Informationssicherheit

Welche Rolle spielen interne Audits bei der Erreichung von Compliance?

Auf dem Weg zur Einhaltung der ISO 27001 müssen Unternehmen zwei Arten von Audits durchlaufen: interne und externe Audits. Das interne Audit bildet die Grundlage für fundierte Entscheidungen.

Autor
Dr. Kilian Schmidt
Datum
Aktualisiert am
28.2.2025
Welche Rolle spielen interne Audits bei der Erreichung von Compliance?
  • Interne Audits sind ein zentraler Bestandteil der ISO 27001-Compliance, da sie Probleme im Informationssicherheitsmanagementsystem (ISMS) identifizieren und die Grundlage für externe Audits legen
  • Der Auditprozess umfasst die Festlegung des Auditumfangs, die Sammlung und Dokumentation von Beweismaterial sowie die Erstellung eines Auditberichts mit anschließender Präsentation an das Management
  • Interne Audits bewerten die Einhaltung von ISO 27001 durch die Überprüfung interner Richtlinien, Verfahren und implementierter Kontrollen sowie die Erkennung von Nichtkonformitäten und Verbesserungsmöglichkeiten
  • Tools und Lösungen wie Kertos erleichtern den Auditprozess durch Automatisierung und optimierte Nachweissammlung, wodurch Zeit gespart und Fehler minimiert werden

Interne Audits nach ISO 27001: Warum sie der Schlüssel zur erfolgreichen Zertifizierung sind

Auf dem Weg zur Einhaltung der ISO 27001 müssen Unternehmen zwei Arten von Audits durchlaufen: interne und externe Audits. Das interne Audit bildet die Grundlage, auf der das Top-Management einer Organisation fundierte Entscheidungen hinsichtlich der Bereitschaft für das externe Audit trifft.

Einfach ausgedrückt, ist das interne Audit die wichtigste Informationsquelle für das Management-Review. Es ermöglicht Ihnen, Probleme mit Ihrem Managementsystem zu entdecken, die oft übersehen werden und erst bei einem internen Audit als Abweichungen von der ISO 27001-Norm erkannt werden. Sobald diese Probleme behoben sind, können Unternehmen den Zertifizierungsaudit anstreben.

Trotz dieser wichtigen Wechselbeziehung sehen viele Unternehmen interne Audits als eine Aufgabe, die möglichst schnell erledigt werden sollte. Dieser überstürzte Ansatz kann jedoch das Ergebnis negativ beeinflussen und den Compliance-Prozess unnötig verzögern. Auch wenn das Audit nicht unmittelbar auf eine Zertifizierung abzielt, verbessert es das Sicherheitsmanagement erheblich und schafft eine interne Bestätigung der “behaupteten Konformität” mit der Norm.

Dieser Artikel führt Dich durch erprobte Schritte, die Ihnen helfen, eine garantierte Compliance sicherzustellen. Wir wissen, dass es nicht jedermanns Sache ist, die Feinheiten der Norm zu verstehen. Daher empfehlen wir, sich für eine ausführliche Beratung an unsere Experten zu wenden.

Was ist ein internes Audit nach ISO 27001?

Interne Audits bieten Unternehmen die Möglichkeit zur Selbstüberprüfung, wie gut ihre Informationssicherheitsmanagementsysteme (ISMS) funktionieren. Ein internes Audit nach ISO 27001 hilft Unternehmen, Problembereiche zu identifizieren und notwendige Korrekturmaßnahmen zu empfehlen, um ihre Compliance mit der Norm zu überwachen.

Wenn diese Probleme unbeachtet bleiben, können sie möglicherweise die Sicherheit der Managementsysteme beeinträchtigen, was zu betrieblichen Störungen oder einem Vertrauensverlust bei den Stakeholdern führen kann. ISO 27001 Klausel 9.2 fordert ein kontinuierliches Audit-Programm zur Aufrechterhaltung der Compliance. Im PDCA-Zyklus (Plan-Do-Check-Act) der Norm ist das interne Audit Teil der „Check“-Phase.

Ein internes Audit wird durchgeführt, um die Leistung des Managementsystems anhand zweier Kriterien zu bewerten: erstens die internen Richtlinien und Verfahren der Organisation; zweitens die Anforderungen der Norm (ISO 27001), einschließlich der obligatorischen Klauseln von 4 bis 10 und der Kontrollmaßnahmen im Anhang A.

