Am Dienstagmorgen starte ich das 1. Überwachungsaudit nach der ISO/IEC 27001 in Hannover – direkt in der Innenstadt, bei einem jungen Unternehmen, das Softwarelösungen für die Organisation von fahrerlosen Transportsystemen und innerbetrieblicher Logistik entwickelt. Da ich das Unternehmen bereits aus dem Zertifizierungsaudit kenne, ist mir die Dokumentation weitgehend vertraut. Das erleichtert den Einstieg in das Audit und den Abgleich mit dem bestehenden Auditplan.
Zum Auftakt prüfe ich wie üblich den Geltungsbereich des Informationssicherheits-Managementsystems (ISMS), die aktuelle Mitarbeiterzahl, etwaige Änderungen seit der letzten Auditphase sowie die Durchführung des internen Audits und der Managementbewertung. Auch die Feststellungen aus dem Zertifizierungsaudit werden gegengeprüft. Anschließend folgt die Begehung der relevanten organisatorischen und technischen Bereiche.
Am Mittwoch widme ich mich den Themen Risikobehandlung und Sicherheitsmaßnahmen gemäß Anhang A. Ich prüfe insbesondere die Dokumentation der Risikobewertung, die zugehörigen Maßnahmenpläne sowie die Umsetzung formaler Anforderungen an Rollen, Verantwortlichkeiten, Regelwerke und Verfahren. Ich führe Interviews mit denn Beschäftigten aus verschiedenen Bereichen – insbesondere Management, IT und Entwicklung – und lasse mir die Nachweise zu zentralen Kontrollen vorlegen. Dazu zählen unter anderem Zugriffsregelungen, Passwortvorgaben, physische Sicherheit, Backup-Konzepte und Protokollierung.
Am Donnerstag erfolgt die abschließende Dokumentensichtung und das Abschlussgespräch. Ich fasse die wesentlichen Auditpunkte zusammen, erläutere das weitere Vorgehen im Rahmen der Überwachung und bedanke mich für die gute Zusammenarbeit mit allen Beteiligten. Dann endet das Audit mit vollständiger Auditdokumentation und klarer Grundlage für die weitere Bewertung im Rahmen des ISMS-Zyklus.
See English below 🇬🇧:
Between Robotics and Routing: Three Days of ISO/IEC 27001 Auditing in Hannover
On Tuesday morning, I start the first ISO/IEC 27001 surveillance audit in Hannover – right in the city center, at a young company that develops software solutions for managing autonomous transport systems and intralogistics. Since I already know the company from the certification audit, the documentation is largely familiar to me. This makes it easier to begin the audit and compare it with the existing audit plan.
As usual, I begin by reviewing the scope of the Information Security Management System (ISMS), the current number of employees, any changes since the last audit phase, as well as the performance of the internal audit and the management review. I also cross-check the findings from the certification audit. This is followed by the walkthrough of relevant organizational and technical areas.
On Wednesday, I focus on risk treatment and security controls according to Annex A. I review the risk assessment documentation, the related action plans, and the implementation of formal requirements concerning roles, responsibilities, policies, and procedures. I conduct interviews with staff from different departments – especially management, IT, and development – and examine the evidence for key controls. These include access rules, password policies, physical security, backup concepts, and logging.
Thursday is dedicated to the final document review and the closing meeting. I summarize the main audit points, explain the next steps in the surveillance process, and thank everyone involved for the good cooperation. The audit concludes with full audit documentation and a clear basis for continued evaluation within the ISMS cycle.
Ver abajo en español 🇪🇸:
Entre robótica y rutas: Tres días de auditoría ISO/IEC 27001 en Hannover
El martes por la mañana comienzo la primera auditoría de seguimiento según la norma ISO/IEC 27001 en Hannover, en pleno centro de la ciudad, en una empresa joven que desarrolla soluciones de software para la gestión de sistemas de transporte autónomos y logística interna. Como ya conozco a la empresa por la auditoría de certificación, la documentación me resulta en gran parte familiar. Esto facilita el inicio de la auditoría y la comparación con el plan de auditoría existente.
Como es habitual, empiezo revisando el alcance del Sistema de Gestión de Seguridad de la Información (SGSI), el número actual de empleados, los posibles cambios desde la última fase de auditoría, así como la realización de la auditoría interna y la revisión por la dirección. También verifico las observaciones de la auditoría de certificación. Luego sigue el recorrido por las áreas organizativas y técnicas relevantes.
El miércoles me centro en el tratamiento de riesgos y las medidas de seguridad según el Anexo A. Reviso especialmente la documentación de la evaluación de riesgos, los planes de acción correspondientes y la implementación de los requisitos formales en cuanto a funciones, responsabilidades, normas y procedimientos. Realizo entrevistas con empleados de diferentes áreas – especialmente dirección, TI y desarrollo – y reviso las evidencias de los controles clave, como las normas de acceso, políticas de contraseñas, seguridad física, conceptos de copias de seguridad y registros.
El jueves tiene lugar la revisión final de los documentos y la reunión de cierre. Resumo los puntos principales de la auditoría, explico los próximos pasos en el proceso de seguimiento y agradezco a todos los implicados por la buena colaboración. La auditoría concluye con la documentación completa y una base clara para la evaluación continua dentro del ciclo del SGSI.
Voir ci-dessous en français 🇫🇷:
Entre robotique et logistique : Trois jours d’audit ISO/IEC 27001 à Hanovre
Mardi matin, je démarre le premier audit de surveillance selon la norme ISO/IEC 27001 à Hanovre, en plein centre-ville, dans une jeune entreprise qui développe des solutions logicielles pour la gestion de systèmes de transport autonomes et de logistique interne. Ayant déjà audité cette entreprise lors de la certification, la documentation m’est largement familière. Cela facilite le début de l’audit et la comparaison avec le plan d’audit existant.
Je commence comme d’habitude par la vérification du périmètre du Système de Management de la Sécurité de l’Information (SMSI), du nombre actuel d’employés, des éventuels changements depuis la dernière phase d’audit ainsi que de la réalisation de l’audit interne et de la revue de direction. Je contrôle également les constats issus de l’audit de certification. Ensuite, je procède à la visite des zones organisationnelles et techniques concernées.
Le mercredi, je me consacre au traitement des risques et aux mesures de sécurité conformément à l’annexe A. Je vérifie en particulier la documentation de l’analyse des risques, les plans d’action associés, ainsi que la mise en œuvre des exigences formelles concernant les rôles, les responsabilités, les politiques et les procédures. J’effectue des entretiens avec des collaborateurs de différents services – notamment la direction, l’informatique et le développement – et j’examine les preuves relatives aux contrôles clés : règles d’accès, politiques de mot de passe, sécurité physique, stratégies de sauvegarde et journalisation.
Le jeudi, je procède à la revue finale des documents et à la réunion de clôture. Je résume les principaux points d’audit, j’explique les prochaines étapes du processus de surveillance et je remercie tous les participants pour leur bonne collaboration. L’audit se termine avec une documentation complète et une base claire pour l’évaluation continue dans le cadre du cycle du SMSI.
#iso27001 #audit #hannover #suhlingtooling