Trainingsmodul
Audit der Informationssicherheitskontrollen (Anhang A)
Anwendbarkeit der Audit-Kontrolle, Erwartungshaltungen bezüglich Nachweisen und typische Fehlermuster in den Kontrollthemen von ISO/IEC 27001 Anhang A
Trainingsmodul
Audit der Informationssicherheitskontrollen (Anhang A)
Anwendbarkeit der Audit-Kontrolle, Erwartungshaltungen bezüglich Nachweisen und typische Fehlermuster in den Kontrollthemen von ISO/IEC 27001 Anhang A
Trainingsmodul
Audit der Informationssicherheitskontrollen (Anhang A)
Anwendbarkeit der Audit-Kontrolle, Erwartungshaltungen bezüglich Nachweisen und typische Fehlermuster in den Kontrollthemen von ISO/IEC 27001 Anhang A
Wechseln Sie von der „Kontroll-Checkliste“-Prüfung zu nachvollziehbarer Sicherheit darüber, wie Sicherheit tatsächlich funktioniert
Audits von Anhang A scheitern, wenn Kontrollen als statische Aussagen behandelt werden, anstatt als funktionierende Mechanismen mit klarer Anwendbarkeit, Verantwortung und Nachweisen. Dieses Modul rüstet Auditoren aus, um die Erklärung der Anwendbarkeit in Frage zu stellen, Audit-Pfade mit hohem Hebel zu verfolgen und systemische Schwächen des ISMS zu erkennen.
Wechseln Sie von der „Kontroll-Checkliste“-Prüfung zu nachvollziehbarer Sicherheit darüber, wie Sicherheit tatsächlich funktioniert
Audits von Anhang A scheitern, wenn Kontrollen als statische Aussagen behandelt werden, anstatt als funktionierende Mechanismen mit klarer Anwendbarkeit, Verantwortung und Nachweisen. Dieses Modul rüstet Auditoren aus, um die Erklärung der Anwendbarkeit in Frage zu stellen, Audit-Pfade mit hohem Hebel zu verfolgen und systemische Schwächen des ISMS zu erkennen.
Wechseln Sie von der „Kontroll-Checkliste“-Prüfung zu nachvollziehbarer Sicherheit darüber, wie Sicherheit tatsächlich funktioniert
Audits von Anhang A scheitern, wenn Kontrollen als statische Aussagen behandelt werden, anstatt als funktionierende Mechanismen mit klarer Anwendbarkeit, Verantwortung und Nachweisen. Dieses Modul rüstet Auditoren aus, um die Erklärung der Anwendbarkeit in Frage zu stellen, Audit-Pfade mit hohem Hebel zu verfolgen und systemische Schwächen des ISMS zu erkennen.
Übersicht
Übersicht
Übersicht
Viele Organisationen können ihre Anhang A-Kontrollen beschreiben, haben jedoch Schwierigkeiten zu zeigen, warum jede Kontrolle zutrifft, wie sie implementiert wird und ob sie konsistent über Standorte, Teams und Lieferanten hinweg funktioniert. Das Ergebnis ist ein Auditmuster von „Richtlinienevidenz“ ohne operativen Nachweis und sich wiederholende Feststellungen, die Symptome tieferer Systemschwächen sind.
Dieses standard-spezifische Audit-Add-On konzentriert sich auf die Anwendbarkeit und Begründung der Anhang A-Kontrollen (über die Erklärung der Anwendbarkeit), Erwartungen an Nachweise nach Kontrollthemen und typische systemische ISMS-Fehler. Es wird davon ausgegangen, dass die Grundlagen der Informationssicherheit anderweitig abgedeckt sind, und es wird keine generelle Auditpraxis erneut vermittelt; es wendet das Urteilsvermögen bei Audits auf den Kontrollsatz der ISO/IEC 27001 für interne Auditoren und Drittauditoren (z. B. Zertifizierungsstellen oder unabhängige Prüfungsanbieter) an.
Viele Organisationen können ihre Anhang A-Kontrollen beschreiben, haben jedoch Schwierigkeiten zu zeigen, warum jede Kontrolle zutrifft, wie sie implementiert wird und ob sie konsistent über Standorte, Teams und Lieferanten hinweg funktioniert. Das Ergebnis ist ein Auditmuster von „Richtlinienevidenz“ ohne operativen Nachweis und sich wiederholende Feststellungen, die Symptome tieferer Systemschwächen sind.
