AUDIT

Audits von Informations-sicherheitsmanagement-Systemen

 (ISMS) nach ISO/IEC 27001:2022

Audits der Informationssicherheit

bei IT-Dienstleistern

1

Audits zum Nachweis der Erfüllung der Anforderungen

des IT-Sicherheitsgesetzes (KRITIS) nach §8a

Audits

der Informationssicherheit
Thor Audit GmbH

Audit

Das Audit von Informationssicherheitsmanagementsystemen ISMS) umfasst den gesamten Aufbau der Informationssicherheit, von den übergeordneten Prozessen der Informationssicherheit bis hin zu den konkreten technischen und organisatorischen Maßnahmen. Dabei wird geprüft ob alle für das ISMS relevanten Stakeholder und Einflussfaktoren (z.B. interne und gesetzliche / regulatorische Vorgaben, Risikosituation des Unternehmens, spezifische Anforderungen auf Grund von Kundenanforderungen, etc.) berücksichtigt wurden.

Referenzen

Was ist Audit?

Der erster Faktor

Ein wesentlicher Faktor für ein funktionierendes ISMS im Sinne des Unternehmens ist, ob die von der Geschäftsführung des Unternehmens definierten Vorgaben, also die Vorgaben zur Steuerung der Informationssicherheit, z.B. hinsichtlich Schutzbedarf hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit und des Risikoappetits (hoch oder niedrig), konsequent umgesetzt wurden. So ist ein wesentliches Ergebnis eines Audits festzustellen ob, von den Vorgaben des Risikomanagements, über die Leit- und Richtlinien bis hin zu den konkreten Einzelmaßnahmen der Informationssicherheit, die Umsetzung der Anforderungen der Geschäftsführung konsequent durchgeführt wurde

Der zweite Faktor

Der zweite, ebenso wichtige Aspekt sind die Kontroll- und Überwachungsfunktionen des Systems. In einem Informationssicherheitsaudit wird analysiert und bewertet, ob die notwendigen Informationen für eine angemessene und effektive Steuerung der Informationssicherheit überhaupt die Geschäftsführung erreichen. Dabei ist auch entscheidend das dies angemessener Form und zu einem Zeitpunkt an dem eine Steuerung noch möglich ist. Um die Einbindung des ISMS in die Instrumente zur Unternehmenssteuerung beurteilen zu können werden auch die Schnittstellen zu anderen Managementsystemen und dem Gesamtrisikomanagement des Unternehmens geprüft.

Was ist eigentlich Audit?

Das Wort „Audit“ ist eine Substantivierung von „audit“ – er, sie, es hört (zu) –, der 3. Person Singular Präsens Indikativ Aktiv des lateinischen Verbs „audire“ – soweit der Lateinlehrer. Mit dem Kunstwort „Audit“ wird also ein Vorgang bezeichnet, bei dem sich ein Zuhörer (der Auditor) dem widmet, was ihm andere Personen sagen, woraus er wiederum seine Schlüsse zieht; dass ein Auditor nicht nur hört, sondern auch sieht und – fast noch wichtiger – „hineinspürt“, versteht sich eigentlich fast von selbst.

Audits von Informationssicherheitsmanagement-Systemen (ISMS) auf Basis von ISO/IEC 27001

Die THOR-Audit  prüft die Informationssicherheit Ihres Unternehmens auf Basis der ISO/IEC 27001. Die ISO/IEC 27001 ist der weltweit angewandte und anerkannte Standard für zertifizierte ISMS. Das Ziel ist der Nachweis gegenüber Ihren Kunden und Geschäftspartnern, dass Sie die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer kritischen Unternehmensinformationen durch ein zertifiziertes Management Ihrer Informationssicherheit schützen.

Dienstleister- Audits

Audits bei Dienstleistern, Providern oder Outsourcing Partnern sind ein vielfach unterschätztes Werkzeug zur Sicherstellung einer angemessenen Informationssicherheit in Unternehmen. Je nach Art und Kritikalität der durch den Dienstleister erbrachten Services wirken sich Mängel bei der Informationssicherheit des Dienstleisters direkt auf die Produktion des Auftraggebers aus. Durch regelmäßige Audits erhält der Auftraggeber die benötigten Informationen um gegebenenfalls steuernd eingreifen zu können und das eigene Unternehmen vor finanziellen Verlusten zu schützen.

Audits zum Nachweis der Erfüllung der Anforderungen des §8a IT-Sicherheitsgesetzes (KRITIS)

Unternehmen die als Teil der kritischen Infrastrukturen der Bundesrepublik Deutschland identifiziert wurden, sind verpflichtet in regelmäßigen Abständen nachzuweisen, dass sie den gesetzlichen Anforderungen genügen. Daher müssen im 2-jährigen Turnus Audits nachgewiesen werden, die den gesetzlichen Anforderungen nach Art und Umfang genügen. Die THOR-Audit  verfügt über die notwendige Expertise und zertifizierte Auditoren, die in der Lage sind, den gesetzlichen Anforderungen entsprechende Audits durchzuführen.  

Audits der Informationssicherheit

Ein Audit der Informationssicherheit ist nach Art und Umfang durch das beauftragende Unternehmen grundsätzlich frei wählbar. So kann der Umfang (Scope) auf bestimmte Prozesse oder Aspekte der Informationssicherheit im Unternehmen beschränkt werden, z.B. Risikomanagement in der Informationssicherheit, oder auch das Gesamtsystem der Informationssicherheit umfassen. Die Auditoren der THOR-Audit unterstützen und beraten bei der Zusammenstellung eines angemessenen Prüfungsprogramms um die von der Geschäftsführung definierten Prüfungsziele zu erreichen.

Links zu:

Audits von Informationssicherheitsmanagement-Systemen (ISMS) nach ISO/IEC 27001:2022

Audits der Informationssicherheit bei IT-Dienstleistern

Audits zum Nachweis der Erfüllung der Anforderungen des IT-Sicherheitsgesetzes (KRITIS) nach §8a

Audits der Informationssicherheit

Kontaktformular

Kontakt

Wenn Sie nach einer vertrauenswürdigen Auditfirma suchen, die Ihnen hilft, Ihre Geschäftsprozesse zu optimieren und Ihre Transparenz zu verbessern, sind Sie bei THOR-Audit GmbH genau richtig. Kontaktieren Sie uns noch heute, um mehr über unsere Dienstleistungen zu erfahren und wie wir Ihrem Unternehmen helfen können.

Datenschutz

7 + 1 =