Audits bieten die Möglichkeit, um eine Konformität gegenüber Normen, Standards oder Vorgaben zu überprüfen. Die Norm ISO/IEC 27001 fordert im Rahmen des PDCA-Zyklus die regelmäßige Durchführung interner Audits und die Erstellung von Auditprogrammen. Für eine Zertifizierung nach ISO/IEC 27001 sind neben internen auch externe Audits nötig. Dazu gehören ein Zertifizierungsaudit für die initiale Zertifizierung, jährliche Überwachungsaudits als Nachweis der Konformität gegenüber der Norm und eine Rezertifizierung nach 3 Jahren, da ansonsten die Zertifizierung ihre Gültigkeit verliert. Der folgenden und zugleich letzte Artikel der Serie erläutern die Hintergründe, Unterschiede und Abläufe der einzelnen Audits.
Internes Audit
Im Wesentlichen geht es bei einem internen Audit um die Einhaltung der Anforderungen der ISO/IEC 27001 und der Organisation sowie einer Auswertung der Ergebnisse im Rahmen der Managementbewertung. Die Anforderungen an ein internes wie auch externes Audit selbst nach ISO/IEC 27001 wurde im vorigen Artikel beschrieben. Doch wie der Prozess genau ablaufen soll, definiert die Norm nicht. Lediglich die Methode wird festgelegt, nach der interne Audits einem Plan folgen sollen. Das NK 9.2 der ISO/IEC 27003 enthält den Hinweis zur ISO 19011, welche Leitlinien für die Auditierung von Managementsystemen umfasst, einschließlich der Grundsätze der Auditierung, der Verwaltung eines Auditprogramms, der Durchführung von Audits des Managementsystems sowie Leitlinien für die Bewertung der Kompetenz von am Auditprozess beteiligten Personen. Zu diesen Aktivitäten gehören die Personen, die das Auditprogramm verwalten, ebenso wie Auditoren und Auditteams. Die ISO 19011 beschreibt die Vorbereitung und Durchführung von Auditaktivitäten im Rahmen eines Auditprogramms im NK 6. Die folgende Abbildung 1 gibt einen Überblick über die typischen Auditaktivitäten.
Abbildung 1: Überblick über die typischen Auditaktivitäten nach ISO 19011
Die in Abbildung 1 blau dargestellten Aktivitäten folgen dem Prozess nach ISO 19011 zur Planung und Durchführung eines Audits. Die orange dargestellte Aktivität gehört diesem Prozess ebenso an, ist allerdings optional durchzuführen, da nicht immer Folgemaßnahmen nach einem Audit abgeleitet werden können. Details über die einzelnen Aktivitäten, der benötigten Rollen und welche Kompetenzen notwendig sind, ist der Norm zu entnehmen.
Die ISO/IEC 27007:2017 als Leitfaden für die Auditierung von Informationssicherheitsmanagementsystemen folgt der gleichen Struktur der Kapitel 5 bis 7 wie die ISO 19011:2018, die sich mit den Themen Steuerung eines Auditprogramms, Durchführen eines Audits sowie Kompetenz und Beurteilung von Auditoren befassen. Der analoge Aufbau verdeutlicht die Adaption des Vorgehens zur Auditierung eines ISMS. Im Anhang A der Norm befindet sich zusätzlich eine Anleitung für die Auditierung eines ISMS. Zwar besitzt die Organisation ein Managementsystem nach ISO 9001 und verwendet hierfür das gleiche Verfahren für Audits wie es die ISO 19011 beschreibt, jedoch ist ein Abgleich mit der ISO/IEC 27007 nötig, um es für die Organisation und das ISMS zu adaptieren. Hierzu gehört auch ein Abgleich mit den Anforderungen an die Kompetenzen eines Auditors. Neben der ISO/IEC 27007 ist die ISO/IEC 27008 zur Durchführung von Audits relevant, die eine Leitlinie für die Bewertung von Maßnahmen der Informationssicherheit darstellt. In dieser sind im wesentlichen Leitlinien für die Überprüfung und Bewertung der Durchführung und des Betriebs von Informationssicherheitsmaßnahmen enthalten, einschließlich der technischen Bewertung von ISMS-Maßnahmen in Übereinstimmung mit den festgelegten Informationssicherheitsanforderungen einer Organisation sowie der technischen Einhaltung von Bewertungskriterien, die auf den von der Organisation festgelegten Informationssicherheitsanforderungen basieren.
Für ein allgemeines Vorgehen bei Audits bietet sich die ISO 19011 zur Verwendung an, auf der die Normen ISO/IEC 27007 und ISO/IEC TS 27008 aufbauen und weitere wichtige Informationen enthalten. Da Audits die Konformität zu bspw. einem Standard belegen, bilden diese im Fall von Rechtstreitigkeiten oder Regressforderungen eine Argumentationsgrundlage. Im Rahmen der Einführung eines ISMS bietet sich die Vorhaltung der drei genannten Normen an, da diese nicht nur für interne, sondern ebenso für externe Audits verwendet werden können. Des Weiteren besteht die Möglichkeit, dass ein externer Auditor zur Überprüfung des ISMS oder für ein Zertifizierungsaudit Inhalte beider Normen berücksichtigt.
Zertifizierungsaudit
Für die Zertifizierung eines ISMS ist ein externes Audit einer akkreditierten Zertifizierungsstelle nötig, welche nach ISO/IEC 17021 und ISO/IEC 27006 zertifiziert ist. Akkreditiert heißt, die Kompetenz eines Zertifizierers wurde durch eine zentrale Stelle bestätigt. Zertifiziert wiederum bedeutet die Konformität zu einem Standard. In Deutschland werden Zertifizierungsstellen ausschließlich von der Deutsche Akkreditierungsstelle (DAkkS) zertifiziert. Die Anforderungen hierzu sind in der ISO/IEC 17021 geregelt, welche Themen zur Konformitätsbewertung, speziell Anforderungen an Institutionen, die Managementsysteme auditieren und zertifizieren, beinhaltet und aus mehreren Teilen besteht. Die ISO/IEC 27006 legt Anforderungen fest und bietet Leitlinien für Institutionen, die Audits und Zertifizierung eines ISMS durchführen, zusätzlich zu den Anforderungen der ISO/IEC 17021-1 (Teil 1) und der ISO/IEC 27001.
Der unter “Internes Audit” und Abbildung 1 dargestellte Prozess mit den typischen Auditaktivitäten gilt nicht nur für interne Audits, sondern wird auch für ein Zertifizierungsaudit angewandt und um spezifische Anforderungen der ISO/IEC 17021 ergänzt. Die von der Organisation ausgewählte Zertifizierungsstelle, die durch die DAkkS zugelassen ist, führt i.d.R. an einen dreijährigen Referenzzyklus angelehnte Zertifizierung durch. Diese umfasst dabei ein Auditprogramm bestehend aus zweistufigem Erst-Audit, Überwachungsaudits und Rezertifizierungsaudit. Die Zertifizierungsstelle mussgemäß ISO/IEC 17021 unparteiisch und unabhängig gegenüber der zu zertifizierenden Organisation sein. D.h. zwischen beiden Parteien darf keine Verbindung hinsichtlich Eigentümerschaft, Leitung, Personal, Ressourcen oder finanziellen Mitteln bestehen. Für die Zertifizierung wird zuvor zwischen Organisation und Zertifizierungsstelle ein Geltungsbereich festgelegt, welcher überprüft werden soll und dem Anwendungsbereich des ISMS (NK 4.3) entspricht. Der Anwendungsbereich wird bei erfolgreicher Zertifizierung auf dem Zertifikat vermerkt und ist somit durch interne wie auch externe Parteien zu sehen. Die folgende Abbildung 2 zeigt beispielhaft die Schritte einer ISO/IEC 27001 Zertifizierung.
Quelle: In Anlehnung an: Brenner, M., Gentschen Felde, N., Hommel, W. et al. (2017), S. 148. Abbildung 2: Schritte einer ISO/IEC 27001 Zertifizierung
In Vorabgesprächen und einer Beratung mit einer durch die Organisation zuvor ausgewählten Zertifizierungsstelle erfolgt die Klärung über den Ablauf, den Anwendungsbereich sowie benötigte Dokumente, Ressourcen und Schulungen. Daher ist es wichtig, möglichst früh mit der Zertifizierungsstelle Kontakt aufzunehmen. Die Form der Dokumentation oder des Audit-Ablaufs ist nicht in den Normen ISO/IEC 17021, ISO 19011 und ISO/IEC 27006 exakt geregelt, daher kann es je nach Zertifizierungsstelle Abweichungen geben. Die Stufe 1 des Zertifizierungsaudit dient der Prüfung von Dokumenten und Aufzeichnungen. Die zu prüfende Organisation erhält zudem vorab eine Kernfrageliste, mit der der externe Auditor oder das Auditoren-Team die Zertifizierungsmöglichkeit bewertet. Diese wird zusammen mit den geforderten Dokumenten und Aufzeichnungen zur Auswertung an das Audit-Team übermittelt, welches im nächsten Schritt eine Überprüfung durchführt. Ist das Ergebnis positiv, erfolgt die Vorbereitung zur Stufe 2, andernfalls erfolgt ein Gespräch mit der Organisation bzw. den Verantwortlichen über die bestehenden Mängel. Zur Vorbereitung von Stufe 2 werden Ablauf, Termine und benötigte Ressourcen zwischen dem Audit-Team und der zu prüfenden Organisation abgestimmt. Im Gegensatz zur Stufe 1 erfolgt in Stufe 2 die Überprüfung auf Konformität, Abweichungen und Nebenabweichungen in Form von Interviews und Gesprächen vor Ort, welche entsprechend protokolliert werden. Das Ergebnis wird in einem Auditbericht festgehalten und der Organisation bereitgestellt. Der Umfang des Berichtes ist in der ISO/IEC 17021 fixiert. Abweichungen und Nebenabweichungen können zum Abbruch der Zertifizierung bzw. zur Nachbesserung innerhalb einer Frist führen, welche gegenüber der Zertifizierungsstelle nachzuweisen sind. Besteht hingegen eine Konformität, erfolgt die Ausstellung eines Zertifikats, welches die Anforderungen der ISO/IEC 27001 im Anwendungsbereich bescheinigt.
Überwachungsaudit und Rezertifizierung
Nach erfolgreich bestandenem Zertifizierungsaudit ist die Gültigkeit des Zertifikats auf drei Jahre beschränkt. Jedoch erfolgt nach einem bzw. zwei Jahren ein Überwachungsaudit, i.d.R. durch dieselbe Zertifizierungsstelle, welche bereits die Zertifizierung durchgeführt hat. Ziel des Überwachungsaudits ist es, interne Audits, Managementbewertungen, Behandlung von Nichtkonformitäten oder Sicherheitsvorfällen und Fortschritte der kontinuierlichen Verbesserung zu prüfen. Bei Abweichung der Norm muss eine Nachbesserung innerhalb einer Frist erfolgen. Wird diese nicht eingehalten, kann das Zertifikat zurückgezogen werden, was sich für die Organisation negativ auswirken kann. Eine Rezertifizierung findet alle drei Jahre statt. Sie dient der Erneuerung des ausgestellten Zertifikats und entsprich u.U. dem Umfang des Erst-Audits, abhängig von den Abweichungen zum Erst-Audit. Die externen Audits ersetzen hierbei nicht die internen Audits und müssen den Anforderungen der ISO/IEC 27001 entsprechend zusätzlich durchgeführt werden.