DIN EN ISO/IEC 27007 beinhaltet eine Hilfestellung zur Handhabung eines Informationssicherheitsmanagementsystem (ISMS)-Auditprogramms, zur Durchführung von Audits, und zur Kompetenz von ISMS-Auditoren, ergänzend zu den Hilfestellungen in ISO 19011:2011 (DIN EN ISO 19011).

DIN EN ISO/IEC 27007 ist anwendbar für diejenigen, die interne oder externe Audits eines ISMS verstehen oder durchführen müssen oder ein ISMS-Auditprogramm handhaben müssen.

Inhalt

Nationales Vorwort
Europäisches Vorwort
Anerkennungsnotiz
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

4 Grundsätze der Auditierung

5 Management eines Auditprogramms

Allgemeines

Festlegung der Ziele des Auditprogramms

Ermittlung und Beurteilung von Risiken und Chancen im Zusammenhang mit Auditprogrammen

Aufstellung des Auditprogramms

• Rollen und Verantwortlichkeiten der Person(en), die das Auditprogramm steuert (steuern)
• Kompetenz von Person(en), die das Auditprogramm steuert (steuern)
• Festlegung des Umfangs des Auditprogramms
• Ermittlung von Auditprogrammressourcen

Umsetzung des Auditprogramms

• Allgemeines
• Definition der Ziele, des Anwendungsbereichs und der Kriterien für ein Einzelaudit
• Auswahl und Festlegung von Auditmethoden
• Auswahl von Mitgliedern des Auditteams
• Übertragung der Verantwortung für ein Einzelaudit an den Leiter des Auditteams
• Management des Ergebnisses des Auditprogramms
• Management und Pflege der Auditprogrammunterlagen

Überwachung des Auditprogramms

Überprüfung und Verbesserung des Auditprogramms

6 Durchführung eines Audits

Allgemeines

Einleitung des Audits

• Allgemeines
• Herstellung des Kontakts mit der auditierten Organisation
• Feststellung der Durchführbarkeit des Audits

Vorbereitung von Auditaktivitäten

• Überprüfung dokumentierter Informationen
• Planung des Audits
• Übertragung von Arbeiten an das Auditteam
• Vorbereitung dokumentierter Informationen für das Audit

Durchführung der Auditaktivitäten

• Allgemeines
• Zuweisung von Rollen und Verantwortlichkeiten von Guides und Beobachtern
• Durchführung der Eröffnungsbesprechung
• Kommunikation während des Audits
• Verfügbarkeit von und Zugang zu Auditinformationen
• Überprüfung der Dokumentinformationen während der Durchführung des Audits
• Erfassung und Überprüfung von Informationen
• Erstellung der Auditfeststellungen
• Erarbeitung der Auditschlussfolgerungen
• Durchführung der Abschlussbesprechung

Erarbeitung und Verteilung des Auditberichts

• Erarbeitung des Auditberichts
• Verteilung des Auditberichts

Abschluss des Audits

Durchführung von Auditfolgemaßnahmen

7 Kompetenz und Bewertung von ISMS-Auditoren

Allgemeines

Ermittlung der Kompetenz von Auditoren

• Allgemeines
• Persönliches Verhalten
• Kenntnisse und Fertigkeiten
  • Allgemeines
  • Allgemeine Kenntnisse und Fertigkeiten von Auditoren von Managementsystemen
  • Fachrichtung und sektorspezifische Kompetenz von Auditoren
  • Allgemeine Kompetenz eines Leiters eines Auditteams
  • Kenntnisse und Fertigkeiten zum Auditieren in mehreren Fachrichtungen
• Erreichung der Kompetenz von Auditoren
• Erreichung der Kompetenz des Leiters des Auditteams

Aufstellung von Kriterien zur Bewertung von Auditoren

Auswahl der entsprechenden Methode zur Bewertung von Auditoren

Durchführung der Bewertung von Auditoren

Aufrechterhaltung und Verbesserung der Kompetenz von Auditoren

Anhang A - Anleitung zur praktischen Durchführung von ISMS-Audits (informativ)

Überblick

Allgemeines

• Ziele, Umfang und Kriterien von Audits sowie Auditnachweise
• Strategie zum Auditieren eines ISMS
• Audit und dokumentierte Informationen

Anleitung über die Anforderungen an dokumentierte Informationen nach DIN EN ISO/IEC 27001

• Hintergrund
• Beispiel einer impliziten Anforderung an dokumentierte Informationen
• Beispiele, bei denen keine expliziten oder impliziten Anforderungen an dokumentierte Informationen vorliegen

Die Erklärung zur Anwendbarkeit

Sonstige dokumentierte Informationen

Anmerkungen

Anleitung zur Auditierung eines ISMS

Literaturhinweise

Literaturhinweise (informativ)