ISO 27001 Checkliste für das interne Audit
Die „ISO 27001 Internes Audit Checkliste“ erleichtert die Anforderungen der Norm zu erfüllen. Sonst wird eine Nichtkonformität beim Zertifizierungsaudit festgestellt. Denn ISO 27001 erfordert vom Unternehmen eine regelmäßige Durchführung interner Audits. Sollten die Auditoren der Zertifizierungsstelle feststellen, dass die erforderlichen internen Audits nicht durchgeführt wurden, kann es als Hauptabweichung (Major Nonconformity) gewertet werden.
Wurden die internen Audits nicht korrekt durchgeführt und Dokumentiert, wird man die Effektivität des ISMS ernsthaft in fragestellen. Bestenfalls wird es als eine geringfügige Abweichung (Minor Nonconformity) im Bericht des Lead Auditors dokumentiert. Es empfiehlt sich trotzdem lieber das interne Audit so weit möglich vollständig zu dokumentieren. Dadurch hat man die Norm erfüllt und kann sie über die späteren Jahre weiter verbessern.
Diese Checkliste hilft Ihnen das interne Audit vorzubereiten, dokumentieren und durchzuführen.
Wir haben für Sie hier ein kurzes Video zum Thema der Internen Audits bei der ISO 27001 Norm bereitgestellt:
Wie führt man ein Internes Audit (gemäß ISO27001) mit Hilfe der Checkliste durch?
Bevor man ein internes Audit startet, muss man die Ziele und den Betrachtungsumfeld (Scope) festlegen. So kann man viel fokussierter die interne Prüfung durchführen. Die ISO 27001 Norm fordert vom Internen Auditor nicht, dass man ein IT Experte oder Wirtschaftsprüfer ist. Es ist sinnvoll ein fundiertes Wissen über die ISO 27001 Norm zu haben. Es handelt sich hier nicht um eine komplexe Untersuchung, wie sie eine Wirtschaftsprüfungsgesellschaft gemäß IFRS durchführt. Trotzdem ist ein Grundverständnis über Auditmethoden hilfreich.
Wie kann ich die Fachkenntnisse eines internen Auditors erwerben?
Die ISO 27001 verlangt, dass Personen das notwendige Fachwissen erwerben um effektiv ein internes Audit erfolgreich durchführen zu können. Hier helfen Lehrgänge für Interne Auditoren. Der übliche Zeitaufwand liegt je nach Präsenzkurs bei 3 bis 5 Tagen. Diese Schulungen liegen preislich zwischen 2.000 und 5.000 EUR. Virtuelle Lehrgänge sparen Reisekosten und sind gut für die Umwelt. Wer aber tags über wenig Zeit hat, um einen Live Schulung teilzunehmen, sollte lieber auf Video-on-Demand Kurse setzen. Hier kann man flexibel das Fachwissen erwerben, denn man ich nicht von einer Gruppe abhängig ist. Damit sind ISO 27001 Videokurse die günstigere und flexiblere Alternative zur Schulung im Klassenzimmer.
Darf man Interne Audits outsourcen?
Gemäß der ISO 27001 Norm ist es Organisationen erlaubt, externe Personen bzw. Unternehmen mit der Durchführung von internen Audits zu beauftragen. Die Realität zeigt, dass auch Zertifizierungsstellen die externen Audits vielfach an freie Mitarbeiter auslagert. Die externen Mitarbeiter unterliegen strengen Vorgeben, so dass die Zertifizierungsstellen für die Berufung eines neuen Auditors ein Jahr und mehr benötigt. Für die Unternehmen stellt diese Erlaubnis interne Audits outzusourcen eine große Hilfestellung dar. Dadurch spart man sich den erheblichen Aufwand eine Person zu schulen und für diese Aufgabe freizustellen. Zudem können externe Berater bei der Durchführung der internen Prüfung helfen, mögliche Schwächen im ISMS oder dessen Umsetzung im betrieblichen Alltag zu bereinigen.