RiLi-InterneAuditierung: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
(10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
Mustervorlage | {{#seo: | ||
|title=Richtlinie zur internen ISMS-Auditierung | |||
|keywords= ISMS,Richtlinie,Auditierung,intern,KVP,Audit,Verbesserung | |||
|description=Musterrichtlinie zur Durchführung interner ISMS-Audits. | |||
}}{{SHORTDESC:Mustervorlage "Richtlinie zur internen ISMS-Auditierung"}} | |||
Die Richtlinie zur internen ISMS-Auditierung beschreibt die Verfahren zur regelmäßigen Überprüfung der Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS). Sie umfasst Verantwortlichkeiten, Prüfzyklen, Dokumentation und den Umgang mit Abweichungen, um kontinuierliche Verbesserung und Konformität sicherzustellen. | |||
== Einleitung == | == Einleitung == | ||
Zeile 9: | Zeile 14: | ||
== Geltungsbereich == | == Geltungsbereich == | ||
Die vorliegende Richtlinie gilt für den KVP innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation. | Die vorliegende Richtlinie gilt für den Kontinuierlichen Verbesserungsprozess (KVP) innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation. | ||
Diese Richtlinie ist für alle zuständigen Mitarbeitenden der Organisation verbindlich. | Diese Richtlinie ist für alle zuständigen Mitarbeitenden der Organisation verbindlich. | ||
== Zielsetzung == | == Zielsetzung == | ||
Die Richtlinie zur internen ISMS-Auditierung legt die Verfahren und Richtlinien fest, um regelmäßige interne Audits des Informationssicherheitsmanagementsystems (ISMS) durchzuführen. Sie beschreibt den Prozess, wie die Überprüfung der ISMS-Konformität, Effektivität und Effizienz erfolgt, um sicherzustellen, dass die Sicherheitsziele erreicht und die Anforderungen erfüllt werden. Das Ziel der internen ISMS-Auditierung ist es, potenzielle Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren, um eine kontinuierliche Weiterentwicklung und Anpassung des ISMS zu gewährleisten und so die Informationssicherheit im Unternehmen zu stärken. | |||
== Prozessbeschreibung == | == Prozessbeschreibung == | ||
Zeile 29: | Zeile 35: | ||
* Kenntnisse in Methodiken der Auditierung | * Kenntnisse in Methodiken der Auditierung | ||
Sowohl das Management als auch alle Mitarbeitenden unterstützen den Prozess zur Durchführung interner | Sowohl das Management als auch alle Mitarbeitenden unterstützen den Prozess zur Durchführung interner ISMS-Audits. | ||
ISMS-Audits. | |||
=== Prüfzyklen === | === Prüfzyklen === | ||
Zeile 38: | Zeile 43: | ||
=== Umfang der Prüfungen === | === Umfang der Prüfungen === | ||
Bei allen internen ISMS-Audit sind folgende Aspekte zu prüfen: | |||
* Aktualität der Angaben | * Aktualität der Angaben und Dokumente | ||
* Umsetzungsstand der Vorgaben | * Umsetzungsstand der Vorgaben | ||
* Prüfung der Wirksamkeit | * Prüfung der Wirksamkeit der Maßnahmen | ||
Das interne ISMS-Audit umfasst im Detail folgende Punkte: | Das interne ISMS-Audit umfasst im Detail folgende Punkte: | ||
Zeile 50: | Zeile 55: | ||
|- | |- | ||
| '''Referenzdokumente''' | | '''Referenzdokumente''' | ||
|| Die Referenzdokumente sind stichprobenartig auf Aktuaität und Konformität zur "Richtlinie zur Lenkung von Dokumenten" zu prüfen. | || Die Referenzdokumente sind stichprobenartig auf Aktuaität und Konformität zur "[[RiLi-Dokumentenlenkung|Richtlinie zur Lenkung von Dokumenten]]" zu prüfen. | ||
|- | |- | ||
| '''Strukturanalyse''' | | '''Strukturanalyse''' | ||
|| Die Strukturanalyse ist auf Vollständigkeit und Richtigkeit zu prüfen. | || Die [[Strukturanalyse]] ist auf Vollständigkeit und Richtigkeit zu prüfen. | ||
|- | |- | ||
| '''Schutzbedarfsanalyse''' | | '''Schutzbedarfsanalyse''' | ||
|| Die Schutzbedarfsfeststellung ist auf Aktualität zu prüfen. | || Die [[Schutzbedarf|Schutzbedarfsfeststellung]] ist auf Aktualität zu prüfen. | ||
|- | |- | ||
| '''Modellierung''' | | '''Modellierung''' | ||
Zeile 78: | Zeile 83: | ||
Es sind folgende Feststellungen vorgesehen: | Es sind folgende Feststellungen vorgesehen: | ||
* | * '''Erfüllt''': Dokument ist aktuell, Sachverhalt trifft zu oder Anforderung ist wirksam erfüllt. | ||
* Empfehlung: grundsätzlich gilt „erfüllt“, es gibt aber das beschriebene Verbesserungspotential. | * '''Empfehlung''': grundsätzlich gilt „erfüllt“, es gibt aber das beschriebene Verbesserungspotential. | ||
