RiLi-InterneAuditierung

2025-02-14T07:24:09Z

Thomas Bögl: /* Umfang der Prüfungen */

{{#seo:
|title=Richtlinie zur internen ISMS-Auditierung
|keywords= ISMS,Richtlinie,Auditierung,intern,KVP,Audit,Verbesserung
|description=Musterrichtlinie zur Durchführung interner ISMS-Audits.
}}{{SHORTDESC:Mustervorlage "Richtlinie zur internen ISMS-Auditierung"}}
Die Richtlinie zur internen ISMS-Auditierung beschreibt die Verfahren zur regelmäßigen Überprüfung der Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS). Sie umfasst Verantwortlichkeiten, Prüfzyklen, Dokumentation und den Umgang mit Abweichungen, um kontinuierliche Verbesserung und Konformität sicherzustellen.

== Einleitung ==

Die Organisation hat ein Managementsystems für Informationssicherheit (ISMS) auf Basis der BSI-Standards 200-x (IT-Grundschutz) etabliert. Ein zentraler Bestandteil eines ISMS ist die regelmäßige Kontrolle der Wirksamkeit durch ein internes ISMS-Audit.

Diese Richtlinie beschreibt die Vorgaben zur Durchführung interner ISMS-Audits.

== Geltungsbereich ==

Die vorliegende Richtlinie gilt für den Kontinuierlichen Verbesserungsprozess (KVP) innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation.

Diese Richtlinie ist für alle zuständigen Mitarbeitenden der Organisation verbindlich.

== Zielsetzung ==
Die Richtlinie zur internen ISMS-Auditierung legt die Verfahren und Richtlinien fest, um regelmäßige interne Audits des Informationssicherheitsmanagementsystems (ISMS) durchzuführen. Sie beschreibt den Prozess, wie die Überprüfung der ISMS-Konformität, Effektivität und Effizienz erfolgt, um sicherzustellen, dass die Sicherheitsziele erreicht und die Anforderungen erfüllt werden. Das Ziel der internen ISMS-Auditierung ist es, potenzielle Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren, um eine kontinuierliche Weiterentwicklung und Anpassung des ISMS zu gewährleisten und so die Informationssicherheit im Unternehmen zu stärken.

== Prozessbeschreibung ==

=== Verantwortliche ===

Verantwortlich für den Prozess der ISMS-Auditierung ist der ISB der Organisation.

Für die Durchführung der internen ISMS-Audits wird von der Leitung der Organisation ein interne ISMS-Auditor bestimmt. Der interne ISMS-Auditor darf nicht seinen eigenen Bereich auditieren.

An den internen ISMS-Auditor werden folgende Anforderungen gestellt:

* Kenntnisse in Informationstechnik und -sicherheit
* Kenntnisse in der IT-Grundschutz-Methodik
* Kenntnisse in Methodiken der Auditierung

Sowohl das Management als auch alle Mitarbeitenden unterstützen den Prozess zur Durchführung interner ISMS-Audits.

=== Prüfzyklen ===

Interne ISMS-Audits sind jährlich für jeden Informationsverbund durchzuführen.

=== Umfang der Prüfungen ===

Bei allen internen ISMS-Audit sind folgende Aspekte zu prüfen:

* Aktualität der Angaben und Dokumente
* Umsetzungsstand der Vorgaben
* Prüfung der Wirksamkeit der Maßnahmen

Das interne ISMS-Audit umfasst im Detail folgende Punkte:

{| class="wikitable"
|+ Text der Überschrift
|-
| '''Referenzdokumente'''
|| Die Referenzdokumente sind stichprobenartig auf Aktualität und Konformität zur "[[RiLi-Dokumentenlenkung|Richtlinie zur Lenkung von Dokumenten]]" zu prüfen.
|-
| '''Strukturanalyse'''
|| Die [[Strukturanalyse]] ist auf Vollständigkeit und Richtigkeit zu prüfen.
|-
| '''Schutzbedarfsanalyse'''
|| Die [[Schutzbedarf|Schutzbedarfsfeststellung]] ist auf Aktualität zu prüfen.
|-
| '''Modellierung'''
|| Die Modellierung ist auf Vollständigkeit gemäß der aktuell gültigen Edition des Grundschutz-Kompendiums zu prüfen.
|-
| '''IT-Grundschutz-Checks'''
|| Schwerpunkt des internen ISMS-Audits ist der IT-Grundschutz-Check. Für den IT-Grundschutz-Check wird ein Auditplan erstellt, der über drei Jahre vorgibt, welche Bausteine wann geprüft werden.
|-
| '''Risikoanalyse'''
|| Die Risikoanalyse ist auf Aktualität und Angemessenheit der Riskobehandlung zu prüfen.
|}

=== Dokumentation ===

Das interne ISMS-Audit wird vollumfänglich dokumentiert. Die Dokumentation enthält mindestens folgende Aspekte:
* Dokumentation der Auditplanung,
* Ergebnisse der Dokumentenprüfung (A.0 - A.3 und A.5),
* Ergebnisse der geprüften IT-Grundschutz-Bausteine (A.4).

Die Auditdokumentation soll wiedergeben wer, wann, wen zu welchem Sachverhalt (Referenzdokument, Zielobjekt, Baustein, ...) befragt hat und welche Feststellungen getroffen wurden.

Es sind folgende Feststellungen vorgesehen:
* '''Erfüllt''': Dokument ist aktuell, Sachverhalt trifft zu oder Anforderung ist wirksam erfüllt.
* '''Empfehlung''': grundsätzlich gilt „erfüllt“, es gibt aber das beschriebene Verbesserungspotential.
* '''Abweichung''': Dokument ist nicht aktuell, Sachverhalt trifft nicht zu und/oder eine Anforderung ist nicht oder nicht wirksam erfüllt.
Das interne ISMS-Audit wird durch einen Bericht abgeschlossen. Etwaige Nicht-Konformitäten (Abweichungen und Empfehlungen) werden klar gekennzeichnet. Der Bericht zum internen ISMS-Audit wird in die Managementbewertung aufgenommen.

=== Umgang mit Abweichungen und Empfehlungen ===

Festgestellte Abweichungen und Empfehlungen gehen in den kontinuierlichen Verbesserungsprozess ein.

== Schlussbemerkung ==
===Behandlung von Ausnahmen===
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich.
===Revision===
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
== Inkrafttreten ==
Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung
[[Kategorie:Richtlinie]]
[[Kategorie:Mustervorlage]]

ISMS-Ratgeber WiKi - Benutzerbeiträge [de]

RiLi-InterneAuditierung