Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.35 — Unabhängige Überprüfung der IS

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.35 ISO 27001ISO 27002BSI ISMS.1

Ein ISMS ohne unabhängige Überprüfung ist wie eine Steuererklärung ohne Steuerprüfung: Du glaubst, alles stimmt, hast aber keinen externen Blick, der Lücken aufdeckt. Betriebsblindheit ist die größte Gefahr für die ISMS-Wirksamkeit. A.5.35 fordert regelmäßige unabhängige Überprüfungen, die bewerten, ob der Sicherheitsansatz der Organisation noch geeignet, angemessen und wirksam ist.

Was verlangt die Norm?

  • Regelmäßige Überprüfung. Der Ansatz der Organisation zur Informationssicherheit wird in geplanten Abständen oder bei wesentlichen Änderungen unabhängig überprüft.
  • Unabhängigkeit sicherstellen. Die Prüfenden arbeiten nicht in dem Bereich, den sie prüfen.
  • Ergebnisse berichten. Die Überprüfungsergebnisse werden dem Management berichtet, und notwendige Korrekturmaßnahmen werden eingeleitet.
  • Wesentliche Änderungen als Trigger. Neben geplanten Audits lösen wesentliche Änderungen (Reorganisation, neue Systeme, Sicherheitsvorfälle) eine Überprüfung aus.

In der Praxis

Auditprogramm erstellen. Das Programm definiert: Auditumfang, Häufigkeit, Methodik, Verantwortlichkeiten, Berichtsformat. Es wird jährlich überprüft und bei Bedarf angepasst. Der Auditplan für das aktuelle Jahr konkretisiert: Termine, Prüfbereiche, zugewiesene Auditoren.

Qualifizierte Auditoren einsetzen. Interne Auditoren brauchen Audit-Know-how und IS-Fachwissen. Eine ISO-19011-Schulung ist empfehlenswert. Bei fehlendem internen Know-how: externe Auditoren beauftragen. Die Kosten sind überschaubar und die Ergebnisse sind erfahrungsgemäß wertvoller.

Befunde nachverfolgen. Jeder Audit-Befund bekommt: Schweregrad, Beschreibung, betroffene Kontrolle, Maßnahme, verantwortliche Person, Frist. Die Umsetzung wird nachverfolgt und in einem Follow-Up-Audit verifiziert. Offene Befunde aus internen Audits sind ein häufiger Befund in Zertifizierungsaudits.

Audit-Ergebnisse in den Management-Review einspeisen. Die Zusammenfassung der Audit-Ergebnisse ist ein Pflicht-Input für den Management-Review (ISO 27001 Clause 9.3). Das Management entscheidet über die Priorisierung der Korrekturmaßnahmen.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.35 typischerweise diese Nachweise:

  • Auditprogramm — mehrjährige Planung der internen Audits
  • Auditplan — konkreter Plan für das aktuelle Jahr
  • Audit-Berichte — Ergebnisse der durchgeführten internen Audits
  • Befundregister — Status aller Audit-Befunde mit Maßnahmenverfolgung
  • Auditor-Qualifikation — Nachweis der Kompetenz und Unabhängigkeit der Auditoren

KPI

Anzahl unabhängiger IS-Überprüfungen in den letzten 12 Monaten

Ziel: mindestens 1 umfassendes internes Audit pro Jahr. Zusätzliche Audits bei wesentlichen Änderungen. Die Anzahl allein ist nicht aussagekräftig — die Abdeckung der Kontrollen über den Zertifizierungszyklus ist wichtiger.

Ergänzende KPIs:

  • Anteil der Annex-A-Kontrollen, die im aktuellen Zertifizierungszyklus auditiert wurden
  • Anzahl der offenen Audit-Befunde
  • Durchschnittliche Behebungsdauer für Audit-Befunde

BSI IT-Grundschutz

A.5.35 mappt auf die BSI-Anforderungen zu Audits und Revisionen:

  • ISMS.1.A11 (Aufrechterhaltung der Informationssicherheit) — verlangt regelmäßige Überprüfung der Wirksamkeit des Sicherheitsmanagements.
  • DER.3.1 (Audits und Revisionen) — Anforderungen an die Planung, Durchführung und Nachbereitung von IS-Audits.
  • DER.3.2 (Revisionen auf Basis des Leitfadens IS-Revision) — spezifische Methodik für IS-Revisionen nach BSI-Leitfaden.

Verwandte Kontrollen

A.5.35 bildet den Prüfungsrahmen des ISMS:

Quellen

Häufig gestellte Fragen

Was bedeutet 'unabhängig' bei einer Überprüfung?

Die prüfende Person darf nicht direkt in dem Bereich arbeiten, den sie prüft. Ein interner Auditor, der die IT-Abteilung prüft, erfüllt das Kriterium — solange er selbst nicht in der IT arbeitet. Für kleine Organisationen, in denen jeder alles macht, bietet sich ein externer Auditor an.

Wie oft muss eine unabhängige Überprüfung stattfinden?

ISO 27001 Clause 9.2 fordert interne Audits in geplanten Abständen. In der Praxis: jährlich, wobei nicht alle Kontrollen in einem Audit abgedeckt werden müssen. Ein dreijähriger Auditplan, der alle Kontrollen im Zertifizierungszyklus abdeckt, ist Standard.

Kann ich das interne Audit selbst machen oder brauche ich einen externen?

Internes Audit ist ausreichend — solange die Unabhängigkeit gewährleistet ist. Für kleine Organisationen oder bei fehlendem internen Know-how empfiehlt sich ein externer Auditor. Die ISO-Zertifizierung selbst erfordert ein externes Audit durch eine akkreditierte Zertifizierungsstelle (Stufe 1 und 2).