Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » 93 Controls ISO 27001 auditieren

93 Controls ISO 27001 auditieren

93 Controls ISO 27001 auditieren
Müssen im internen Audit alle 93 Controls der ISO 27001 auditiert werden?

Müssen im internen Audit alle 93 Controls der ISO 27001 auditiert werden?

Eine häufige Frage bei der Vorbereitung auf ISO 27001 lautet: Müssen im internen Audit wirklich alle 93 Controls aus Anhang A der ISO/IEC 27001:2022 vollständig auditiert werden? Die kurze Antwort lautet: Nein, nicht zwingend in jedem einzelnen internen Audit. Entscheidend ist nicht, dass jedes Control mechanisch abgehakt wird, sondern dass das interne Audit risikobasiert, geplant, nachvollziehbar und geeignet ist, die Wirksamkeit des Informationssicherheits Managementsystems zu bewerten.

Wichtig ist die Auditlogik, nicht das blinde Abhaken

Die ISO 27001 fordert interne Audits in geplanten Abständen. Dabei soll geprüft werden, ob das ISMS die Anforderungen der Norm, die eigenen Vorgaben der Organisation und die geplanten Sicherheitsmaßnahmen erfüllt. Das bedeutet: Die 93 Controls aus Anhang A müssen im Auditprogramm angemessen berücksichtigt werden, aber nicht zwingend alle zur gleichen Zeit, in gleicher Tiefe und in jedem Auditdurchlauf.

Die klare Antwort: Nein, aber die Abdeckung muss nachvollziehbar sein

Interne Audits nach ISO 27001 sollten auf einem Auditprogramm basieren. Dieses Auditprogramm berücksichtigt unter anderem den Geltungsbereich des ISMS, die Ergebnisse der Risikoanalyse, die Statement of Applicability, frühere Auditergebnisse, Änderungen im Unternehmen, Sicherheitsvorfälle und die Bedeutung der jeweiligen Prozesse.

Was bedeutet das praktisch?

  • Nicht jedes der 93 Controls muss in jedem einzelnen internen Audit vollständig geprüft werden.
  • Alle relevanten Normanforderungen und anwendbaren Controls sollten über das Auditprogramm angemessen berücksichtigt werden.
  • Hochriskante oder kritische Controls sollten häufiger und tiefer auditiert werden.
  • Nicht anwendbare Controls müssen über die SoA begründet und regelmäßig plausibilisiert werden.
  • Die Stichprobenauswahl muss begründet und nachvollziehbar dokumentiert sein.

Kritischer Punkt für Auditoren

Ein Auditor wird in der Regel nicht verlangen, dass jedes interne Audit alle 93 Controls vollständig behandelt. Er wird aber erwarten, dass das Unternehmen erklären kann, warum bestimmte Controls auditiert wurden, warum andere Controls nicht Teil der Stichprobe waren und wie sichergestellt wird, dass das gesamte ISMS über den Auditzyklus angemessen geprüft wird.

Auditansatz für die 93 Controls der ISO 27001

Für ein wirksames internes Audit ist eine risikobasierte Struktur sinnvoll. Die folgende Tabelle zeigt, wie Unternehmen die Controls aus Anhang A sinnvoll in ein Auditprogramm einbinden können.

