ISO/IEC 27001 Audits

von Informationssicherheitsmanagement-Systemen (ISMS)

Audit

ISO/IEC 27001 Audits von Informationssicherheitsmanagement-Systemen (ISMS)

Audit

Die Basis der ISO/IEC 27001: Vertraulichkeit, Integrität, und Verfügbarkeit

Audit

Zweck eines ISO/IEC Audits

Audit

Wie wird das ISMS geprüft?
Thor Audit GmbH

Audit auf Basis der

ISO/IEC 27001

Die THOR-Audit  prüft die Informationssicherheit Ihres Unternehmens auf Basis der ISO/IEC 27001. Die ISO/IEC 27001 ist der weltweit angewandte und anerkannte Standard für zertifizierte ISMS. Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer kritischen Unternehmensinformationen und –systeme durch ein zertifiziertes Management Ihrer Informationssicherheit. Durch ein funktionierendes und zertifiziertes ISMS nach ISO/IEC 27001 beweisen Sie ihren Kunden und Geschäftspartnern, dass Sie Informationssicherheit ernst nehmen. 

Rezensionen

Die Basis der ISO/IEC 27001:

Vertraulichkeit

Kritische Unternehmensinformationen müssen vor der unerlaubten Weitergabe und Veröffentlichung geschützt werden. Durch angemessene technische und organisatorische Maßnahmen wird dieses Ziel erreicht.

Integrität

Informationen müssen korrekt und vertrauenswürdig sein, genauso wie die Funktionsweise von Systemen diesen Ansprüchen genügen muss.

Verfügbarkeit

Informationen müssen zur richtigen Zeit im richtigen System verfügbar sein. Sind kritische Informationen nicht vorhanden, so kann dies zum Stillstand von Arbeitsprozessen und -Systemen führen.

Was ist der Zweck eines ISO/IEC 27001 Audit?

Ein Audit nach ISO/IEC 27001 überprüft die Einhaltung der in der Norm beschriebenen Anforderungen bei der Umsetzung durch das jeweilige Unternehmen. Das Ziel ist festzustellen, ob die Maßnahmen zur Informationssicherheit wirkungsvoll umgesetzt werden und zur Erreichung der Geschäftsziele angemessen sind. Im Rahmen des Audits wird das Managementsystem überprüft, dass sicherstellen soll, dass die notwendigen Maßnahmen identifiziert, umgesetzt und fortlaufend werden. Die Grundpfeiler des ISMS nach ISO/IEC 27001 Vertraulichkeit, Integrität und Verfügbarkeit bilden hierfür die Grundlage.

Wie wird das ISMS geprüft?

Dauer

Ein zertifiziertes ISMS wird generell in einem drei Jahresrhythmus geprüft.

Grundsätzlich muss beim Audit zwischen einem erstmaligen Zertifizierungsaudit und einem, in den beiden Folgejahren durchgeführten Surveillance-Audit, unterschieden werden.

Das Zertifizierungsaudit umfasst alle Bereiche des ISMS und erstreckt sich auf alle als relevant identifizierten Kontrollen der Norm.

1. Schritt
In einem ersten Schritt wird die Dokumentation des ISMS geprüft. Dies umfasst die grundlegenden Leit- und Richtlinien, sowie die Dokumentation des Risikomanagements und weitere zentrale, durch die Norm vorgegebene Dokumentationen.
2. Schritt
Der zweite Schritt ist das Audit der Umsetzung der Informationssicherheit Vorort. Dies geschieht in der Form von Interviews mit den, durch das Unternehmen benannten Ansprechpartnern. Ein sehr wichtiger Teil sind die Gespräche mit der Geschäftsführung, die ein zentraler Baustein des ISMS darstellt. Darüber hinaus werden durch Begehungen und Audit von vorgelegten Nachweisen die Nachvollziehbarkeit der vorgelegten Dokumentationen überprüft.
Ergebnis des Audits
Wurde das Audit bestanden werden in den beiden nachfolgenden Jahren Surveilance-Audits durchgeführt, die den Schwerpunkt auf besonders kritische Bereiche des ISMS legen und insgesamt, über beide Jahre verteilt das vollständige ISMS prüfen.
Entscheidend für die erfolgreiche Zertifizierung und den Betrieb des ISMS ist die Einbindung in die zentralen Geschäftsprozesse des Unternehmens und die Unterstützung der Geschäftsziele und -strategien.

Produkte:

– Gap-Analyse
Eine Gap-Analyse ist eine Ersteinschätzung des Status des Informationsmanagementsystems (ISMS). Auf Basis der ISO/IEC 27001 wird durch die Auditoren analysiert, wo Gaps (=Lücken) im ISMS existieren.

Dies umfasst sowohl Gaps in der Dokumentation als auch in den Prozessen und Maßnahmen zur Umsetzung der Informationssicherheit im Unternehmen. Die Ergebnisse der Gap-Analyse ermöglichen es dem Unternehmen Schwächen des ISMS aufzuarbeiten und so die Chancen für das Bestehen eines Zertifizierungsaudits zu erhöhen.

– Audits
Angeboten werden Audits auf Basis der ISO/IEC 27001. Nachfolgend finden Sie eine kurze Beschreibung des Ablaufs:

Dokumentenaudit

Nach Übersendung der Dokumente an die Auditoren, werden die Dokumente inhaltlich und formell auf die Erfüllung der Anforderungen der ISO/IEC 27001:2022 geprüft und die Ergebnisse der Audit nachvollziehbar dokumentiert. Auf Basis des Dokumentenaudits werden ggf. Ergänzungsfragen für das Vorortaudit generiert.

Der Kunde wird über das Ergebnis des Dokumentenaudits informiert und erhält den Ablaufplan für das Vorortaudit.  

Vorortaudit

Ziel ist zu prüfen, ob die in der ISMS Dokumentation beschriebenen Richtlinien, Prozessbeschreibungen, etc. auch in der Realität eingehalten bzw. umgesetzt werden. Die Feststellungen und Ergebnisse werden nachvollziehbar dokumentiert, Auf der Basis des Dokumenten- und des Vorortaudits wird ein vorläufiges Gesamtergebnis erstellt (Anmerkungen, Feststellungen, etc.) und dem Kunden mitgeteilt ob eine Zertifizierung befürwortet werden kann.

Kontakt

Wenn Sie nach einer vertrauenswürdigen Auditfirma suchen, die Ihnen hilft, Ihre Geschäftsprozesse zu optimieren und Ihre Transparenz zu verbessern, sind Sie bei THOR-Audit GmbH genau richtig. Kontaktieren Sie uns noch heute, um mehr über unsere Dienstleistungen zu erfahren und wie wir Ihrem Unternehmen helfen können.

Datenschutz

11 + 1 =