ISO 27001 – DIE Norm für Informationssicherheit
Nutzen und Relevanz integrierter Audits mit ISO 27001
Als Prüfungsschwerpunkte sowohl für externe als auch für interne Audits sind Themen wie Vertraulichkeit, Integrität und Verfügbarkeit von Informationen unausweichlich geworden.
Dieser Artikel von unserem qualityaustria Experten, DI Vincent Callède, MBA CISA, zielt auf den Nutzen interner Audits ab. Die Vorgehensweise kann jedoch sehr wohl auch für externe Audits angewandt werden.
Integrierte Audits – warum sie immer von Nutzen sind
Integrierte Audits dienen nicht nur als Bewertung der Leistung, sondern ermöglichen es auch, spezifische Themen zu überprüfen.
Neben den Anforderungen an ein Managementsystem fordert die ISO 27001 – die internationale Norm für Informationssicherheit – im normativen Anhang A konkrete Informationssicherheitsmaßnahmen. Diese teilen sich in vier Maßnahmenkategorien auf:
- Organisatorische Maßnahmen,
- Personenbezogene Maßnahmen,
- Physische Maßnahmen und
- Technologische Maßnahmen.
Es geht darum, diese Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität gleich während eines (internen) Audits integriert zu betrachten.
Ein paar konkrete Anregungen für integrierte Audits in Zusammenhang mit den wesentlichen ISO Normen (wie z. B. ISO 9001, ISO 14001, ISO 45001) finden Sie hier in den folgenden Beispielen: Auf einer allgemeinen Ebene fordern die ISO Normen „dokumentierte Informationen“.
Wie wird sichergestellt, dass Sie auf die letztgültigen, für Sie zugänglichen und nicht korrupten (in Sinne der Integrität) Informationen zugreifen können? Genau diese Anforderungen stellen die Informationssicherheitsmaßnahmen der ISO 27001 fest.
Während eines internen Audits basierend auf der ISO 9001 für Qualitätsmanagement gehören u. a. die für die Kernprozesse notwendigen Ressourcen genauer auditiert. Wie können die Ressourcen Vertraulichkeit, Integrität und Verfügbarkeit der Informationen (z. B. Wissen der Organisation) gewährleistet werden?
Während eines internen Audits basierend auf der ISO 14001 (Umweltmanagement) gehören u. a. die Anforderungen aus dem Kapitel „Notfallvorsorge und Gefahrenabwehr“ überprüft. Welche Maßnahmen sorgen dafür, dass „durch die Planung von Maßnahmen zur Verhinderung oder Minderung nachteiliger Umweltauswirkungen aufgrund von Notfallsituationen“ die Gefahren abgewehrt werden können? Hierbei spielen Informations- und Kommunikationstechnologien (IKT) eine wesentliche Rolle. Diese Anforderung findet sich genau in den Informationssicherheitsmaßnahmen „Informationssicherheit bei Störungen“ und „IKT-Bereitschaft für Business Continuity“ wieder.
Während eines internen Audits basierend auf der ISO 37301 für Compliance Management soll u. a. überprüft werden, wie Untersuchungsprozesse etabliert sind, um „Meldungen über vermutete oder tatsächliche Non-Compliance-Fälle zu beurteilen, bewerten, untersuchen und abzuschließen“ zu übermitteln. Was wären diese Prozesse ohne Informationssicherheit? Die Vertraulichkeit, Verfügbarkeit und Integrität der übermittelten Informationen sind hier wesentliche Kernfaktoren, damit diese Untersuchungsprozesse ordnungsgemäß erfolgen können.
Denken Sie also während interner Audits sowie in sämtlichen Prozessen und Abläufen integriert und betrachten Sie die Informationssicherheits-relevanten Themen mit! Informationssicherheit stellt die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicher!
Finden Sie weitere Ideen für die Integration von Informationssicherheit in Ihrem Managementsystem in unserem kürzlich veröffentlichten Beitrag „ISO 27001 als Teil der IMS-Familie“. Sie haben darüber hinaus spezifische Fragen? Kontaktieren Sie uns – unsere Expert*innen unterstützen Sie jederzeit gerne!