Willkommen im Briefing

video
play-sharp-fill

Willkommen im Briefing für Ihr ISO 27001-Zertifizierungsaudit!

In diesem Briefing erfahren Sie, wie ein typisches ISO 27001 Zertifizierungsaudit abläuft, wie Sie sich darauf vorbereiten können, wie Zertifizierungsauditoren fragen, denken und ihre Schlüsse ziehen und wie Sie sich in der Vorbereitung optimal darauf einstellen.

Hier zunächst einmal eine kurze Wiederholung des grundsätzlichen Aufbau eines jeden ISO 27001-Zertifizierungsaudits:

Das Audit beginnt vor dem Audit!

Ja - ganz richtig. Noch bevor das eigentliche Zertifizierungsaudit (Stufe 1) beginnt, haben Sie bereits die Möglichkeit, einen guten (sprich: organisierten) Eindruck zu machen.

Sie haben ja bereits zuvor mit dem Zertifizierer zu tun:

  • Sie melden Sich für das Audit an, führen ein Gespräch mit dem zuständigen (Vertriebs-)Mitarbeiter;
  • Sie verhandeln Audit-Termine;
  • Sie beantworten Rückfragen und senden angeforderte Dokumente.

In manchen Zertifizierungsorganisationen findet diese Kommunikation mit Backoffice-Mitarbeitern beim Zertifizierer statt, in kleineren Organisationen jedoch mit dem Zertifizierungsauditor selbst.

Im letzteren Fall hat dieser bereits die Möglichkeit, Sie und Ihre Arbeitsweise ganz abseits des Audits kennenzulernen.

Bitte achten Sie hier auf eine ordentliche Kommunikation, d.h. beherzigen Sie die üblichen Gepflogenheiten:

  1. Antworten Sie auf Anfragen seitens des Zertifizierungsauditors.
  2. Senden Sie dem Zertifizierungsauditor angefragte Dokumente oder (wenn Sie das nicht möchten - was Ihr gutes Recht ist), schreiben Sie ihm dies kurz und höflich.
  3. Wenn Ihnen wichtige Termine kommuniziert werden, speichern Sie diese ab und vermerken Sie sich die Termine am besten gleich im Kalender - es wirkt sehr unorganisiert, wenn Sie den wichtigen Zertifizierungstermin mit "Haben wir hier irgendwie vergessen" nochmal beim Auditor anfragen müssen.

Einen ersten Eindruck können Sie kein zweites Mal machen - daher: bitte strukturiert und organisiert arbeiten, damit der Zertifizierungsauditor nicht auf den Gedanken kommt, dass bei Ihnen alles "drunter und drüber" geht. Denn "drunter und drüber" und "gut organisierte Informationssicherheit" schließt sich in aller Regel aus.

Checkliste für Tätigkeiten, die Sie vor dem Beginn des Audits erledigt haben sollten

Bitte nicht vergessen, die folgenden Tätigkeiten müssen in der Regel vor dem Beginn des Stufe 1-Audits durchgeführt sein und entsprechende Nachweisdokumente müssen vorweisbar sein:

  1. Statement of Applicability / Anwendbarkeitserklärung ist fertig.
  2. Risikotabelle, Risikoprozess und freigegebener Risikobehandlungsplan existieren und sind vorweisbar.
  3. Protokoll / Bericht über das Interne Audit ist angefertigt und das Interne Audit ist durchgeführt.
  4. Ihr Informationssicherheitsbeauftragter / CISO hat eine beidseitig unterschriebene Ernennungsurkunde zu seiner Rolle.
  5. Ihr Informationssicherheitsbeauftragter / CISO hat eine 2-3-tägige Grundausbildung bei einem bekannten Institut (Dekra, TÜV, DQS, Haufe, ...) zur ISO 27001 erhalten und idealerweise auch eine darüber hinausgehende 3-5-tägige Ausbildung zum Information Security Officer (wenn dies zeitlich nicht möglich war, sollte letztere zumindest in der Schulungsplanung eingeplant und terminiert sein für innerhalb der nächsten 3-6 Monate).
  6. Alle Mitarbeiter im Anwendungsbereich sollten eine organisationsinterne Grundschulung erhalten haben, in denen die folgenden Themen mindestens behandelt worden sind (und es gibt einen Schulungsnachweis dazu):
    - Informationssicherheitspolitik
    - Warum machen wir das Ganze hier überhaupt?
    - Was ändert sich konkret für jeden Mitarbeiter?
    - Worauf ist bei der alltäglichen Arbeit zu achten?
    - Was passiert, wenn ich mich nicht dran halte?
  7. Das Management-Review hat stattgefunden und ein Management-Review-Protokoll ist angefertigt

