top of page
Start
ISO 27001, TISAX®, IT-SiKat, SzA, B3S, KRITIS, VAIT, IT-Sicherheitskatalog, VDA ISA, Systeme zur Angriffserkennung, Pharma, Lebensmittelhandel, Krankenhaus, Hosting, CDN, Verkehrssteuerungssysteme, Leitsysteme, Ernährungsindustrie, Aggregatoren, Datacenter, ISO 27017, ISO 27019, ISO 27701

INTERNES AUDIT ⚫️⚫️🔴

Durchführung von internen Audits zur Erfüllung offizieller Anforderungen.

Prüfgrundlagen

  • ISO 27001, ISO 27017, 27019

  • VDA ISA (TISAX®)

  • VAIT

  • IT-Sicherheitskatalog (IT-SiKat gem. §11 1a & 1b EnWG)

  • Branchenspezifischer Sicherheitsstandard (B3S KRITIS)

  • Orientierungshilfe & Konkretisierung der Anforderungen an die gemäß §8a Absatz 1 BSIG umzusetzenden Maßnahmen

  • Systeme zur Angriffserkennung (SzA OH)

Was Auftraggeber und Kooperationspartner sagen:

„Hallo Herr Borgers, vielen Dank für Ihre Unterstützung für und während der ISMS-Zertifizierung unserer Netzgesellschaft. Gerade ihre Expertise im Voraudit waren maßgeblich für die später erfolgreiche Zertifizierung nach IT-Sicherheitskatalog gemäß Bundesnetzagentur und ISO 27001. Ich hoffe weiter auf erfolgreiche Zusammenarbeit.“ 
Mathias Zeiss via LinkedIn | Stadtwerke Mainz Netze

Ein Informationssicherheitsmanagementsystem (ISMS) verlangt von Unternehmen, in regelmäßigen Intervallen unabhängige interne Audits durchzuführen. Diese Audits zielen darauf ab, zu überprüfen, ob die Vorgaben der relevanten Normen und die internen Richtlinien des Unternehmens eingehalten werden, sowie zu evaluieren, ob das ISMS effektiv in der Unternehmenspraxis umgesetzt wird. Für viele Unternehmen stellt die Durchführung dieser Audits eine Herausforderung dar. Dies ist insbesondere der Fall, wenn aufgrund einer kleinen Belegschaft die Unabhängigkeit des internen Auditors von dem zu prüfenden Bereich nicht sichergestellt werden kann. In solchen Situationen, und besonders wenn der Schwerpunkt auf der Aufdeckung und Nutzung von Verbesserungsmöglichkeiten liegt, ist es ratsam, die Bewertung des Managementsystems einem externen Auditor anzuvertrauen. 

 

Auditor ≠ Auditor


In der Branche der Informationssicherheit fehlt es an einer gesetzlich geschützten Berufsbezeichnung für die Rolle des Auditors. Diese regulatorische Lücke ermöglicht es Personen, sich als Auditoren zu bezeichnen, selbst wenn ihre Qualifikation lediglich auf einer kurzen Schulung basiert, die nur wenige Tage dauert. Dies birgt das Risiko, dass die Qualität und Tiefe der Audits nicht den erforderlichen Standards entsprechen könnte, da theoretisches Wissen aus kurzen Kursen oft nicht ausreicht, um die komplexen Herausforderungen in der Praxis der Informationssicherheit zu bewältigen.

Eine ähnliche Problematik besteht im Bereich der Beratung. Es gibt Berater, die in ihrer beruflichen Laufbahn keine direkte operative Verantwortung im Bereich der IT-Sicherheit oder Informationssicherheit innegehabt haben. Trotzdem bieten sie Beratungsdienste an, auch wenn ihnen die praktische Erfahrung fehlt. Diese Diskrepanz zwischen Theorie und Praxis kann zu einem Mangel an realitätsnahen, effektiven Lösungen führen. Praktische Erfahrungen, insbesondere im operativen Bereich, sind jedoch für die Bewertung und Verbesserung der Informationssicherheit unerlässlich. Die Theorie allein kann die vielfältigen, oft unvorhersehbaren Herausforderungen der IT-Landschaft nicht vollständig erfassen.

Die Prüfdienstleister haben diesen Umstand unlängst erkannt und stellen deshalb klare Anforderungen an ihre Auditoren, bevor sie berufen und im Namen der Zertifizierungsstelle tätig werden dürfen.

Vorteile der internen Prüfung durch einen berufenen Auditor:

  • Unzweifelhafte Compliance mit den Normvorgaben für die Durchführung von internen Audits

  • Hohe Sach- und Fachkenntnisse

  • Objektive Bewertung auf dem Niveau eines Zertifizierungsaudits

  • Effizientes und routiniertes Vorgehen bei der Durchführung des Audits

Kontinuierlicher Prozess: Jährliche ISMS-Prüfung bei KRITIS-Betreibern

Unternehmen und Organisationen, die kritische Infrastrukturen betreiben, sind nicht nur verpflichtet branchenspezifische Sicherheitsanforderungen zu implementieren, sondern auch ein ISMS als Grundlage für einen in allen Aspekte der kDL umfassenden sicheren Betrieb aufzubauen und aufrechtzuerhalten. Dies kann unter anderem durch die Einführung und den Betrieb eines ISMS auf Grundlage des international anerkannten Standards (z.B. ISO/IEC 27001) erfolgen. Die regelmäßige Überprüfung dieses Managementsystems ist notwendig, um sicherzustellen, dass das ISMS wirksam und angemessen ist und den Anforderungen des Standards, der Branche sowie der gesetzlichen Vorschriften entspricht. Während des jährlichen internen Audits werden Prozesse und Verfahren innerhalb des ISMS auf ihre Wirksamkeit und Effizienz geprüft und auf mögliche Schwachstellen untersucht. Ziel ist es, die Sicherheit der kritischen Infrastruktur fortlaufend zu erhöhen, indem Risiken frühestmöglich identifiziert sowie beseitigt werden und dem Prüfdienstleister des KRITIS-Betreibers einen objektiven Nachweis zur Erfüllung der Anforderungen bezüglich der vorgeschriebenen unabhängigen internen Audits bereitzustellen.

Prüfschwerpunkte, Branchen und KRITIS Sektoren:

ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG

Sie möchten ein internes Audit?

Sehr gerne stehen wir für Ihre Fragen zur Verfügung:

+49 40 82211748

Interne Audits gemäß ISO 27001, KRITIS, B3S, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV
bottom of page