Die wichtigsten Fragen, auf die Sie vorbereitet sein müssen, wenn eine ISO 27001 Zertifizierungsprüfung ansteht.
Wenn Sie eine ISO-27001-Zertifizierung anstreben, folgt der Einführung Ihres ISMS (Informationssicherheitsmanagementsystems) ein Audit durch eine unabhängige Zertifizierungsstelle. Die entsandten Auditoren prüfen Ihr ISMS anhand der ISO-27001-Norm. Das kann gerade vor dem ersten Audit mit viel Ungewissheit einhergehen. Schließlich bindet ein Audit Ressourcen, verursacht Kosten und ein Fehlschlag ist ärgerlich. In dieser mehrteiligen Serie zeigen wir die häufigsten Auditfragen – mit kurzgehaltenen Hinweisen, welche Nachweise Auditoren erwarten und wie Sie Antworten strukturieren können. Heute starten wir mit Kapitel 4 – Kontext der Organisation.
Die Frage ist also wie haben Sie Kapitel 4.1 der Norm umgesetzt. Und schon hier wird ein stets wiederkehrender Eckpfeiler eines Audits eingefordert: Können Sie das auch belegen? Üblicherweise entsteht der Kontext einer Organisation im Austausch mehrerer Parteien in einem Workshop-Format. Die Teilnehmer, das Datum, die Methodik, Inhalte und Erkenntnisse (usw.) sollten in einem Protokoll festgehalten und abgelegt worden sein. Dazu gehören insbesondere interne/externe Kontexte, Rechtskataster und daraus abgeleitete interne und externe Anforderungen.
Diese Frage ist eine gern genommene Detailfrage, die auch schon einmal Richtung Geschäftsführung gehen kann. Schauen Sie also, dass das ISMS nicht isoliert existiert nur um des Selbstzwecks wegen. Nehmen Sie sich z.B. die Geschäftsstrategie und mappen Ziele auch in Richtung ISMS.
Nun, wo der Auditor gesehen hat, dass Sie den Kontext der Organisation konform zur Norm erstellt habe, will er natürlich auch wissen, wie sie diesen aktuell halten. Hier sollten Sie Prozess zur Kontext-Review plausibel darstellen. (Hier darf durchaus das Review mit anderen Elementen des ISMS zusammenfallen, wie zum Beispiel dem Managementreport.) Beachten Sie hier, dass die Erwartung ist, dass es nicht nur einen fixen Regeltermin zu Review gibt, sondern auch anlassbezogene Reviews berücksichtigt werden sollten.
Aus dem Kontext ergeben sich Stakeholder, die bewertet werden müssen. Zeigen Sie dem Auditor, wie sie das gemacht haben. Häufig kann man hier bereits mit einem dokumentierten Workshop oder Interviews (inkl. einer Liste aller Stakeholder und deren Erwartungen) das Meiste bereits nachweisen. Gern gesehen ist eine Stakeholdermatrix, die Erwartungen und und Einfluss auf das ISMS abbildet und dann nach Bedürfnissen gruppiert. Vergessen Sie auch hier nicht den Reviewprozess mit einzubinden. (Z.B. gemeinsam mit der Kontext-Review)
Der Auditor möchte sehen, dass alle relevanten Aspekte für die Informationssicherheit ihrer Prozesse im ISMS berücksichtigt worden sind. Das bedeutet sowohl organisatorisch (Prozesse, Dienstleistungen) wie auch örtlich (Standorten). Hier sollten sie auch bereits definiert haben, was nicht Teil ihres ISMS sein soll. Diese Ausschlüsse müssen Sie natürlich auch dokumentieren. Es kann hier gut sein, dass es eine Diskussion gibt, weil ein Auditor zweifelt, dass ein ISMS funktioniert, wenn sie Kernelemente ausschließen. Bereiten Sie sich also auch auf diese Frage vor. Und natürlich auch hier, Sie ahnen es schon, sollten Sie auch nachweisen können, dass sie regelmäßig den Anwendungsbereich überprüfen.
Egal wie gut Ihre Antworten auf die Fragen sind, ohne die passenden Nachweise und Dokumentationen hilft Ihnen die beste mündliche Antwort nicht. Denken Sie also daran, dass Sie auch die Nachweise parat haben.
Anwendungsbereich inklusive Ausschlüsse.
Sie haben alles, was wir beschrieben haben? Prima, schauen Sie doch, ob das auch für die anderen Teile unserer Serie der Fall ist.
Falls Sie offene Fragen haben, gerne ein Vorab-Check mit uns machen wollen oder eine Begleitung für Ihr Audit suchen, melden Sie sich gern bei uns.