Fragenkataloge für Audits

Alle Auditfragen sind direkt aus den Anforderungen der Normen für Managementsysteme  abgeleitet.

Für jede Normforderung - außer bei Mindmaps -ist eine Frage formuliert, damit steht eine Checkliste für ein Systemaudit zur Verfügung.

Die Auditfragen sind in deutscher Sprache als PDF-, Excel- und als Mindmap-Datei erhältlich.

Qualität

ISO 9001

ISO 13485

IATF 16949 + SI

IATF 16949 + ISO 9001 + SI

Umwelt & Energie

ISO 14001

EMAS III

ISO 50001

Arbeitsschutz

ISO 45001

Mindmaps

ISO 14001

ISO 45001

ISO 50001

Info-Sicherheit

ISO 27001

ISO 27001: Für mehr Datensicherheit

von | Juli 22, 2025 | Allgemein, Arbeitsschutz, IT-Sicherheit | 0 Kommentare

Mit zunehmender Digitalisierung und Vernetzung steigt für Unternehmen das Risiko für Cyberangriffe, die zu Datenverlust, -missbrauch oder gar Produktionsausfall führen können. Kunden fordern einen Nachweis über die Sicherheit ihrer Daten.

Die Datenschutz-Grundverordnung (DSGVO) regelt seit Mai 2018, wann, wie und auf welcher Grundlage personenbezogene Daten verarbeitet werden dürfen, welche Rechte betroffene Personen haben und welche Pflichten datenverarbeitende Stellen erfüllen müssen. Der international anerkannte Standard ISO 27001 hilft Unternehmen, Informationssicherheit strukturiert zu managen, Risiken zu minimieren und gesetzliche Vorgaben zu erfüllen.

Unternehmen profitieren vom Einrichten eines Managementsystems für Informationssicherheit, HSEQ Software erleichtert rechtssicheres Arbeiten.

Managementsystem für Informationssicherheit

Unternehmen müssen beim Verarbeiten personenbezogener Daten die Anforderungen der DSGVO ermitteln und umsetzen. Ein Managementsystem z.B. nach ISO 27001 ermöglicht eine strukturierte Vorgehensweise und schafft Vertrauen bei Kunden und Geschäftspartnern. Die DIN EN ISO/IEC 27001:2024-01 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“ legt sowohl Anforderungen für Einrichten, Umsetzen, Aufrechterhalten und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) als auch an die Beurteilung und Behandlung von Informationssicherheitsrisiken fest.

Für die Einführung eines Managementsystems nach ISO 27001 spricht v.a.:

  • Gesetzliche Anforderungen werden erfüllt: Compliance-Anforderungen wie DSGVO und branchenspezifische Vorgaben, u.a. die Nachweispflicht zur Datensicherheit
  • Sensible Informationen werden geschützt: Strukturierte Prozesse und Maßnahmen stellen Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicher. Risiken wie Datenverlust oder -missbrauch können minimiert werden.
  • Systematisches Risikomanagement: Unternehmen erkennen und bewerten potenzielle Sicherheitslücken frühzeitig und können präventiv handeln.
  • Haftungsrisiken werden verringert: Ein funktionierendes ISMS senkt das Haftungsrisiko (Organisationsverschulden).
  • Effizientere Prozesse: Dokumentierte Abläufe sorgen für rechtssicheres Arbeiten, Unternehmen sparen Zeit und Geld.
  • Fortlaufende Verbesserung: Durch regelmäßiges Überprüfen und Anpassen der Prozesse steigen Schutzniveau und Bewusstsein für Informationssicherheit im Unternehmen.
  • Erhöhtes Vertrauen bei Kunden und Geschäftspartnern als Wettbewerbsvorteil: Das Zertifikat dient als Nachweis gegenüber Kunden und zuständiger Behörde; für viele Kunden ist es Voraussetzung für eine Geschäftsbeziehung.

Cybersicherheit für Anlagen

Cybersicherheit für industrielle Anlagen gewinnt durch Digitalisierung und Vernetzung zunehmend an Bedeutung, insbesondere für überwachungsbedürftige Anlagen wie Aufzugsanlagen, Druckanlagen, Anlagen in explosionsgefährdeten Bereichen sowie Tankstellen und Gasfüllanlagen. Wesentliche Anforderungen und Pflichten regelt die TRBS 1115, Teil 1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“. Anlagenbetreiber müssen Gefährdungen für Beschäftigte und andere Personen durch Cyberbedrohungen wie Softwarefehler oder Hackerangriffe vermeiden.

Wesentliche Aufgaben sind v.a. (vgl. Abb. 1 TRBS 1115, Teil 1):

  • Gefährdungen auch aufgrund von Cyberbedrohungen beurteilen (§§ 3, 4 BetrSichV): Fachkundiges Personal muss prüfen, ob Cyberrisiken für Anlagen bestehen, Risiken müssen bewertet werden. Leitfrage: Welche sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR) sind vorhanden und sind sie vor Cyberbedrohung geschützt?
  • Anforderungen an Cybersicherheit festlegen und Maßnahmen ableiten, z.B. Netzwerksegmentierung, Zugangs- und Zugriffskontrollen sowie Notfallmanagement.
  • Wirksamkeit der Maßnahmen überprüfen
  • Prüfung vor Inbetriebnahme und Wiederinbetriebnahme nach prüfpflichtigen Änderungen (§§ 4, 14, und 15 BetrSichV)
  • Wiederkehrende Prüfung (§§ 14 und 16 BetrSichV) durch zur Prüfung befähigte Personen bzw. zugelassene Überwachungsstellen (ZÜS), die im Rahmen ihrer Prüfungen Cyberbedrohung und getroffene Schutzmaßnahmen bewerten. Können Vorgaben der TRBS 1115, Teil 1 nicht nachgewiesen werden, drohen nicht nur Bußgelder, sondern auch strafrechtliche Konsequenzen und ggf. sogar die Untersagung des Betriebs der betroffenen Anlage.
  • Betrieb, Instandhaltung und regelmäßige Kontrolle der Funktionsfähigkeit der Maßnahmen zur Cybersicherheit
  • Dokumentation: „Eine im Rahmen eines Managements der Cybersicherheit nach Anhang 1 TRBS 1115, Teil 1 vorhandene Dokumentation erfüllt für sicherheitsrelevante MSR-Einrichtungen die Dokumentationspflichten nach § 3 Absatz 8 BetrSichV.“

Legal Compliance und Rechtskataster

Arbeitgeberinnen und Arbeitgeber müssen geltende rechtliche Anforderungen erfüllen. Diese ergeben sich aus externen Vorschriften und unternehmensinternen Verhaltensregeln: Legal Compliance bedeutet, dass Organisationen alle für sie zutreffenden, relevanten Rechtsvorschriften erfüllen und geregelt haben, wie diese aufrechterhalten und neue bzw. geänderte Anforderungen umgesetzt werden. Verhaltensregeln (Code of Conduct) betreffen z.B. den Umgang mit Geschäftspartnern, den Umgang mit Geschenken und Einladungen oder Verantwortung bez. Umweltschutz.

Im ersten Schritt ermitteln Unternehmen im Rahmen eines Compliance-Audits, welche Vorschriften für sie relevant sind. Erforderliche Maßnahmen müssen festgelegt und umgesetzt werden. Das Ergebnis ist i.d.R. ein individuelles Rechtskataster, das neben Rechtsvorschriften und unternehmensinternen Verhaltensregeln auch erforderliche Genehmigungen enthalten kann. Dabei ist das Managen geltender Vorschriften kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess.

Anforderungen an ein geeignetes Rechtsregister sind v. a., dass der Stand der Aktualisierung stets erkennbar ist, die Bedeutung von Änderungen und Neuerungen fürs eigene Unternehmen beurteilt wird, Pflichten abgeleitet und Maßnahmen umgesetzt und überwacht werden sowie eine Archivierung vorhanden ist.

Gehören mehrere Standorte zum Unternehmen, wird ein standortbezogenes Rechtskataster gefordert.

Fazit

Unternehmen müssen sich vor Cyberbedrohungen schützen und Datensicherheit gewährleisten. Ein Managementsystem nach ISO 27001 ermöglicht strukturiertes Vorgehen, das Management der Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR) kann integriert werden. Geeignete HSEQ Software unterstützt Verantwortliche beim Managen von Rechtsvorschriften und Anlagen und ermöglicht rechtssicheres Arbeiten.

QUMsult Beratung und Software

Mit der webbasierten HSEQ Software Web SARA von QUMsult können Unternehmen Vorschriften und Anlagen einfach managen. In die Entwicklung sind Erfahrungen aus der Beratungspraxis eingeflossen.

Das Rechtskataster PAUL bietet Zugang zu über 1.300 Vorschriften von EU, Bund, Ländern und Berufsgenossenschaften zu Umwelt, Energie und Arbeitsschutz. Fast alle Vorschriften sind auf frei verfügbare Volltexte verlinkt. Sowohl Vorschriften als auch Änderungen sind bereits kommentiert, sodass Anwender deren Bedeutung schnell erfassen und bewerten können.

Erfahrene Berater führen Compliance-Audits durch, um fürs Unternehmen relevante Vorschriften zu ermitteln, und unterstützen beim Aufbau des individuellen Rechtskatasters.

Mit Web SARA-Anlagen steht Unternehmen ein Werkzeug für Anlagen und Maschinen (Prüfungen und Wartungen /Anlagenkataster /Betriebsanweisung) zur Verfügung. Webbasiert bietet es allen Mitarbeitern an allen Standorten Zugriff auf das zentrale und stets aktuelle Anlagenkataster. Der Nachweis gegenüber Zertifizierer und Aufsichtsbehörde ist jederzeit möglich und die Abläufe können gesteuert und dokumentiert werden.

Mit Web SARA Vorfälle können relevante Informationen und Gegenmaßnahmen bei IT-Sicherheitsvorfällen dokumentiert werden, wie es u.a. DSGVO, DORA und NIS-2 fordern und in einem ISMS vorgesehen ist.

Unternehmen, die ein ISMS einrichten wollen, erhalten mit dem Fragenkatalog ISO 27001 Unterstützung: Alle Forderungen der Norm inkl. der Referenzmaßnahmen aus dem Anhang A sind in 220 Auditfragen (127 Normfragen und 93 Maßnahmenfragen) mit Zuordnung zum Normkapitel umgesetzt, jedoch nicht interpretiert.

Interessierte können die webbasierte HSEQ Software im Rahmen einer Produktvorstellung oder als Testversion kennenlernen, kostenlos und unverbindlich.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert