Wir unterstützen Sie bei internen oder bereiten Sie auf externe Informationssicherheits-Audits vor

Trennlinie

Was sind die Ziele eines Informationssicherheits-Audits?

Die Ziele eines Audits sind die Analyse des Ist-Zustandes sowie der Abgleich der formal festgelegten Zielsetzungen mit den tatsächlich erreichten Zielen. Auch wird die Konformität mit Regelwerken überprüft und Abweichungen festgestellt. Ziel eines Audits sind auch die Aufdeckung von Verbesserungspotential.

Warum sind Organisationen verpflichtet, interne Informationssicherheits-Audits durchzuführen?

Interne Informationssicherheits-Audits sind geplante Überprüfungen des Informationssicherheits-Managementsystems (ISMS). In fast allen Informationssicherheits-Standards wird die regelmäßige Durchführung von internen Audits gefordert (zum Beispiel im Kapitel 9.2 der ISO/IEC 27001:2013).

Verantwortlich für die Durchführung der internen Audits ist die Leitung der Organisation.

Gesetzliche Pflicht zur Überprüfung der Informationssicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten

Der europäische Gesetzgeber schreibt in der DSGVO allen Organisationen bei der Verarbeitung personenbezogener Daten vor (Art. 32 Absatz 1 lit. d) DSGVO):

"(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung."

Alle Verantwortliche und alle Auftragsverarbeiter müssen daher regelmäßig interne Audits durchführe. Beachten Sie zu Datenschutz-Audits auch unser Angebot im Bereich Datenschutzberatung.

Was sind externe Informationssicherheits-Audits und was ist der Umfang der externen Audits?

Externe Audits sind meistens Zertifizierungsaudits. Wird in einem Zertifizierungsaudit eine Hauptabweichung festgestellt, führt dies zum Nicht-Bestehen eines Zertifizierungs-Audits und somit zur Verweigerung des Zertifikates. Im Rahmen eines Zertifizierungsaudits werden die Umsetzung des Management-Rahmenwerkes überprüft, aber auch die Umsetzung der ausgewählten Informationssicherheits-Maßnahmen.

Zertifizierte Organisationen sind verpflichtet, ihre Zulieferer zu überprüfen, also sogenannte Lieferantenaudits durchzuführen. Auch dies sind externe Audits. Der Prüfungsumfang ergibt sich aus den vertraglichen Vereinbarungen, zum Beispiel den Service-Level-Agreements (SLAs).

Unterstützung bei Informationssicherheits-Audits

Wir unterstützen Organisationen in allen Phasen eines Auditprogramms:

  • bei der Festlegung der Auditprogrammziele,
  • bei der Festlegung und Bewertung der Auditprogrammrisiken und -chancen,
  • bei der Festlegung des Auditprogramms und der Festlegung der Auditor-Kompetenzen und der Bewertung der Auditoren,
  • bei der Umsetzung des Auditprogramms und der Durchführung der Audits,
  • bei der Überwachung des Auditprogramms und
  • bei der Bewertung und Verbesserung des Auditprogramms.