Kontaktieren Sie uns: +49 351- 84169430 info@ixactly.com

Audit-Grundlagen für Zertifizierungen.

Audit-Grundlagen

Interne Audits nach ISO/IEC 27001 oder ISO 9001 bereiten Sie auf eine mögliche Zertifizierung vor.

Außerdem werden in Audits Schwachstellen und Verbesserungsmöglichkeiten in Ihrem Managementsystem identifiziert und können anschließend effektiv behandelt werden.

Ein vollständiges Audit umfasst die Prüfungsplanung, die eigentliche Prüfung bei Ihnen, die Bewertung der Abweichungen und das Schlussgespräch mit Ihnen sowie eine schriftliche Darlegung des Audits in einem Prüfbericht.

Konformität

“Anhang B befasst sich mit der Identifizierung und Bewertung der Assets, die man in primäre oder unterstützende einteilen kann.”

iX kompakt 2020 – Security, Herbst 2020, Seite 61, ISO 27005 im Zusammenspiel mit ISO 27001, Abs. 6

“Jeder Organisation ist es selbst überlassen, die Betrachtungsebene ihrer Risikoanalyse festzulegen. Eine Konformität beider Normen ist auch dann gegeben, wenn Unternehmen ihre Risiken auf Geschäftsprozess-, Standortoder sogar Unternehmensebene ansetzen.

iX kompakt 2020 – Security, Herbst 2020, Seite 61, Konformität auf allen Ebenen, Abs. 1

Diese Ausführung in der iX kompakt 2020 – Security ist sehr wichtig. Die ISO 27001 überlässt nämlich den Unternehmen, die Detailtiefe für das Risikomanagement. Ein Unternehmen, das seine wesentlichsten Geschäftsprozesse gegen Gefährdungen absichert, ist konform gegenüber der ISO/IEC 27001.

Eine konsequente Detailtiefe auf alle Assets ist sehr komplex und nicht erforderlich. Wenn die Gefährdung Feuer für einen Wertschöpfungsprozess gebannt ist, sollte auch der benötigte Laptop, die Datensicherung und das Kabel gegen Feuer abgesichert sein. Assets, die einen hohen oder sehr hohen Schutzbedarf besitzen, müssen sowieso einer Risikoanalyse unterzogen und in der Regel extra abgesichert werden.

 

Audit-Arten

GAP-Analysen

In GAP Analysen wird der aktuelle Stand der ISMS Umsetzung bewertet. In der Regel folgt einer GAP Analyse die Beratung zu fehlenden Norm-Aspekten. Gern unterstützen wir Sie mit einer GAP Analyse, um die Konformität zur ISO 27001 zu prüfen. 

Interne Audits

Interne Audits sind geplante, interne Prüfungen des ISMS oder auch des QMS und werden im Kapitel 9.2 Interne Audits der ISO/IEC 27001:2022 bzw. ISO 9001:2015 gefordert. Für das Stattfinden der Internen Audits ist die oberste Leitung Ihres Unternehmens verantwortlich. Gern unterstützen wir Sie bei Ihren Internen Audits. 

Nachweisprüfung gem. § 8a BSIG

Die Nachweisprüfung findet alle 2 Jahre statt, um dem BSI schriftlich zu bestätigen, dass die KRITIS-Organisation ein ISMS aufgebaut hat, das die lebenswichtigen kritischen Dienstleistungen (bspw. Versorgung mit Energie und Wasser, Verfügbarkeit von Finanzen, Ernährung, Gesundheit, Transport oder Medien)  für unsere Bürger schützt und unterstützt.

Sektoren kritischer Infrastruktur

nachweisprüfung

Für das Stattfinden der Nachweisprüfung ist die oberste Leitung Ihres Unternehmens verantwortlich. Gern führen wir bei Ihnen die Nachweisprüfung durch. 

§ 8a BSIG  bei Gesetze-im-Internet ansehen

Voraudit

Organisationen, die sich unsicher über den Reifegrad ihres Managementsystems sind, können bei ihrer Zertifizierungsstelle ein Voraudit beauftragen.

In einem Voraudit prüft der Auditor Ihre grundlegende Dokumentation und bescheinigt Ihnen ihre Zertifizierungsreife. Für den Fall, dass aus den Abschnitten 4-10 Ihrer ISO-Norm wesentliche Dokumente fehlen, wird der Auditor Ihnen empfehlen, das Zertifizierungsaudit etwas in die Zukunft zu verschieben, damit Sie die fehlenden Dokumente entwickeln können.

