15. Juni 2021

3 goldwerte Tipps für’s ISO 27001-Audit

Von Joachim Reinke

Juni 15, 2021

Audit, ISO 27001, Zertifizierung

Am Ende jedes Vorbereitungsprojekts zur ISO 27001 steht es an: Das Zertifizierungsaudit. Hier 3 goldwerte Tipps für's ISO 27001-Audit:

3 Tipps, die im ISO 27001 Audit helfen

Wenn sich Ihre Organisation auf eine ISO 27001-Zertifizierung vorbereitet, steht am Ende des Vorbereitungsprojekts das Zertifizierungsaudit. Im Zertifizierungsaudit prüfen ein oder mehrere Auditoren, ob Sie die Anforderungen aus der ISO 27001-Norm erfüllen. Wenn ja, erhalten Sie das begehrte ISO 27001-Zertifikat.

Solch ein Audit ist für die allermeisten eine ungewohnte Situation. Wenn Sie in dieser Situation nervös sind, ist das völlig normal. Das geht allen so.

Aber keine Sorge. Auch wenn sich das Audit erst einmal so anfühlt wie die mündliche Abiturprüfung: Der Auditor möchte nur herausfinden, ob Sie die ISO 27001-Norm wirklich umgesetzt haben oder ein "Theaterstück" aufführen. Extra für ihn. Daher klingen manche Fragen ein bisschen gemein.

Bleiben Sie also gelassen und freundlich und beherzigen Sie die folgenden 3 Tipps.

Tipp 1: Das ist unser ISMS

Was damit gemeint ist, verdeutlicht die folgende Anekdote am besten. Ein befreundeter Berater berichtete von folgender Situation:

Im Zertifizierungsaudit antwortete das auditierte Unternehmen auf jede Frage des Auditors wie folgt:

"Diese Frage geben wir an unseren Berater weiter, der kann das am besten beantworten, er ist da ja der Experte!"

Aus Sicht des Unternehmens war das ein Win-Win! War der Auditor mit der Antwort zufrieden, pflichtete das Unternehmen dem Berater bei: "Ja genau so  ist das geregelt, das hat unser Berater sehr gut erklärt."

Hatte der Auditor noch Nachfragen oder war mit der Umsetzung nicht so ganz zufrieden, passierte das Gegenteil: das Unternehmen pflichtete dem Auditor bei: "Ja wir haben gleich gesagt, dass das so nicht ganz passend ist. Ganz richtig, Herr Auditor!"

Nachdem das 2-3x so gegangen war, richtete sich der Auditor direkt an den Geschäftsführer des Unternehmens:

"Sie bitten Ihren Berater, alle Fragen zu beantworten. Ich habe nicht den Eindruck, dass Sie das Thema als ihr eigenes betrachten. Das müssen Sie mir aber deutlich zeigen, sonst können Sie kein Zertifikat bekommen. Es wäre toll, wenn Sie alle weiteren Fragen selbst beantworten."

KURZ UND KNAPP: Zeigen Sie im Audit klar und deutlich, dass Sie Ihr eigenes ISO 27001-Managementsystem "ownen". Das ist eine grundlegende Anforderung aus der ISO 27001. Auditoren möchten das sehen.

Tipp 2: Wir wollen das

Wenn Sie im Zertifizierungsaudit häufig betonen,

  • wie schwierig Ihre Situation mit der ISO 27001 ja ist,
  • wie sehr Sie sich durch die Norm gegängelt fühlen,
  • was Sie alles tun mussten
  • und wie schlimm das doch alles ist

bekommt jeder Auditor das Gefühl, dass Sie die ISO 27001-Zertifizierung eigentlich gar nicht wollen. Dass das alles nur furchtbar lästig für Sie ist. Dass es Ihnen überhaupt nichts bringt und Sie nur nervt.

Jeder Auditor weiß, dass man Dinge, die einen nerven, naturgemäß ungerne macht und am liebsten vernachlässigt.

Diese Einstellung bringt den Auditor nur dazu, noch genauer zu fragen und noch penibler hinzuschauen, weil er ja sicherstellen muss, dass Sie die Arbeiten rund um die Informationssicherheit trotz Ihrer ablehnenden Einstellung erledigen.

Ganz nebenbei: Es eine Anforderung aus der ISO 27001, dass die Geschäftsführung es schafft, dem ganzen Unternehmen deutlich zu machen, dass Informationssicherheit etwas bringt. (Und nicht nur nervt.)

KURZ UND KNAPP: Zeigen Sie dem Auditor, dass Sie das Thema auch wirklich wollen! Dass Sie dem Thema das Positive abgewinnen können.

Tipp 3: Angemessenheit und Wirksamkeit sind Trumpf

Im Verlauf des Audits wird es zu der ein oder anderen Situation kommen, in der Sie anderer Meinung als der Auditor sind. Bitte beginnen Sie nicht mit einer "Nein-doch-nein-doch"-Diskussion. Der Auditor kennt sich in der ISO 27001 besser aus als Sie und hat sowieso das letzte Wort.

Hartes Gegenargumentieren schafft nur unnötige Fronten und sorgt für eine schlechte Stimmung. Davon hat keiner etwas.

Der Trumpf bei Meinungsverschiedenheiten ist die Argumentation über Angemessenheit und Wirksamkeit.

  • Angemessen ist eine Regelung in Ihrem ISMS, wenn sie zu Ihrem Unternehmen passt, sich harmonisch einfügt in die Art und Weise, wie Sie Dinge regeln und auch in Form und Detailtiefe zu Ihnen passt.

    Beispiel: Eine Regelung auf einem Bierdeckel wäre für Siemens nicht angemessen - und ein Prozesshandbuch von 800 Seiten wäre für ein Startup nicht angemessen.
  • Wirksam ist eine Regelung in Ihrem ISMS, wenn Sie das tut, was sie soll.

    Beispiel: Wenn Sie regeln, dass nur 4 Personen in den Serverraum dürfen, die Tür aber trotzdem dauernd offen steht, ist die Regelung nicht wirksam.

Wenn Sie irgendwann im Audit anderer Meinung sind als Ihr Auditor, begründen Sie Ihre Meinung bitte über Angemessenheit und Wirksamkeit. Versuchen Sie darzustellen, wieso Ihre Umsetzung angemessen und wirksam ist. Bauen Sie Ihrem Auditor die goldene Brücke, Ihnen folgen zu können.

KURZ UND KNAPP: Harte Diskussionen mit dem Auditor können Sie selten gewinnen. Argumentationen über Angemessenheit und Wirksamkeit allerdings sehr wohl.

Und ein Goodie zum Schluss: Anwesenheit hilft!

Folgende Idee macht vorm Zertifizierungsaudit in fast jedem Unternehmen die Runde - bitte fallen Sie nicht darauf herein:

"Wenn der Zertifizierungsauditor da ist, setzen wir den erstmal in den Meetingraum und sagen, dass wir gleich kommen. Nach einer Stunde sagen wir, dass noch einer fehlt. Nach drei Stunden kommen wir dann alle und sagen, dass wir erst mal gemeinsam Pause machen. Und um 15 Uhr muss einer schon weg und wir können nicht weitermachen."

Die Idee ist natürlich verständlich ist: wenn die Auditzeit maximal reduziert wird, kann der Auditor die Schwachstellen nicht finden.

Bitte probieren Sie das nicht aus (es kommt immer mal wieder vor). Jeder Auditor hat ein und dieselbe Standardantwort darauf:

"Tut mir leid, es steht jetzt nicht mehr genug Zeit zur Verfügung, das Unternehmen vollständig zu auditieren. Ich muss das Audit leider abbrechen. Bitte melden Sie sich für einen Ersatztermin."

Unnötig zu erwähnen, dass Sie die Rechnung für das Audit dennoch bezahlen müssen...

3 goldwerte Tipps für's ISO 27001-Audit

Bereiten Sie sich gut auf Ihr Zertifizierungsaudit vor. Die folgenden 3 Tipps helfen super weiter:

  1. Zeigen Sie, dass es Ihr ISO 27001 ISMS ist, dass Sie sich als "Owner" verstehen und die Verantwortung annehmen.
  2. Stellen Sie dar, dass Sie das Ganze auch wirklich wollen.
  3. Argumentieren Sie mit dem Auditor mit Hilfe von Angemessenheit und Wirksamkeit.

Und zu guter Letzt: Die Dauer des Audits ist fest vorgegeben. Durch Abwesenheit können sie nichts kürzen.

Stehen Sie kurz vor dem Zertifizierungsaudit und haben noch ein paar Fragen? Oder möchten Sie mal eine Generalprobe machen? Dann vereinbaren Sie gerne einen unverbindlichen Termin mit uns. Oder schreiben uns etwas in den Chat (hier unten rechts auf der Seite)!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}