Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 5)
Auditprogramme als Steuerungsinstrument
In den ersten drei Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS und mit Berichtswegen beschäftigt. Im vierten Teil ging es um die Integration der ISMS-Prozesse in die Prozesse des Unternehmens.
In diesem Beitrag geht es um Auditprogramme als Steuerungsinstrument.
Verantwortung für die Auditprogramme
Die ISO 27001:2022 fordert ein oder mehrere Auditprogramme zu planen, aufzubauen, zu verwirklichen und aufrechtzuerhalten. Für diese Auditprogramme sollte eine verantwortliche Person, bzw., wenn es sinnvoll erscheint, verschiedene Personen für die unterschiedlichen Programme benannt werden. Im Folgenden spreche ich der Einfachheit halber nur noch im Singular von dem Auditprogramm und der für das Auditprogramm verantwortlichen Person. Wir behalten im Hinterkopf, dass es jeweils auch der Plural sein kann.
Die für das Auditprogramm verantwortliche Person sollte mit Bedacht ausgewählt werden. Von ihr hängt maßgeblich die Wirksamkeit des Auditprogramms und damit eines der drei Pfeiler der Bewertung der Leistung des gesamten ISMS ab.
Aufgaben der für das Auditprogramm verantwortlichen Person
Zu den Aufgaben der verantwortlichen Person für das Auditprogramm gehören u.a.:
- Ausmaß des Auditprogramms festlegen
- Auswahl der Auditteams
- Koordinierung und Zeitplanung aller Audits des Auditprogramms
- Festlegung der Auditziele
- Festlegung des Auditumfangs
- Festlegung Auditkriterien
- Bestimmung der Auditmethoden
- Berichterstattung an den Auditauftraggeber (die oberste Leitung)
- Überwachung des Auditprogramms
Bestimmen der verantwortlichen Person für das Auditprogramm
Der Rolleninhaber sollte mindestens die folgenden Fähigkeiten mitbringen:
- gute Kenntnisse von Auditprinzipien, -methoden und -prozessen
- gute Kenntnisse der relevanten Normen und Referenzdokumente
- gute Kenntnisse der auditierten Organisation und deren Kontext
- gute Kenntnisse geltender gesetzlicher, behördlicher und sonstiger Anforderungen
- gute Kenntnisse zu Informationssicherheit und des Informationssicherheitsmanagements
Nur wer sich gut in den genannten Bereichen auskennt, ist in der Lage ein wirksames und an die eigene Organisation angepasstes Auditprogramm zu erstellen, umzusetzen und zu verbessern. In der Praxis sieht man oft ein Auditprogramm, dass dem des Zertifizierers nachempfunden ist. Das ist schade, wird doch gerade der Vorteil, den ein Insider bei der Gestaltung des Auditprogramms hätte, vergeben. Der Insider kennt oder ahnt zumindest die Schwachstellen der Organisation. Er kennt die Risiken und weiß, wo eine Überprüfung (Auditierung) besonders wichtig wäre. Er kann daher besonders wirkungsvoll Schwerpunkte setzen.
Auftraggeber des Auditprogramms
In KMU wird das Auditprogramm in der Regel von der Geschäftsführung bzw. dem Vorstand selbst in Auftrag gegeben. Damit bestimmt diese oberste Leitung auch die verantwortliche Person für das Auditprogramm. Geschäftsführung bzw. Vorstand sind daher auch in der Lage, dem Auditprogramm Richtung und Schwerpunkte vorzugeben. Das Auditprogramm wird zum Werkzeug, zur wirkungsvollen Überprüfung der Umsetzung und zur Durchsetzung von Vorgaben der obersten Leitung innerhalb der Organisation.
In großen Organisationen kann die Aufgabe zur Bestimmung der verantwortlichen Person für das Auditprogramm auch delegiert werden, z.B. an die Leitung der Revision.
Abschluss und Fazit
Die Auditprogramme sind ein wirkungsvolles Werkzeug, um Vorgaben im Unternehmen durchzusetzen. Die oberste Leitung sollte sich dieses Instruments angemessen bedienen. Eine enge und direkte Verbindung zur Person, die für das Auditprogramm verantwortlich ist, ist daher sehr hilfreich.
Damit wären die wesentlichen Aspekte der Integration der Anforderungen und Prozesse des ISMS in die Prozesse des Unternehmen beschrieben. Damit endet die Artikelreihe über die Aufgaben der obersten Leitung im ISMS.
Was Sie noch interessieren könnte…
Seminar:
„Informationssicherheit für Vorstände und Geschäftsführer“
sowie „Einführung in die Auditierung von Managementsystemen nach ISO 19011“
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.
Hören Sie rein!