Wenn Ihre Dokumentation im Voraudit recht vollständig präsentiert werden kann, wird der Auditor Ihnen empfehlen, das Zertifizierungsaudit zeitnah durchzuführen.

Stufe 1 – Dokumentenprüfung

Ein Zertifizierungsaudit besteht immer aus 2 Stufen, die Dokumentenprüfung und das eigentliche Zertifizierungsaudit.

In Stufe 1 werden alle von der ISO-Norm geforderten Dokumente geprüft. Fehlt ein Dokument, müssen Sie es bis zum Zertifizierungsaudit erstellen.

Je nach Reifegrad Ihres Managementsystems kann das Zertifizierungsaudit nach etwa 6 Wochen bis maximal 6 Monate später erfolgen.

Zertifizierungsaudit – Stufe 2

Nach der Stufe 1, der Dokumentenprüfung erfolgt das Zertifizierungsaudit. In diesem Audit müssen alle von der ISO-Norm geforderten Dokumente vorliegen, sonst vergibt der Auditor Nichtkonformitäten im Auditbericht.

Ein Zertifizierungsaudit wird von einer akkreditierten Prüfungsgesellschaft durchgeführt. Sie erhalten anschließend ein Zertifikat mit DAkkS-Siegel. Wenn Sie eine ISO 27001-Zertifizierung in Sachsen wünschen, können Sie sich gern an uns wenden und wir besprechen den Ablauf.

ISO/IEC 27001 beim Beuth-Verlag ansehen

Nachaudit

Wenn im Zertifizierungsaudit vom Auditor eine Hauptabweichung festgestellt wurde. Haben Sie 3 Monate Zeit, die Nichtkonformitäten abzustellen, um im aktuellen Zertifizierungsprozess noch ein Zertifikat zu erhalten. Der Auditor wird sich im Nachaudit die Korrekturen von Ihnen zeigen lassen.

Das Nachaudit wird Ihnen von der Zertifizierungsstelle mit einem zusätzlichen Stundenumfang und einem Preis angeboten. Das Nachaudit kann remote oder vor Ort erfolgen.

Schaffen Sie die Korrekturen innerhalb von 3 Monaten nicht abzustellen oder beauftragen Sie den Auditor nicht zum Nachaudit ist der Zertifizierungsprozess ohne Zertifikat beendet.

Lieferantenaudit

Ihr Kunde hat Interesse an Ihren Produkten oder Ihrer Dienstleistungserbringung. Er schickt unabhängige Auditoren zu Ihnen, die Ihre Prozesse überprüfen und Ihrem Kunden einen Auditbericht übergeben.

Wenn das Lieferantenaudit für Sie gut läuft, wird Ihr Kunde Sie beauftragen oder weiterhin als Lieferant listen.

Wenn das Lieferantenaudit für Sie nicht gut läuft, wird der Kunde Nachforderungen an Sie stellen. Sie sollten diese Nachforderungen erfüllen, um weiterhin als Lieferant gelistet zu bleiben.

 

Audit-Abweichungen

Hauptabweichung

“Wenn eine Organisation Konformität mit dieser Internationalen Norm für sich beansprucht, darf sie keine der Anforderungen in den Abschnitten 4 bis 10 ausschließen.”

DIN ISO/IEC 27001, Kap. 1 Anwendungsbereich, letzter Satz

Wird in einem Audit also eine Hauptabweichung festgestellt, bedeutet dies, dass Sie ein ganzes Normen-Kapitel ausgeschlossen bzw. nicht umgesetzt haben.

Eine Hauptabweichung führt zum Nicht-Bestehen des Zertifizierungsaudits (ZA).

Die DIN ISO/IEC 17021 (Normativer Standard für Zertifizierungsstellen) fordert von Zertifizierungsstellen für das Zertifizierungsaudit folgendes:

Wenn die Zertifizierungsstelle nicht in der Lage ist, die Umsetzung von Korrekturen und Korrekturmaßnahmen jeglicher wesentlicher Nichtkonformität innerhalb von 6 Monaten nach dem letzten Tag der Stufe 2 zu verifizieren, muss die Zertifizierungsstelle vor der Empfehlung zur Zertifizierung eine erneute Stufe 2 durchführen. 

