Willkommen im Briefing

video
play-sharp-fill

Willkommen im Briefing für Ihr ISO 27001-Zertifizierungsaudit!

In diesem Briefing erfahren Sie, wie ein typisches ISO 27001 Zertifizierungsaudit abläuft, wie Sie sich darauf vorbereiten können, wie Zertifizierungsauditoren fragen, denken und ihre Schlüsse ziehen und wie Sie sich in der Vorbereitung optimal darauf einstellen.

Hier zunächst einmal eine kurze Wiederholung des grundsätzlichen Aufbau eines jeden ISO 27001-Zertifizierungsaudits:

Das Audit beginnt vor dem Audit!

Ja - ganz richtig. Noch bevor das eigentliche Zertifizierungsaudit (Stufe 1) beginnt, haben Sie bereits die Möglichkeit, einen guten (sprich: organisierten) Eindruck zu machen.

Sie haben ja bereits zuvor mit dem Zertifizierer zu tun:

  • Sie melden Sich für das Audit an, führen ein Gespräch mit dem zuständigen (Vertriebs-)Mitarbeiter;
  • Sie verhandeln Audit-Termine;
  • Sie beantworten Rückfragen und senden angeforderte Dokumente.

In manchen Zertifizierungsorganisationen findet diese Kommunikation mit Backoffice-Mitarbeitern beim Zertifizierer statt, in kleineren Organisationen jedoch mit dem Zertifizierungsauditor selbst.

Im letzteren Fall hat dieser bereits die Möglichkeit, Sie und Ihre Arbeitsweise ganz abseits des Audits kennenzulernen.

Bitte achten Sie hier auf eine ordentliche Kommunikation, d.h. beherzigen Sie die üblichen Gepflogenheiten:

  1. Antworten Sie auf Anfragen seitens des Zertifizierungsauditors.
  2. Senden Sie dem Zertifizierungsauditor angefragte Dokumente oder (wenn Sie das nicht möchten - was Ihr gutes Recht ist), schreiben Sie ihm dies kurz und höflich.
  3. Wenn Ihnen wichtige Termine kommuniziert werden, speichern Sie diese ab und vermerken Sie sich die Termine am besten gleich im Kalender - es wirkt sehr unorganisiert, wenn Sie den wichtigen Zertifizierungstermin mit "Haben wir hier irgendwie vergessen" nochmal beim Auditor anfragen müssen.

Einen ersten Eindruck können Sie kein zweites Mal machen - daher: bitte strukturiert und organisiert arbeiten, damit der Zertifizierungsauditor nicht auf den Gedanken kommt, dass bei Ihnen alles "drunter und drüber" geht. Denn "drunter und drüber" und "gut organisierte Informationssicherheit" schließt sich in aller Regel aus.

Checkliste für Tätigkeiten, die Sie vor dem Beginn des Audits erledigt haben sollten

Bitte nicht vergessen, die folgenden Tätigkeiten müssen in der Regel vor dem Beginn des Stufe 1-Audits durchgeführt sein und entsprechende Nachweisdokumente müssen vorweisbar sein:

  1. Statement of Applicability / Anwendbarkeitserklärung ist fertig.
  2. Risikotabelle existiert und ist vorweisbar.
  3. Protokoll / Bericht über das Interne Audit ist angefertigt und das Interne Audit ist durchgeführt.
  4. Ihr Informationssicherheitsbeauftragter / CISO hat eine beidseitig unterschriebene Ernennungsurkunde zu seiner Rolle.
  5. Ihr Informationssicherheitsbeauftragter / CISO hat eine 2-3-tägige Grundausbildung bei einem bekannten Institut (Dekra, TÜV, DQS, Haufe, ...) zur ISO 27001 erhalten und idealerweise auch eine darüber hinausgehende 3-5-tägige Ausbildung zum Information Security Officer (wenn dies zeitlich nicht möglich war, sollte letztere zumindest in der Schulungsplanung eingeplant und terminiert sein für innerhalb der nächsten 3-6 Monate.
  6. Alle Mitarbeiter im Anwendungsbereich sollten eine organisationsinterne Grundschulung erhalten haben, in denen die folgenden Themen mindestens behandelt worden sind (und als Schulungsnachweise vorhanden sind):
    - Informationssicherheitspolitik
    - Warum machen wir das Ganze hier überhaupt?
    - Was ändert sich konkret für jeden Mitarbeiter?
    - Worauf ist bei der alltäglichen Arbeit zu achten?
    - Was passiert, wenn ich mich nicht dran halte?
    - Was passiert, wenn ich mich nicht dran halte?

Häufig fordern Zertifizierungsauditoren diese Dokumente bereits im Vorfeld des Audits an.


Stufe 1 Audit (Stage 1 Audit)

Jedes Zertifizierungsaudit beginnt mit der Stufe 1 (oder englisch "Stage 1" oder auch "Phase 1"). In dieser Stufe überprüft der Zertifizierungsauditor im Wesentlichen Ihre Dokumente, also:

  • Haben Sie alle Dokumente, die lt. ISO 27001 gefordert sind (alles, was dort als "dokumentierte Information" als verpflichtend zu führen ist)
  • Ist der Inhalt der Dokumente sinnvoll und deckt er die Anforderungen der ISO 27001 ab?
  • Gibt es die notwendigen Nachweisdokumente, die darstellen, dass Sie selbst auch gemäß ihrer eigenen Vorgaben arbeiten (das sind i.w. die Risikotabelle, das Statement of Applicability / Anwendbarkeitserklärung, das Protokoll des Internen Audits sowie das Management-Review-Protokoll).

Stufe 2 Audit (Stage 2 Audit)

Im Stufe 2 Audit ("Stage 2", "Phase 2") liegt der Fokus auf der Überprüfung der Wirksamkeit Ihres ISMS, sprich:

  • Richten Sie sich selbst nach den Regeln Ihres eigenen ISMS?
  • Welche Ihrer eigenen Regelungen haben Sie schon genutzt? Welche nicht? Warum nicht?
  • Kennen die entsprechenden Mitarbeiter diejenigen Regelungen, die für sie relevant sind? Oder wissen sie, wo sie diese im Zweifelsfall nachschauen können?
  • Lässt sich dies anhand von Nachweisdokumenten bzw. Aufzeichnungen oder Tools nachweisen? Oder geht es über Beteuerungen nicht hinaus?

So viel kurz zur Rekapitulation des Aufbaus von Audits.

Hat Ihnen das Briefing bisher gefallen? 

Schalten Sie jetzt alles frei!

Was ist drin?

  • Rund 2h Videomaterial zur intensiven Vorbereitungen auf Ihre Audit.
  • Checklisten zum Herunterladen, Verteilen in der Firma und Dabeihaben im Audit.
  • 100 knifflige Audit-Fragen und wie Sie antworten sollten zum Üben.
Jetzt freischalten

€249 

zzgl. MwSt

Wir haben mit Unterstützung von einfachISO die Zertifizierung von null auf 100 in drei Wochen geschafft. Besonders geholfen hat uns dabei der einfachISO Onlinevideosatz. Durch ihn konnten wir uns jederzeit genau erklären lassen, was die ISO 27001 an welcher Stelle von uns will und wie wir es angehen müssen.

Super war auch die Kommunikation: unser einfachISO Berater war jederzeit für uns per E-Mail oder für kurzfristige Meetings erreichbar. Er hat uns an allen Stellen unterstützt und uns Arbeit abgenommen, wo immer es möglich war.

Zur Vorbereitung auf das Zertifizierungsaudit, hat uns das einfachISO Audit Briefing sehr geholfen. Der Videokurs hat uns den Ablauf des Audits Schritt für Schritt erklärt und uns viele typische Fragen und Hinweise für deren sinnvolle Beantwortung gegeben. So sind wir gut vorbereitet ins Audit gegangen und haben ohne eine einzige Abweichung bestanden!

Zu guter Letzt: einfachISO hat uns mit einem Festpreisprojekt zur Zertifizierung begleitet. Das hat die Kosten für die Zertifizierung für uns sehr kalkulierbar gemacht.

Wir können einfachISO guten Gewissens empfehlen und bedanken uns für die tolle Zusammenarbeit.

profile-pic
Dr. Robert Preissner DRUG-PIN SA
Fertig?
 Lektion abgeschlossen
Nächste Lektion
Schreibe einen Kommentar

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}