Diese Anforderungen variieren je nach Organisation, abhängig von den Unternehmenszielen, Risikobewertungen, branchenspezifischen Best Practices, verfügbaren Ressourcen und Ergebnissen früherer Audits. Die Anforderungen umfassen sowohl strukturelle als auch prozessuale Aspekte, die im Folgenden näher erläutert werden.

Strukturelle Aspekte umfassen:

  • Ein sichtbares Engagement des Managements zur Unterstützung des ISMS,
  • Festlegung des Geltungsbereichs des ISMS,
  • Planung eines geeigneten Rahmens, der nahtlos in die Organisationsstruktur, Ziele und Kommunikationswege integriert ist.

Prozessuale Aspekte umfassen:

  • Die Etablierung von Richtlinien und Verfahren als übergeordnete Prinzipien und detaillierte Anweisungen, um Unternehmen in eine einheitliche Entscheidungsfindung zu führen, die sich an Organisationszielen, gesetzlichen Anforderungen und branchenüblichen Best Practices orientiert.
  • Risikobewertung zur Identifizierung von Lücken in der Organisation des ISMS, der Implementierung von Kontrollen und der Übereinstimmung des Managementsystems mit den ISO-Anforderungen; Risikobehandlung zur Behebung der identifizierten Lücken durch geeignete Anforderungen.

Im Gegensatz zu einem Zertifizierungsreview wird ein internes Audit von den eigenen Mitarbeitern einer Organisation durchgeführt. Unternehmen sollten sicherstellen, dass interne Auditoren keine Entscheidungsbefugnisse haben, um Interessenskonflikte zu vermeiden. Bei fehlenden internen Ressourcen wird ein externer Berater empfohlen. Selbst wenn eine externe Partei das interne Audit durchführt, gilt es dennoch als intern.

Der Prozess des internen Audits

Schritt 1: Bestimme den Umfang Deines internen Audits

Ein Auditplan legt fest, welche Informationssysteme und -ressourcen in die Bewertung einbezogen werden sollen. Dies kann von Prozessen (z. B. Änderungen an IT-Systemen), Funktionen (z. B. Datensicherungswiederherstellung), Abteilungen (z. B. Personalabteilung) bis hin zu physischen Standorten (z. B. ein Rechenzentrum in Frankfurt) und Systemen (z. B. CRM) reichen. Der verantwortliche Mitarbeiter, das Team oder der externe Berater bestimmt, welche Anforderungen und Kontrollen der Norm sowie die internen Richtlinien und Verfahren der Organisation auf das Audit anwendbar sind.

Schritt 2: Sammlung und Dokumentation von Beweismaterial

In diesem Schritt geht es darum, alle während des Audits gesammelten Nachweise zu dokumentieren, die die effektive Implementierung und laufende Wartung des ISMS belegen. Beim ISO 27001-Review der Stufe 1 suchen externe Auditoren nach dokumentierten Nachweisen sowie deren Zeitverlauf, um die Konformität mit der Norm zu überprüfen.

Interne Auditoren sollten darauf achten, den Auditprozess umfassend und präzise zu dokumentieren. Eine umfassende Dokumentation umfasst unter anderem Richtlinien und Verfahren zur Informationssicherheit, Risikoanalysen und -behandlungspläne, Anwendbarkeitserklärungen, implementierte Kontrollen (Protokolle und Aufzeichnungen), Korrekturmaßnahmen und Nachverfolgungsaufzeichnungen.

Die Sammlung von Nachweisen kann jedoch kompliziert sein. Häufige Herausforderungen umfassen die Unfähigkeit von Kontrollen, Nachweise in einem akzeptablen Format zu generieren oder sie für eine einfache Nachverfolgbarkeit ordnungsgemäß zu trennen. Solche Feinheiten können dazu führen, dass Auditoren Schwierigkeiten haben, die erforderlichen Nachweise zu sammeln und zu organisieren. Wenn externe Auditoren feststellen, dass bestimmte Nachweise fehlen, kann dies zu unnötigem Hin und Her führen. Zur Bewältigung solcher Unsicherheiten wird der Einsatz eines automatisierten Prozesses zur ISO 27001-Nachweissammlung empfohlen.

Schritt 3: Erstelle den internen Auditbericht

Der Auditor überprüft dabei die Dokumentation und Kontrollen, beobachtet die operativen Verfahren und führt Interviews mit den Verantwortlichen der Kontrollen durch. Durch diese Feldarbeit identifiziert der Auditor Lücken in der Fähigkeit der Organisation, ihre Ziele zu erreichen und die Anforderungen der ISO 27001 zu erfüllen. Auf Basis der Ergebnisse, einschließlich aller festgestellten Nichtkonformitäten und Maßnahmen, erstellt der Auditor einen internen Auditbericht.

