Was ursprünglich als Sonderregel für Krisensituationen eingeführt wurde, gilt jetzt auch zunehmend im Zertifizierungs-Alltag: Audits müssen nicht mehr zwingend vor Ort stattfinden – dank Remote-Audits können Unternehmen heute Prüfungen sogar vollständig online durchführen lassen. Doch wie genau funktioniert ein solches Online-Audit? Welche technischen Voraussetzungen müssen erfüllt sein? Was sind die Vor- und Nachteile? Erfahren Sie, was Sie über die Remote- Zertifizierung von Informationssicherheits-Managementsystemen (ISMS) wissen müssen.
Bei einem Remote-Audit ist laut Definition der Auditor nicht vor Ort, sondern wird digital zugeschaltet. Bei ISMS-Audits konnten bisher maximal 30 Prozent aus der Ferne erfolgen – mehr ging nur auf Antrag und bei Genehmigung durch die Akkreditierungsstelle oder während der Pandemie auf Grund der besonderen Situation.
Die neue ISO/IEC 27006-1:2024 ermöglicht nun jedoch auch ein anderes Vorgehen: Die 30-Prozent-Beschränkung ist passé, und für die Zertifizierung von Informationssicherheits-Managementsystemen (z. B. nach ISO 27001) ist es somit – zumindest theoretisch – nicht mehr zwangsläufig nötig, dass ein Auditor seinen Fuß ins Unternehmen setzt. Vom Review der Dokumentation, über Interviews bis hin zu Systemüberprüfungen – all das darf (bei Vorliegen entsprechender Grundlagen) remote stattfinden.
Für ein Remote-Audit müssen einige technische Voraussetzungen erfüllt sein. Sie laufen über Videokonferenz-Tools, gegebenenfalls wird eine Remote-Desktop-Software sowie eine Verbindung über ein virtuelles Netzwerk (VPN) benötigt. Außerdem kommen je nach Bedarf verschiedene mobile Endgeräte zum Einsatz. Auditoren haben genau zu dokumentieren, welcher Teil einer der Prüfung remote und mit welcher Methode durchgeführt wurde. Darüber hinaus müssen sie belastbare Ergebnisse sicherstellen – im Zweifelsfall sind Nachbegutachtungen vor Ort nötig.
Mit den neuen Regelungen der ISO/IEC 27006-1 ist es möglich, Audits effektiver und effizienter zu gestalten. Grundsätzlich bedeutet weniger Vor-Ort-Audit weniger Reisekosten und Logistik. Und auch in puncto Terminplanung steigt die Flexibilität – etwa für Unternehmen mit mehreren (auch internationalen) Standorten.
Außerdem profitieren speziell Startups von Online-Audits. Denn oftmals haben sie gar keine Geschäftsräume im eigentlichen Sinne, vielmehr ist die Privatadresse des Geschäftsführers gleichzeitig der eingetragene Firmensitz, während die Mitarbeitenden aus dem Homeoffice tätig sind. Das gleiche gilt für etablierte Unternehmen, die keine feste Betriebstätte haben und bei denen generell aus Home- oder mobilem Office gearbeitet wird.
Bestimmte Anforderungen lassen sich nur vor Ort sinnvoll überprüfen. Darunter fallen beispielsweise Zutrittskontrollen, weitere Aspekte der physischen Sicherheit oder auch spezifische – zertifizierungsrelevante – Prozesse, die sich schlecht über ein Display zeigen und nachvollziehen lassen. Hier hat die Remote-Auditierung klar das Nachsehen. Andere Prozesse bedingen durch Ihre Ausgestaltung eine Begutachtung vor Ort, wie Produktion, Installation, letztendlich physische Prozesse. In den genannten Bereichen wird man um eine vor-Ort-Prüfung nicht herum kommen.
Zudem bekommen Auditoren im Online-Audit einen keinen „kompletten“ Eindruck, kein Gefühl für das Unternehmen. Auch die Technik spielt trotz fortschreitender Digitalisierung nicht immer so mit, wie gewünscht – Stichwort verzögerter Bildaufbau. Das kann speziell in einem Audit mehr als nervenaufreibend sein. Zumindest bei Zertifizierungsaudits wird es wohl unumgänglich sein, dass ein Auditor vor Ort etwa den Standort validiert, sich einen Gesamtüberblick verschafft und bestimmte Details konkret beleuchtet.
Weitere Informationen zu Remote-Audits gibt auch die kürzlich veröffentlichte ISO/IEC TS 17012:2024 (Conformity assessment - Guidelines for the use of remote auditing methods in auditing management systems). Neben dem grundsätzlichen Ablauf der Auditplanung spielen auch hier die Risiken bei der Durchführung einer Remote-Zertifizierung eine Rolle.
Remote-Audits bieten sowohl Zertifizierstellen als auch den Unternehmen die Möglichkeit, Prüfprozesse effizient und flexibel zu gestalten. Gerade in Zeiten zunehmender Digitalisierung und globaler Herausforderungen eröffnet diese Art von Auditierung neue Perspektiven, um Prozesse standortunabhängig und zeitsparend zu prüfen. Allerdings gilt zu beachten, dass in bestimmten Fällen eine Begutachtung vor Ort nicht unumgänglich ist. Die ISO/IEC 27006-1:2024 bietet insgesamt umfassende Möglichkeiten, um Audits nach den konkreten unternehmensspezifischen Bedürfnissen zu gestalten.
Wollen Sie von der Flexibilität und Effizienz eines Remote-Audits profitieren? Nehmen Sie jetzt Kontakt mit unserer Zertifizierungsstelle auf und erfahren Sie mehr über die Remote-Auditierung.
Auswirkungen der neuen ISO 27006-1 auf Auditierung und Zertifizierung von IT-Systemen
Jetzt mehr erfahren
Ausgewiesene Informationssicherheit nach ISO/IEC 27001
Erfahren Sie mehr