Dieses standard-spezifische Audit-Add-On konzentriert sich auf die Anwendbarkeit und Begründung der Anhang A-Kontrollen (über die Erklärung der Anwendbarkeit), Erwartungen an Nachweise nach Kontrollthemen und typische systemische ISMS-Fehler. Es wird davon ausgegangen, dass die Grundlagen der Informationssicherheit anderweitig abgedeckt sind, und es wird keine generelle Auditpraxis erneut vermittelt; es wendet das Urteilsvermögen bei Audits auf den Kontrollsatz der ISO/IEC 27001 für interne Auditoren und Drittauditoren (z. B. Zertifizierungsstellen oder unabhängige Prüfungsanbieter) an.
Applicable environments
Dieses Modul fokussiert auf die Auditierung von Klauseln und Kontrollen, die spezifisch für ISO/IEC 27001 sind. Es richtet sich an Auditoren, die mit Organisationen arbeiten, welche ein Informationssicherheitsmanagementsystem (ISMS) gemäss dieser Norm betreiben.
Zielpublikum
Zielpublikum
Zielpublikum
Angehende Auditoren, die Informationssicherheitsmanagementsysteme gemäss Best Practices gegen ISO/IEC 27001 auditieren
Praktizierende ISO/IEC-27001-Auditoren, die ihre Auditkenntnisse, risikobasierte Beurteilung und Wirksamkeit stärken möchten
Angehende Auditoren, die Informationssicherheitsmanagementsysteme gemäss Best Practices gegen ISO/IEC 27001 auditieren
Praktizierende ISO/IEC-27001-Auditoren, die ihre Auditkenntnisse, risikobasierte Beurteilung und Wirksamkeit stärken möchten
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Es passt gut für Sie, wenn Sie...
aim to audit whether Annex A controls operate in practice, not just on paper.
want to test control applicability and rationale via the Statement of Applicability.
follow control claims end-to-end across policy, process, configuration, and records.
strengthen evidence-based judgement across different control themes.
seek audit findings that highlight systemic weaknesses, not checklist gaps.
aim to audit whether Annex A controls operate in practice, not just on paper.
want to test control applicability and rationale via the Statement of Applicability.
follow control claims end-to-end across policy, process, configuration, and records.
strengthen evidence-based judgement across different control themes.
seek audit findings that highlight systemic weaknesses, not checklist gaps.
Wenn die meisten der oben genannten Punkte zutreffen, ist dieses Modul wahrscheinlich gut geeignet.
Es passt möglicherweise weniger gut für Sie, wenn Sie...
primarily want to design, implement, or improve security controls.
expect control theory or technical implementation guidance.
prefer audits limited to documentation or policy consistency checks.
avoid challenging formally correct but weak control claims.
primarily want to design, implement, or improve security controls.
expect control theory or technical implementation guidance.
prefer audits limited to documentation or policy consistency checks.
avoid challenging formally correct but weak control claims.
Agenda
Agenda
Agenda
Annex A in an audit context
Control applicability and rationale
Evidence expectations by control theme (ISO/IEC 27001:2022 structure)
Physical controls: site realities, shared spaces, visitor and asset movement controls
Tracing one control claim through policy → process → configuration → records
Paper control sets: declared controls without operational ownership and verification
Case-based audit simulation
Details...
Annex A in an audit context
Control applicability and rationale
Evidence expectations by control theme (ISO/IEC 27001:2022 structure)
Physical controls: site realities, shared spaces, visitor and asset movement controls
Tracing one control claim through policy → process → configuration → records
Paper control sets: declared controls without operational ownership and verification
Case-based audit simulation
Details...
Annex A in an audit context
Control applicability and rationale
Evidence expectations by control theme (ISO/IEC 27001:2022 structure)
Physical controls: site realities, shared spaces, visitor and asset movement controls
Tracing one control claim through policy → process → configuration → records
Paper control sets: declared controls without operational ownership and verification
Case-based audit simulation
Details...
Was Sie lernen
Was Sie lernen
Was Sie lernen
Zentrale Lernergebnisse
Herausforderung Annex A Kontrolle der Anwendbarkeitsentscheidungen durch konsistente Tests auf Begründungsqualität und -umfang
Unterscheidung zwischen Aussage, Umsetzung und Betrieb von Kontrollnachweisen, und Identifizierung der fehlenden Elemente
Erkennen der erwarteten Nachweisarten nach Annex A Kontrollthema (organisational / personell / physisch / technologisch)
Erstellen von praxisnahen, nachvollziehbaren Prüfpfaden von der Kontrollabsicht bis zum operativen Nachweis über Funktionen und Anbieter hinweg
Erkennen von wiederkehrenden, systemischen ISMS-Musterfehlern, die hinter wiederholten Kontrollschwächen stehen
Anwendung des Annex A Prüfungsurteils sowohl in internen Audits als auch im Zusammenhang mit Drittanbieterbescheinigungen, ohne auf Checklistenprüfungen zurückzugreifen
Herausforderung Annex A Kontrolle der Anwendbarkeitsentscheidungen durch konsistente Tests auf Begründungsqualität und -umfang
Unterscheidung zwischen Aussage, Umsetzung und Betrieb von Kontrollnachweisen, und Identifizierung der fehlenden Elemente
Erkennen der erwarteten Nachweisarten nach Annex A Kontrollthema (organisational / personell / physisch / technologisch)
Erstellen von praxisnahen, nachvollziehbaren Prüfpfaden von der Kontrollabsicht bis zum operativen Nachweis über Funktionen und Anbieter hinweg
Erkennen von wiederkehrenden, systemischen ISMS-Musterfehlern, die hinter wiederholten Kontrollschwächen stehen
Anwendung des Annex A Prüfungsurteils sowohl in internen Audits als auch im Zusammenhang mit Drittanbieterbescheinigungen, ohne auf Checklistenprüfungen zurückzugreifen
Zusätzliche Fähigkeiten
Build practical, traceable audit trails from control intent to operational proof across functions and suppliers
Recognise recurring systemic ISMS failure patterns behind repeated control weaknesses
Apply Annex A auditing judgement in both internal audits and third-party assurance contexts without reverting to checklist auditing
Build practical, traceable audit trails from control intent to operational proof across functions and suppliers
Recognise recurring systemic ISMS failure patterns behind repeated control weaknesses
Apply Annex A auditing judgement in both internal audits and third-party assurance contexts without reverting to checklist auditing
Enthaltene Unterlagen
Enthaltene Unterlagen
Enthaltene Unterlagen
Lernmaterialien
Präsentation
Arbeitsbuch
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
SoA Glaubwürdigkeit-Checkliste (Anwendbarkeit, Anpassung, Qualitätsbegründung)
Anhang A Nachweiserwartungsmatrix (nach Kontrollthema, Beweistypen, typische Quellen)
Prüfspuren-Zuordnungstabelle (Richtlinien → Prozesse → Konfiguration → Aufzeichnungen)
Systemisches Versagensmuster-Bibliothek (rote Flaggen und wahrscheinliche Ursachen)
Nachweishinweisliste für verteilte Kontrollen (Mehrteam, gemeinsame Plattformen, ausgelagerte Dienste)
SoA Glaubwürdigkeit-Checkliste (Anwendbarkeit, Anpassung, Qualitätsbegründung)
Anhang A Nachweiserwartungsmatrix (nach Kontrollthema, Beweistypen, typische Quellen)
Prüfspuren-Zuordnungstabelle (Richtlinien → Prozesse → Konfiguration → Aufzeichnungen)
Systemisches Versagensmuster-Bibliothek (rote Flaggen und wahrscheinliche Ursachen)
Nachweishinweisliste für verteilte Kontrollen (Mehrteam, gemeinsame Plattformen, ausgelagerte Dienste)
Bestätigung
Teilnahmebestätigung
Modul-ID
HAM-IS-A-02
Domäne
Zielgruppe
Auditor
Sprache
Englisch
Durchführung
Live-virtuell
Dauer
3.5 Std.
Listenpreis
CHF 275
Exkl. MwSt. Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Durchführung & Lernformat
Durchführung & Lernformat
Durchführung & Lernformat
Virtuelle Live-Lektionen
Dieses Modul wird live durchgeführt, wobei der Schwerpunkt auf Diskussionen, praktischen Anwendungen und der direkten Interaktion mit dem Dozenten liegt.
Die Sitzungen basieren auf realistischen Beispielen, verdeutlichen Konzepte im Kontext und wenden Methoden direkt auf die organisatorischen Gegebenheiten der Teilnehmer an.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Einschränkungen oder Lernzielen kann das Modul in Format und Umfang angepasst werden, einschliesslich interner Durchführung und kontextbezogenem Case-Material.
Nicht sicher, ob dies für Sie passt?
Nicht sicher, ob dies für Sie passt?
Nicht sicher, ob dies für Sie passt?
Ein kurzes Beratungsgespräch
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul geht davon aus:
Prüfer-Level-Verständnis von Beweismitteln, beruflichem Ermessen und Disziplin bei den Feststellungen (Audit-Handwerk wird hier nicht neu vermittelt)
Arbeitsmäßige Vertrautheit mit der Struktur von ISO/IEC 27001, einschließlich der Rolle der Erklärung zur Anwendbarkeit und der Kontrollen in Anhang A
Grundlagen der Informationssicherheit (z. B. Zugangskontrolle, Protokollierung, Änderungsmanagement, Konzepte der Vorfallbearbeitung) als Grundkompetenz
Dieses Modul geht davon aus:
Prüfer-Level-Verständnis von Beweismitteln, beruflichem Ermessen und Disziplin bei den Feststellungen (Audit-Handwerk wird hier nicht neu vermittelt)
Arbeitsmäßige Vertrautheit mit der Struktur von ISO/IEC 27001, einschließlich der Rolle der Erklärung zur Anwendbarkeit und der Kontrollen in Anhang A
Grundlagen der Informationssicherheit (z. B. Zugangskontrolle, Protokollierung, Änderungsmanagement, Konzepte der Vorfallbearbeitung) als Grundkompetenz
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Grundlagen des Auditierens
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7 Std.
Grundlagen des Auditierens
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7 Std.
Grundlagen des Auditierens
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7 Std.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
Grundlagen der Informationssicherheit II
Verstehen Sie die Grundlagen der Konzepte zur Erkennung, Protokollierung, Überwachung, Alarmierung und reaktiven Steuerung in der Informationssicherheit.
7 Std.
Grundlagen der Informationssicherheit II
Verstehen Sie die Grundlagen der Konzepte zur Erkennung, Protokollierung, Überwachung, Alarmierung und reaktiven Steuerung in der Informationssicherheit.
7 Std.
Grundlagen der Informationssicherheit II
Verstehen Sie die Grundlagen der Konzepte zur Erkennung, Protokollierung, Überwachung, Alarmierung und reaktiven Steuerung in der Informationssicherheit.
7 Std.
Grundlagen der Informationssicherheit I
Verstehen Sie die Kernkonzepte hinter präventiven Kontrollen, einschließlich Zugangsmanagement, Kryptografie, sicherer Konfiguration und schützendem Design
7 Std.
Grundlagen der Informationssicherheit I
Verstehen Sie die Kernkonzepte hinter präventiven Kontrollen, einschließlich Zugangsmanagement, Kryptografie, sicherer Konfiguration und schützendem Design
7 Std.
Grundlagen der Informationssicherheit I
Verstehen Sie die Kernkonzepte hinter präventiven Kontrollen, einschließlich Zugangsmanagement, Kryptografie, sicherer Konfiguration und schützendem Design
7 Std.
Audits: Kommunikation und Interviews
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7 Std.
Audits: Kommunikation und Interviews
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7 Std.
Audits: Kommunikation und Interviews
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7 Std.
Audits: Berichten & Nachverfolgen
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7 Std.
Audits: Berichten & Nachverfolgen
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7 Std.
Audits: Berichten & Nachverfolgen
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7 Std.
Kontinuierliches Lernen
Weiterführende Module
Kontinuierliches Lernen
Weiterführende Module
Kontinuierliches Lernen
Weiterführende Module
Nach Abschluss dieses Moduls eignen sich die folgenden Module ideal, um Ihr Wissen weiter zu vertiefen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.