Auditbereich Empfohlener Ansatz Beispiele
Normanforderungen ISO 27001 Kapitel 4 bis 10 Diese Anforderungen sollten regelmäßig und systematisch auditiert werden, da sie die Grundlage des ISMS bilden. Kontext, interessierte Parteien, Scope, Führung, Risiken, Ziele, interne Audits, Managementbewertung, Verbesserung
Anwendbare Controls aus der SoA Anwendbare Controls sollten über das Auditprogramm angemessen abgedeckt werden. Die Tiefe richtet sich nach Risiko, Bedeutung und Reifegrad. Zugriffskontrolle, Backup, Logging, Schwachstellenmanagement, Lieferantenmanagement
Hochrisiko Controls Diese Controls sollten häufiger und detaillierter auditiert werden, insbesondere bei kritischen Assets oder wiederkehrenden Vorfällen. Identitätsmanagement, Berechtigungen, Patch Management, Incident Management, Business Continuity
Nicht anwendbare Controls Diese Controls müssen nicht operativ auditiert werden, aber die Begründung der Nichtanwendbarkeit in der SoA sollte plausibel und aktuell sein. Nicht vorhandene Entwicklungsprozesse, kein eigener Rechenzentrumsbetrieb, keine eigenen Kryptosysteme
Controls mit früheren Abweichungen Controls mit Abweichungen, Schwächen oder offenen Maßnahmen sollten gezielt nachauditiert werden. Offene Maßnahmen aus internen Audits, Zertifizierungsaudits, Vorfällen oder Managementbewertungen

Praxisbezug: Wie ein internes Audit sinnvoll geplant werden kann

In der Praxis ist es wenig sinnvoll, alle 93 Controls in einem einzigen internen Audit oberflächlich abzufragen. Dadurch entsteht häufig ein reines Checklisten Audit, das zwar viele Punkte berührt, aber kaum belastbare Aussagen zur Wirksamkeit einzelner Sicherheitsmaßnahmen liefert. Besser ist ein risikobasierter Auditplan, der Schwerpunkte setzt und über den Auditzyklus hinweg eine nachvollziehbare Abdeckung sicherstellt.

Beispiel für eine sinnvolle Auditplanung

  • Audit 1: ISMS Governance, Scope, Risiken, SoA, Managementbewertung
  • Audit 2: Zugriffskontrolle, Identitätsmanagement, Berechtigungen, privilegierte Benutzer
  • Audit 3: IT Betrieb, Backup, Logging, Schwachstellenmanagement, Patch Management
  • Audit 4: Lieferantenmanagement, Cloud Dienste, Verträge, externe Dienstleister
  • Audit 5: Incident Management, Business Continuity, Awareness, Verbesserungsmaßnahmen

Was muss dokumentiert werden?

Wichtig ist, dass das Unternehmen dokumentiert, welche Controls auditiert wurden, welche Stichproben gewählt wurden, welche Nachweise geprüft wurden und welche Feststellungen sich daraus ergeben haben. Ebenso sollte erkennbar sein, welche Controls zu einem späteren Zeitpunkt auditiert werden oder warum bestimmte Controls nicht relevant sind.

SoA ist nicht gleich internes Audit

Ein häufiger Fehler besteht darin, die Statement of Applicability mit dem internen Audit zu verwechseln. Die SoA dokumentiert, welche Controls aus Anhang A anwendbar sind, wie sie begründet werden und wie sie umgesetzt sind. Das interne Audit prüft dagegen, ob diese Festlegungen plausibel, umgesetzt und wirksam sind.

Die SoA beantwortet vor allem diese Fragen:

  • Ist das Control anwendbar?
  • Warum ist es anwendbar oder nicht anwendbar?
  • Wie wird das Control umgesetzt?
  • Welche Richtlinien, Prozesse oder Maßnahmen gehören dazu?
  • Welche Risiken stehen mit dem Control in Verbindung?

Das interne Audit prüft dagegen:

  • Wird das Control tatsächlich angewendet?
  • Gibt es geeignete Nachweise?
  • Sind Verantwortlichkeiten klar geregelt?
  • Ist die Umsetzung wirksam?
  • Gibt es Abweichungen oder Verbesserungsbedarf?

Typische Fehler beim internen Audit der ISO 27001 Controls

Viele Unternehmen führen interne Audits zu formal durch. Dabei wird häufig nur geprüft, ob Dokumente vorhanden sind. Für ein wirksames ISO 27001 Audit reicht das nicht aus. Entscheidend ist, ob Informationssicherheit im Unternehmen tatsächlich umgesetzt, überwacht und verbessert wird.