DIN ISO/IEC 17021, Kap. 9.5.3.2 zu wesentlichen Nichtkonformitäten im Zertifizierungsaudit

Wenn es Ihnen nicht möglich ist, die fehlenden Norm-Abschnitte innerhalb dieser Zeit umzusetzen, ist das Zertifizierungsaudit beendet und muss neu beauftragt werden.

Fordert, dass die Zertifizierungsstelle die Korrekturen prüfen muss. Ein konkreter Zeitrahmen wird hier nicht genannt. Somit ist alles bis zu 6 Monate möglich.

DIN ISO/IEC 17021 Kap. 9.4.10 zu Wirksamkeit der Korrekturen und Korrekturmaßnahmen

Beim TÜV Süd oder der Dekra werden den Organisationen zum Abstellen von wesentlichen Nichtkonformitäten beispielsweise 3 Monate gegeben, um die fehlenden Normkapitel umzusetzen und dem Auditor in einem Nachaudit die Umsetzung nachzuweisen. Anschließend steht dem Zertifikat nichts mehr im Weg.

Sollten die fehlenden Kapitel auch nach der vom Auditor vorgegebenen Frist nicht umgesetzt sein, wird der Zertifizierungsprozess ohne Zertifikat abgeschlossen. Das bedeutet, die Organisation muss ein neues Zertifizierungsaudit beauftragen.

Nebenabweichung

Wird in einem Audit eine Nebenabweichung festgestellt, bedeutet dies, dass ein Norm-Kapitel zwar umgesetzt worden ist, die Umsetzung und Wirksamkeit jedoch mehrere Mängel oder Lücken aufweist.

Nebenabweichungen führen nicht zum Nicht-Bestehen eines Zertifizierungsaudits. Allerdings müssen diese Nebenabweichungen bis zu den vereinbarten Terminen abgestellt werden.

Wurden alle Nebenabweichungen unbegründet bis zum nächsten Überwachungsaudit nicht abgestellt, droht eine Hauptabweichung für Kapitel 10.2 Fortlaufende Verbesserung, da sich die Organisation scheinbar gegen die fortlaufende Verbesserung ihres ISMS entschieden hat.

Verbesserungsempfehlungen

Wenn Sie in Ihrem Audit eine Verbesserungsempfehlung erhalten bedeutet das, dass Ihr Managementsystem konform zu den Normanforderungen ist.

Aus Sicht Ihres Auditors können Sie die bereits umgesetzten Dokumente oder Prozesse aber noch verbessern.  Er wird Ihnen dann relativ konkret empfehlen, an welchen Stellen Sie mit der Verbesserung ansetzen können.

Für Sie bedeutet eine solche Verbesserungsempfehlung, dass Sie intern abstimmen können, ob die Empfehlung des Auditors aus Ihrer Sicht ebenfalls eine Verbesserung ist.

Wenn Sie zu dem Schluss kommen, die Umsetzung dieser Empfehlung bringt Ihre Prozesse oder Dokumentation nicht wesentlich voran, dann können Sie sich gegen diese Empfehlung entscheiden.

Diese interne Entscheidung dokumentieren Sie und zeigen dem nächsten Auditor Ihre Begründung gegen die Umsetzung einer Verbesserungsempfehlung.

 

Verbesserungsempfehlungen gehen teilweise in die Beratung, was ein Auditor aber unterlassen soll.

Wenn in Ihrem Managementsystem aktuell Nichtkonformitäten bestehen und Ihr Auditor gibt Ihnen dennoch konkrete Umsetzungsempfehlungen, so berät er Sie. In Zertifizierungsstellen wird dieses Vorgehen kritisiert.

An dieser Stelle ein Hinweis auf ISO 19011, dem Leitfaden zur Auditierung von Managementsystemen

“…Diese Prinzipien sollten dazu dienen, das Audit zur Unterstützung von Managementpolitiken und -steuerungen zu machen, indem Informationen bereitgestellt werden, auf deren Grundlage eine Organisation handeln kann, um ihre Leistung zu verbessern…
ISO 19011, Kap. 4 Auditprinzipien

Eindeutig wird nicht gefordert, Fehler zu suchen, sondern Informationen für die Organisationen bereitzustellen, damit diese Verbesserungsmöglichkeiten nutzen können.

Auditauswahl

 

nach oben
Ihr Partner für Informationssicherheit.