Schulungsmodul
Schulungsmodul
Schulungsmodul
Audit der Informationssicherheitskontrollen (Anhang A)
Anwendbarkeit der Audit-Kontrolle, Erwartungshaltungen bezüglich Nachweisen und typische Fehlermuster in den Kontrollthemen von ISO/IEC 27001 Anhang A
Verstehen
Umsetzen
Verwalten
Audit
Wechseln Sie von der „Kontroll-Checkliste“-Prüfung zu nachvollziehbarer Sicherheit darüber, wie Sicherheit tatsächlich funktioniert
Wechseln Sie von der „Kontroll-Checkliste“-Prüfung zu nachvollziehbarer Sicherheit darüber, wie Sicherheit tatsächlich funktioniert
Audits von Anhang A scheitern, wenn Kontrollen als statische Aussagen behandelt werden, anstatt als funktionierende Mechanismen mit klarer Anwendbarkeit, Verantwortung und Nachweisen. Dieses Modul rüstet Auditoren aus, um die Erklärung der Anwendbarkeit in Frage zu stellen, Audit-Pfade mit hohem Hebel zu verfolgen und systemische Schwächen des ISMS zu erkennen.
Audits von Anhang A scheitern, wenn Kontrollen als statische Aussagen behandelt werden, anstatt als funktionierende Mechanismen mit klarer Anwendbarkeit, Verantwortung und Nachweisen. Dieses Modul rüstet Auditoren aus, um die Erklärung der Anwendbarkeit in Frage zu stellen, Audit-Pfade mit hohem Hebel zu verfolgen und systemische Schwächen des ISMS zu erkennen.
Übersicht des Schulungsmoduls
Viele Organisationen können ihre Anhang A-Kontrollen beschreiben, haben jedoch Schwierigkeiten zu zeigen, warum jede Kontrolle zutrifft, wie sie implementiert wird und ob sie konsistent über Standorte, Teams und Lieferanten hinweg funktioniert. Das Ergebnis ist ein Auditmuster von „Richtlinienevidenz“ ohne operativen Nachweis und sich wiederholende Feststellungen, die Symptome tieferer Systemschwächen sind.
Dieses standard-spezifische Audit-Add-On konzentriert sich auf die Anwendbarkeit und Begründung der Anhang A-Kontrollen (über die Erklärung der Anwendbarkeit), Erwartungen an Nachweise nach Kontrollthemen und typische systemische ISMS-Fehler. Es wird davon ausgegangen, dass die Grundlagen der Informationssicherheit anderweitig abgedeckt sind, und es wird keine generelle Auditpraxis erneut vermittelt; es wendet das Urteilsvermögen bei Audits auf den Kontrollsatz der ISO/IEC 27001 für interne Auditoren und Drittauditoren (z. B. Zertifizierungsstellen oder unabhängige Prüfungsanbieter) an.
Viele Organisationen können ihre Anhang A-Kontrollen beschreiben, haben jedoch Schwierigkeiten zu zeigen, warum jede Kontrolle zutrifft, wie sie implementiert wird und ob sie konsistent über Standorte, Teams und Lieferanten hinweg funktioniert. Das Ergebnis ist ein Auditmuster von „Richtlinienevidenz“ ohne operativen Nachweis und sich wiederholende Feststellungen, die Symptome tieferer Systemschwächen sind.
Dieses standard-spezifische Audit-Add-On konzentriert sich auf die Anwendbarkeit und Begründung der Anhang A-Kontrollen (über die Erklärung der Anwendbarkeit), Erwartungen an Nachweise nach Kontrollthemen und typische systemische ISMS-Fehler. Es wird davon ausgegangen, dass die Grundlagen der Informationssicherheit anderweitig abgedeckt sind, und es wird keine generelle Auditpraxis erneut vermittelt; es wendet das Urteilsvermögen bei Audits auf den Kontrollsatz der ISO/IEC 27001 für interne Auditoren und Drittauditoren (z. B. Zertifizierungsstellen oder unabhängige Prüfungsanbieter) an.
Zielpublikum
Interne Auditoren, die ein ISO/IEC 27001 ISMS prüfen, einschließlich Multi-Site- oder Shared-Service-Umgebungen
Drittanbieter-Auditoren, die unabhängige Sicherheitsaudits gegen ISO/IEC 27001 durchführen
Lieferanten-/Partner-Sicherungsauditoren, die die Steuerungsoperationen von Anhang A in abgesteckten Umgebungen überprüfen
ISMS-Audit-Teammitglieder, die eine konsistente, evidenzbasierte Kontrollbewertung benötigen (nicht Kontrolle Theorie)
Interne Auditoren, die ein ISO/IEC 27001 ISMS prüfen, einschließlich Multi-Site- oder Shared-Service-Umgebungen
Drittanbieter-Auditoren, die unabhängige Sicherheitsaudits gegen ISO/IEC 27001 durchführen
Lieferanten-/Partner-Sicherungsauditoren, die die Steuerungsoperationen von Anhang A in abgesteckten Umgebungen überprüfen
ISMS-Audit-Teammitglieder, die eine konsistente, evidenzbasierte Kontrollbewertung benötigen (nicht Kontrolle Theorie)
Agenda
Anhang A im Kontext eines Audits
Wofür Annex-A-Kontrollen (und nicht) in einem ISMS-Audit verwendet werden
Wie sich die Kontrollsicherung von „Dokumentvorhandenseins“-Prüfungen unterscheidet
Kontrollanwendbarkeit und Begründung
Testen der Glaubwürdigkeit des Anwendbarkeitserklärung (SoA): Einbeziehung, Ausschluss, Anpassung
Gemeinsame schwache Begründungen und wie sie in Evidenzlücken auftreten
Erwartungen an Beweise nach Kontrollthema (ISO/IEC 27001:2022 Struktur)
Organisatorische Kontrollen: Steuerungsmechanismen, Zuständigkeit, Betriebsabläufe
Personenbezogene Kontrollen: Kompetenz, Eintritt/Wechsel/Austritt, Verhaltenskontrollen, rollenbasierte Durchsetzung
Physische Kontrollen: Standortrealitäten, geteilte Räume, Besuchs- und Vermögensbewegungskontrollen
Technologische Kontrollen: Konfigurationsrealität, Protokollierung/Überwachung, Änderungs- und Zugriffsdurchsetzung
High-Leverage-Audit-Trails über Kontrollen hinweg
Nachverfolgung eines Kontrollanspruchs durch Richtlinie → Prozess → Konfiguration → Aufzeichnungen
Schnittstellen und Abhängigkeiten: IT, HR, Einrichtungen, Lieferanten und gemeinsame Plattformen
Typische systemische ISMS-Fehler (Muster, keine isolierten Fehlstellen)
Papierkontrollsätze: deklarierte Kontrollen ohne operative Verantwortung und Überprüfung
Kontrollfragmentierung: inkonsistente Implementierung über Standorte/Teams und Tool-Stacks hinweg
„Risikobehandlungsdrift“: SoA und Kontrollrealität divergieren im Laufe der Zeit (ohne Neubewertung)
Workshop (fallbasiert)
Überprüfung eines bereitgestellten SoA-Auszugs und Evidenzpakets
Identifizieren schwacher Anwendbarkeitsbegründungen, fehlender Beweisketten und wahrscheinlicher systemischer Ursachen
Verwendung des Moduls in internen und externen Audits
Kalibrieren der Erwartungen für unabhängige Sicherungen vs. interne Verbesserungsprüfungen
Was als objektiver Nachweis zu dokumentieren ist, wenn der Kontrollbetrieb verteilt ist
Anhang A im Kontext eines Audits
Wofür Annex-A-Kontrollen (und nicht) in einem ISMS-Audit verwendet werden
Wie sich die Kontrollsicherung von „Dokumentvorhandenseins“-Prüfungen unterscheidet
Kontrollanwendbarkeit und Begründung
Testen der Glaubwürdigkeit des Anwendbarkeitserklärung (SoA): Einbeziehung, Ausschluss, Anpassung
Gemeinsame schwache Begründungen und wie sie in Evidenzlücken auftreten
Erwartungen an Beweise nach Kontrollthema (ISO/IEC 27001:2022 Struktur)
Organisatorische Kontrollen: Steuerungsmechanismen, Zuständigkeit, Betriebsabläufe
Personenbezogene Kontrollen: Kompetenz, Eintritt/Wechsel/Austritt, Verhaltenskontrollen, rollenbasierte Durchsetzung
Physische Kontrollen: Standortrealitäten, geteilte Räume, Besuchs- und Vermögensbewegungskontrollen
Technologische Kontrollen: Konfigurationsrealität, Protokollierung/Überwachung, Änderungs- und Zugriffsdurchsetzung
High-Leverage-Audit-Trails über Kontrollen hinweg
Nachverfolgung eines Kontrollanspruchs durch Richtlinie → Prozess → Konfiguration → Aufzeichnungen
Schnittstellen und Abhängigkeiten: IT, HR, Einrichtungen, Lieferanten und gemeinsame Plattformen
Typische systemische ISMS-Fehler (Muster, keine isolierten Fehlstellen)
Papierkontrollsätze: deklarierte Kontrollen ohne operative Verantwortung und Überprüfung
Kontrollfragmentierung: inkonsistente Implementierung über Standorte/Teams und Tool-Stacks hinweg
„Risikobehandlungsdrift“: SoA und Kontrollrealität divergieren im Laufe der Zeit (ohne Neubewertung)
Workshop (fallbasiert)
Überprüfung eines bereitgestellten SoA-Auszugs und Evidenzpakets
Identifizieren schwacher Anwendbarkeitsbegründungen, fehlender Beweisketten und wahrscheinlicher systemischer Ursachen
Verwendung des Moduls in internen und externen Audits
Kalibrieren der Erwartungen für unabhängige Sicherungen vs. interne Verbesserungsprüfungen
Was als objektiver Nachweis zu dokumentieren ist, wenn der Kontrollbetrieb verteilt ist
Modul-ID
HAM-IST-EIN-02
Modultyp
Audit-Erweiterung
Domain:
Informationssicherheit
Zielgruppe:
Auditor
Verfügbar in:
Englisch
Dauer:
3.5 Std.
Listenpreis:
CHF 275
Exkl. MwSt. Die Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Was Sie erhalten
Was Sie lernen
Herausforderung Annex A Kontrolle der Anwendbarkeitsentscheidungen durch konsistente Tests auf Begründungsqualität und -umfang
Unterscheidung zwischen Aussage, Umsetzung und Betrieb von Kontrollnachweisen, und Identifizierung der fehlenden Elemente
Erkennen der erwarteten Nachweisarten nach Annex A Kontrollthema (organisational / personell / physisch / technologisch)
Erstellen von praxisnahen, nachvollziehbaren Prüfpfaden von der Kontrollabsicht bis zum operativen Nachweis über Funktionen und Anbieter hinweg
Erkennen von wiederkehrenden, systemischen ISMS-Musterfehlern, die hinter wiederholten Kontrollschwächen stehen
Anwendung des Annex A Prüfungsurteils sowohl in internen Audits als auch im Zusammenhang mit Drittanbieterbescheinigungen, ohne auf Checklistenprüfungen zurückzugreifen
Herausforderung Annex A Kontrolle der Anwendbarkeitsentscheidungen durch konsistente Tests auf Begründungsqualität und -umfang
Unterscheidung zwischen Aussage, Umsetzung und Betrieb von Kontrollnachweisen, und Identifizierung der fehlenden Elemente
Erkennen der erwarteten Nachweisarten nach Annex A Kontrollthema (organisational / personell / physisch / technologisch)
Erstellen von praxisnahen, nachvollziehbaren Prüfpfaden von der Kontrollabsicht bis zum operativen Nachweis über Funktionen und Anbieter hinweg
Erkennen von wiederkehrenden, systemischen ISMS-Musterfehlern, die hinter wiederholten Kontrollschwächen stehen
Anwendung des Annex A Prüfungsurteils sowohl in internen Audits als auch im Zusammenhang mit Drittanbieterbescheinigungen, ohne auf Checklistenprüfungen zurückzugreifen
Lernmaterialien
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Vorlagen & Werkzeuge
SoA Glaubwürdigkeit-Checkliste (Anwendbarkeit, Anpassung, Qualitätsbegründung)
Anhang A Nachweiserwartungsmatrix (nach Kontrollthema, Beweistypen, typische Quellen)
Prüfspuren-Zuordnungstabelle (Richtlinien → Prozesse → Konfiguration → Aufzeichnungen)
Systemisches Versagensmuster-Bibliothek (rote Flaggen und wahrscheinliche Ursachen)
Nachweishinweisliste für verteilte Kontrollen (Mehrteam, gemeinsame Plattformen, ausgelagerte Dienste)
SoA Glaubwürdigkeit-Checkliste (Anwendbarkeit, Anpassung, Qualitätsbegründung)
Anhang A Nachweiserwartungsmatrix (nach Kontrollthema, Beweistypen, typische Quellen)
Prüfspuren-Zuordnungstabelle (Richtlinien → Prozesse → Konfiguration → Aufzeichnungen)
Systemisches Versagensmuster-Bibliothek (rote Flaggen und wahrscheinliche Ursachen)
Nachweishinweisliste für verteilte Kontrollen (Mehrteam, gemeinsame Plattformen, ausgelagerte Dienste)
Voraussetzungen
Dieses Modul geht davon aus:
Prüfer-Level-Verständnis von Beweismitteln, beruflichem Ermessen und Disziplin bei den Feststellungen (Audit-Handwerk wird hier nicht neu vermittelt)
