ISO/IEC 27001 Audit
ISO/IEC 27001 AuditOrganisation von internen und externen Audits
Auf dem Weg zu der Zertifizierung und späteren Rezertifizierung der ISO/IEC 27001 sind regelmäßige Überprüfungen der umgesetzten Sicherheitsmaßnahmen durch geeignete Audits vorgeschrieben. Eine normkonforme, sorgfältige Planung, Durchführung und Auswertung von Audits ist zeit- und ressourcenintensiv. Die Zeitvorgaben für die Dauer von Audits der Managementsysteme gemäß ISO sind knapp bemessen und sollten durch die Auditoren eingehalten werden. Eine strukturierte Dokumentation der Auditprogramme mit einem oder mehreren Audits, Management der Fragenkataloge (Interview-Checklisten), Archivierung der Dokumentation sind nur aufwendig mit Office-Produkten zu realisieren.
Step-by-StepInterne und externe Audits effizient planen und durchführen
Der Funktionsumfang der Software bildet die Anforderungen der Normen ISO 19011 und ISO/IEC 17021 ab und gemeinsam mit der GAP View-Methodik optimiert den gesamten Auditprozess signifikant.
-
Alle erforderlichen Stammdaten für die Planung und Durchführung eines Audits werden erfasst. Dazu gehören alle Institutionen und Mitarbeiter, die im langfristigen Auditprogramm und an den einzelnen Audits beteiligt sind.
- Die für die Audits benötigten Fragenkataloge (Checklisten) können importiert oder manuell erstellt werden.
- Den einzelnen Normkapiteln in der Checkliste können die geplanten oder geschätzten Auditzeiten zugeordnet werden. Sie werden bei der der Erstellung des Auditplanes verwendet.
- Die Checklisten werden zentral verwaltet und weiteren Auditoren zur Verfügung gestellt.
- Im Auditprogramm werden die Ziele, Zeitraum, Art und Anzahl der einzelnen Audits, Standorte, Umfang, mögliche Risiken und Chancen sowie das Auditteam festgelegt.
- Erfassung der Grunddaten eines Audits, u.a. Bezeichnung, Standort und Art des Audits (internes oder externes), Beauftragung, ggf. mit einer Kopie der Beauftragung (Anhang)
- Festlegung der Auditziele, Auditkriterien, Auditumfang und die Durchführungsart (Vor-Ort, Remote oder Self-Assessment)
- Festlegung der Kontaktperson(en), Auditorenteams und Mitarbeiter der Institution
-
Festlegung des Zeitrahmens und bestimmter Zeitvorgaben. Dazu gehören u.a. Auditdauer (von - bis), Beginn und Ende eines regulären Arbeitstages sowie bestimmte festgelegte Tagestermine. Zu den Tagesterminen gehören u.a.: gesetzlich vorgeschriebene Pausen und unterschiedliche Meetings (Eröffnungs- und Abschlussbesprechung, Besprechungen der Auditoren etc.).
- Einige dieser Termine sind einmalig und andere wiederholen sich täglich während des Audits. Einige dieser Termine sind im Zeitrahmen des Audits zu berücksichtigen (z.B. Meetings) und andere sind zeitneutral (z.B. Mittagspause). Diese Angaben werden bei der Auditplanung berücksichtigt.
- Auswahl der für das Audit erforderlichen Fragenkataloge (Checklisten).
-
Die Zuordnung der Auditoren und der Mitarbeiter ggf. Experten zu den einzelnen Normkapiteln der gewählten Fragenkataloge (Checklisten).
-
Die geplanten Aktivitäten eines Audits werden automatisch im Kalender eingetragen. Dabei werden bei der Kalkulation die in den Fragenkatalogen definierten benötigten Zeiten pro Normkapitel berücksichtigt.
-
Die automatisch definierten Termine können einfach manuell angepasst (Dauer) und/oder auf andere Tage verschoben werden.
-
Der Kalender kann nach unterschiedlichen Kriterien „filtriert“ werden. Auf diese Art und Weise können die Termine z.B. pro ausgewähltem Auditor oder Mitarbeiter angezeigt werden.
-
Die einzelnen Kalendereinträge beinhalten detaillierte Angaben des geplanten Termins, u.a.: genaue Zeitangaben, Ort/Raum und die Teilnehmer (Auditor(en), Mitarbeiter ggf. Experten).
- Alle geplanten Aktivitäten werden als Auditagenda in Form einer Liste angezeigt.
- Optional können die festgelegten und abgestimmten Prüftermine allen oder nur ausgewählten Beteiligten per E-Mail zugestellt werden.
-
Den Auditoren stehen die ausgewählten Fragenkataloge zur Verfügung. Anhand der Statusanzeige kann einfach festgestellt werden, welche der Fragen bereits abgearbeitet (GRÜN), in Bearbeitung (ORANGE) oder noch nicht begonnen (ROT) sind.
- Der Auditor dokumentiert die Feststellung, fügt ggf. Nachweise zu der Feststellung (Anhang) ein und bewertet den Sachstand.
-
Dem Auditorenteam stehen individuell anpassbare Standard-Berichte zu Verfügung.
-
Die festgestellten Abweichungen werden aufgelistet und können involvierten Mitarbeitern für die Durchführung der Korrekturmaßnahmen zugeordnet werden.
AnwenderkreisDie GAP View Software kann wie folgt eingesetzt werden:
- Kritische Infrastrukturen und mittelständische Unternehmen - sind die Lizenznehmer und organisieren eigene langfristige Auditprogramme mit unterschiedlichen Audits für alle Standorte. Die Audits können pro Standort oder standortübergreifend erstellt werden. Das Unternehmen stellt die Software mit den dafür konzipierten Fragenkatalogen den eigenen Lieferanten für die Durchführung von Lieferantenaudits zur Verfügung. Der Betrieb der Software erfolgt gemäß dem Lizenz- und Nutzungsvertrag in der Cloud (Hersteller) oder On-Prem (Institution) für eine lizensierte Anzahl von Lieferanten und Usern. Das gilt auch für Kritische Infrastrukturen (§ 2 Absatz 10 BSIG), mittelständische Unternehmen und sonstige öffentliche oder private Organisationen.
- Dienstleister (Auditoren/IS-Revisoren) - Der Dienstleister ist der Lizenznehmer und kann alle Auditprogramme mit für beliebige Unternehmen organisieren und durchführen. Der Betrieb der Software erfolgt gemäß dem Lizenz- und Nutzungsvertrag in der Cloud (Hersteller, Dienstleister) oder On-Prem (Dienstleister, Institution) für eine lizensierte Anzahl von Auditees und Benutzer.