Zertifizierungs-Audit des ISMS – Wer hat Angst vorm Auditor?

Viele Unternehmen stehen derzeit vor einer Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC 27001. Seien es ein generell gestiegenes Bewusstsein für Informationssicherheit, aktuelle Bedrohungslagen oder gesetzliche Vorgaben wie der Sicherheitskatalog gem. §11 Abs. 1a EnWG: die Treiber für ein ISMS mögen verschieden sein, doch am Ende der Implementierungsphase steht immer dasselbe – das Zertifizierungs-Audit. Häufig stellt sich dann die Frage: »Wie kann ich meine Mitarbeiter auf das Audit bestmöglich vorbereiten?« In diesem Artikel erfahren Sie, was Sie tun können, damit Ihre Mitarbeiter für ein Audit gewappnet sind.

Wenn der Auditor kommt, muss niemand in Panik verfallen. Gerade bei einem Erst-Audit sind sich beide Parteien – der Auditor und die auditierte Organisation – oft noch nicht bekannt. Ein Audit führt daher auf beiden Seiten zu einer Stresssituation. Bedenken Sie dabei, dass der Auditor Ihr Unternehmen noch nicht kennt, noch weiß er, was genau ihn erwartet oder wie Ihr Unternehmen »tickt«. Deshalb gilt es gleich von Beginn an, ein positives und kooperatives Gesprächsklima zu schaffen und transparent und offen zu kommunizieren. Damit können Sie die Situation für beide Seiten angenehmer gestalten und eine erste Weiche in Richtung erfolgreiches Audit stellen.

Dies allein reicht allerdings nicht aus, um ein Audit erfolgreich zu bestehen. Natürlich muss das ISMS im Unternehmen tatsächlich gelebt werden. Dies ist die logische Grundvoraussetzung für eine erfolgreiche Zertifizierung. Jedoch kann es nicht schaden, den Mitarbeitern etwas Rüstzeug mitzugeben, um sich im Audit auch »sicher« zu fühlen.

Grundsätzlich sollten alle (betroffenen) Mitarbeiter über Zeitpunkt und Gegenstand des Audits informiert sein. Weiterhin sollte jeder Kenntnis über das dokumentierte ISMS haben und wissen, wo die Dokumentation auch zu finden ist. Ein solches Wissen beinhaltet auch grundlegende Prozesse und Rollen Ihres ISMS sowie das Bewusstsein über die eigene Rolle. Auch ohne eine spezifische Rolle, beispielsweise als Risk- oder Asset Owner, zu bekleiden, haben alle Mitarbeiter eine Verantwortung für Informationssicherheit, welche in der Regel auch dokumentiert ist (und sein sollte).

Alle Mitarbeiter sollten einzelne Aspekte der gültigen Informationssicherheitsleitlinie sowie die Sicherheitsziele des Unternehmens kennen. Haben Sie Informationssicherheits-Flyer oder -Plakate? Diese sollten Ihren Mitarbeitern bekannt sein und Sie können gern auf solche Flyer und Plakate verweisen.

Ihre Mitarbeiter müssen nicht alles im Detail wissen oder im Schlaf herbeten können. Grundlegende Kenntnisse über die aktuell in Kraft gesetzten Richtlinien sollten aber vorhanden sein. Die wesentlichen Aspekte der Informationssicherheit im Unternehmen müssen bekannt sein, das heißt auch Wissen über durchgeführte Schulungen und Unterweisungen.

Vergessen Sie nicht: »Der Erste Eindruck bleibt!« – Also, sorgen Sie für einen »aufgeräumten« Arbeitsplatz und sperren Sie stets Ihren PC, wenn Sie Ihren Arbeitsplatz verlassen – auch bei nur kurzer Abwesenheit. Dies sollte natürlich immer Grundsatz sein. – Aber wir alle putzen auch vorsorglich vorm Zahnarztbesuch nochmals besonders gründlich die Zähne, wenngleich wir dies regelmäßig gründlich tun.

Mitarbeiter, welche direkt im Audit mitwirken, das heißt, an Audit-Sitzungen oder Interviews teilnehmen, sollten immer authentisch bleiben und keine »Schauspieleinlagen« einstudieren. Der Auditor merkt früher oder später, ob Rollen oder Prozesse nur vorgespielt oder tatsächlich gelebt werden. Machen Sie Ihren Mitarbeitern klar, dass nicht sie als Person oder ihre Tätigkeiten auditiert werden, sondern das ISMS des Unternehmens. Auch sind die Mitarbeiter nicht allein im Audit, sondern der Informationssicherheitsbeauftragte (CISO) oder das ISMS-Team übernimmt die Audit-Steuerung auf Unternehmensseite.

Antworten Sie sachlich, präzise und ohne Ausschweifungen auf Fragen des Auditors. Sprechen Sie niemals über Firmeninterna oder andere vertrauliche Informationen.

