Schlagwortarchiv für: Auditprogramm

Auditprogramme als Steuerungsinstrument

In den ersten drei Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS und mit Berichtswegen beschäftigt. Im vierten Teil ging es um die Integration der ISMS-Prozesse in die Prozesse des Unternehmens.

In diesem Beitrag geht es um Auditprogramme als Steuerungsinstrument.

Verantwortung für die Auditprogramme

Die ISO 27001:2022 fordert ein oder mehrere Auditprogramme zu planen, aufzubauen, zu verwirklichen und aufrechtzuerhalten. Für diese Auditprogramme sollte eine verantwortliche Person, bzw., wenn es sinnvoll erscheint, verschiedene Personen für die unterschiedlichen Programme benannt werden. Im Folgenden spreche ich der Einfachheit halber nur noch im Singular von dem Auditprogramm und der für das Auditprogramm verantwortlichen Person. Wir behalten im Hinterkopf, dass es jeweils auch der Plural sein kann.

Die für das Auditprogramm verantwortliche Person sollte mit Bedacht ausgewählt werden. Von ihr hängt maßgeblich die Wirksamkeit des Auditprogramms und damit eines der drei Pfeiler der Bewertung der Leistung des gesamten ISMS ab.

Aufgaben der für das Auditprogramm verantwortlichen Person

Zu den Aufgaben der verantwortlichen Person für das Auditprogramm gehören u.a.:

  • Ausmaß des Auditprogramms festlegen
  • Auswahl der Auditteams
  • Koordinierung und Zeitplanung aller Audits des Auditprogramms
  • Festlegung der Auditziele
  • Festlegung des Auditumfangs
  • Festlegung Auditkriterien
  • Bestimmung der Auditmethoden
  • Berichterstattung an den Auditauftraggeber (die oberste Leitung)
  • Überwachung des Auditprogramms

Bestimmen der verantwortlichen Person für das Auditprogramm

Der Rolleninhaber sollte mindestens die folgenden Fähigkeiten mitbringen:

  • gute Kenntnisse von Auditprinzipien,  -methoden und -prozessen
  • gute Kenntnisse der relevanten Normen und Referenzdokumente
  • gute Kenntnisse der auditierten Organisation und deren Kontext
  • gute Kenntnisse geltender gesetzlicher, behördlicher und sonstiger Anforderungen
  • gute Kenntnisse zu Informationssicherheit und des Informationssicherheitsmanagements

Nur wer sich gut in den genannten Bereichen auskennt, ist in der Lage ein wirksames und an die eigene Organisation angepasstes Auditprogramm zu erstellen, umzusetzen und zu verbessern. In der Praxis sieht man oft ein Auditprogramm, dass dem des Zertifizierers nachempfunden ist. Das ist schade, wird doch gerade der Vorteil, den ein Insider bei der Gestaltung des Auditprogramms hätte, vergeben. Der Insider kennt oder ahnt zumindest die Schwachstellen der Organisation. Er kennt die Risiken und weiß, wo eine Überprüfung (Auditierung) besonders wichtig wäre. Er kann daher besonders wirkungsvoll Schwerpunkte setzen.

Auftraggeber des Auditprogramms

In KMU wird das Auditprogramm in der Regel von der Geschäftsführung bzw. dem Vorstand selbst in Auftrag gegeben. Damit bestimmt diese oberste Leitung auch die verantwortliche Person für das Auditprogramm. Geschäftsführung bzw. Vorstand sind daher auch in der Lage, dem Auditprogramm Richtung und Schwerpunkte vorzugeben. Das Auditprogramm wird zum Werkzeug, zur wirkungsvollen Überprüfung der Umsetzung und zur Durchsetzung von Vorgaben der obersten Leitung innerhalb der Organisation.

In großen Organisationen kann die Aufgabe zur Bestimmung der verantwortlichen Person für das Auditprogramm auch delegiert werden, z.B. an die Leitung der Revision.

Abschluss und Fazit

Die Auditprogramme sind ein wirkungsvolles Werkzeug, um Vorgaben im Unternehmen durchzusetzen. Die oberste Leitung sollte sich dieses Instruments angemessen bedienen. Eine enge und direkte Verbindung zur Person, die für das Auditprogramm verantwortlich ist, ist daher sehr hilfreich.

Damit wären die wesentlichen Aspekte der Integration der Anforderungen und Prozesse des ISMS in die Prozesse des Unternehmen beschrieben. Damit endet die Artikelreihe über die Aufgaben der obersten Leitung im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

sowie „Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel vertieft die Funktion der “Internen Audits” bei der Überprüfung der Wirksamkeit des ISMS.

Interne Audits

Wie viele andere Aspekte eines ISMS findet man Interne Audits in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Interne Audits sind immer ein wichtiger Bestandteil der Bewertung der Leistung.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” habe ich mich in der Vergangenheit in einigen Artikeln gewidmet. Das Thema “Managementbewertung” wird uns in einem späteren Artikel beschäftigen. Hier soll es um den zweiten Punkt “Interne Audits” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss in geplanten Abständen interne Audits durchführen, …”. Zweck ist es, sicherzustellen, dass sowohl die organisationseigenen Anforderungen an das ISMS als auch die Anforderungen der ISO 27001 selbst erfüllt werden.

Dazu sind ein oder mehrere Auditprogramme zu planen und umzusetzen.

Auditprogramm

Ein Auditprogramm plant ein oder mehrere Audits, wobei “mehrere” der Regelfall ist. Das Auditprogramm (meist ist es eins), das die Internen Audits einer Organisation plant, beschreibt mindestens folgende Aspekte der Audits:

  • Häufigkeit und zeitliche Lage der Audits
  • Methoden (Dokumentensichtung, Befragung vor Ort etc.)
  • Verantwortlichkeiten
  • Anforderungen an die Planung
  • Berichterstattung
  • Auditkriterien (gegen welche Norm oder sonstiges Regelwerk wird auditiert)
  • Auditoren

Das  Auditprogramm muss die Bedeutung der betroffenen Prozesse widerspiegeln. Dies kann u.a. durch eine geeignete Verteilung der zur Verfügung stehenden Auditzeit bzw. die Häufigkeit der Auditierung der einzelnen Prozesse umgesetzt werden.

Gleichfalls soll das Auditprogramm die Ergebnisse vorheriger Audits berücksichtigen. Dabei sind insbesondere aufgetretene Nichtkonformitäten zu betrachten.

In einem späteren Artikel werde ich mich näher mit der Managementbewertung nach Kapitel 9.3 beschäftigen.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Laut ISO 27001:2022 Kapitel 9.2 sind interne Audits ein verpflichtender Bestandteil eines funktionierenden ISMS. Jedoch sollte man diese Audits nicht als Zwang wahrnehmen, sondern eher als Möglichkeit, gezielt Schwachstellen aufzugreifen und rechtzeitig abzustellen.

In unserer Folge „Audits in der ISO 27001 – wie, wer, was?“ gehen wir auf folgende Aspekte ein:

  • Forderungen der ISO 27001:2022 Kapitel 9.2
  • Unterschied Auditprogramm und Auditplan
  • Die Schwierigkeiten eines dynamischen Auditprogramms
  • Aufgaben und Qualifikationen von Auditprogrammleitern und Auditoren

Hier ein Paar Links zum Thema interne Audits:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.