Wie Sie konkrete Auditfragen formulieren
Überprüfung des ISMS im Audit
Ein Audit ist ein wesentliches Instrument zur Überprüfung der Effektivität eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO/IEC 27001. Es ermöglicht einer Organisation, ihre Sicherheitsmaßnahmen kritisch zu bewerten und kontinuierliche Verbesserungen vorzunehmen. Eine der Herausforderungen bei der Durchführung eines Audits besteht darin, effektive Fragen zu formulieren, die eine gründliche Überprüfung ermöglichen. In diesem Artikel geben wir Ihnen Tipps und Beispiele, wie Sie Fragen für ein Audit formulieren können.
Gegenstand von Auditfragen
Bevor Sie Fragen formulieren, ist es entscheidend, den Umfang und die Ziele des Audits klar zu verstehen. Dies bedeutet, dass Sie sich mit den spezifischen Zielen der ISO/IEC 27001-Standards und den Anforderungen, die für Ihre Organisation gelten, vertraut machen sollten. Ein tiefes Verständnis dieser Ziele hilft bei der Erstellung zielgerichteter Fragen, die relevante Informationen ans Licht bringen.
Wichtige Stichpunkte bei der Erarbeitung von Auditfragen:
Ableitung aus der Norm
SMART-Kriterien
Offene Fragen
Evidenz-basiert
Berücksichtigen der ISO/IEC 27001-Anforderungen in den Auditfragen
ISO/IEC 27001 legt eine Reihe von Anforderungen fest, die Organisationen erfüllen müssen, um ihre Informationssicherheit zu gewährleisten. Auf den ersten Blick leicht der falsche Eindruck entstehen: Die Anzahl von 10 Clauses und 93 Controls können zu der Annahme verleiten, als seien sie auch leicht zu erfüllen. Durch die Zerlegung der ISO/IEC 27001 in ihre Teilanforderungen konnte der CycleSEC-Geschäftsführer Sebastian Klipper zusammen mit dem Sprachwissenschaftler Steffen Hessler über 800 Teilanforderungen identifizieren, die mit passenden Auditfragen abzuprüfen sind.
Beim Formulieren von Auditfragen sollten Sie sich auf diese Anforderungen konzentrieren. Beispielsweise:
- „Welche Maßnahmen werden ergriffen, um identifizierte Risiken zu behandeln?“
- „Gibt es eine dokumentierte Information Security Policy, die von der obersten Leitung genehmigt wurde und wie wird sie regelmäßig überprüft und aktualisiert?“
- „Wie stellt das Unternehmen sicher, dass alle Mitarbeitenden bezüglich der Informationssicherheitsrichtlinien geschult sind und diese verstehen?“
Anwendung der SMART-Kriterien
Um effektive Fragen zu formulieren, sollten Sie die SMART-Kriterien anwenden (Akronym für Specific, Measurable, Achievable, Reasonable, Time-bound): spezifisch, messbar, erreichbar, relevant und zeitgebunden. Dies gewährleistet, dass Ihre Fragen klar und fokussiert sind und dass die Antworten quantifizierbare Daten liefern, die zur Verbesserung der Informationssicherheit verwendet werden können.
Verwenden Sie offene Auditfragen
Offene Fragen fördern detailliertere Antworten und Diskussionen, die oft mehr Einsichten liefern als einfache Ja- oder Nein-Antworten. Beispielsweise:
- „Können Sie beschreiben, wie das Zugrittskontrollverfahren in Ihrem Bereich funktioniert?“
- „Welche Herausforderungen sehen Sie bei der Umsetzung der Backup-Policy für ihr Projekt im täglichen Betrieb?“
- „Wie wurde die Information Security Policy innerhalb der Organisation kommuniziert? Gibt es dafür Nachweise?“
- „Wie werden Information-Assets identifiziert und klassifiziert?“
- „Welche Kontrollen sind vorhanden, um unbefugtes Betreten von Räumlichkeiten durch Besuchende sicherzustellen?“
Evidenz-basierte Auditfragen
„Confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information should be identified, documented, regularly reviewed and signed by personnel and other relevant interested parties.“
ISO/IEC 27001 Control A.6.6 – Confidentiality or non-disclosure agreements
Das Formulieren effektiver Fragen für ein Audit ist eine Kunst, die Übung und ein tiefes Verständnis der ISO/IEC 27001-Standards erfordert. Für das Control A.6.6 „Confidentiality or non-disclosure agreements“ haben wir im Folgenden einen vollständigen Fragenkatolog erstellt, der einerseits auf offene Fragen stellt und auch Beispiele liefert, welche Nachweise (Evidenzen) dazu geeignet sind, die Wirksamkeit des Controls zu belegen.
Dazu müssen alle nötigen Teilanforderungen ausreichend berücksichtigt werden. Im Falle von Control A.6.6 sind dies:
identified: Welche NDAs existieren?
documented: Wo sind diese festgeschrieben?
regularly reviewed: Wie werden die NDAs überprüft?
signed: Wie werden sie unterschrieben?
by personnel and other relevant interested parties: Welches Personal und welche Interessengruppen kommen für NDAs in Frage?
Für Control A.6.6 können so die folgenden spezifische Auditfragen mit Beispielen für mögliche Nachweise (Evidenzen) formuliert werden:
Frage 1:
Wie identifiziert und dokumentiert Ihre Organisation die Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen (NDAs), die den Schutzbedarf Ihrer Informationen reflektieren?
Mögliche Nachweise:
Eine Liste aller aktuellen Vertraulichkeitsvereinbarungen, einschließlich der betroffenen Informationen.
Dokumentationsverfahren, die zeigen, wie die Anforderungen für jede Art von NDA festgelegt wurden.
Kopien der Richtlinien oder Verfahren, die beschreiben, wie und wann diese NDAs erstellt, überprüft und aktualisiert wurden.
Frage 2:
Beschreiben Sie den Prozess, durch den Ihre Organisation sicherstellt, dass alle NDAs regelmäßig überprüft und bei Bedarf aktualisiert werden.
Mögliche Nachweise:
Ein Zeitplan oder Protokoll der letzten Überprüfungen und etwaiger Aktualisierungen der Vertraulichkeitsvereinbarungen.
Protokolle von Meetings oder Kommunikationen, die die Überprüfung und Aktualisierung dieser Vereinbarungen dokumentieren.
Richtlinien oder Verfahren, die den Prozess der regelmäßigen Überprüfung beschreiben, inklusive der Kriterien für die Überprüfung.
Frage 3:
Wie gewährleistet Ihre Organisation, dass alle relevanten Interessengruppen die erforderlichen NDAs unterzeichnet haben und diese Vereinbarungen eingehalten werden?
Mögliche Nachweise:
Eine aktuelle Liste aller Personen, die Vertraulichkeitsvereinbarungen unterzeichnet haben, einschließlich Datum der letzten Unterschrift.
Kommunikationsverfahren, die sicherstellen, dass alle neuen Mitarbeitenden oder relevante Dritte die NDAs bei Eintritt oder Beginn der Zusammenarbeit unterzeichnen.
Verfahren oder Richtlinien, die festlegen, wie überprüft wird, ob NDAs noch aktuell sind und wie mit Verstößen gegen diese Vereinbarungen umgegangen wird.
Durch die Beantwortung dieser Fragen und Vorlage der entsprechenden Nachweise kann in einem Audit ein klares Bild davon entstehen, wie gut eine Organisation die Anforderungen von Control A.6.6 erfüllt und wo möglicherweise Verbesserungsbedarf besteht.
Weitere Quellen zum Thema
ISO/IEC 27007:2020: Guidelines for information security management systems auditing
Die ISO/IEC 27007 liefert in Annex A einen umfangreichen Fragenkatalog für die Durchführung von Audits der ISO/IEC 27001 Clauses unterteilt nach Audit Evidence und Audit Practice Guide. Es dienst all jenen, die ein internes oder externes Audit eines ISMS verstehen oder durchführen müssen oder die ein Auditprogramm für ein ISMS verwalten müssen. Hier finden Sie fundierte Hilfestellung zur Auditierung eines ISMS.
Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern
Herausgeber: DIN
Verlag: Beuth 2017, Neuauflage 2024
Das Buch aus der Reihe Beuth Praxis unterstützt Sie bei der Aufrechterhaltung und Verbesserung Ihres ISMS und bei der kontinuierlichen Verbesserung der zugehörigen Prozesse.
Co-Autor: Sebastian Klipper
Alles beginnt mit einem Satz: Content-Management-Systeme und Ticket-Systeme als ISMS-Tools (Teil I)
Artikel in „kes“ Heft 5/2023
In ihrem Artikel in der „kes“ Die Zeitschrift für Informations-Sicherheit beleuchten die CycleSEC-Consultants Sebastian Klipper, Lars Albert und Louisa Frick die Möglichkeiten, eine ISMS-Implementierung mit Content-Management-Systemen (CMS) und Ticket-Systemen zu steuern.
Autor:innen: Sebastian Klipper, Lars Albert, Louisa Frick
800 Anforderungen für ein ISMS nach ISO/IEC 27001
Für eine am Center for Advanced Internet Studies durchgeführte Analyse haben Sebastian Klipper und Steffen Hessler den gesamten Text der ISO/IEC 27001 jeweils in prägnante Teilanforderungen zerlegt. Sie konnten dabei eine erstaunlich hohe Anzahl an Einzelanforderungen ermitteln.