Der Status eines zertifizierten Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 wird erst durch ein externes Audit erreicht, das von unabhängigen Auditoren einer akkreditierten Zertifizierungsstelle durchgeführt wird. Zur Aufrechterhaltung der Zertifizierung ist dieses Audit jährlich zu wiederholen, wobei der Umfang der Überprüfung variiert.
Zum Bestehen des externen Audits muss wiederum im Vorfeld ein internes Audit zu Erfüllung der Anforderung ISO/IEC 27001 Kap.9.2 durchgeführt werden und auch dieses muss jährlich wiederholt werden.
Aus diesen beiden Gründen ist die Durchführung von Audits für den Status eines zertifizierten ISMS unumgänglich und wiederkehrender Bestandteil eines ISO/IEC zertifizierten ISMS
Audit-Durchführung
Häufig stellt die Durchführung eines Audits für Mitarbeitende eine besondere Situation dar. Der Grund für die zumeist nicht vorhandene Routine aller Beteiligter ist:
- Eine Routine kann sich nur langsam bilden, wie eingangs beschrieben finden Audits nur 1-2x im Jahr mit teilweise wechselnden Beteiligten statt;
- Audits sind einer Prüfungssituation ähnlich, dies steigert wohlmöglich Nervosität, Lampenfieber usw.;
- Anforderungen für das Audit ergeben sich aus Standards oder einer Norm, die häufig nicht im Zentrum der täglichen Arbeit liegen.
Die jeweilige Auditsituation kann darüber hinaus sowohl aus Sicht der Ansprechperson als auch aus Sicht der auditierenden Person (Auditor bzw. Auditorin) mit ganz unterschiedlichen Wahrnehmungen verbunden sein, insbesondere wenn kein vergleichbarer Kenntnisstand der Vorgehensweise sowie der inhaltlichen Fragestellungen besteht. Als Ansprechperson müssen die Beschäftigten zumeist der auditierenden Person Rede und Antwort stehen, was einer Prüfungssituation vergleichbar ist. Die auditierende Person wird dann nicht selten (unabhängig davon, ob bekannt oder nicht) als abweisend wahrgenommen.
Dabei entsteht in der Praxis nicht selten der Eindruck, dass die aufeinandertreffenden Seiten nicht immer die gleiche Sprache sprechen, obwohl es sich zumeist auf beiden Seiten um Fachpersonen handelt. Häufig liegt es an einer unterschiedlichen Kommunikationsebene bzw. voneinander abweichenden Begriffsverständnis. Dieses Problem kann durch die Auditorin / den Auditor noch verstärkt werden, wenn sich die Fragen übermäßig an den zu prüfenden Anforderungen orientieren, weil sich nicht getraut wird, von wörtlichen Formulierungen und Satzstellungen zu lösen. Ein weiterer Auslöser kann unterschiedliches Fachwissen sein, dass einen zu einem zu großen Unterschied im Verständnis der jeweiligen technischen Details führt.
Hohe Anforderungen an Mitarbeitende
Für Mitarbeitende, mit guten Kenntnissen im ISMS oder der ISO/IEC 27001, kann hingegen die Situation eintreten, dass diese mit der Durchführung eines Audits beauftragt werden und völlig unvorbereitet dabei die Rolle eines Auditierenden einnehmen müssen. Hier muss dann plötzlich die Herausforderung gemeistert werden, angemessen Fragen zu den jeweiligen Anforderungen zu formulieren bzw. zu erkennen, wenn eine weitere Hilfestellung zu den gestellten Fragen erforderlich ist, um überhaupt zielführende Antworten zu erhalten. Dies gilt folglich unabhängig davon, ob das notwendige Fachwissen bereits vorhanden ist.
Das größte Problem im Rahmen eines Audits kann es aber sein, dass die beteiligten Gesprächspersonen, dies trifft sowohl die auditierende als auch die auditierte Person, eine anstrengende, schwierige oder unangenehme Gesprächssituation empfinden bzw. auslösen, mit der alle Beteiligten dann umgehen müssen. Dies ist dann ebenfalls nicht dem fehlenden Fachwissen der abzufragenden Inhalte geschuldet, sondern der Schwierigkeit sich in einer derartigen Situation mit einer angepassten Kommunikation und der gegenseitigen Wahrnehmung vorhandener (Fehl-)Vorstellungen auseinanderzusetzen.
Mock-Audit
Für diese hier dargestellten Problemfelder kann es allen Teilnehmenden eines Audits helfen, die Situationen bereits im Rahmen eines Mock-Audit zu erproben bzw. durchzuspielen. Denkbar ist es, dass mit oder ohne Moderation von Außenstehenden eine vergleichbare Auditsituation probeweise durchlaufen wird. Das kann intern mit allen Beteiligten zu verschiedenen Abfrageinhalten geübt oder aber gemeinsam mit Dritten in einem angebotenen Planspiel erprobt werden. Durch die in der Gruppe spielerisch erlebte Situation, einer angenehmen Umgebung und einem freundlichen sowie wertschätzenden Umgang miteinander, können die möglicherweise im Ernstfall auftretenden Probleme und Gesprächskomplikationen auf diese Weise geübt werden, ohne dass sich eine innere Abwehrhaltung entwickelt. Falls dann vergleichbare Situationen im Audit eintreten, sind die Beteiligten vorbereitet und können zielführend und kompetent auf derartige Situationen reagieren.
Unsere DSN Akademie bietet solche Mock-Audits an. Bei Interesse schauen Sie doch einmal hier vorbei.