In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel vertieft die Funktion der Internen Audits bei der Überprüfung der Wirksamkeit des ISMS. Interne Audits Wie viele andere Aspekte eines ISMS findet man Interne Audits in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Interne Audits sind immer ein wichtiger Bestandteil der Bewertung der Leistung. Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung: Überwachung, Messung, Analyse und Bewertung Interne Audits Managementbewertung Dem Punkt Überwachung, Messung, Analyse und Bewertung habe ich mich in der Vergangenheit in einigen Artikeln gewidmet. Das Thema Managementbewertung wird uns in einem späteren Artikel beschäftigen. Hier soll es um den zweiten Punkt Interne Audits gehen. Die ISO 27001:2013 fordert: Die Organisation muss in geplanten Abständen interne Audits durchführen, . Zweck ist es, sicherzustellen, dass sowohl die organisationseigenen Anforderungen an das ISMS als auch die Anforderungen der ISO 27001 selbst erfüllt werden. Dazu sind ein oder mehrere Auditprogramme zu planen und umzusetzen. Auditprogramm Ein Auditprogramm plant ein oder mehrere Audits, wobei mehrere der Regelfall ist. Das Auditprogramm (meist ist es eins), das die Internen Audits einer Organisation plant, beschreibt mindestens folgende Aspekte der Audits: Häufigkeit und zeitliche Lage der Audits Methoden (Dokumentensichtung, Befragung vor Ort etc.) Verantwortlichkeiten Anforderungen an die Planung Berichterstattung Auditkriterien (gegen welche Norm oder sonstiges Regelwerk wird auditiert) Auditoren Das Auditprogramm muss die Bedeutung der betroffenen Prozesse widerspiegeln. Dies kann u.a. durch eine geeignete Verteilung der zur Verfügung stehenden Auditzeit bzw. die Häufigkeit der Auditierung der einzelnen Prozesse umgesetzt werden. Gleichfalls soll das Auditprogramm die Ergebnisse vorheriger Audits berücksichtigen. Dabei sind insbesondere aufgetretene Nichtkonformitäten zu betrachten. In einem späteren Artikel werde ich mich näher mit der Managementbewertung nach Kapitel 9.3 beschäftigen. Was Sie noch interessieren könnte… Seminar „Wirksamkeitsmessung nach ISO 27004“ Unser Seminar „Wirksamkeitsmessung nach ISO 27004“ versetzt Sie in die Lage, sowohl Ihr ISMS als auch die Maßnahmen ihres ISMS angemessen zu überwachen, zu analysieren und zu bewerten. Termine: 19. September 2023 | 09:00 17:00 Uhr | PRÄSENZ Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT. Podcast In unserem Podcast Wirksamkeitsmessung in der ISO 27001 informieren wir Sie in lockerer Art und Weise über folgende Aspekte: Was fordert die ISO 27001 und die ISO 27004? Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden? Worauf achten Auditoren? Was sind beispielhafte Kenngrößen? Hören Sie rein! Foto: Adobe Stock | #259469390| andranik123 Der Beitrag Wirksamkeitsmessung im ISMS – Interne Audits erschien zuerst auf ANMATHO AG.
JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST Aller Anfang ist schwer – auch bei der Einführung eines ISMS stellen sich viele Fragen: warum, wie, wer? Einfach anfangen ist auch nicht ratsam, ein unstrukturiertes Vorgehen verschwendet
zum Artikel gehenWelche Vorteile können sich aus einer geplanten und abgestimmten Integration eines Notfallmanagements in ein ISMS (Information Security Management System) ergeben? Großwallstadt, 22.03.2022 Eine der wesentlichen Aufgaben eines ISMS ist es, die Kernproz
zum Artikel gehenBei langen WordPress-Beiträgen und langen WordPress-Seiten kann man die interne Nagivation im Artikel oder auf der Seite durch interne Links und interne Sprungmarken verbessern. Zunächst setzt man interne Sprungmarken, indem man die Ziele mit einem Namen
zum Artikel gehenJETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST Für ein zertifiziertes und funktionierendes ISMS nach ISO 27001 ist eine Risikobewertung und Risikobehandlung unverzichtbar. Im Anhang A werden viele Punkte aufgegriffen, die Risiken berge
zum Artikel gehenDiese Aufgaben warten auf Sie: Mitentwicklung und Umsetzung von Informationssicherheitsrichtlinien Pflege des ISMS (Information Security Management Systems) nach ISO 27001 und Mitwirken bei Audits IS Risikomanagement mit Schutzbedarfsfeststellungen Proje
zum Artikel gehen