treten auf den Markt und werden ausschließlich aus monetären Gründen ausgewählt. Die von der DAkkS akkreditierten Stellen sorgen dafür, dass nur diejenigen Personen als Auditor benannt werden, die umfangreiche praktische Erfahrung besitzen, und aus dieser heraus wissen, wie die sehr theoretisch und abstrakt gehaltene Norm der ISO/IEC 27001 mithilfe Ihres Anhangs und dessen Maßnahmen praktisch, also organisatorisch und technisch, aber vor allem auch individuell angewandt werden kann.

Anforderungen an berufene Auditoren:

Abgeschlossenes Studium im einschlägigen Bereich sowie 4 Jahre Berufserfahrung im Bereich der IT, davon mindestens 2 Jahre in der Informationssicherheit oder – ohne Studium – 8 Jahre Berufserfahrung im Bereich der Informationssicherheit

  • Nachgewiesene Kenntnisse in den Bereichen IT-Sicherheit, IT-Risikomanagement, IT-Compliance, Informationssicherheits- und Datenverarbeitungssysteme
  • Auditorenausbildung und erfolgreicher Abschluss des Trainee-Programms

Vorteile der internen Prüfung durch einen berufenen Auditor:

  • Unzweifelhafte Compliance mit den Normvorgaben für die Durchführung von internen Audits
  • Hohe Sach- und Fachkenntnisse
  • Objektive Bewertung auf dem Niveau eines Zertifizierungsaudits
  • Effizientes und routiniertes Vorgehen bei der Durchführung des Audits

Gerne unterstütze ich Sie bei der Planung und Durchführung Ihres internen ISO 27001 Audit. Nehmen Sie einfach hier Kontakt mit mir auf.

Prüfschwerpunkte, Branchen und KRITIS Sektoren

Banken, Energie, Finanzen, Handel, Housing, Hosting, Industrie, IT, Krankenhaus, Lebensmittelindustrie, Logistik, Medien, Netzführung Gas & Strom, Pharma, Prototypenschutz, Provider, Telekommunikation, VAIT, Versicherung, KAIT, Kapitalanlagegesellschaften. 

 

 

Angeboten werden interne Audits für folgende Standards 

  • ISO 27001, Informationssicherheit 
  • B3S KRITIS, Kristische Infrastrukturen (§8a BSIG) 
  • IT Sicherheitskatalog, Energieversorger (11 Abs. 1a & 1b EnWG) 
  • BS 10012, Datenschutzmanagement-system
  • ISO 27701, Datenschutzmanagement-system 

Vereinbaren Sie jetzt ein ein kostenfreies Vorabgespräch um das weitere Vorgehen zeitnah abzusprechen.