Internes Audit (9.2)

Klausel 9.2 – Internes Audit

Das interne Audit ist der eingebaute Selbstcheck des ISMS. Die Organisation prüft in geplanten Abständen, ob ihr ISMS:

• die eigenen Anforderungen (Richtlinien, Verfahren) erfüllt;
• die Anforderungen der Norm ISO/IEC 27001 erfüllt;
• wirksam umgesetzt und aufrechterhalten wird.

Es ist das Trockentraining vor dem externen Zertifizierungsaudit – wer hier ehrlich prüft, erlebt vor Ort keine bösen Überraschungen.

Das Auditprogramm (9.2.2)

Die Organisation muss ein oder mehrere Auditprogramme planen. Diese legen fest: Häufigkeit, Methoden, Verantwortlichkeiten, Planungsanforderungen und Berichterstattung. Die Häufigkeit richtet sich nach der Bedeutung der Prozesse und nach Ergebnissen früherer Audits – kritische oder zuletzt auffällige Bereiche werden öfter geprüft.

Unabhängigkeit & Objektivität

Die Auditoren müssen objektiv und unparteiisch sein. Die wichtigste Regel: Niemand auditiert seine eigene Arbeit. In kleinen Organisationen löst man das durch Über-Kreuz-Prüfung oder externe Auditoren. Wichtig: Ein interner Audit darf von externen Dienstleistern durchgeführt werden – „intern" meint die Perspektive (1st party), nicht den Arbeitgeber.

Ablauf eines Audits

1. Planung       → Auditplan, Umfang, Kriterien
2. Durchführung  → Interviews, Stichproben, Nachweise prüfen
3. Feststellungen→ Konformität / Abweichung / Verbesserungspotenzial
4. Bericht       → an die relevante Leitung
5. Nachverfolgung→ Korrekturmaßnahmen (Klausel 10) überwachen

Feststellungen

Nachweise

Das Auditprogramm, die Auditergebnisse und die Berichte müssen als dokumentierte Information aufbewahrt werden. Sie sind eine wichtige Eingabe für die Managementbewertung. Methodische Hilfe gibt ISO/IEC 27007 (Leitfaden für ISMS-Audits) und ISO 19011.