Trainingsmodul
Informationssicherheitsmassnahmen auditieren
Anwendbarkeit, Umsetzungsnachweise und typische Schwachstellen über die Annex-A-Massnahmenthemen von ISO/IEC 27001 hinweg beurteilen
Übersicht
Viele Organisationen können ihre Annex-A-Massnahmen beschreiben, tun sich aber schwer damit aufzuzeigen, weshalb jede Massnahme gilt, wie sie umgesetzt ist und ob sie über Standorte, Teams und Lieferanten hinweg konsistent wirkt. Das führt zu einem Auditmuster von «Politikanachweisen» ohne operativen Beleg und zu wiederholten Feststellungen, die Symptome tiefer liegender Systemschwächen sind.
Dieses normspezifische Auditmodul fokussiert auf die Anwendbarkeit und Begründung von Annex-A-Massnahmen über die Erklärung zur Anwendbarkeit, auf Nachweiserwartungen je Massnahmenthema und auf typische systemische ISMS-Fehler. Es setzt voraus, dass die Grundlagen der Informationssicherheit anderweitig bereits behandelt wurden, und wiederholt keine generische Auditpraxis; es wendet Auditbeurteilung auf den Massnahmenkatalog von ISO/IEC 27001 an - für interne Audits und Audits durch Dritte, etwa Zertifizierungsstellen oder unabhängige Nachweisanbieter.
Relevante Umfelder
Dieses Modul fokussiert auf die Auditierung von Klauseln und Kontrollen, die spezifisch für ISO/IEC 27001 sind. Es richtet sich an Auditoren, die mit Organisationen arbeiten, welche ein Informationssicherheitsmanagementsystem (ISMS) gemäss dieser Norm betreiben.
Zielpublikum
Angehende Auditierende, die ISO/IEC 27001 nach Best Practices auditieren wollen
Praktizierende Auditierende von ISO/IEC 27001, die ihr Auditwissen, ihr Urteilsvermögen und ihre Wirksamkeit bei Audits stärken wollen
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Es passt gut für Sie, wenn Sie...
prüfen wollen, ob Annex-A-Massnahmen in der Praxis wirken und nicht nur auf dem Papier.
die Anwendbarkeit und Begründung von Massnahmen über die Erklärung zur Anwendbarkeit testen möchten.
Massnahmenaussagen entlang von Politik, Prozess, Konfiguration und Aufzeichnungen End-to-End nachverfolgen.
die nachweisbasierte Beurteilung über verschiedene Massnahmenthemen hinweg stärken wollen.
Auditfeststellungen suchen, die systemische Schwächen statt blosse Lücken in Massnahmenlisten aufzeigen.
Wenn die meisten der oben genannten Punkte zutreffen, ist dieses Modul wahrscheinlich gut geeignet.
Es passt möglicherweise weniger gut für Sie, wenn Sie...
primär Sicherheitsmassnahmen entwerfen, umsetzen oder verbessern möchten.
Grundlagen zu Massnahmentheorie oder technischer Umsetzung erwarten.
Audits bevorzugen, die sich auf Dokumentation oder Politikkonsistenz beschränken.
formell korrekte, aber schwache Massnahmenaussagen nicht hinterfragen wollen.
Agenda
Annex A im Auditkontext
Anwendbarkeit und Begründung von Massnahmen
Nachweiserwartungen je Massnahmenthema (ISO/IEC 27001)
Physische Massnahmen in realen Umgebungen
Eine Massnahme End-to-End nachverfolgen
Massnahmenpakete auf dem Papier und Muster der Drift
Praxisworkshop mit Auditsimulation
Details...
Was Sie lernen
Zentrale Lernergebnisse
Anwendbarkeitsentscheidungen für Annex-A-Massnahmen mit konsistenten Kriterien zur Qualität der Begründung und zum Geltungsbereich hinterfragen
Aussagen zu Massnahmen, Umsetzung und Betrieb unterscheiden und erkennen, welcher Nachweis fehlt
Erwartete Nachweisarten je Annex-A-Massnahmenthema identifizieren
Zusätzliche Fähigkeiten
Praktische, nachvollziehbare Nachweiswege von der Absicht einer Massnahme bis zum operativen Beleg über Funktionen und Lieferanten hinweg aufbauen
Wiederkehrende systemische ISMS-Schwachstellen hinter wiederholten Problemen mit Massnahmen erkennen
Auditbeurteilung für Annex A in internen Audits und in Nachweiskontexten durch Dritte anwenden, ohne in eine reine Listenprüfung zurückzufallen
Enthaltene Unterlagen
Lernmaterialien
Slide deck
Participant workbook
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
Tool für die Planung von Auditgesprächen
Checkliste für dokumentierte Informationen
Stichprobentool
Arbeitsblätter für die Auditanalyse
Sammlung typischer Schwachstellen
KI-Prompt-Sammlung
Bestätigung
Certificate of completion
Modul-ID
HAM-IS-A-02
Fachbereich
Normkapitel
8: Betrieb
Zielgruppen
Auditor
Sprachen
Englisch
Durchführung
Live-virtuell
Dauer
7 Std.
Listenpreis
CHF 550
Exkl. MwSt. Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Durchführung & Lernformat
Virtuelle Live-Lektionen
Dieses Modul wird live durchgeführt, wobei der Schwerpunkt auf Diskussionen, praktischen Anwendungen und der direkten Interaktion mit dem Dozenten liegt.
Die Sitzungen basieren auf realistischen Beispielen, verdeutlichen Konzepte im Kontext und wenden Methoden direkt auf die organisatorischen Gegebenheiten der Teilnehmer an.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Einschränkungen oder Lernzielen kann das Modul in Format und Umfang angepasst werden, einschliesslich interner Durchführung und kontextbezogenem Case-Material.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul setzt Folgendes voraus:
Verständnis auf Auditorenstufe für Nachweis, angemessene berufliche Sorgfalt und Disziplin bei Feststellungen (Auditpraxis wird hier nicht erneut vermittelt)
Arbeitskenntnisse der Struktur von ISO/IEC 27001, einschliesslich der Rolle der Erklärung zur Anwendbarkeit und der Annex-A-Massnahmen
Grundlagen der Informationssicherheit, zum Beispiel Zugriffskontrolle, Protokollierung, Änderungsmanagement und Sicherheitsvorfallbehandlung, als Ausgangsbasis
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
