Ein Audit-Nachweis ist ein Beleg, der die Umsetzung einer Kontrolle oder eines Prozesses gegenüber einem Auditor dokumentiert. Nachweise können Dokumente, Aufzeichnungen, Screenshots, Konfigurationsexporte oder Interviewprotokolle sein.
ISO 27001 Clause 9.2 (Internes Audit) verlangt, dass Audits auf objektiven Nachweisen basieren. Die Qualität der Nachweise bestimmt, ob ein Auditor eine Kontrolle als wirksam umgesetzt bewertet. Gute Audit-Nachweise sind datiert, eindeutig zuordenbar und zeigen den tatsächlichen Zustand zum Prüfzeitpunkt. Typische Beispiele: ein Export der Zugriffsrechte aus dem Active Directory, ein Screenshot der Firewall-Regeln mit Zeitstempel oder das Protokoll einer Managementbewertung. Sammle Nachweise kontinuierlich, anstatt sie kurz vor dem Audit zusammenzusuchen.