Zusammenfassung
Audits durchzuführen ist eine anerkannte Methode, um die Übereinstimmung mit Vorgaben, z. B. Standards, zu überprüfen. In unserem Kontext geht es um Audits des ISMS einer Organisation. Normerfordernis ist die regelmäßige Durchführung interner Audits. Zusätzlich werden externe Audits notwendig, falls man eine Zertifizierung anstrebt. Wir besprechen im Folgenden die Vorbereitung, Durchführung, Auswertung, Gemeinsamkeiten und Unterschiede solcher Audits.
This is a preview of subscription content, log in via an institution to check access.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
NA = Normabschnitt, Abschnitt der ISO 27001.
- 2.
- 3.
NK = Normkapitel, Kapitel der ISO 27001.
- 4.
Etwa im Rahmen einer Zertifizierung ein Zertifizierungsaudit und zwei Überwachungsaudits.
- 5.
Als Beispiel sei eine Initiative des Bayerischen IT-Sicherheitsclusters genannt, wobei ein speziell auf kleine und mittlere Unternehmen zugeschnittenes Programm in Anlehnung an ISO 27001 entwickelt wurde. Es trägt den Namen „Informationssicherheit in zwölf Schritten“ – ISIS12 und soll eine Vorstufe für ein vollständiges ISMS darstellen.
- 6.
In der älteren Normfassung spielte der Begriff PDCA-Modell eine zentrale Rolle. In der neuen Fassung von 2013 taucht dieser Begriff nicht mehr auf. Der dem PDCA-Modell zugrundeliegende Gedanke der Verbesserung des ISMS durch eine geeignete Abfolge von Aktivitäten wurde jedoch beibehalten und bildet nun das Kap. 10 der Norm. Wir nutzen den Begriff PDCA, um zu betonen, dass sich die Norm in dieser Hinsicht nicht wirklich geändert hat.
Literatur
DIN ISO/IEC 27001 (2015-03) Informationstechnik – IT-Sicherheitsverfahren: Informationssicherheits-Managementsysteme – Anforderungen
ISO/IEC 27006 (2015-10) Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27007 (2011-11) Information technology – Security techniques – Guidelines for information security management systems auditing
ISO/IEC TR 27008 (2011-10) Information technology – Security techniques – Guidelines for auditors on information security management systems controls
DIN EN ISO 19011 (2011-12) Leitfaden für Audits von Managementsystemen
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
Copyright information
© 2016 Springer Fachmedien Wiesbaden
About this chapter
Cite this chapter
Kersten, H., Klett, G., Reuter, J., Schröder, KW. (2016). Interne und externe Audits. In: IT-Sicherheitsmanagement nach der neuen ISO 27001. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-14694-8_5
Download citation
DOI: https://doi.org/10.1007/978-3-658-14694-8_5
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-14693-1
Online ISBN: 978-3-658-14694-8
eBook Packages: Computer Science and Engineering (German Language)