Internal Audit
Die ISO/IEC 27001:2022 ist der weltweit anerkannte Standard für Informationssicherheit. Ein internes Audit ist ein zentraler Bestandteil der Norm und ein entscheidender Schritt auf dem Weg zur erfolgreichen Zertifizierung. Es prüft, ob Ihr Information Security Management System (ISMS) wirksam implementiert ist und die Anforderungen der Norm erfüllt.
Interne Audits, extern gedacht.
Unabhängig, effizient und praxisnah – für mehr Sicherheit vor dem Zertifizierungsaudit.
Ein internes Audit ist eine unabhängige Prüfung Ihres ISMS. Es zeigt, ob:
- Ihre internen Anforderungen erfüllt sind
- alle Vorgaben der ISO/IEC 27001:2022 eingehalten werden
- das ISMS wirksam umgesetzt und kontinuierlich verbessert wird
Diese Pflicht ergibt sich aus den Abschnitten 9.2.1 und 9.2.2 der Norm und umfasst auch die Einrichtung eines Auditprogramms, die Definition von Umfang und Kriterien sowie die Berichterstattung an das Management.
Die ISO fordert Unabhängigkeit – aber nicht, dass der Auditor intern sein muss. Externe Experten bieten entscheidende Vorteile:
- Objektivität, keine Interessenkonflikte, keine „Betriebsblindheit“
- Kompetenz, Normverständnis und Auditpraxis aus erster Hand
- Effizienz, schlanke Abläufe, klare Kommunikation, klare Resultate
Ein externer Blick zeigt oft, was intern übersehen wird, bevor es im externen Audit auffällt.
Ein internes Audit sollte regelmässig durchgeführt werden, wenn das ISMS vollständig implementiert und in Betrieb genommen wurde – also sobald alle erforderlichen Richtlinien, Kontrollen und Prozesse vorhanden sind. Um genügend Zeit für die Behebung etwaiger Nebenabweichungen oder Verbesserungen zu haben, empfehlen wir, das interne Audit jeweils mindestens vier Wochen vor dem geplanten externen Zertifizierungsaudit durchzuführen. Dieser Zeitraum bietet ausreichend Spielraum für Korrekturmassnahmen und erhöht die Erfolgschancen im Zertifizierungsprozess.
Unsere internen Audits sind pragmatisch und effizient:
- Kick-off-Meeting: Wir beginnen mit einem Gespräch, um Ihre Organisation kennenzulernen, den Auditumfang zu definieren und die Modalitäten zu klären.
- Dokumentenprüfung: Anschliessend prüfen wir Ihre ISMS-bezogenen Dokumente und Nachweise offline und identifizieren erste Feststellungen und Fokusbereiche.
- Audit-Interviews: In Remote- und/oder Vor-Ort-Sitzungen mit den relevanten Sicherheitsverantwortlichen Ihrer Organisation überprüfen wir die tatsächliche Umsetzung der ISMS-Kontrollen und -Prozesse.
- Berichterstattung: Kurz danach erhalten Sie einen strukturierten Auditbericht mit Ergebnissen, die den Anforderungen und Kontrollen der Norm zugeordnet sind, einschliesslich risikobasierter Priorisierung und konkreten Empfehlungen.
Das wichtigste Ergebnis des internen Audits ist der interne Auditbericht. Dieser enthält ein strukturiertes Protokoll aller geprüften Anforderungen und Kontrollen gemäss ISO/IEC 27001:2022, dokumentiert die bewerteten Bereiche, die angewendeten Methoden und die Ergebnisse. Der Bericht kann Haupt-/Nebenabweichungen oder Empfehlungen enthalten. Haupt-/Nebenabweichungen (sofern vorhanden) sollten in der Regel vor dem externen Audit behoben werden. Empfehlungen können gemäss den Prioritäten der Organisation vor oder nach dem Audit umgesetzt werden. Der interne Auditbericht wird typischerweise dem externen Auditor zur Vorbereitung auf das Zertifizierungsaudit vorgelegt und zeigt, dass die Organisation die Anforderungen an interne Audits erfüllt hat und ihr ISMS proaktiv geprüft wurde.
Unsere Mitarbeitenden sind nach ISO/IEC 27001:2022 zertifizierte Auditoren mit langjähriger praktischer Erfahrung in der Konzeption, Umsetzung und Prüfung von ISMS in unterschiedlichsten Organisationen. Wir kennen die Norm im Detail und bringen umfassende Auditpraxis mit – damit Sie ein gründliches, praxisnahes internes Audit erhalten, das einen echten Mehrwert bietet und Sie optimal auf die Zertifizierung vorbereitet.
Interesse an einer Zusammenarbeit?
Karin Brüderli steht mit ihrer Expertise gerne zur Seite.
