Planung und Vorbereitung für ein internes Audit
Da interne Audits oft nicht zum Tagesgeschäft gehören, gilt es zunächst einmal, einige Begrifflichkeiten zu klären. Über allem steht das Auditprogramm. Für jedes einzelnene Audit ist die Erstellung eines Auditplans und eines Auditberichts sinnvoll.
Im Auditprogramm werden alle anstehenden Audits dokumentiert. Neben internen Audits sollten hier auch Lieferantenaudits und externe Audits (z. B. Zertifizierungsaudits oder Kundenaudits) aufgelistet werden. Berücksichtige in der Festlegung des Auditprogramms, dass das ISMS zusätzlich zum Zertifizierungsaudit auch einmal jährlich intern vollständig zu prüfen ist. Dabei können die Kapitel und Controls der ISO 27001 entweder im Rahmen eines großen, vollumfänglichen Audits oder in mehreren, kleinen internen Audits geprüft werden. Lass dir das Auditprogramm für die nötige Rückendeckung von der Unternehmensleitung offiziell freigeben.
Wenn das Auditprogramm dann steht, geht es um die Vorbereitung des ersten internen Audits. Die Vorbereitung findet in dem sogenannten Auditplan statt. Dieser dient einerseits der Planung (Nennung des auditierten Bereichs/Objekts, des Datums, der Zeit und Räumlichkeiten) und andererseits der Koordination und Information aller Auditteilnehmer.
Durchführung
Im internen Audit selbst geht es dann im Wesentlichen um die Identifizierung von Verbesserungsmöglichkeiten. In der Praxis wird gerade in kleinen Unternehmen häufig ein externer Dienstleister mit der Durchführung des internen Audits beauftragt. Es ist jedoch ebenso möglich, dass eigene Mitarbeitende das Audit durchführen. Dabei ist es entscheidend, dass die Objektivität der Audit durchführenden Person sichergestellt ist und sie über eine entsprechende Kompetenz verfügt.
Du bist mit einem internen Audit betreut? Dann sorge von Anfang an für eine positive Auditatmosphäre, um relevante Verbesserungsmöglichkeiten zu identifizieren. Qualität geht vor Quantität. Wenn du eigene Kolleginnen und Kollegen auditierst, ist Fingerspitzengefühl gefragt. Auch wenn es in erster Linie um Schwachstellen bzw. Verbesserungsmöglichkeiten geht, sollten auch positive Erkenntnisse aus dem Audit unbedingt in den Auditbericht mit aufgenommen werden.
Der Umfang eines Audits hängt stark von dem zu auditierenden Bereich oder Objekt ab. Nehme dir ausreichend Zeit, um Dokumente zu sichten, Interviews zu führen und IT-Systeme in Augenschein zu nehmen. Selbstverständlich können auch technische Prüfungen Teil von Audits sein, z. B.:
- Backup- & Restore-Tests
- Penetrationtests
- USV-Tests
- Wiederanlauftests
Verstehe interne Audits als Werkzeug, um für eine Verbesserung der Informationssicherheit im Unternehmen zu sorgen. Nutze Auditberichte, um den Feststellungen den nötigen Nachdruck zu verleihen. Fange einfach an. Schon bald wirst du sehen, dass die internen Audits von Mal zu Mal routinierter ablaufen.
TL;DR
- Im Auditprogramm werden alle anstehenden Audits dokumentiert. Neben internen Audits sollten hier auch Lieferantenaudits und externe Audits (z. B. Zertifizierungsaudits oder Kundenaudits) aufgelistet werden.
- Die Vorbereitung einzelner Audits findet in dem sogenannten Auditplan statt. Dieser dient einerseits der Planung (Nennung des auditierten Bereichs/Objekts, des Datums, der Zeit und Räumlichkeiten) und andererseits der Koordination und Information aller Auditteilnehmer.
- Sorge von Anfang an für eine positive Auditatmosphäre, um relevante Verbesserungsmöglichkeiten zu identifizieren. Qualität geht vor Quantität.
- Mit ein bisschen Übung, entwickeln sich interne Audits zum wirksamen Werkzeug, um für eine Verbesserung der Informationssicherheit im Unternehmen zu sorgen.