Security is a process!

Wie Sie konkrete Auditfragen formulieren

Überprüfung des ISMS im Audit

Ein Audit ist ein wesentliches Instrument zur Überprüfung der Effektivität eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO/IEC 27001. Es ermöglicht einer Organisation, ihre Sicherheitsmaßnahmen kritisch zu bewerten und kontinuierliche Verbesserungen vorzunehmen. Eine der Herausforderungen bei der Durchführung eines Audits besteht darin, effektive Fragen zu formulieren, die eine gründliche Überprüfung ermöglichen. In diesem Artikel geben wir Ihnen Tipps und Beispiele, wie Sie Fragen für ein Audit formulieren können.

Gegenstand von Auditfragen

Bevor Sie Fragen formulieren, ist es entscheidend, den Umfang und die Ziele des Audits klar zu verstehen. Dies bedeutet, dass Sie sich mit den spezifischen Zielen der ISO/IEC 27001-Standards und den Anforderungen, die für Ihre Organisation gelten, vertraut machen sollten. Ein tiefes Verständnis dieser Ziele hilft bei der Erstellung zielgerichteter Fragen, die relevante Informationen ans Licht bringen.

Wichtige Stichpunkte bei der Erarbeitung von Auditfragen:

Ableitung aus der Norm

SMART-Kriterien

Offene Fragen

Evidenz-basiert

Berücksichtigen der ISO/IEC 27001-Anforderungen in den Auditfragen

ISO/IEC 27001 legt eine Reihe von Anforderungen fest, die Organisationen erfüllen müssen, um ihre Informationssicherheit zu gewährleisten. Auf den ersten Blick leicht der falsche Eindruck entstehen: Die Anzahl von 10 Clauses und 93 Controls können zu der Annahme verleiten, als seien sie auch leicht zu erfüllen. Durch die Zerlegung der ISO/IEC 27001 in ihre Teilanforderungen konnte der CycleSEC-Geschäftsführer Sebastian Klipper zusammen mit dem Sprachwissenschaftler Steffen Hessler über 800 Teilanforderungen identifizieren, die mit passenden Auditfragen abzuprüfen sind.

Beim Formulieren von Auditfragen sollten Sie sich auf diese Anforderungen konzentrieren. Beispielsweise:

  • „Welche Maßnahmen werden ergriffen, um identifizierte Risiken zu behandeln?“
  • „Gibt es eine dokumentierte Information Security Policy, die von der obersten Leitung genehmigt wurde und wie wird sie regelmäßig überprüft und aktualisiert?“
  • „Wie stellt das Unternehmen sicher, dass alle Mitarbeitenden bezüglich der Informationssicherheitsrichtlinien geschult sind und diese verstehen?“

Anwendung der SMART-Kriterien

Um effektive Fragen zu formulieren, sollten Sie die SMART-Kriterien anwenden (Akronym für Specific, Measurable, Achievable, Reasonable, Time-bound): spezifisch, messbar, erreichbar, relevant und zeitgebunden. Dies gewährleistet, dass Ihre Fragen klar und fokussiert sind und dass die Antworten quantifizierbare Daten liefern, die zur Verbesserung der Informationssicherheit verwendet werden können.

Verwenden Sie offene Auditfragen

Offene Fragen fördern detailliertere Antworten und Diskussionen, die oft mehr Einsichten liefern als einfache Ja- oder Nein-Antworten. Beispielsweise:

  • „Können Sie beschreiben, wie das Zugrittskontrollverfahren in Ihrem Bereich funktioniert?“
  • „Welche Herausforderungen sehen Sie bei der Umsetzung der Backup-Policy für ihr Projekt im täglichen Betrieb?“
  • „Wie wurde die Information Security Policy innerhalb der Organisation kommuniziert? Gibt es dafür Nachweise?“
  • „Wie werden Information-Assets identifiziert und klassifiziert?“
  • „Welche Kontrollen sind vorhanden, um unbefugtes Betreten von Räumlichkeiten durch Besuchende sicherzustellen?“

Evidenz-basierte Auditfragen

„Confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information should be identified, documented, regularly reviewed and signed by personnel and other relevant interested parties.“

ISO/IEC 27001 Control A.6.6 – Confidentiality or non-disclosure agreements

Das Formulieren effektiver Fragen für ein Audit ist eine Kunst, die Übung und ein tiefes Verständnis der ISO/IEC 27001-Standards erfordert. Für das Control A.6.6 „Confidentiality or non-disclosure agreements“ haben wir im Folgenden einen vollständigen Fragenkatolog erstellt, der einerseits auf offene Fragen stellt und auch Beispiele liefert, welche Nachweise (Evidenzen) dazu geeignet sind, die Wirksamkeit des Controls zu belegen.

Dazu müssen alle nötigen Teilanforderungen ausreichend berücksichtigt werden. Im Falle von Control A.6.6 sind dies:

identified: Welche NDAs existieren?

documented: Wo sind diese festgeschrieben?

regularly reviewed: Wie werden die NDAs überprüft?

signed: Wie werden sie unterschrieben?

by personnel and other relevant interested parties: Welches Personal und welche Interessengruppen kommen für NDAs in Frage?

