Grundsätzlich werden die ISMS Audits auf Basis der ISO 19011 durchgeführt. Ein ISO 27001 Fragenkatalog ist nicht zwingend erforderlich. Ein internes Audit sollte immer prozessorientiert durchgeführt werden. Für die Auditdurchführung sind folgende Dokumente anzuwenden:
Der ISO 27001 Fragenkatalog oder eine Checkliste mit Fragen, die im internen Audit Anwendung finden, können sich interne Auditoren durch Lessons Learned Step by Step selber aufbauen. Inwiefern der ISO 27001 Fragenkatalog sinnvoll ist, muss jeder interne Auditor selbst entscheiden. Für mich wäre ein Fragenkatalog bzw. eine Checkliste, die mich durch das Audit führt, zu starr, zu unflexibel. Ich auditiere Managementsysteme immer prozessorientiert und risikobasiert. Dadurch erreiche ich, dass Audits nach Schwerpunkten durchgeführt werden. Schwerpunkte können z.B. Sicherheitsvorfälle sein oder Prozesse mit hohen Risiken.
Im Übrigen werden solche ISO 27001 Fragenkataloge im Internet zuhauf angeboten. Viele sind das Papier nicht wert, auf den sie gedruckt sind. Lösen Sie sich von einer starren, unflexiblen Auditdurchführung und auditieren sie anhand vorliegender Prozessdokumentationen und anhand von Leistungsmessungen und Risiken. Das erhöht die Effizienz der Audits und auch die kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems ISMS.
Warum ISO 27001 Audit
Ein ISO 27001 Audit ist immer eine Momentaufnahme – IST: Zustand gegen Normforderung. Wie in allen Managementsystemen muss in der Regel innerhalb eines 3-jährigen Zertifikatszyklus alle Normforderungen einmal auditiert werden. Der Prozess der internen Audits, die Managementbewertung sowie die Produktion müssen in jeden internen Audit auditiert werden. Andere Prozesse z.B. Einkauf oder Vertrieb muss innerhalb der drei Jahren Minium einmal auditiert werden. Dazu entwickeln Sie ein Auditprogramm, dass aufzeigt, welche Normforderungen wann und durch wem auditiert worden sind.
Unterstützung
Wir auditieren auf Wunsch Ihr Informationssicherheitsmanagementsystem ISMS prozessorientiert und risikobasiert – ohne ISO 27001 Fragenkatalog. Gerne machen wir Ihnen ein Angebot. Sprechen Sie uns an!