Eine, wenn nicht gar die Grundregel für jedes Audit lautet: »Der Auditor fragt, Sie antworten.« Dabei ist wichtig als Einheit aufzutreten, das heißt, widersprechen Sie sich nicht gegenseitig, diskutieren nicht mit- oder gegeneinander vor dem Auditor und fallen sich nicht ins Wort. Im Audit sollen die Fragen des Auditors inhaltlich korrekt und wahrheitsgemäß beantwortet werden. Die Zeit im Audit ist begrenzt und der Auditor ist bestrebt, seinen straffen Zeitplan einzuhalten. Es sollten daher keine zusätzlichen (unnötigen) Informationen hinzugefügt werden. Ein Tipp am Rande: Vertrauliche Informationen sind nur für einen bestimmten Personenkreis freigegeben. Informationen wie aktuelle Gewinnprognosen, Gehaltsnachweise, Arbeitsverträge oder andere Geschäftsgeheimnisse soll (und darf) auch der Auditor nicht sehen!

Halten Sie für das Audit entsprechende Nachweisdokumente bereit (Betriebshandbücher, Prozessdokumentationen, Übergabeprotokolle, Austrittslisten etc.).

Eine weitere wichtige Prämisse ist: »Es wird nur akzeptiert, was dokumentiert ist!« Natürlich kann der Auditor mal mehr, mal weniger »streng« sein und auch eine Aussage ohne entsprechenden Nachweis akzeptieren, je nachdem wie fair und vertrauensvoll die Kommunikation bisher war. Versuchen Sie dennoch möglichst für jede Ihrer Aussagen einen aktuellen Nachweis im Audit bereitzuhalten beziehungsweise zu wissen, wo es dokumentiert ist, auch in digitaler Form. Natürlich sollten diese Nachweise den Regelungen der Dokumentenordnung entsprechen.

Der Status aller für den auditierten Bereich relevanten Maßnahmen und gegebenenfalls identifizierte Nichtkonformitäten sowie deren Umsetzungsstand sollten bekannt und dokumentiert sein. Ebenso die für den auditierten Bereich notwendigen Richtlinien, Anweisungen und Prozesse! Auch hier gilt: Wissen heißt auch, zu wissen, wo etwas steht.

Es ist in Ordnung, wenn noch nicht alles perfekt funktioniert und Fehler auftreten. Ziel des ISMS ist es, dass sich die Informationssicherheit im Unternehmen stetig verbessert.

Bei Nichtkonformitäten (etwas entspricht nicht der Normanforderung): Durchatmen, Ruhe bewahren – keine Ausreden, keine Notlügen und nichts (dazu-) erfinden. Geben Sie dem Auditor auch die Chance, das ISMS des Unternehmens zu verbessern. Auch dafür ist er da. Diskutieren Sie nicht über festgestellte Mängel oder Kritik (sogenannte Abweichungen), sondern sehen Sie die Anmerkungen des Auditors immer als Chance zur Verbesserung. Vielleicht kann die eine oder andere Abweichung noch im Verlauf des Audits behoben werden. Sollten Sie wirklich einmal der Meinung sein, dass eine Abweichung nicht der Normanforderung entspricht, dann fragen Sie den Auditor offen, wo die Norm genau dies fordert.

Nutzen Sie die Möglichkeit von Probeläufen, etwa in Form von internen Audits. Je professioneller Sie Ihre internen Audits planen, durchführen und nachbereiten, desto sicherer werden auch Ihre Mitarbeiter. Lassen Sie sich ggf. im ersten Durchlauf der internen Audits von externen Experten unterstützen. Dies hilft Ihnen und Ihren Mitarbeitern, Vorgehensweisen und Fragestellungen durch die »Auditoren-Brille« zu sehen. Vielleicht findet sich ja auch das eine oder andere Verbesserungspotenzial.

Die beste Vorbereitung ist nutzlos, solange Ihr ISMS im Unternehmen nicht normkonform etabliert ist und entsprechend gelebt wird. Einen Werkzeugkasten mit Tipps und Tricks, um sich durch das Audit zu mogeln, gibt es nicht. Aber Sie können mit einer guten Vorbereitung dafür sorgen, dass sich Ihre Mitarbeiter und der Auditor wohl und wertgeschätzt fühlen.


Sebastian Eichler,
LEXTA CONSULTANTS GROUP,
Berlin
www.lexta.de

 

 

Illustration: © Ron and Joe /shutterstock.com 

 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Fast ein Drittel der Security-Experten hat bereits bei Audits geschummelt

RACF-Audit minimiert Risiken bei Mainframe-Kunden

Software-Audit: Zehn praktische Tipps, um böse Überraschungen zu vermeiden

Sicherheitsaudit: Identity und Access Management (IAM) im Selbsttest

System-audit und IT-Sanierung: Verschaffen Sie sich Klarheit

Energieaudit: ökologische Thin Clients setzen Potenziale in der IT frei

Software-Audits – Bares Geld sparen durch Lizenzmanagement

People Centric Security (PCS) und Data Centric Audit and Protection (DCAP) – Advanced Endpoint Security

Lizenzmanagement mit Software Asset Management – Überlizenzierung bindet gewaltige Budgetreserven

Spionage, Sabotage, Datendiebstahl: Deutscher Wirtschaft entsteht jährlich ein Schaden von 55 Milliarden Euro