Schritt 4: Management-Review

Der Auditor stellt den Auditbericht dem Management und interessierten Stakeholdern vor. Die Ergebnisse weisen auf schwerwiegende Abweichungen während des Audits hin sowie auf mögliche Beobachtungen und Verbesserungsbereiche. Das Management bewertet die Effektivität und Eignung des ISMS und entscheidet, ob die Organisation bereit ist, den Zertifizierungsaudit durchzuführen.

Optimiere Dein internes Audit mit Kertos

Interne Audits spielen eine entscheidende Rolle bei der Identifizierung und Behebung von Problemen im ISMS. Kertos bietet umfassende Unterstützung bei allen Aspekten und Schritten eines ISO 27001-internen Audits. Unsere Berater arbeiten eng mit Ihnen zusammen, um einen internen Auditplan zu erstellen, der Ihre Compliance mit allen ISO-Standards erleichtert. Unsere Compliance-Software ist darauf ausgelegt, Zeit zu sparen, das Risiko von Fehlern zu reduzieren und eine effiziente Durchführung des internen Audits zu ermöglichen. Vereinbaren Sie noch heute ein Gespräch für eine Demo.

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Jetzt downloaden
Welche Rolle spielen interne Audits bei der Erreichung von Compliance?
Bereit, deine Compliance auf Autopilot zu setzen?
Angebot anfordern
Dr Kilian Schmidt

Dr Kilian Schmidt

CEO & Co-Founder, Kertos GmbH

Dr. Kilian Schmidt entwickelte schon früh ein starkes Interesse an rechtlichen Prozessen. Nach seinem Studium der Rechtswissenschaften begann er seine Karriere als Senior Legal Counsel und Datenschutzbeauftragter bei der Home24 Gruppe. Nach einer Tätigkeit bei Freshfields Bruckhaus Deringer wechselte er zu TIER Mobility, wo er als General Counsel maßgeblich am Ausbau der Rechts- und Public Policy-Abteilung beteiligt war - und das Unternehmen von einer auf 65 Städte und von 50 auf 800 Mitarbeiter vergrößerte. Motiviert durch die begrenzten technologischen Fortschritte im Rechtsbereich und inspiriert durch seine beratende Tätigkeit bei Gorillas Technologies, war er Co-Founder von Kertos, um die nächste Generation der europäischen Datenschutztechnologie zu entwickeln.

Über Kertos

Kertos ist das moderne Rückgrat der Datenschutz- und Compliance-Aktivitäten von skalierenden Unternehmen. Wir befähigen unsere Kunden, integrale Datenschutz- und Informationssicherheitsprozesse nach DSGVO, ISO 27001, TISAX®, SOC2 und vielen weiteren Standards durch Automatisierung schnell und günstig zu implementieren.

Bereit für Entlastung in Sachen DSGVO?

Angebot anfordernPlattform entdecken
CTA Image

ARTIKEL

Other Articles

Das ist die Zukunft der Compliance - mit Dr. Kilian Schmidt
News
All
Das ist die Zukunft der Compliance - mit Dr. Kilian Schmidt

Kertos-Mitbegründer und CEO, Dr. Kilian Schmidt, spricht über die Zukunft der #EffortlessCompliance. Was mit der Automatisierung eines einzigen Datenschutz-Workflows begann, entwickelte sich schnell zu einer All-in-One-Plattform, die die Komplexität von Vorschriften und Zertifizierungen vereinfacht.

Jetzt reinhören
EU AI-Act: Gestaltung einer sicheren KI-Zukunft
Data Governance
All
EU AI-Act: Gestaltung einer sicheren KI-Zukunft

Die zunehmende Nutzung von KI für Entscheidungen in risikoreichen Bereichen wie Gesundheitswesen, Personalwesen, Bildung und E-Commerce hat ethische, gesellschaftliche und wirtschaftliche Bedenken aufgeworfen.

Jetzt reinhören
Was ist ein externer Datenschutzbeauftragter?
Datenschutz
All
Was ist ein externer Datenschutzbeauftragter?

Zu dem Aufgabenfeld eines Datenschutzbeauftragten gehören vor allem die Übernahme einer Vermittlerrolle, die Funktion als Ansprechpartner und die Bereitstellung der notwendigen Unterlagen und Informationen für die Aufsichtsbehörde.

Jetzt reinhören