Durchführung von ISO/IEC 270xx- und BSI-Audits zur Sicherheitsorganisation

Ein Sicherheitsaudit ist die gezielte Untersuchung und Bewertung der Sicherheitsvorkehrungen eines Unternehmens. Je nach Wunsch des Kunden kann solch ein Audit verschiedene Ausprägungen haben:

• Audit eines ISMS nach ISO/IEC 27001
• Gap-Analysen zur ISO/IEC 27002, ISO/IEC 27019 oder den BSI Grundschutzkatalogen
• Durchführung externer (2nd party) Audits bei Lieferanten

Der generelle Unterschied zwischen einem regulären Audit nach ISO/IEC 27001 (oder auch auf Basis von BSI IT-Grundschutz) und einer Gap-Analyse besteht darin, dass ein reguläres Audit zwar die Durchführung eines Zertifizierungsaudits simuliert und die Mitarbeiter auf die tatsächliche Auditierung vorbereitet, durch die Festlegung auf Stichproben jedoch keine Abweichungen feststellen kann, die außerhalb der Stichproben liegen. Eine Gap-Analyse hat (im Gegensatz zum Audit) eher einen beratenden Charakter und widmet sich dem zu untersuchenden Unternehmensbereich vollständig.

Prinzipiell ist die regelmäßige Durchführung von Audits Kernbestandteil eines jeden ISMS und notwendige Grundlage des kontinuierlichen Verbesserungsprozesses. Der überaus schnelle Technologiewandel, verbunden mit immer neuen Erkenntnissen über ausnutzbare Schwachstellen, macht es unabdingbar, die vorhandene IT-Umgebung einer fachgerechten Überprüfung zu unterziehen.

Unsere bei Audits eingesetzten Experten sind zertifizierte ISO/IEC 27001 Lead Auditoren mit langjähriger Projekterfahrung.