Auch das erste Überwachungsaudit unseres im letzten Jahr eingeführten Management-Systems für Informationssicherheit (ISMS) ist erfolgreich verlaufen. Vom 26. bis 28. Mai führte der von der DEKRA entsendete Auditor Reinhard Keller hierzu Stichproben und Mitarbeiterbefragungen in der Firmenzentrale durch.
Eigentlich hätte heuer nur ein eintägiges Überwachungsaudit angestanden. Dabei wird besonderer Wert auf die ordnungsgemäße Umsetzung der bei der Erstzertifizierung festgestellten Verbesserungspotentiale gelegt. Dank einer gewissenhaft geführten To-do-Liste im Admin-Wiki waren all diese Punkte dokumentiert und zur Zufriedenheit des Auditors abgearbeitet worden. Ein großes Lob an den ISMS-Verantwortlichen und alle Beteiligten, deren hohe fachliche Kompetenz und effiziente Zusammenarbeit explizit im Auditbericht erwähnt wird!
Dass sich das Audit dennoch über volle zwei Tage erstreckte, lag an dem bislang bei EPOS zertifizierten „Produktmodul“ ISO 27001:2005. Bereits letztes Jahr hatte festgestanden, dass es eine neue Version der Norm geben würde, welche diejenige aus dem Jahr 2005 zum 1. Oktober 2015 ablösen würde. Zum Zeitpunkt der Planung unseres ISMS war allerdings die endgültige Neuauflage noch nicht veröffentlicht worden, sodass man sich in dieser Übergangsphase zur Einführung der älteren, aber immerhin verbindlichen Fassung entschieden hatte.
Das Überwachungsaudit war somit zugleich ein Umstellungsaudit, bei dem die Maßnahmen zur Sicherstellung der IT-Sicherheit sowie deren Dokumentation auch hinsichtlich ihrer Vereinbarkeit mit dem neuen Standard geprüft wurden. Auch in dieser Hinsicht konnte unser ISM-System voll überzeugen.
Die DEKRA bestätigte nun schriftlich die im Abschlussbericht des Lead-Auditors ausgesprochene Empfehlung zur Aufrechterhaltung des Zertifikats und sendete uns die neue Urkunde zu. Die in den Besprechungsräumen der Firmenzentrale angebrachten Kopien des Dokuments werden in den nächsten Tagen ausgetauscht.
Mit dem nächsten Überwachungsaudit ist voraussichtlich im Mai 2016 zu rechnen. Bis dahin wird u.a. geprüft, ob sich durch eine Zusammenfassung der Dokumentation von Qualitäts- und IT-Sicherheits-Managementsystem Synergien ergeben.