Das Audit beginnt remote mit Stufe 1: Ich prüfe die vorhandene Dokumentation des Informationssicherheitsmanagementsystems. Dazu gehören Richtlinien, Risikobewertungen, Managementbewertungen, interne Audits und weitere Nachweise. Mein Fokus liegt auf der Vollständigkeit und strukturellen Konsistenz.
Dann bin Ich unterwegs nach Tirschenreuth in der Oberpfalz – rund vier Stunden dauert die Anfahrt, bevor ich vor Ort eine kritische Infrastruktur nach ISO/IEC 27001 auditiere. Die Strecke nutze ich, um mich auf die branchenspezifischen Prozesse und die organisatorischen Besonderheiten gedanklich einzustellen. Leckeres Pausenbrot von zuhause und ein paar Podcasts helfen dabei.
In Stufe 2 werfe ich vor Ort einen Blick auf die Wirksamkeit der umgesetzten Maßnahmen. Ich besuche mit dem Kunden die verschiedenen Stationen der Fernwirktechnik, verschaffe mir ein Bild von den Sicherheitsmaßnahmen vor Ort und führe Interviews mit Beschäftigten aus IT, Technik, Betrieb und Führung. Jeder Gesprächspartner gibt mir einen wertvollen Einblick in den Alltag der Organisation. Immer aus dem Blickwinkel der Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Es besteht die Möglichkeit, Fragen zu Themen der Informationssicherheit zu klären. Insgesamt ist es wichtig, als Lead Auditor den Überblick über die Normabschnitte des Standards zu behalten und diese gemäß Auditplan zu auditieren.
Am Ende des Audits ziehe ich ein strukturiertes Fazit in der Abschlussbesprechung. Ich bedanke mich für die offene und professionelle Zusammenarbeit – sie ist ein wesentlicher Erfolgsfaktor für ein wirksames ISMS.
See English below 🇬🇧:
Audit Journey to the Upper Palatinate: ISO/IEC 27001 under Review
The audit begins remotely with Stage 1: I review the existing documentation of the Information Security Management System. This includes policies, risk assessments, management reviews, internal audits, and other relevant records. My focus is on completeness and structural consistency.
Then I travel to Tirschenreuth in the Upper Palatinate – the journey takes about four hours before I audit a critical infrastructure site on-site in accordance with ISO/IEC 27001. I use the travel time to mentally prepare for the sector-specific processes and organizational specifics. A tasty homemade sandwich and a few podcasts help set the tone.
In Stage 2, I assess the effectiveness of the implemented measures on site. Together with the client, I visit the various remote-control stations, get a sense of the local security measures, and conduct interviews with staff from IT, technical operations, and management. Each conversation provides valuable insights into the organization’s day-to-day practices. I always keep the protection goals – availability, confidentiality, and integrity – in mind. There’s room to clarify questions on information security. It is crucial for me, as Lead Auditor, to keep an overview of the standard’s clauses and audit them according to the audit plan.
At the end of the audit, I present a structured conclusion during the closing meeting. I express my sincere thanks for the open and professional collaboration – it is a key success factor for an effective ISMS.
Ver abajo en español 🇪🇸:
Viaje de auditoría a la Alta Palatinado: ISO/IEC 27001 a prueba
La auditoría comienza de forma remota con la Fase 1: reviso la documentación existente del sistema de gestión de seguridad de la información. Esto incluye políticas, evaluaciones de riesgos, revisiones de la dirección, auditorías internas y otros registros. Me centro en la integridad y coherencia estructural.
Después me desplazo a Tirschenreuth, en la Alta Palatinado. El trayecto dura unas cuatro horas antes de auditar in situ una infraestructura crítica conforme a la norma ISO/IEC 27001. Aprovecho el tiempo de viaje para prepararme mentalmente para los procesos específicos del sector y las particularidades organizativas. Un buen bocadillo casero y algunos podcasts me acompañan.
En la Fase 2, evalúo la eficacia de las medidas implementadas en el lugar. Junto con el cliente, visito las distintas estaciones de control remoto, analizo las medidas de seguridad existentes y realizo entrevistas con empleados de TI, operaciones técnicas y dirección. Cada conversación me ofrece una valiosa visión del trabajo diario de la organización. Siempre con los objetivos de protección en mente: disponibilidad, confidencialidad e integridad. También se pueden aclarar preguntas sobre seguridad de la información. Como auditor líder, es esencial mantener una visión general de los capítulos normativos y auditarlos conforme al plan de auditoría.
Finalizo el proceso con una conclusión estructurada en la reunión de cierre. Agradezco sinceramente la colaboración abierta y profesional, que es un factor clave para la eficacia de un SGSI.
Voir ci-dessous en français 🇫🇷:
Voyage d’audit en Bavière : ISO/IEC 27001 à l’épreuve
L’audit commence à distance avec l’étape 1 : j’examine la documentation existante du système de management de la sécurité de l’information. Cela comprend les politiques, les analyses de risques, les revues de direction, les audits internes et autres preuves. Je me concentre sur l’exhaustivité et la cohérence structurelle.
Je me rends ensuite à Tirschenreuth, en Haute-Bavière. Le trajet dure environ quatre heures avant d’auditer sur site une infrastructure critique selon ISO/IEC 27001. Je profite du voyage pour me préparer mentalement aux spécificités du secteur et de l’organisation. Un bon sandwich maison et quelques podcasts m’accompagnent.
Lors de l’étape 2, j’évalue l’efficacité des mesures mises en œuvre sur place. Avec le client, je visite les différentes stations de télégestion, j’observe les mesures de sécurité locales et je mène des entretiens avec le personnel des services informatiques, techniques et de direction. Chaque échange m’apporte un éclairage précieux sur la réalité opérationnelle. Je garde toujours à l’esprit les objectifs de protection : disponibilité, confidentialité et intégrité. C’est également l’occasion de clarifier des questions sur la sécurité de l’information. En tant qu’auditeur principal, je veille à garder une vue d’ensemble des clauses normatives et à les auditer conformément au plan d’audit.
Je conclus l’audit par une synthèse structurée lors de la réunion finale. Je remercie chaleureusement toutes les personnes pour leur collaboration ouverte et professionnelle – un facteur déterminant pour l’efficacité d’un SMSI.
#isms #iso27001 #audit #suhlingtooling