Bei einem Auditprozess handelt es sich im Allgemeinen um einen Überprüfungsprozess, der sicherstellen soll, dass das ISMS der Organisation den Anforderungen eines bestimmten Rahmens entspricht, z. B. dem Rahmen von ISO 27001. Bevor eine Organisation jedoch zu einem Zertifizierungsaudit übergeht, findet normalerweise ein internes Audit statt. Das interne Audit hilft der Organisation, den aktuellen Stand der Umsetzung der Kontrollen eines bestimmten Rahmenwerks zu überblicken und potenzielle Nichtkonformitäten zu finden, die vor dem Zertifizierungsaudit behoben werden sollten. Mögliche Verbesserungen, die entweder bei einem internen Audit oder bei einem Zertifizierungsaudit festgestellt werden, helfen der Organisation, ihr eigenes ISMS kontinuierlich zu verbessern.
Wann sollten Sie ein (internes) Audit in Cyberday durchführen?
Ein (internes) Audit ist ein effizientes Instrument zur Überprüfung des aktuellen Konformitätsniveaus der Organisation. Die Verwendung dieses Instruments in Cyberday ist ein großer Schritt, nachdem zumindest einige der (zu prüfenden) Kontrollen vollständig implementiert sind. Die Ergebnisse werden direkt in Cyberday dokumentiert und können als Grundlage für weitere Verbesserungen verwendet werden.
Wie können Sie einen internen Prüfungsplan in Cyberday erstellen?
Wo Sie diese Ansicht finden: Dashboard -> Thema: Risikomanagement und Führung -> Dokumentation -> Audits
Wenn Sie einen Auditplan erstellen möchten, gehen Sie zum Organization Dashboard in Cyberday und öffnen Sie das Thema "Risikomanagement und Führung" aus der Themenliste. Sobald das Thema geöffnet ist, finden Sie auf der rechten Seite das Feld "Dokumentation". Öffnen Sie den Link "Audits", um den Auditplan zu sehen.
Die Auditliste enthält alle durchgeführten und geplanten Audits. Wenn Sie eine neue Prüfung planen möchten, fügen Sie über die Schaltfläche in der oberen rechten Ecke ein neues Audit hinzu. Ein neues Audit wird der Liste hinzugefügt. Öffnen Sie das neue Audit, legen Sie einen Eigentümer und einen Namen fest und wählen Sie den Status "geplant" aus dem Dropdown-Menü (wenn Sie das Audit lediglich planen möchten). Wählen Sie auf der Prüfungskarte das Datum und die Uhrzeit aus, zu der die Prüfung durchgeführt werden soll.
Wie definiert man einen Prüfungsumfang in Cyberday?
Sobald Sie das Audit in Ihrer Liste angelegt und die Auditkarte geöffnet haben, können Sie den Umfang durch Beantwortung der ersten Frage festlegen. Die Auswahl der ersten Frage ist für die Erstellung des "Audit-Fortschrittsberichts" erforderlich, der die dritte Frage der Karte darstellt. Sie können den Inhalt des eigenen ISMS unter dem Gesichtspunkt eines bestimmten Rahmens oder eines verwandten Managementsystemabschnitts, wie z. B. "Vorfalls-Management" oder "Management von Datensätzen", überprüfen. Wenn Sie ein bestimmtes Rahmenwerk auswählen, können Sie auch bestimmte Abschnitte auswählen, so dass Sie nicht das gesamte Rahmenwerk auf einmal auditieren müssen, sondern eher in kleinere Abschnitte mit besser zu bewältigenden Zeitfenstern aufgeteilt werden. Viele Rahmenregelungen sehen z. B. vor, dass die gesamte Rahmenregelung alle drei Jahre durch interne Audits abgedeckt werden muss.
Wie führen Sie ein internes Audit durch?
Um ein Audit durchzuführen, gehen Sie in der Auditliste zur Prüfungskarte und wählen Sie unter der dritten Frage die Möglichkeit einen Audit-Vortschrittsbericht zu erstellen. Achtung! Bevor Sie zu diesem Schritt übergehen können, müssen Sie in Frage eins den Umfang usw. angeben.
Der Audit-Fortschrittsbericht wird geöffnet und Sie können die folgenden Schritte ausführen:
- Prüfen Sie die im Audit-Fortschrittsbericht aufgeführten Aufgaben
- Dokumentieren Sie alle beobachteten Nichtkonformitäten oder Beobachtungen für jede Anforderung und markieren Sie dann "Als überprüft".
Der Prüfer kann anhand der Liste überprüfen, ob alle Informationen noch aktuell sind (d. h. verantwortliche Personen, wurden alle Maßnahmen tatsächlich durchgeführt, wurden die Aufgaben überprüft, sind die Beschreibungen aktuell usw.). Notieren Sie während des Audits alles, was nicht übereinstimmt oder falsch ist, als Nichtkonformität, damit es nach dem Audit verbessert werden kann.
Notieren Sie für die Nichtkonformitäten alle erforderlichen Details in der neuen Registerkarte, die sich öffnet, wenn Sie auf "Neue Nichtkonformität hinzufügen" klicken, und wenn möglich auch mögliche Verbesserungsvorschläge. Die Nichtkonformitäten müssen behoben werden, um das Audit abschließen zu können.
In der Auditkarte aus der Auditliste finden Sie im zweiten Abschnitt eine Übersicht über alle gefundenen Nichtkonformitäten. Sie können auch direkt von dort aus Nichtkonformitäten hinzufügen oder weitere positive und andere Feststellungen aus dem Audit hinzufügen. Später sollten Sie die Verbesserungen planen und verbinden(Abschnitt vier), um das Audit abschließen zu können. Sie können das Audit abschließen, wenn alle Verbesserungen dem Auditor vorgelegt wurden und die Korrekturmaßnahmen vom Auditor "akzeptiert" worden sind.
Wie erstellen Sie den endgültigen Prüfungsbericht?
Wenn Sie alle oben genannten Schritte durchgeführt, die Abschnitte der Auditkarte als abgeschlossen markiert und auf "Fortschrittsbericht fertigstellen" geklickt haben, können Sie das Audit abschließen und ein einzelnes Dokument aus der Auditkarte erstellen. Gehen Sie einfach zur Auditkarte und öffnen Sie das Dropdown-Menü, indem Sie auf die drei Punkte auf der rechten Seite neben der Überschrift klicken. Wählen Sie"Bericht anzeigen", um den Bericht zu öffnen.
Das Dokument des internen Auditberichts kann folgendermaßen aussehen:
Der Audit-Fortschrittsbericht kann später auch in der Rubrik "Berichte" auf Cyberday eingesehen werden. Er ist nützlich, um den Fortschritt zu zeigen, aber eher für die Prüfer, weniger für die Geprüften.
Fragen und Feedback
Haben Sie weitere Fragen, benötigen Sie einen weiteren Hilfeartikel oder möchten Sie uns ein Feedback geben? Bitte kontaktieren Sie unser Team über team@cyberday.ai oder die Chatbox in der rechten unteren Ecke.
