Trainingsmodul
Informationssicherheitsmassnahmen auditieren
Anwendbarkeit, Umsetzungsnachweise und typische Schwachstellen über die Annex-A-Massnahmenthemen von ISO/IEC 27001 hinweg beurteilen
Übersicht
Viele Organisationen können ihre Annex-A-Massnahmen beschreiben, tun sich aber schwer damit aufzuzeigen, weshalb jede Massnahme gilt, wie sie umgesetzt ist und ob sie über Standorte, Teams und Lieferanten hinweg konsistent wirkt. Das führt zu einem Auditmuster von «Politikanachweisen» ohne operativen Beleg und zu wiederholten Feststellungen, die Symptome tiefer liegender Systemschwächen sind.
Dieses normspezifische Auditmodul fokussiert auf die Anwendbarkeit und Begründung von Annex-A-Massnahmen über die Erklärung zur Anwendbarkeit, auf Nachweiserwartungen je Massnahmenthema und auf typische systemische ISMS-Fehler. Es setzt voraus, dass die Grundlagen der Informationssicherheit anderweitig bereits behandelt wurden, und wiederholt keine generische Auditpraxis; es wendet Auditbeurteilung auf den Massnahmenkatalog von ISO/IEC 27001 an - für interne Audits und Audits durch Dritte, etwa Zertifizierungsstellen oder unabhängige Nachweisanbieter.
Relevante Umfelder
Dieses Modul fokussiert auf die Auditierung von Klauseln und Kontrollen, die spezifisch für ISO/IEC 27001 sind. Es richtet sich an Auditoren, die mit Organisationen arbeiten, welche ein Informationssicherheitsmanagementsystem (ISMS) gemäss dieser Norm betreiben.
Zielpublikum
Angehende Auditierende, die ISO/IEC 27001 nach Best Practices auditieren wollen
Praktizierende Auditierende von ISO/IEC 27001, die ihr Auditwissen, ihr Urteilsvermögen und ihre Wirksamkeit bei Audits stärken wollen
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Agenda
Annex A im Auditkontext
Anwendbarkeit und Begründung von Massnahmen
Nachweiserwartungen je Massnahmenthema (ISO/IEC 27001)
Physische Massnahmen in realen Umgebungen
Eine Massnahme End-to-End nachverfolgen
Massnahmenpakete auf dem Papier und Muster der Drift
Praxisworkshop mit Auditsimulation
Details...
Learning outcomes
Key outcomes
Anwendbarkeitsentscheidungen für Annex-A-Massnahmen mit konsistenten Kriterien zur Qualität der Begründung und zum Geltungsbereich hinterfragen
Aussagen zu Massnahmen, Umsetzung und Betrieb unterscheiden und erkennen, welcher Nachweis fehlt
Erwartete Nachweisarten je Annex-A-Massnahmenthema identifizieren
Additional capabilities
Praktische, nachvollziehbare Nachweiswege von der Absicht einer Massnahme bis zum operativen Beleg über Funktionen und Lieferanten hinweg aufbauen
Wiederkehrende systemische ISMS-Schwachstellen hinter wiederholten Problemen mit Massnahmen erkennen
Auditbeurteilung für Annex A in internen Audits und in Nachweiskontexten durch Dritte anwenden, ohne in eine reine Listenprüfung zurückzufallen
Enthaltene Unterlagen
Lernmaterialien
Präsentationsfolien
Arbeitsbuch
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
Tool für die Planung von Auditgesprächen
Checkliste für dokumentierte Informationen
Stichprobentool
Arbeitsblätter für die Auditanalyse
Sammlung typischer Schwachstellen
KI-Prompt-Sammlung
Bestätigung
Teilnahmebestätigung
Modul-ID
HAM-IS-A-02
Fachbereich
ISO standard
ISO-Normkapitel
8: Betrieb
Fähigkeitsbereiche
Zielgruppen
Öffentliche Formate
Live-virtuell
Duration
7 Std.
List price
CHF 550
Excl. VAT. VAT may apply depending on customer location and status.
Durchführung & Lernformat
Live-virtuelles Format
Dieses Modul wird live online durchgeführt und kombiniert konzeptionelle Einordnung, Diskussionen, Fallarbeit sowie direkte Interaktion mit dem Instruktor.
Zurzeit ist keine öffentliche Durchführung dieses Moduls geplant. Wenn Sie Ihr Interesse anmelden, informieren wir Sie, sobald eine neue Durchführung geplant ist oder passende Formate verfügbar werden.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Rahmenbedingungen oder Lernzielen kann das Modul in Format oder Umfang angepasst werden – einschliesslich Inhouse-Durchführung und kontextualisierten Fallbeispielen.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul setzt Folgendes voraus:
Verständnis auf Auditorenstufe für Nachweis, angemessene berufliche Sorgfalt und Disziplin bei Feststellungen (Auditpraxis wird hier nicht erneut vermittelt)
Arbeitskenntnisse der Struktur von ISO/IEC 27001, einschliesslich der Rolle der Erklärung zur Anwendbarkeit und der Annex-A-Massnahmen
Grundlagen der Informationssicherheit, zum Beispiel Zugriffskontrolle, Protokollierung, Änderungsmanagement und Sicherheitsvorfallbehandlung, als Ausgangsbasis
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
