DQS veröffentlicht Auditleitfaden zu ISO 27001 - Wertvolle Impulse für interne Audits

Frankfurt am Main, 23. November 2020 – Ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) gemäß der Norm ISO/IEC 27001 ist die Grundlage zur wirksamen Umsetzung einer ganzheitlichen Informationssicherheitsstrategie.

Besonders wertvoll für die Praxis ist die Umsetzung der Maßnahmen in Anhang A der Norm. Die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen hat jetzt einen Leitfaden zum Anhang A von ISO 27001 veröffentlicht, der sich u.a. an unternehmensinterne Auditoren von Informationssicherheits-Managementsystemen richtet. Der Leitfaden kann bei der DQS kostenfrei heruntergeladen werden.

Beispielhafte Auditfragen – mögliche Nachweise

Der ohnehin sehr praxisorientierte Ansatz des Anhangs ist nun im DQS-Leitfaden exemplarisch um Fragen zu geforderten Maßnahmen ergänzt worden. Interne Auditoren können so zielgerichtet überprüfen, ob und wie bestimmte Maßnahmen innerhalb der Organisation umgesetzt sind. Zugleich können sie möglichen Handlungsbedarf erkennen. Auch geeignete Nachweise und Kennzahlen schlägt der Leitfaden beispielhaft vor und berücksichtigt so den Blick auf die Wirksamkeit von umgesetzten Maßnahmen.

Hohe Praxisrelevanz des Anhangs

Über den Managementsystem-orientierten Anforderungsteil (Kapitel 4 bis 10) hinaus enthält ISO 27001 im Annex A über 14 Kapitel hinweg eine umfangreiche Auflistung von Maßnahmenzielen (sog. Controls) mit 114 konkreten Maßnahmen zu verschiedensten Sicherheitsaspekten. Damit ist ein Umsetzungskatalog entstanden, der direkt in die Praxis übertragen werden kann. Der nun vorliegende DQS-Leitfaden geht auf die Kapitel A5 bis A8 und A15 bis A18 ein und konzentriert sich damit auf die systemischen und organisatorischen Maßnahmen.

Jetzt herunterladen