Wie eine interne Audit-Checkliste für ISO 27001 / ISO 22301 erstellt wird

Wenn Sie das erste Mal Ihren ISO 27001 oder ISO 22301 internen Audit planen, sind Sie wahrscheinlich von der Komplexität der Norm und was Sie während des Audits prüfen sollten irritiert. Sie werden daher vermutlich nach einer Art von Checkliste suchen, die Ihnen bei dieser Aufgabe hilft. Hier ist die schlechte Nachricht: es gibt keine universelle Checkliste, die perfekt den Ansprüchen Ihres Unternehmens entspricht, da jedes Unternehmen unterschiedlich ist. Die gute Nachricht ist jedoch: Sie können solch eine individuelle Checkliste relativ einfach erstellen.

Die Schritte im internen Audit

Lassen Sie uns ansehen, welche Schritte Sie zur Erstellung einer Checkliste setzen müssen und wo diese verwendet werden. Diese Schritte sind übrigens für interne Audits jeder Management-Norm anwendbar, z.B. ISO 9001, ISO 14001, usw.:


  1. Dokumentenüberprüfung. In diesem Schritt müssen Sie die gesamte Dokumentation Ihres Informationssicherheits-Managementsystems oder betrieblichen Kontinuitätsmanagementsystems (oder Teile des ISMS/BCMS, das Sie auditieren werden) lesen, um (1) sich mit den Prozessen im ISMS vertraut zu machen, und (2) um festzustellen, ob es in der Dokumentation Nichtkonformitäten in Bezug auf ISO 27001 oder ISO 22301 gibt.
  2. Erstellung der Checkliste. Im Grunde erstellen Sie parallel zur Dokumentenüberprüfung eine Checkliste – Sie lesen die in der Dokumentation beschriebenen, spezifischen Anforderungen (Richtlinien, Verfahren und Pläne) und schreiben diese auf, so dass Sie diese während des Hauptaudits prüfen können. Wenn zum Beispiel die Datensicherungs-Richtlinie erfordert, dass alle 6 Stunden eine Datensicherung erfolgen muss, müssen Sie dies in Ihrer Checkliste notieren, um sich später daran zu erinnern zu prüfen, ob dies tatsächlich gemacht wurde.
  3. Planung des Hauptaudits. Da es viele Dinge geben wird, die Sie prüfen müssen, sollten Sie planen, wann Sie welche Abteilung und/oder welchen Standort besuchen – und Ihre Checkliste wird Ihnen eine Vorstellung davon geben, worauf Sie sich am meisten fokussieren müssen.
  4. Durchführung des Hauptaudits. Der Hauptaudit ist, im Gegensatz zur Dokumentenüberprüfung, sehr praxisnah – Sie müssen im Unternehmen herumgehen und mit Mitarbeitern sprechen, die Computer und andere Geräte überprüfen, die physische Sicherheit feststellen etc. Eine Checkliste ist bei diesem Ablauf wichtig – wenn Sie nichts haben, worauf Sie bauen können, werden Sie sicherlich viele wichtige Dinge vergessen zu überprüfen. Außerdem müssen Sie sich detaillierte Notizen über das was Sie finden machen.
  5. Berichterstattung. Sobald Sie Ihren Hauptaudit abgeschlossen haben, müssen Sie alle Nichtkonformitäten, die Sie fanden, zusammenfassen und einen internen Auditbericht schreiben – ohne die Checkliste und die detaillierten Notizen werden Sie natürlich nicht in der Lage sein, einen genauen Bericht zu erstellen. Basierend auf diesem Bericht müssen Sie, oder jemand anderer, Korrekturmaßnahmen entsprechend dem Verfahren für Korrekturmaßnahmen initiieren.
  6. Nachverfolgung. In den meisten Fällen wird der interne Auditor derjenige sein, der überprüft, ob alle während des internen Audits entstandenen Korrekturmaßnahmen abgeschlossen wurden – und auch hier können Ihre Checkliste und Ihre Notizen sehr nützlich sein, um Sie an die Gründe zu erinnern, warum Sie überhaupt eine Nichtkonformität feststellten.

Nutzbarmachung Ihrer Checkliste für Einsteiger

Die Erarbeitung Ihrer Checkliste wird in erster Linie von den spezifischen Anforderungen in Ihren Richtlinien und Verfahren abhängig sein.

Wenn Sie jedoch neu in der ISO-Welt sind, könnten Sie zu Ihrer Checkliste auch einige grundsätzliche Anforderungen von ISO 27001 oder ISO 22301 hinzufügen, so dass Sie sich wohler fühlen, wenn Sie mit Ihrem ersten Audit beginnen. Zuallererst müssen Sie die Norm selbst verstehen, danach ist die Technik ziemlich einfach – Sie müssen die Norm Abschnitt für Abschnitt durchlesen und sich Notizen in Ihrer Checkliste machen, worauf Sie achten müssen.

Die Normen sind übrigens eher schwierig zu lesen – daher wäre es äußerst hilfreich, wenn Sie an irgendeiner Art von Schulung teilnehmen könnten, denn auf diese Art lernen Sie die Norm auf die effektivste Art und Weise kennen. (Klicken Sie hier, um eine Liste von ISO 27001 und ISO 22301 Web-Seminaren zu sehen.)

Was in Ihrer Checkliste zu inkludieren ist

Normalerweise enthält die Checkliste für interne Audits 4 Spalten:

  • Verweis – z.B. die Abschnitt-Nummer der Norm oder die Abschnittnummer einer Richtlinie usw.
  • Worauf zu achten ist – hier tragen Sie ein, worauf Sie während des Hauptaudits schauen müssen – mit wem Sie sprechen müssen, welche Fragen zu stellen sind, welche Aufzeichnungen anzusehen sind, welche Standorte zu besuchen sind, welche Geräte zu überprüfen sind, usw.
  • Konformität – diese Spalte füllen Sie während des Hauptaudits aus und hier entscheiden Sie, ob das Unternehmen der Anforderung entsprochen hat. In den meisten Fällen wird dies Ja oder Nein sein, doch manchmal könnte es auch Nicht zutreffend sein.
  • Ergebnisse – in dieser Spalte tragen Sie ein, was Sie während des Hauptaudits gefunden haben – Namen von Personen, mit denen Sie sprachen, Aussagen von diesen, IDs und Inhalte von Aufzeichnungen, die Sie prüften, Beschreibung der Standorte, die Sie besuchten, Beobachtungen über die Geräte, die Sie überprüften usw.

Haben Sie keine Angst

Die Durchführung des internen Audits ist nicht so schwierig – sie ist ziemlich unkompliziert: Sie müssen nur beachten, was in der Norm verlangt wird und was in der ISMS/BCMS-Dokumentation verlangt wird und herausfinden, ob die Mitarbeiter diese Regeln einhalten.

Wenn Sie Ihre interne Audit-Checkliste richtig vorbereitet haben, wird Ihre Aufgabe sicherlich viel leichter sein.

Klicken Sie hier, um die kostenlose Vorschau vom ISO 27001/ISO 22301 Dokumentations-Toolkit für das interne Audit herunterzuladen.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.