Planung eines internen Audits
In diesem Beitrag beschäftigen wir uns um die Planung und die Vorgaben bzw. Kriterien für ein internes Audit.
Allgemeine Vorgaben und Kriterien
Unabhängiges Audit: Der jeweilige Managementbeauftragter darf sich nie selber auditieren. Dies bedeutet für die ISO 27001, das der ISB die Kapitel 9-10 der Norm (HLS) nicht selbst auditieren darf. Auch der DSB kann aufgrund der Nähe zum ISMS als befangen gelten. Für die ISO 9001 gilt die Kapitel 4-7, 9-10 dürfen nicht durch den QMB auditiert werden.
Hat ein Unternehmen ein integriertes Managementsystem aus mehr als einer Norm (z. B. ISO 27001 und ISO 9001) so sind beide Beauftragten befangen. Oft bleibt es nicht aus, dass man keine Lösung für dieses Problem im Unternehmen findet und muss das interne Audit auslagern.
Auditprogramm: Für die ISO 27001 gilt das die Kapitel 4-10 jedes Jahr und der Annex, auf die 3 Jahre verteilt werden darf. Bei einer erst Zertifizierung und bei einer Umstellung müssen alle Kapitel geprüft werden.
Die folgende Tabelle zeigt eine mögliche Aufteilung der Themen/ Prozesse aus dem Annex A.
| Prozesse/ Themen | Kontrollen | 1 Jahr | 2 Jahr | 3 Jahr |
| HLS (ISMS) | 4-10 | x | x | x |
| Governance | A.5.1, A.5.2, A.5.3, A.5.4, A.5.5, A.5.6, A.5.8 | x | x | x |
| Personal Management | A.6.1, A.6.2, A.6.3, A.6.4, A.6.5, A.6.6 | x | ||
| Information protection | A.5.12, A.5.13, A.5.14, A.5.33 | x | ||
| Asset Management | A.5.9, A.5.10, A.5.11, A.7.10, A.7.14, A.8.1 | x | ||
| Threat intelligence, Management of technical vulnerabilities | A.5.7, A.5.33, A.8.7, A.8.8, A.8.12, A.8.15, A.8.34 | x | ||
| IT Service Management/ Change-Management | A.5.37, A.8.9, A.8.19, A.8.31, A.8.32, A.8.33 | x | ||
| Information backup | A.8.13 | x | ||
| Identitäts- und Zugangsmanagement | A.5.3, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3, A.8.4, A.8.5, A.8.18 | x | ||
| Kryptografie | A.8.24 | x | ||
| Physische und umgebungsbezogene Sicherheit | A.5.15, A.7.1, A.7.2, A.7.3, A.7.4, A.7.5, A.7.6, A.7.7, A.7.8, A.7.9, A.7.11, A.7.12, A.7.13 | x | x | x |
| System and Networksecurity | A.6.7, A.8.6, A.8.20, A.8.21, A.8.22, A.8.23, A.8.26 | x | ||
| Softwareengeneering | A.8.4, A.8.11, A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.30, A.8.31, A.8.33 | x | ||
| Suppliermanagement | A.5.19, A.5.20, A.5.21, A.5.22, A.6.6 | x | ||
| IS-Ereignisse und Vorfälle | A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.8, A.8.16, A.8.17 | x | ||
| BCM | A.5.29, A.5.30, A.8.14 | x | ||
| Compliance | A.5.3, A.5.32, A.5.34, A.5.35, A.5.36, A.8.10, A.8.11 | x | ||
| Cloud Services | A.5.23 | x |
Für die ISO 9001 muss das QMS jedes Jahr und die Prozesse können über die drei Jahre verteilt werden.
| Prozesse/ Themen | Kontrollen | 1 Jahr | 2 Jahr | 3 Jahr |
| HLS (QMS) | x | x | x | |
| HR | x | |||
| Einkauf | x | |||
| Marketing/ Vertrieb | x | |||
| Buchhaltung | X | |||
| Produktion | X | |||
| IT | x |
Befähigung der Auditoren
Das Unternehmen muss sicherstellen, dass die Auditoren die ausreichenden Schulungen haben, um das Managementsystem zu prüfen.
Für die ISO 27001 sollten die folgenden Vorgaben gelten:
- Ausbildung bzw. Studium in der IT/ Wirtschaftsinformatik
- Berufserfahrung in der IT
- Weiterbildung als Auditor
- Weiterbildung für die jeweilige Version der Norm.
Für die ISO 9001 sollten die folgenden Vorgaben gelten:
- Ausbildung bzw. Studium im kaufmännischen Bereich
- Berufserfahrung im kaufmännischen Bereich
- Weiterbildung als Auditor
- Weiterbildung für die jeweilige Version der Norm
- Weiterbildung im Bereich Prozessmanagement
Auditdokumentation
Zum internen Audit gehört eine aussagefähiger Auditdokumentation.
Auditplan:
- Geprüfte Standorte
- Geprüfte Prozesse
- Geprüfte Normpunkte
- Geprüfter Standard inkl. der Version
- Start und Ende der Audittage
- Name und Kompetenz des Auditors
- Name der Ansprechpartner
Auditbericht:
- Informationen zum Unternehmen
- Geprüfter Standard inkl der Version
- Start und Ende des Audits
- Beschreibung der Abweichungen und Empfehlungen
- Beschreibung der Umsetzung des Managementsystems
Weitere Beiträge die Sie interessieren könnten:
- Planung eines internen Audits 20. April 2024
- Unterschiede in der internen Auditierung 6. August 2024
Unsere Dienstleistungen
Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.
Informationssicherheit: → ISO 27001, TISAX
Qualitätsmanagement: → ISO 9001
Compliance Management: → ISO 37301
Datenschutz: → DSGVO, ISO 27701
Business Continuity Management: → ISO 22301
IT-Service Management: → ISO 20000-1
Dokumentenvorlagen
Auf unserer Webseite ↗ IT-Richtlinien.de bietet wir Vorlagen für Managementsysteme an. Wir entwickeln die Vorlagen regelmäßig weiter um den Stand der Technik ab zu bilden. Wir überprüfen unsere Vorlagen nach Audits oder Beratungsprojekten. Unsere Vorlagen sind für Zertifizierungen geeignet.