Häufige Schwachstellen

  • alle 93 Controls werden nur oberflächlich abgehakt
  • keine risikobasierte Auditplanung
  • keine klare Verbindung zwischen Risikoanalyse, SoA und Auditprogramm
  • nicht anwendbare Controls werden nicht ausreichend begründet
  • technische Controls werden ohne Nachweise bewertet
  • frühere Abweichungen werden nicht nachverfolgt
  • interne Audits prüfen nur Dokumente, aber keine gelebte Praxis
  • keine Bewertung der Wirksamkeit umgesetzter Maßnahmen

Fazit: Nicht alle 93 Controls in jedem Audit, aber alle relevanten Themen im Auditprogramm

Unternehmen müssen im internen Audit nicht zwingend jedes der 93 Controls aus Anhang A der ISO 27001 in jedem Audit vollständig prüfen. Sie müssen jedoch nachweisen können, dass ihr internes Auditprogramm geeignet ist, das ISMS, die relevanten Normanforderungen, die anwendbaren Controls, Risiken, Prozesse und Sicherheitsmaßnahmen angemessen zu bewerten.

Praktische Empfehlung

Statt eines reinen Vollständigkeitsaudits ist ein risikobasierter Auditplan sinnvoll. Dieser sollte festlegen, welche Controls wann, in welcher Tiefe und mit welchen Nachweisen geprüft werden. Kritische Controls, relevante Risiken, offene Maßnahmen und frühere Abweichungen sollten dabei bevorzugt behandelt werden. So entsteht ein internes Audit, das nicht nur formal erfüllt, sondern tatsächlich zur Verbesserung des ISMS beiträgt.

Unterstützung beim internen Audit nach ISO 27001

Wir unterstützen Unternehmen bei der Planung und Durchführung interner Audits nach ISO 27001. Dazu gehören Auditprogramm, Auditchecklisten, Prüfung der SoA, risikobasierte Stichproben, Bewertung der 93 Controls, Auditberichte und Maßnahmenpläne zur Vorbereitung auf die Zertifizierung.

Internes Audit ISO 27001 anfragen

FAQ – Müssen alle 93 Controls der ISO 27001 intern auditiert werden?

1 Müssen alle 93 Controls der ISO 27001 in jedem internen Audit geprüft werden?
Nein. Es ist nicht erforderlich, in jedem einzelnen internen Audit alle 93 Controls vollständig zu prüfen. Entscheidend ist ein geplantes, risikobasiertes und nachvollziehbares Auditprogramm.
2 Was muss im internen Audit nach ISO 27001 geprüft werden?
Geprüft werden sollte, ob das ISMS die Anforderungen der ISO 27001, die eigenen Vorgaben der Organisation, die anwendbaren Controls und die geplanten Sicherheitsmaßnahmen erfüllt und wirksam umgesetzt sind.
3 Welche Rolle spielt die SoA im internen Audit?
Die SoA ist ein zentrales Auditdokument. Sie zeigt, welche Controls anwendbar sind, wie sie begründet werden und wie sie umgesetzt sind. Im internen Audit wird geprüft, ob diese Angaben plausibel und wirksam sind.
4 Wie sollte ein Auditprogramm für ISO 27001 aufgebaut sein?
Ein Auditprogramm sollte risikobasiert aufgebaut sein. Es sollte Normanforderungen, relevante Prozesse, anwendbare Controls, kritische Assets, frühere Abweichungen, Sicherheitsvorfälle und Änderungen im Unternehmen berücksichtigen.
5 Was passiert, wenn ein Control nicht auditiert wurde?
Das ist nicht automatisch ein Problem. Entscheidend ist, dass die Auswahl der auditierten Controls begründet ist und das Auditprogramm zeigt, wann und wie weitere relevante Controls geprüft werden.
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel