Download Artikel Thema: Audit-Training (PDF-Datei) (Anmeldung oder Gast-Registrierung erforderlich)
So agieren Sie richtig, wenn Ihr Sicherheitskonzept unter die Lupe genommen wird
von Stefan Stumm, Fachautor, Berater und Seminarleiter IT-SecurityCircles
Ein Audit hat immer so eine besondere Atmosphäre, ein bisschen wie am Ende der Schulzeit oder des Studiums. Es handelt sich ja auch tatsächlich um eine Abschlussprüfung, die ein gutes Ergebnis der Arbeit der letzten Monate bestätigen soll und als Ziel das „Zeugnis“, sprich Zertifikat hat. Und wie bei den genannten Prüfungen stellt der „Prüfling“ sich die Frage: „Was will der Auditor (Prüfer) von mir hören?“ Je nach Betonung lässt sich diese Frage als „Welche Informationen benötigt der Auditor?“ und „Wie soll ich mich verhalten?“ auslegen – und meistens stehen beide Auslegungen beim Audit im Raum.
Die Antwort auf beide Fragen ist relativ einfach zu finden, wenn man sich vor Augen führt, was so ein Audit eigentlich ist: Die Verifikation der Eigenprüfung, die das auditierte Unternehmen mit dem Basis-Sicherheits-Check vorab selbst durchgeführt hat. Sie soll bestätigen, dass die eigene Einschätzung ein Informations-Sicherheits-Management-System erfolgreich implementiert zu haben, zutrifft. Dazu müssen der IT-Sicherheits-Prozess (PDCA-Zyklus – Plan – Do – Check –Act) gelebt werden und die erforderlichen Maßnahmen sinnvoll umgesetzt sein. Den Nachweis für diese Aspekte möchte der Auditor erkennen können, damit er guten Gewissens einen positiven Bericht an das BSI schicken kann.
Vor dem Vor-Ort-Audit müssen aber zunächst die vorzulegenden Unterlagen geprüft werden. Der Auditor soll sich ja vergewissern, dass auch alle relevanten Aspekte des betrachteten IT-Verbundes (also des Prüfgegenstandes) betrachtet wurden. Dieser Gesamtverbund muss als Prüfobjekt unternehmensrelevant und vollständig sein. Das bedeutet, dass keine Systeme, die für den Verbund benötigt werden aus der Betrachtung ausgeklammert werden (zum Beispiel weil die erforderlichen Sicherheitsmaßnahmen noch nicht „fertig“ sind). Der Verbund selbst muss aber für den Auftraggeber des Audits von zentraler Bedeutung sein. Es soll zum Beispiel nicht nur die Telefonanlage zertifiziert werden, nur um irgendein Zertifikat vorweisen zu können.
Die Prüfung der Dokumente nimmt während des Audits großen Raum ein. Das ist im Wesentlichen so, weil der Auditor den Aufbau verstehen muss, um die Sinnhaftigkeit und Vollständigkeit der Maßnahmen bewerten zu können. Dazu muss er sich in jede Dokumentationsmethode neu einarbeiten und zuerst einmal verstehen, wie der Verbund dargestellt wird, bevor er verstehen kann, was dargestellt wird.
Auch die formalen Anforderungen für die Zertifizierung müssen erfüllt werden. Es hilft für ein reibungsloses Audit ungemein, wenn bei der Erstellung der verbindlich notwendigen Dokumente für die Zertifizierung (Referenzdokumente) ein Blick in das Prüfschema geworfen wird, das auf der Homepage des BSI veröffentlicht ist. Dort steht nämlich sehr detailliert, was der Auditor prüfen muss und daher prüfen wird.
-> mehr im kompletten Artikel
IT-SecurityCircle zum Thema: Sie müssen noch mehr wissen? Stefan Stumm vermittelt sein Wissen bis ins Detail im Seminar Was der Auditor wissen will...
20.03.2017 in Köln
29.05.2017 in Frankfurt