Häufig fordern Zertifizierungsauditoren diese Dokumente bereits im Vorfeld des Audits an.


Stufe 1 Audit (Stage 1 Audit)

Jedes Zertifizierungsaudit beginnt mit der Stufe 1 (oder englisch "Stage 1" oder auch "Phase 1"). In dieser Stufe überprüft der Zertifizierungsauditor im Wesentlichen Ihre Dokumente, also:

  • Haben Sie alle Dokumente, die lt. ISO 27001 gefordert sind (alles, was dort als "dokumentierte Information" als verpflichtend zu führen ist)
  • Ist der Inhalt der Dokumente sinnvoll und deckt er die Anforderungen der ISO 27001 ab?
  • Gibt es die notwendigen Nachweisdokumente, die darstellen, dass Sie selbst auch gemäß ihrer eigenen Vorgaben arbeiten (das sind i.w. die Risikotabelle, das Statement of Applicability / Anwendbarkeitserklärung, das Protokoll des Internen Audits sowie das Management-Review-Protokoll).

Stufe 2 Audit (Stage 2 Audit)

Im Stufe 2 Audit ("Stage 2", "Phase 2") liegt der Fokus auf der Überprüfung der Wirksamkeit Ihres ISMS, sprich:

  • Richten Sie sich selbst nach den Regeln Ihres eigenen ISMS?
  • Welche Ihrer eigenen Regelungen haben Sie schon genutzt? Welche nicht? Warum nicht?
  • Kennen die entsprechenden Mitarbeiter diejenigen Regelungen, die für sie relevant sind? Oder wissen sie, wo sie diese im Zweifelsfall nachschauen können?
  • Lässt sich dies anhand von Nachweisdokumenten bzw. Aufzeichnungen oder Tools nachweisen? Oder geht es über Beteuerungen nicht hinaus?

So viel kurz zur Rekapitulation des Aufbaus von Audits.

Hat Ihnen das Briefing bisher gefallen? 

Schalten Sie jetzt alles frei!

Was ist drin?

  • Rund 2h Videomaterial zur intensiven Vorbereitungen auf Ihre Audit.
  • Checklisten zum Herunterladen, Verteilen in der Firma und Dabeihaben im Audit.
  • 100 knifflige Audit-Fragen und wie Sie antworten sollten zum Üben.

€249 

zzgl. MwSt

Das Audit Briefing von einfachISO ist eine super gute Hilfe für alle, die sich erstmalig auf eine Auditierung vorbereiten.

Der Kurs vermittelt sehr praxisnah und kurzweilig zunächst ein sehr gutes Verständnis für den Ablauf einer Auditierung. Zusätzlich gibt es jede Menge hilfreiche Tipps, um sich bestmöglich vorzubereiten. Insbesondere hilfreich fand ich die Hinweis, wie man mit einem Auditor auf Augenhöhe umgehen kann, um das optimale Ergebnis für sein Unternehmen zu erzielen.

Alles in allem, zwei sehr gut investierte Stunden Vorbereitungszeit!

profile-pic
Jan Hotzel Vision2B GmbH
Schreibe einen Kommentar

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}