Planung eines internen Audits 

In diesem Beitrag beschäftigen wir uns um die Planung und die Vorgaben bzw. Kriterien für ein internes Audit. 

Allgemeine Vorgaben und Kriterien

Unabhängiges Audit: Der jeweilige Managementbeauftragter darf sich nie selber auditieren. Dies bedeutet für die ISO/IEC 27001, das der ISB die Kapitel 9-10 der Norm (HLS) nicht selbst auditieren darf. Auch der DSB kann aufgrund der Nähe zum ISMS als befangen gelten.  Für die ISO 9001 gilt die Kapitel 4-7, 9-10 dürfen nicht durch den QMB auditiert werden. 


Hat ein Unternehmen ein integriertes Managementsystem aus mehr als einer Norm (z. B. ISO/IEC 27001 und ISO 9001) so sind beide Beauftragten befangen. Oft bleibt es nicht aus, dass man keine Lösung für dieses Problem im Unternehmen findet und muss das interne Audit auslagern.


Auditprogramm: Für die ISO/IEC 27001 gilt das die Kapitel 4-10 jedes Jahr und der Annex, auf die 3 Jahre verteilt werden darf. Bei einer erst Zertifizierung und bei einer Umstellung müssen alle Kapitel geprüft werden.


Die folgende Tabelle zeigt eine mögliche Aufteilung der Themen/ Prozesse aus dem Annex A. 

Prozesse/ Themen Kontrollen1 Jahr2 Jahr3 Jahr
HLS (ISMS)4-10xxx
GovernanceA 5.1, A 5.2, A 5.3, A 5.4, A 5.5, A 5.6, A 5.8xxx
Personal ManagementA 6.1, A 6.2, A 6.3, A 6.4,6.5, A 6.6 x  
Information protectionA 5.12, A 5.13, A 5.14, A 5.33 x 
Asset ManagementA 5.9, A 5.10, A 5.11, A 7.10, A 7.14, A 8.1  x
Threat intelligence, Management of technical vulnerabilitiesA 5.7, A 5.33, A 8.7, A 8.8, A 8.12, A 8.15, A 8.34x  
IT Service Management/ Change-ManagementA 5.37, A 8.9, A 8.19, A 8.31, A 8.32, A 8.33 x 
Information backup A 8.13  x
Identitäts- und ZugangsmanagementA 5.3, A 5.16, A.5.17, A 5.18, A 8.2, A 8.3, A 8.4, A 8.5, A 8.18x  
KryptografieA 8.24 x 
Physische und umgebungsbezogene Sicherheit A 5.15, A 7.1, A 7.2, A 7.3, A 7.4, A 7.5, A 7.6, A 7.7, A 7.8, A 7.9, A 7.11, A 7.12, A 7.13xxx
System and NetworksecurityA 6.7, A 8.6, A 8.20, A 8.21, A 8.22, A 8.23, A 8.26  x
SoftwareengeneeringA 8.4, A 8.11, A 8.25, A 8.26, A 8.27, A 8.28, A 8.29, A 8.30, A 8.31, A 8.33x  
SuppliermanagementA 5.19, A 5.20, A 5.21, A 5.22, A 6.6 x 
IS-Ereignisse und VorfälleA 5.24, A 5.25, A 5.26, A 5.27, A 5.28, A6.8, A 8.16, A 8.17  x
BCMA 5.29, A 5.30, A 8.14x  
ComplianceA 5.3, A 5.32, A 5.34, A 5.35, A 5.36, A 8.10, A 8.11 x 
Cloud ServicesA.5.23  x


Für die ISO 9001 muss das QMS jedes Jahr und die Prozesse können über die drei Jahre verteilt werden. 

Prozesse/ Themen Kontrollen1 Jahr2 Jahr3 Jahr
HLS (QMS) xxx
HR x  
Einkauf  x 
Marketing/ Vertrieb   x
Buchhaltung X  
Produktion  X 
IT   x


Befähigung der Auditoren: Das Unternehmen muss sicherstellen, dass die Auditoren die ausreichenden Schulungen haben, um das Managementsystem zu prüfen. 


Für die ISO/IEC 27001sollten die folgenden Vorgaben gelten: 
Ausbildung bzw. Studium in der IT/ Wirtschaftsinformatik
Berufserfahrung in der IT
Weiterbildung als Auditor
Weiterbildung für die jeweilige Version der Norm.


Für die ISO 9001 sollten die folgenden Vorgaben gelten:
Ausbildung bzw. Studium im kaufmännischen Bereich 
Berufserfahrung im kaufmännischen Bereich
Weiterbildung als Auditor
Weiterbildung für die jeweilige Version der Norm.
Weiterbildung im Bereich Prozessmanagement


Auditdokumentation: Zum internen Audit gehört eine aussagefähiger Auditdokumentation.


Auditplan:
Geprüfte Standorte
Geprüfte Prozesse 
Geprüfte Normpunkte
Geprüfter Standard inkl. der Version
Start und Ende der Audittage
Name und Kompetenz des Auditors
Name der Ansprechpartner


Auditbericht:
Informationen zum Unternehmen 
Geprüfter Standard inkl der Version
Start und Ende des Audits
Beschreibung der Abweichungen und Empfehlungen
Beschreibung der Umsetzung des Managementsystems


Unsere Dienstleistung: Unser Partner  IT-Richtlinien.de bietet Vorlagen für Managementsysteme an. Diese Vorlagen sind geeignet für die Zertifizierung. 

Wir haben für die unterschiedlichen Managementsysteme Beratungsdienstleistungen. 


Informationssicherheit:

→ ISO/IEC 27001


Qualitätsmanagement:

→ ISO 9001


Business Continuity Management

→ ISO 22301


Compliance Management

→ ISO 37301