Arbeitsmäßige Vertrautheit mit der Struktur von ISO/IEC 27001, einschließlich der Rolle der Erklärung zur Anwendbarkeit und der Kontrollen in Anhang A
Grundlagen der Informationssicherheit (z. B. Zugangskontrolle, Protokollierung, Änderungsmanagement, Konzepte der Vorfallbearbeitung) als Grundkompetenz
Dieses Modul geht davon aus:
Prüfer-Level-Verständnis von Beweismitteln, beruflichem Ermessen und Disziplin bei den Feststellungen (Audit-Handwerk wird hier nicht neu vermittelt)
Arbeitsmäßige Vertrautheit mit der Struktur von ISO/IEC 27001, einschließlich der Rolle der Erklärung zur Anwendbarkeit und der Kontrollen in Anhang A
Grundlagen der Informationssicherheit (z. B. Zugangskontrolle, Protokollierung, Änderungsmanagement, Konzepte der Vorfallbearbeitung) als Grundkompetenz
Dringend empfohlene Vorbereitungsmodule
Audit-Grundlagen: Prinzipien, Beweise & Urteil
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7h
Audit-Grundlagen: Prinzipien, Beweise & Urteil
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7h
Audit-Grundlagen: Prinzipien, Beweise & Urteil
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7h
Hilfreiche Vorbereitungsmodule
Die folgenden Module bereiten auf ein optimales Lernerlebnis vor – sind jedoch nicht unbedingt erforderlich, um den Teilnehmern zu folgen.
Grundlagen der Informationssicherheit II: Detektive und reaktionsfähige Kontrollen
Verstehen Sie die Grundlagen der Konzepte zur Erkennung, Protokollierung, Überwachung, Alarmierung und reaktiven Steuerung in der Informationssicherheit.
7h
Grundlagen der Informationssicherheit II: Detektive und reaktionsfähige Kontrollen
Verstehen Sie die Grundlagen der Konzepte zur Erkennung, Protokollierung, Überwachung, Alarmierung und reaktiven Steuerung in der Informationssicherheit.
7h
Grundlagen der Informationssicherheit II: Detektive und reaktionsfähige Kontrollen
Verstehen Sie die Grundlagen der Konzepte zur Erkennung, Protokollierung, Überwachung, Alarmierung und reaktiven Steuerung in der Informationssicherheit.
7h
Informationssicherheit Grundlagen I: Präventive Kontrollen
Verstehen Sie die Kernkonzepte hinter präventiven Kontrollen, einschließlich Zugangsmanagement, Kryptografie, sicherer Konfiguration und schützendem Design
7h
Informationssicherheit Grundlagen I: Präventive Kontrollen
Verstehen Sie die Kernkonzepte hinter präventiven Kontrollen, einschließlich Zugangsmanagement, Kryptografie, sicherer Konfiguration und schützendem Design
7h
Informationssicherheit Grundlagen I: Präventive Kontrollen
Verstehen Sie die Kernkonzepte hinter präventiven Kontrollen, einschließlich Zugangsmanagement, Kryptografie, sicherer Konfiguration und schützendem Design
7h
Durchführung von selbstbewussten, objektiven und aufschlussreichen Audit-Gesprächen
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7h
Durchführung von selbstbewussten, objektiven und aufschlussreichen Audit-Gesprächen
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7h
Durchführung von selbstbewussten, objektiven und aufschlussreichen Audit-Gesprächen
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7h
Audit-Berichterstattung & Nachverfolgung: Feststellungen, Berichterstattung und Überprüfung der Schließung
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7h
Audit-Berichterstattung & Nachverfolgung: Feststellungen, Berichterstattung und Überprüfung der Schließung
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7h
Audit-Berichterstattung & Nachverfolgung: Feststellungen, Berichterstattung und Überprüfung der Schließung
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7h
Kontinuierliches Lernen
Kontinuierliches Lernen
Kontinuierliches Lernen
Folgemodule
Nach Abschluss dieses Moduls sind die folgenden Module ideal, um Ihre Kompetenz weiter zu vertiefen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.