top of page
Start
ISO 27001, TISAX®, IT-SiKat, SzA, B3S, KRITIS, VAIT, IT-Sicherheitskatalog, VDA ISA, Systeme zur Angriffserkennung, Pharma, Lebensmittelhandel, Krankenhaus, Hosting, CDN, Verkehrssteuerungssysteme, Leitsysteme, Ernährungsindustrie, Aggregatoren, Datacenter, ISO 27017, ISO 27019, ISO 27701

INTERNES AUDIT

Durchführung von internen Audits zur Erfüllung offizieller Anforderungen.

Interne Audits gemäß ISO 27001, KRITIS, B3S, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV

Prüfgrundlagen

  • ISO 27001, ISO 27017, 27019

  • VDA ISA (TISAX®)

  • VAIT

  • IT-Sicherheitskatalog (IT-SiKat gem. §11 1a & 1b EnWG)

  • Branchenspezifischer Sicherheitsstandard (B3S KRITIS)

  • Orientierungshilfe & Konkretisierung der Anforderungen an die gemäß §8a Absatz 1 BSIG umzusetzenden Maßnahmen

  • Systeme zur Angriffserkennung (SzA OH)

Was Auftraggeber und Kooperationspartner sagen:

„Hallo Herr Borgers, vielen Dank für Ihre Unterstützung für und während der ISMS-Zertifizierung unserer Netzgesellschaft. Gerade ihre Expertise im Voraudit waren maßgeblich für die später erfolgreiche Zertifizierung nach IT-Sicherheitskatalog gemäß Bundesnetzagentur und ISO 27001. Ich hoffe weiter auf erfolgreiche Zusammenarbeit.“ 
Mathias Zeiss via LinkedIn | Stadtwerke Mainz Netze

Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) sind Unternehmen dazu verpflichtet, in geplanten Abständen unabhängige interne Audits durchzuführen. Das erklärte Ziel dieser Prüfungen ist es festzustellen, ob die Normanforderungen sowie die eigenen internen Vorgaben erfüllt werden und das ISMS auch wirklich gelebt wird. Die Durchführung solcher Audits stellt für viele Unternehmen eine Herausforderung dar, besonders wenn sie aufgrund einer geringen Mitarbeiteranzahl die Unabhängigkeit des internen Auditors vom auditierten Umfeld und Tätigkeit nicht gewährleisten können. In solchen Fällen und insbesondere wenn der Fokus auf der Identifikation von Verbesserungspotentialen liegt, empfiehlt es sich die Prüfung des Managementsystems durch einen externen Auditor durchführen zu lassen. 

 

Auditor ≠ Auditor

Im Bereich der Informationssicherheit gibt es leider keine gesetzlich geschützte Berufsbezeichnung für die Tätigkeit des Auditors. So ist es möglich, dass Personen diesen Titel führen, die ausschließlich eine Schulung von wenigen Tagen absolviert haben. Gleiches gilt für Berater, die in ihrer beruflichen Laufbahn noch keine operative Verantwortung im Bereich der IT-Sicherheit sowie Informationssicherheit innehatten und trotz der fehlenden eigenen Praxiserfahrung ihren Kunden den Weg weisen. Wer selbst operativ in der IT tätig ist, weiß das die besagte Praxis sich oft anders verhält, als es die Theorie vorsieht. Gerade das operative Wissen ist für eine Prüfung der Informationssicherheit und Identifikation von Verbesserungspotentialen von großer Bedeutung. Die Prüfdienstleister haben diesen Umstand unlängst erkannt und stellen deshalb klare Anforderungen an ihre Auditoren, bevor sie berufen und im Namen der Zertifizierungsstelle tätig werden dürfen.

Vorteile der internen Prüfung durch berufene Auditoren:

  • Unzweifelhafte Compliance mit den Normvorgaben für die Durchführung von internen Audits

  • Hohe Sach- und Fachkenntnisse

  • Objektive Bewertung auf dem Niveau eines Zertifizierungsaudits

  • Effizientes und routiniertes Vorgehen bei der Durchführung des Audits

Als offiziell berufene Auditoren, die für den TÜV NORD, DEKRA, AUDEG und ÖHMI tätig sind, freuen wir uns darauf Sie mit einem internen Audit unterstützen zu dürfen!

Kontinuierlicher Prozess: Jährliche ISMS-Prüfung bei KRITIS-Betreibern

Unternehmen und Organisationen, die kritische Infrastrukturen betreiben, sind nicht nur verpflichtet branchenspezifische Sicherheitsanforderungen zu implementieren, sondern auch ein ISMS als Grundlage für einen in allen Aspekte der kDL umfassenden sicheren Betrieb aufzubauen und aufrechtzuerhalten. Dies kann unter anderem durch die Einführung und den Betrieb eines ISMS auf Grundlage des international anerkannten Standards ISO/IEC 27001 erfolgen. Die regelmäßige Überprüfung dieses Managementsystems ist notwendig, um sicherzustellen, dass das ISMS wirksam und angemessen ist und den Anforderungen des Standards, der Branche sowie der gesetzlichen Vorschriften entspricht. Während des jährlichen internen Audits werden Prozesse und Verfahren innerhalb des ISMS auf ihre Wirksamkeit und Effizienz geprüft und auf mögliche Schwachstellen untersucht. Ziel ist es, die Sicherheit der kritischen Infrastruktur fortlaufend zu erhöhen, indem Risiken frühestmöglich identifiziert sowie beseitigt werden und dem Prüfdienstleister des KRITIS-Betreibers einen objektiven Nachweis zur Erfüllung der Anforderungen bezüglich der vorgeschriebenen unabhängigen internen Audits bereitzustellen.

Bestandsaufnahme: Interne Prüfung der Systeme zur Angriffserkennung

Interne KRITIS Audits, die auf Basis der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA OH) durchgeführt werden, dienen der Feststellung des Umsetzungsgrades der Vorgaben und können deshalb bei Bedarf sowie ohne ISMS-Prüfung erfolgen.

Prüfschwerpunkte, Branchen und KRITIS Sektoren:

ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG

Sie möchten ein internes Audit?

Sehr gerne stehen wir für Ihre Fragen zur Verfügung:

+49 40 82211748

Interne Audits gemäß ISO 27001, KRITIS, B3S, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV
bottom of page