Ein internes Audit für ISO 27001 ist eine systematische und unabhängige Überprüfung des Informationssicherheits-Managementsystems (ISMS) einer Organisation, um sicherzustellen, dass es mit den Anforderungen der Norm ISO 27001 übereinstimmt. Ziel des internen Audits ist es, die Effektivität und Effizienz des ISMS zu bewerten und Bereiche mit Verbesserungsbedarf zu identifizieren. Interne Audits für ISO 27001 werden in der Regel von einem Team geschulter Fachleute innerhalb der Organisation oder von einer externen Firma durchgeführt, die sich auf interne Audits nach ISO 27001 spezialisiert hat. Die Vorlage der Aufzeichnungen eines internen Audits ist obligatorisch, um das ISO 27001-Audit zu bestehen.

Ja, ein internes Audit ist eine verbindliche Anforderung der Norm ISO 27001. Interne Audits sind ein wesentlicher Bestandteil des ISO 27001-Zertifizierungsprozesses, da sie der Organisation helfen, nachzuweisen, dass ihr Informationssicherheits-Managementsystem (ISMS) mit der Norm konform ist und effektiv umgesetzt und aufrechterhalten wird.

Die Audit-Bereitschaft ist eine detailliertere Bewertung der Innenrevision, die auch eine echte Auditsimulation umfasst. Wir werden die folgenden Bereiche abdecken:

- Management (ISMS-Richtlinie, ISMS-Ziele, Aktionsplan, Verbesserung)

- Sicherheitsabteilung (Dokumentenkontrolle, Aufzeichnungskontrolle, Vorfälle, Schwachstellenprüfung und -management, interne Audits,  Korrektur- und Vorbeugungsmaßnahmen, nichtkonforme Produkte, Kundenfeedback/Beschwerden, Managementbewertungen)

- Unternehmenssicherheit (Rollen, Befugnisse, Koordinierung, Verträge, Informationssicherheit im Projektmanagement) A.6.

- Personelle Sicherheit (Personalakten, Verträge, NDAs, Verträge mit Subunternehmern) A.7.

- Organisatorische Vermögensverwaltung (Register der Informationsbestände, Risikobewertung, Revision, akzeptable Nutzung von Informationen und Vermögenswerten, Lieferung und Rückgabe von Vermögenswerten, Medienmanagement, Änderungen, Überprüfungen) A.8

- Zugangskontrolle (Zugriffsrechte, logische Netzkontrollen, Überwachung und Kontrolle von Zugangsmanagementsystemen, Zugangskontrollrichtlinie) A.9

- Kryptographierichtlinie (Richtlinie für die Nutzung der Kryptographiekontrolle, Schlüsselverwaltung) A.10

- Physische Sicherheit (physische Zugangskontrollen, Kontrolle der Computerausstattung, Kabelmanagement, Umweltkontrollen, sichere Entsorgung oder Wiederverwendung des Equipments (A.11.):

- Operatives Sicherheitsmanagement (Geschäftsanwendungen, Systemüberwachung und -steuerung, Systemverwaltung, dokumentierte Betriebsverfahren) A.12

- Netzsicherheitsmanagement (Netzkontrollen, Informationsübertragung, NDA) A.13

- Systemsicherheitsmanagement (Beschaffungsmanagement, Sicherheitsanforderungen, Wartung von IT-Systemen, Richtlinie für eine sichere Entwicklung, sichere Entwicklungsumgebung, Tests) A.14

- Management der Lieferantenbeziehungen (Informationssicherheitsrichtlinie in den Lieferantenbeziehungen, Einkauf, Verwaltung von Änderungen bei den Dienstleistungen der Lieferanten) (A.15):

- Management von Sicherheitsvorfällen (Management von Informationssicherheitsvorfällen, Bewertung, Reaktion, Lernen) A.16

- Sicherheitskontinuitätsmanagement (Geschäftskontinuitätsplan) A.17

- Management der Einhaltung von Sicherheitsvorschriften (Gesetzgebung, Überwachung) A.18