ISO/IEC 27001 Audit

Leistungsumfang ISO/IEC 27001 Audit

1. Auditplanung

• Erstellung eines strukturierten Auditplans gemäß ISO/IEC 27001:2022 (Kap. 9.2)
• Festlegung des Auditumfangs (ISMS-Geltungsbereich, relevante Prozesse, Standorte, IT-Systeme)
• Abstimmung mit den beteiligten Abteilungen und Rollen
• Ableitung der Auditziele basierend auf ISO/IEC 27001-Anforderungen sowie individueller Risiken und gesetzlichen Vorgaben

2. Auditdurchführung

Überprüfung der Wirksamkeit und Umsetzung des Informationssicherheits-Managementsystems (ISMS), insbesondere:

• Kontext der Organisation & interessierte Parteien (Kap. 4)
• Risikobasierter Ansatz & Risikobehandlung (Kap. 6.1)
• Informationssicherheitsziele und Planung (Kap. 6.2)
• Technisch-organisatorische Maßnahmen nach Anhang A, z. B.:
• Zugriffskontrolle, Patchmanagement, Monitoring, Kryptografie
• Incident-Management
• Lieferantenbeziehungen (z. B. SLAs, Sicherheit in der Lieferkette)
• Business Continuity & Notfallplanung
• Betrieb und Leistungsbewertung (Kap. 8 & 9)
• Interviews mit ISMS-relevanten Rollen (z. B. CISO, IT-Leitung, HR, Einkauf)
• Sichtung und Bewertung von Richtlinien, Verfahren, Protokollen und Nachweisen

3. Auditbericht

• Ausführlicher Auditbericht mit Darstellung des Ist-Zustands
• Dokumentation identifizierter Abweichungen (Nichtkonformitäten, Beobachtungen, Verbesserungspotenziale)
• Bewertung der Wirksamkeit des ISMS und Empfehlungen zur Optimierung

4. Abschlussgespräch

• Präsentation der Auditfeststellungen gegenüber Management und ISMS-Verantwortlichen
• Möglichkeit zur Diskussion offener Fragen und Festlegung der nächsten Schritte

Bitte beachten Sie: Der Service ist 6 Monate nach Kick-off-Meeting gültig und verfällt automatisch danach.