Was sind die häufigsten Prüfungsfeststellungen bei ISO/IEC 27001-Audits? DNV Lead Auditor und Trainer Rob Jansen hat Audit-Daten des Benchmarking-Tools Lumina analysiert und gibt Ihnen seine Ansichten und Tipps, wie Sie diese Probleme verbessern können.
Über ISO/IEC 27001
ISO/IEC 27001 konzentriert sich in erster Linie auf das Managementsystem für Informationssicherheit, das die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und Informationsverarbeitungssystemen innerhalb einer Organisation schützt. In diesem Artikel lesen Sie über die 5 wichtigsten Ergebnisse von ISO/IEC 27001-Audits. Er basiert auf Daten aus ISO/IEC 27001-Audits, die von DNV Business Assurance in den Benelux-Ländern im Jahr 2022 durchgeführt wurden.
1: Interne Audits
Rob zufolge sind die Anforderungen an den Prozess der Innenrevision recht streng. Es ist daher nicht verwunderlich, dass es (insbesondere für kleine Organisationen) schwierig ist, diese Anforderungen zu erfüllen. Nach ISO/IEC 27001 muss jede Organisation ein mehrjähriges risikobasiertes Auditprogramm haben, aber wie stellt man sicher, dass das mehrjährige Auditprogramm risikobasiert ist? Und wie stellt man sicher, dass alle Kriterien geprüft werden? "In der Praxis ist es für Organisationen manchmal noch schwierig, das mehrjährige Auditprogramm mit den geschäftlichen Entwicklungen im Laufe der Zeit zu entwickeln. Die Organisationen können nicht immer ein aktualisiertes mehrjähriges Prüfungsprogramm vorweisen. Um jede Prüfung ordnungsgemäß vorzubereiten, ist eine klare Prüfungsplanung unerlässlich. Der Umfang und die Kriterien sollten für jede Prüfung klar ersichtlich sein. Darüber hinaus sollte über jede Prüfung ein Bericht erstellt werden.
Das Prüfungsprogramm sollte dynamisch sein, sagt Rob. "Einige Abteilungen oder Prozesse benötigen zu einem bestimmten Zeitpunkt mehr Aufmerksamkeit als zu anderen Zeitpunkten. Außerdem sollten bei jedem Audit die Ergebnisse früherer Audits berücksichtigt werden, und jedes Audit sollte unabhängig und objektiv sein. Um ein gutes internes Audit zu erreichen, ist es wichtig, dass alle internen Auditoren in Bezug auf Wissen und Fähigkeiten auf dem gleichen Stand sind. Stellen Sie daher sicher, dass die internen Prüfer auf die gleiche Weise geschult werden, damit das (Grund-)Wissen gleich ist und die Art der Prüfung einheitlich ist."
2: Privatsphäre und Schutz von personenbezogenen Daten
Hier kommt die Allgemeine Datenschutzverordnung (AVG) ins Spiel, das Datenschutzgesetz, das für die gesamte Europäische Union gilt. Rob weist darauf hin, dass Organisationen im Rahmen der Anforderungen der AVG oft mit der Sicherung technischer Datenschutzaspekte in Geschäftsprozessen und Systemen zu kämpfen haben und es sich als schwierig erweist, die Vorschriften einzuhalten. Sie sollten den Datenschutz auch bei der Entwicklung und Auslagerung von Geschäftsprozessen berücksichtigen. So sollten Sie beispielsweise sicherstellen, dass der Datenschutz auch in Verträgen mit wichtigen Zulieferern gewährleistet ist.
3: Überwachung und Bewertung der Dienstleistungen der Anbieter
Rob erläutert: "Kritische Lieferanten müssen nach ISO/IEC 27001 beurteilt, überwacht, bewertet und geprüft werden. Dies ist wichtig, weil die Lieferanten sozusagen eine Erweiterung Ihrer Organisation sind und somit einen Einfluss auf die Gewährleistung der Informationssicherheit und des Datenschutzes haben. Wenn ein Lieferant personenbezogene Daten Ihrer Kunden verarbeitet, sollte eine Verarbeitungsvereinbarung bestehen. Diese sollte Vereinbarungen enthalten, wie und wie lange die Daten gespeichert werden dürfen. Die Verarbeitungsvereinbarung sollte in den Vertrag oder in einen Anhang zum Vertrag aufgenommen werden. Rob weist darauf hin, dass es wichtig ist, auch Einblick in die Kette hinter den kritischen Lieferanten zu haben.
"Sie bewerten einen Lieferanten, bevor Sie eine Partnerschaft eingehen: Erfüllt diese Organisation die Anforderungen, die wir an einen Lieferanten stellen? Dann können Sie den Lieferanten jährlich auf seine Leistung hin überprüfen. Überwachen Sie in einem Rhythmus, der der operativen Leistung des Lieferanten entspricht, und fordern Sie z. B. einen Service Level Report an. Bewerten Sie gemeinsam mit den Lieferanten, wie es unserer Meinung nach gelaufen ist, und stellen Sie fest, ob Audits bei den Lieferanten durchgeführt werden."
4: Risikobewertung
"Die ISO/IEC 27001 enthält viel mehr Anforderungen an die Risikobewertung als beispielsweise die ISO 9001. Je mehr Anforderungen, desto größer ist die Wahrscheinlichkeit, dass etwas nicht ganz richtig läuft. Organisationen sollten ein Verfahren zur Risikobewertung einführen und dieses mindestens einmal jährlich durchführen. Darüber hinaus wird von Organisationen erwartet, dass sie bei jeder größeren Veränderung innerhalb der Organisation eine Risikobewertung durchführen." Rob stellt fest, dass die Organisationen in der Praxis immer noch dazu neigen, dies zu vergessen.
"Organisationen finden es schwierig, die Verantwortung für die Risiken zu übernehmen und Maßnahmen nachweisbar zu machen. Zum Beispiel können Organisationen bei Audits nicht immer alle aktuellen Behandlungspläne vorweisen. Es ist wichtig, die Konsistenz und Struktur der Themen zu benennen und dies während der Entwicklung des Managementsystems beizubehalten."
Der Standard besagt, dass Maßnahmen ergriffen werden sollten, um Risiken zu begegnen. Eigene Maßnahmen sollten mit den in Anhang A vorgeschriebenen "Maßnahmen" verglichen werden. Auf diese Weise können Sie sicher sein, dass Sie nichts vergessen haben.
Während der Normkenntnisse ISO/IEC 27001-Schulung von DNV befasst sich mit der Risikobewertung. Praktische Übungen befassen sich mit Fragen (4.1), interessierten Parteien (4.2), wie diese Fragen zu Chancen und Risiken führen können (6.1) und wie diese Risiken gehandhabt oder die Chancen verstanden werden können (H8).
5: Zugangsverwaltung
"Die ISO/IEC 27001 enthält mehrere Anforderungen an das logische Zugriffsmanagement. Die Vergabe von Rechten innerhalb von Organisationen und Systemen geht eigentlich immer gut. Der Entzug oder die Änderung von Rechten wird dagegen manchmal noch vergessen."
Der Standard besagt, dass die Zugriffsrechte regelmäßig überprüft werden sollten, aber was ist regelmäßig? Rob sagt, dass dies der Organisation überlassen bleibt. Es muss der Dynamik des Unternehmens entsprechen. "Es ist zu empfehlen, dass der IKT-Manager einen Zeitplan dafür aufstellt, damit die Überprüfung in einer bestimmten Häufigkeit erfolgt und nichts vergessen wird.
Möchten Sie selbst mit Analysen oder Benchmarks beginnen?
DNV sammelt Daten aus Tausenden von Managementsystem-Audits, die von DNV weltweit durchgeführt wurden. Diese Daten werden anonymisiert in Lumina gespeichert, einer Datenbank mit mehr als 2,3 Millionen Audit-Ergebnissen. Durch die kostenlose Kundenportal können Sie Ihr Unternehmen mit anderen Unternehmen der gleichen Branche vergleichen.
Nehmen Sie rechtmäßigen Kontakt auf mit DNV.
Kontakt zu opnemen