In der Welt der Informationssicherheit spielt der Chief Information Security Officer (CISO) eine zentrale Rolle. Dieser ist maßgeblich an der Entwicklung und Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) beteiligt. Auch ISMS-Berater, die oft Tools und Vorlagen für Richtlinien anbieten, sind bedeutend. Doch wer sollte das interne Audit durchführen? Hier erfahren Sie, warum weder der CISO noch der ISMS-Berater diese Aufgabe übernehmen sollten.

Der Interessenkonflikt des CISO

Ein großes Problem ist, dass der CISO häufig tief in die Gestaltung und Implementierung des ISMS involviert ist. Dieser enge Bezug kann zu einem Interessenkonflikt führen. Er könnte dazu neigen, die Effektivität und Effizienz der eigenen Arbeit positiver darzustellen. Laut ISO/IEC 27001:2022 muss ein internes Audit objektiv und unparteiisch durchgeführt werden. Die Auditoren sollten daher unabhängig von den Aktivitäten sein, die sie überprüfen.

Anforderungen der ISO/IEC 27001 und 27002

Die ISO/IEC 27001:2022 und ISO/IEC 27002:2022 geben klare Richtlinien vor. Kapitel 9.2.2 der ISO/IEC 27001 betont, dass Auditoren so ausgewählt werden müssen, dass die Objektivität und Unparteilichkeit des Auditprozesses gewährleistet sind​​. Das schließt Personen aus, die direkt für die zu auditierenden Prozesse verantwortlich sind. Ebenso hebt Abschnitt A.5.35 der ISO/IEC 27002 die Notwendigkeit hervor, dass die Informationssicherheit unabhängig überprüft wird​​. Dies stellt sicher, dass die Maßnahmen wirksam sind und die Informationssicherheitsziele erreicht werden.

Die Problematik des ISMS-Beraters

Ein ähnliches Problem entsteht, wenn der ISMS-Berater, der die Tools und Richtlinien zur Verfügung gestellt hat, das interne Audit durchführt. Hier besteht ein offensichtlicher Interessenkonflikt. Der Berater könnte bestrebt sein, seine eigenen Produkte und Dienstleistungen in einem besseren Licht darzustellen. Das kann die Objektivität des Audits erheblich beeinträchtigen und die Ergebnisse verzerren.

Best Practices für interne Audits

Um die Objektivität und Unabhängigkeit eines internen Audits sicherzustellen, gibt es bewährte Verfahren. Die Audits sollten von einer unabhängigen Abteilung oder von externen Auditoren durchgeführt werden. Die Auditfunktion sollte direkt an die höchste Führungsebene berichten.

Einige bewährte Vorgehensweisen sind:

• Interne Auditabteilung: Eine unabhängige interne Auditabteilung, die regelmäßig Audits durchführt und direkt an das obere Management berichtet.

• Externe Auditoren: Unabhängige externe Auditoren, die keine Geschäftsbeziehung zum ISMS-Berater haben, sollten beauftragt werden. Externe Auditoren bringen frische Perspektiven und umfassende Erfahrung mit, was zu einer objektiveren Bewertung führt.

• Regelmäßige Rotationen: Rotationen innerhalb des Auditpersonals können ebenfalls dazu beitragen, die Unparteilichkeit zu wahren, indem sie verhindern, dass Auditoren zu vertraut mit den zu überprüfenden Prozessen werden.

Hinweis: Die ISO/IEC 27007 und ISO/IEC TS 27008 bieten eine Anleitung zur Durchführung unabhängiger Überprüfungen.

Unabhängigkeit und Unparteilichkeit sind zentrale Prinzipien eines jeden Audits. Ein unabhängiger Blick auf die Prozesse und Kontrollen ist notwendig, um verlässliche Ergebnisse zu gewährleisten. Weder der CISO noch der ISMS-Berater sollten das interne Audit durchführen. Durch die Auswahl unabhängiger Auditoren und die Einhaltung bewährter Verfahren können Unternehmen sicherstellen, dass ihre ISMS-Audits höchsten Standards entsprechen und ihre Informationssicherheitsmaßnahmen wirksam sind.