Audits zum Nachweis der Erfüllung der Anforderungen

des §8a IT-Sicherheitsgesetzes (KRITIS)

IT-SIG

Audits nach §8a IT-Sicherheitsgesetz

KRITIS

Bestimmte Organisationen zählen abhängig von ihrer Branche und Ihrer Größe zu den kritischen Infrastrukturen

/

Gap-Analyse

Dokumentation und Maßnahmen zur Umsetzung der IT-Sicherheit im Unternehmen

BSI

Prüfungsbericht für BSI
Thor Audit Gmbh

Zweck eines Audits

nach §8a IT-Sicherheitsgesetz

Die Durchführung eines Audits nach §8a IT-Sicherheitsgesetz (IT-SIG) im 2-jährlichen Turnus ist verbindlich für Unternehmen, die Teil der kritischen Infrastrukturen sind. Ein Unternehmen ist Teil der kritischen Infrastrukturen, wenn es:

Rezensionen

IT-SIG

einem der nachfolgenden Sektoren zuzuordnen ist:

• Mineralölbetriebe, Gasnetzbetreiber
• Gesundheit (Med. Versorgung, Arzneimittel und Impfstoffe, Labore)
• Wasser (Trinkwasserversorgung, Abwasserentsorgung)
• Ernährung (Ernährungswirtschaft, Lebensmittelhandel)
• Informationstechnik und Telekommunikation (Informationstechnische Systeme, Netzbetreiber sowie Dienstleister für IT und Telekommunikation)
• Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleister)
• Transport und Verkehr (Luftverkehr, Schienenverkehr, Binnen- und Seeschifffahrt, Straßenverkehr, Logistik)
• Medien und Kultur (Rundfunk, TV, Presse, Kulturgut, symbolträchtige Bauwerke)
• Staat und Verwaltung (Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/Rettungswesen einschließlich Katastrophenschutz)

wenn definierte Schwellwerte bei den als kritisch definierten Services überschritten werden (z.B. Anzahl von Auszahlungsvorgängen im Sektor Finanzen).

Die verbindlichen Schwellwerte wurden für die Sektoren im Rahmen von Rechtsverordnungen festgelegt und werden durch das BSI regelmäßig aktualisiert. Ob ein Unternehmen zur kritischen Infrastruktur dazugezählt wird, ist durch das Unternehmen selbst festzustellen und dem BSI zu melden.
Geprüft wird die IT-Sicherheit der IT Systeme, Prozesse und Applikationen, die erforderlich sind um die Funktionalität der im Rahmen der kritischen Infrastruktur als kritisch identifizierten Geschäftsprozesse sicher zu stellen.

Bedingungen

Das Audit nach §8a IT-SIG muss folgende, gesetzlich definierte Kriterien erfüllen, um durch das BSI akzeptiert zu werden:

• Die Geschäftsführung des Unternehmens beauftragt das Audit
• Die Durchführung des Audits muss durch ein dreiköpfiges Auditteam erfolgen, dass in der Gesamtheit die drei Bereiche, Branchenwissen (aus der Branche des geprüften Unternehmens), angemessene Auditkenntnisse und Kenntnisse der Informationssicherheit angemessen abdeckt
• mindestens einer der Auditoren muss eine Auditberechtigung (Prüfverfahrenskompetenz für § 8a BSIG) besitzen.

Als verbindlicher Standard gegen den geprüft werden kann, hat das BSI einen Anforderungskatalog definiert. Diese Anforderungen umfassen sowohl den Aufbau und Betrieb eines ISMS, als auch die Mindestanforderungen an die technischen Sicherheitsmaßnahmen.
Generell ist für alle technischen Sicherheitsmaßnahmen der “Stand der Technik” verbindlich umzusetzen.

Produkte:

Gap-Analyse
Eine Gap-Analyse ist eine Ersteinschätzung des Status der Umsetzung der Anforderungen des IT-Sicherheitsgesetzes (IT-SIG) bei den als kritisch identifizierten Geschäftsprozessen im Unternehmen.
Dies umfasst sowohl Gaps in der Dokumentation als auch in den IT-Prozessen und Maßnahmen zur Umsetzung der IT-Sicherheit im Unternehmen. Die Ergebnisse der Gap-Analyse ermöglichen es dem Unternehmen Schwächen aufzuarbeiten und so die Anforderungen des IT-SIG zu erfüllen.
Audit zur Erfüllung der Anforderungen von §8a des IT-Sicherheitsgesetzes (IT-SIG)
Im Rahmen dieses Audits wird zunächst der Auditbereich (Scope) auf Basis der identifizierten, kritischen Geschäftsprozesse (in Sinne des IT-SIG) festgelegt. Auf Basis des Scopes werden nun die relevanten Anforderungen aus dem Anforderungskatalog ausgewählt. Bei der Auswahl der relevanten Maßnahmen ist immer zu begründen warum eine Anforderung ausgewählt wurde und auf welchen Teil der kritischen Infrastrukturen / Geschäftsprozesse

Das eigentliche Audit umfasst sowohl die Prüfung der Dokumentationen, Prozesse und Maßnahmen als auch die Aufnahme der zwingend erforderlichen Nachweise, die dem BSI auf Anforderung vorgelegt werden müssen. Ergebnis des Audits ist die Bewertung in Form eines Prüfungsberichtes, ob die vorhandenen Maßnahmen geeignet sind die Schutzziele Vertraulichkeit, Integrität, Authentizität und insbesondere Verfügbarkeit bei den als kritisch identifizierten Geschäftsprozessen sicherzustellen.

Der Prüfungsbericht wird in einer Kurz- und in einer Langform durch das Auditteam erstellt und dem Kunden zur Weitergabe an das BSI zur Verfügung gestellt. Die Kurzform wird an das BSI übermittelt, die Langform inkl. aller Nachweise nur auf Anforderung.
Sollte es zu Rückfragen durch das BSI kommen steht das Auditteam selbstverständlich beratend zur Seite.

Kontakt

Wenn Sie nach einer vertrauenswürdigen Auditfirma suchen, die Ihnen hilft, Ihre Geschäftsprozesse zu optimieren und Ihre Transparenz zu verbessern, sind Sie bei THOR-Audit GmbH genau richtig. Kontaktieren Sie uns noch heute, um mehr über unsere Dienstleistungen zu erfahren und wie wir Ihrem Unternehmen helfen können.

Datenschutz

4 + 12 =