Für Control A.6.6 können so die folgenden spezifische Auditfragen mit Beispielen für mögliche Nachweise (Evidenzen) formuliert werden:

Frage 1:

Wie identifiziert und dokumentiert Ihre Organisation die Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen (NDAs), die den Schutzbedarf Ihrer Informationen reflektieren?

Mögliche Nachweise:

Eine Liste aller aktuellen Vertraulichkeitsvereinbarungen, einschließlich der betroffenen Informationen.

Dokumentationsverfahren, die zeigen, wie die Anforderungen für jede Art von NDA festgelegt wurden.

Kopien der Richtlinien oder Verfahren, die beschreiben, wie und wann diese NDAs erstellt, überprüft und aktualisiert wurden.

Frage 2:

Beschreiben Sie den Prozess, durch den Ihre Organisation sicherstellt, dass alle NDAs regelmäßig überprüft und bei Bedarf aktualisiert werden.

Mögliche Nachweise:

Ein Zeitplan oder Protokoll der letzten Überprüfungen und etwaiger Aktualisierungen der Vertraulichkeitsvereinbarungen.

Protokolle von Meetings oder Kommunikationen, die die Überprüfung und Aktualisierung dieser Vereinbarungen dokumentieren.

Richtlinien oder Verfahren, die den Prozess der regelmäßigen Überprüfung beschreiben, inklusive der Kriterien für die Überprüfung.

Frage 3:

Wie gewährleistet Ihre Organisation, dass alle relevanten Interessengruppen die erforderlichen NDAs unterzeichnet haben und diese Vereinbarungen eingehalten werden?

Mögliche Nachweise:

Eine aktuelle Liste aller Personen, die Vertraulichkeitsvereinbarungen unterzeichnet haben, einschließlich Datum der letzten Unterschrift.

Kommunikationsverfahren, die sicherstellen, dass alle neuen Mitarbeitenden oder relevante Dritte die NDAs bei Eintritt oder Beginn der Zusammenarbeit unterzeichnen.

Verfahren oder Richtlinien, die festlegen, wie überprüft wird, ob NDAs noch aktuell sind und wie mit Verstößen gegen diese Vereinbarungen umgegangen wird.

Durch die Beantwortung dieser Fragen und Vorlage der entsprechenden Nachweise kann in einem Audit ein klares Bild davon entstehen, wie gut eine Organisation die Anforderungen von Control A.6.6 erfüllt und wo möglicherweise Verbesserungsbedarf besteht.

Weitere Quellen zum Thema

ISO/IEC 27007:2020: Guidelines for information security management systems auditing

Die ISO/IEC 27007 liefert in Annex A einen umfangreichen Fragenkatalog für die Durchführung von Audits der ISO/IEC 27001 Clauses unterteilt nach Audit Evidence und Audit Practice Guide. Es dienst all jenen, die ein internes oder externes Audit eines ISMS verstehen oder durchführen müssen oder die ein Auditprogramm für ein ISMS verwalten müssen. Hier finden Sie fundierte Hilfestellung zur Auditierung eines ISMS.

ISO/IEC 27007:2020 auf iso.org…

Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern

Herausgeber: DIN
Verlag: Beuth 2017, Neuauflage 2024

Das Buch aus der Reihe Beuth Praxis unterstützt Sie bei der Aufrechterhaltung und Verbesserung Ihres ISMS und bei der kontinuierlichen Verbesserung der zugehörigen Prozesse.

Co-Autor: Sebastian Klipper

Buch beim Verlag ansehen…

Al­les be­ginnt mit ei­nem Satz: Content-Management-Systeme und Ticket-Systeme als ISMS-Tools (Teil I)

Artikel in „kes“ Heft 5/2023

In ihrem Artikel in der „kes“ Die Zeitschrift für Informations-Sicherheit beleuchten die CycleSEC-Consultants Sebastian Klipper, Lars Albert und Louisa Frick die Möglichkeiten, eine ISMS-Implementierung mit Content-Management-Systemen (CMS) und Ticket-Systemen zu steuern.

Autor:innen: Sebastian Klipper, Lars Albert, Louisa Frick

Artikel in der „kes“ ansehen…

800 Anforderungen für ein ISMS nach ISO/IEC 27001

Für eine am Center for Advanced Internet Studies durchgeführte Analyse haben Sebastian Klipper und Steffen Hessler den gesamten Text der ISO/IEC 27001 jeweils in prägnante Teilanforderungen zerlegt. Sie konnten dabei eine erstaunlich hohe Anzahl an Einzelanforderungen ermitteln.

Zum Artikel in unserem Blog…

Veröffentlicht am

Photo of author

Dieser Beitrag kommt von

Sebastian Klipper

Sebastian Klipper ist Geschäftsführer und Eigentümer der CycleSEC GmbH. Er ist Autor mehrerer Fachbücher zu den Themen Cyber Security, ISMS-Implementierung mit ISO/IEC 27001 und Risikomanagement.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen