Zusammenfassung
Audits durchzuführen ist eine anerkannte Methode, um die Übereinstimmung mit Vorgaben, z. B. Standards, zu überprüfen. In unserem Kontext geht es um Audits des ISMS einer Organisation. Normerfordernis ist die regelmäßige Durchführung interner Audits. Zusätzlich werden externe Audits notwendig, falls man eine Zertifizierung anstrebt. Wir besprechen im Folgenden die Vorbereitung, Durchführung, Auswertung, Gemeinsamkeiten und Unterschiede solcher Audits.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
NA = Normabschnitt, Abschnitt der ISO 27001.
- 2.
- 3.
NK = Normkapitel, Kapitel der ISO 27001.
- 4.
Etwa im Rahmen einer Zertifizierung ein Zertifizierungsaudit und zwei Überwachungsaudits.
- 5.
Als Beispiel sei eine Initiative des Bayerischen IT-Sicherheitsclusters genannt, wobei ein speziell auf kleine und mittlere Unternehmen zugeschnittenes Programm in Anlehnung an ISO 27001 entwickelt wurde. Es trägt den Namen „Informationssicherheit in zwölf Schritten“ (ISIS12) und soll eine Vorstufe für ein vollständiges ISMS darstellen.
- 6.
In der älteren Normfassung spielte der Begriff PDCA-Modell eine zentrale Rolle. In der aktuellen Fassung taucht dieser Begriff nicht mehr auf. Der dem PDCA-Modell zugrundeliegende Gedanke der kontinuierlichen Verbesserung des ISMS durch eine geeignete Abfolge von Aktivitäten wurde jedoch beibehalten und bildet nun das Kap. 10 der Norm. Wir nutzen den Begriff PDCA, um zu betonen, dass sich die Norm in dieser Hinsicht nicht wirklich geändert hat.
Literatur
DIN ISO/IEC 27001 (2017–06) Informationstechnik – IT-Sicherheitsverfahren: Informationssicherheits-Managementsysteme – Anforderungen
ISO/IEC 27006 (2015–10) Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27007 (2017–10) Information technology – Security techniques – Guidelines for information security management systems auditing
ISO/IEC TS 27008 (2019–01) Information technology – Security techniques – Guidelines for auditors on information security management systems controls
DIN EN ISO 19011 (2018–10) Leitfaden zur Auditierung von Managementsystemen
ISO/IEC 27017 (2015–12) Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ISO/IEC 27019 (2017) Information technology – Security techniques – Information security controls for the energy utility industry (Entwurf einer deutschen Übersetzung: 2018–08)
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2020 Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this chapter
Cite this chapter
Kersten, H., Klett, G., Reuter, J., Schröder, KW. (2020). Interne und externe Audits. In: IT-Sicherheitsmanagement nach der neuen ISO 27001. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-27692-8_5
Download citation
DOI: https://doi.org/10.1007/978-3-658-27692-8_5
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-27691-1
Online ISBN: 978-3-658-27692-8
eBook Packages: Computer Science and Engineering (German Language)