Das ISO 27001 Audit ist der letzte Schritt zur Erlangung einer ISO 27001 Zertifizierung. Zuvor ist der Scope der ISO 27001 Zertifizierung zu definieren, sowie das Informationssicherheitsmanagement entsprechend den Vorgaben der ISO 27001 in der Organisation zu implementieren. Gerne unterstützen wir Sie dabei. Alle Details zur ISO 27001 Zertifizierung finden Sie auch in unseren ISO 27001 Webinaren.
Wie ist der Ablauf eines ISO 27001 Audits?
Informationen sind die Basis für den Ablauf von Geschäfts- und Produktionsprozessen sowie für die Kommunikation mit Kunden und Partnern. Um die Unternehmensinformationen in angemessener Weise zu schützen, bedarf es wirksamer Prozesse, wie sie in einem Informationssicherheitsmanagementsystem (ISMS) abgebildet werden. Der international anerkannte Standard für ISMS ist die Norm ISO/IEC 27001:2013.
Durch die Zertifizierung nach ISO/IEC 27001:2013 unterliegen Prozesse und Maßnahmen eines ISMS der ständigen unabhängigen Überprüfung. Mit Hilfe einer Zertifizierung können Unternehmen zusätzlich auch ihren Kunden und Partnern die Wirksamkeit und Effizienz des ISMS und die regelmäßige Überprüfung durch unabhängige Auditoren
nachweisen. Durch vielfach bewährte Methoden und Tools zur Bewertung des Managements der Informationssicherheit, der Sicherheitskonzepte sowie der organisatorischen und technischen Maßnahmen können damit gezielt Schwachstellen aufgedeckt werden und Verbesserungspotenziale ermittelt werden.
Im Zuge der ISO 27001 Zertifizierungsvorbereitung unterstützen wir Sie auch bei der Auswahl eines geeigneten Partners für das ISO-27001 Audit. Auch während des Audits stehen wir Ihnen mit uns unserem Know How zur Verfügung.
Vorgehensweise beim ISO 27001 Audit
Bei der Zertifizierung nach ISO/IEC 27001:2013 ist die folgende Vorgehensweise durch die ISO verbindlich festgelegt. Die folgenden (auszugsweise aufgeführten) Themen werden dabei in den einzelnen Schritten bearbeitet:
Stage 1: Prüfung der Zertifizierbarkeit des ISMS (Dokumentenprüfung)
Beurteilung des Standorts und der standortspezifischen Bedingungen des Kunden
- Bewertung des Status des Kunden sowie dessen
- Verständnis bezüglich der Anforderungen der Norm
- Sammeln der notwendigen Informationen bezüglich des Geltungsbereichs (Scopes) des ISMS
- Bewertung der Zuteilung der Ressourcen für das Stage 2 Audit
- Festlegen der Schwerpunkte für die Planung des Stage 2 Audits
- Beurteilung, ob die internen Audits und Managementbewertungen geplant und durchgeführt werden
- Bei erfolgreichem Abschluss dieser Phase kann die nächste Stufe eingeleitet werden.
Stage 2: Prüfung der Wirksamkeit des ISMS
- Bewertung der Informationssicherheitsrisiken
- Die in Kapitel 4-10 geforderte Dokumentation und deren Steuerung
- Auswahl der Kontrollziele und Kontrollen auf Grundlage der Risikobewertung
- Interne ISMS-Audits und Management-Reviews
- Verantwortung des Top-Managements
- Implementierung von Kontrollen
Die Basis für alle Prüftätigkeiten in dieser Phase bilden die eingeführten ISMS-Prozesse. Das Auditteam analysiert alle
während Stage 1 und Stage 2 erfassten Informationen und Auditnachweise, um die Auditfeststellungen zu bewerten und sich auf Auditschlussfolgerungen zu einigen. Liegt ein erfolgreicher Auditabschluss vor, werden die Auditoren der Zertifizierungsstelle eine Zertifizierung empfehlen, die bei positiver Kontrolle des Verfahrens das Zertifikat ausstellt.
Gültigkeit des ISO 27001 Audits
Das ISO 27001 Audit ist drei Jahre lang gültig. Jedoch ist nach dem ersten Jahr sowie nach dem zweiten Jahr der Erstzertifizierung ein Überwachungsaudit durchzuführen. Im dritten Jahr erfolgt ein Rezertifizierungsaudit.
Kosten des ISO 27001 Audits
Die Kosten des ISO 27001 Audits sind abhängig von der Größe, sowie der Komplexität des zu zertifizierenden Scopes. Die ISO 27006 gibt hier detailliert an, wie viele Tage für ein Audit bei unterschiedlichen Unternehmensgrößen zu veranschlagen ist. Diese Tage können um bis zu +/- 30%, je nach Komplexität variieren.