* Abweichung: Dokument ist nicht aktuell, Sachverhalt trifft nicht zu und/oder eine Anforderung ist | * '''Abweichung''': Dokument ist nicht aktuell, Sachverhalt trifft nicht zu und/oder eine Anforderung ist nicht oder nicht wirksam erfüllt. | ||
nicht oder nicht wirksam erfüllt. | |||
Das interne ISMS-Audit wird durch einen Bericht abgeschlossen. Etwaige Nicht-Konformitäten (Abweichungen und Empfehlungen) werden klar gekennzeichnet. Der Bericht zum internen ISMS-Audit wird in die Managementbewertung aufgenommen. | Das interne ISMS-Audit wird durch einen Bericht abgeschlossen. Etwaige Nicht-Konformitäten (Abweichungen und Empfehlungen) werden klar gekennzeichnet. Der Bericht zum internen ISMS-Audit wird in die Managementbewertung aufgenommen. | ||
Zeile 90: | Zeile 93: | ||
== Schlussbemerkung == | == Schlussbemerkung == | ||
===Behandlung von Ausnahmen=== | |||
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich. | |||
===Revision=== | |||
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst. | |||
== Inkrafttreten == | == Inkrafttreten == | ||
Diese Richtlinie tritt zum 01.01.2222 in Kraft. | Diese Richtlinie tritt zum 01.01.2222 in Kraft. |
Aktuelle Version vom 3. August 2024, 08:09 Uhr
Die Richtlinie zur internen ISMS-Auditierung beschreibt die Verfahren zur regelmäßigen Überprüfung der Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS). Sie umfasst Verantwortlichkeiten, Prüfzyklen, Dokumentation und den Umgang mit Abweichungen, um kontinuierliche Verbesserung und Konformität sicherzustellen.
Einleitung
Die Organisation hat ein Managementsystems für Informationssicherheit (ISMS) auf Basis der BSI-Standards 200-x (IT-Grundschutz) etabliert. Ein zentraler Bestandteil eines ISMS ist die regelmäßige Kontrolle der Wirksamkeit durch ein internes ISMS-Audit.
Diese Richtlinie beschreibt die Vorgaben zur Durchführung interner ISMS-Audits.
Geltungsbereich
Die vorliegende Richtlinie gilt für den Kontinuierlichen Verbesserungsprozess (KVP) innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation.
Diese Richtlinie ist für alle zuständigen Mitarbeitenden der Organisation verbindlich.
Zielsetzung
Die Richtlinie zur internen ISMS-Auditierung legt die Verfahren und Richtlinien fest, um regelmäßige interne Audits des Informationssicherheitsmanagementsystems (ISMS) durchzuführen. Sie beschreibt den Prozess, wie die Überprüfung der ISMS-Konformität, Effektivität und Effizienz erfolgt, um sicherzustellen, dass die Sicherheitsziele erreicht und die Anforderungen erfüllt werden. Das Ziel der internen ISMS-Auditierung ist es, potenzielle Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren, um eine kontinuierliche Weiterentwicklung und Anpassung des ISMS zu gewährleisten und so die Informationssicherheit im Unternehmen zu stärken.
Prozessbeschreibung
Verantwortliche
Verantwortlich für den Prozess der ISMS-Auditierung ist der ISB der Organisation.
Für die Durchführung der internen ISMS-Audits wird von der Leitung der Organisation ein interne ISMS-Auditor bestimmt. Der interne ISMS-Auditor darf nicht seinen eigenen Bereich auditieren.
An den internen ISMS-Auditor werden folgende Anforderungen gestellt:
- Kenntnisse in Informationstechnik und -sicherheit
- Kenntnisse in der IT-Grundschutz-Methodik
- Kenntnisse in Methodiken der Auditierung
Sowohl das Management als auch alle Mitarbeitenden unterstützen den Prozess zur Durchführung interner ISMS-Audits.
Prüfzyklen
Interne ISMS-Audits sind jährlich für jeden Informationsverbund durchzuführen.
Umfang der Prüfungen
Bei allen internen ISMS-Audit sind folgende Aspekte zu prüfen:
- Aktualität der Angaben und Dokumente
- Umsetzungsstand der Vorgaben
- Prüfung der Wirksamkeit der Maßnahmen
Das interne ISMS-Audit umfasst im Detail folgende Punkte:
Referenzdokumente | Die Referenzdokumente sind stichprobenartig auf Aktuaität und Konformität zur "Richtlinie zur Lenkung von Dokumenten" zu prüfen. |
Strukturanalyse | Die Strukturanalyse ist auf Vollständigkeit und Richtigkeit zu prüfen. |
Schutzbedarfsanalyse | Die Schutzbedarfsfeststellung ist auf Aktualität zu prüfen. |
Modellierung | Die Modellierung ist auf Vollständigkeit gemäß der aktuell gültigen Edition des Grundschutz-Kompendiums zu prüfen. |
IT-Grundschutz-Checks | Schwerpunkt des internen ISMS-Audits ist der IT-Grundschutz-Check. Für den IT-Grundschutz-Check wird ein Auditplan erstellt, der über drei Jahre vorgibt, welche Bausteine wann geprüft werden. |
Risikoanalyse | Die Risikoanalyse ist auf Aktualität und Angemessenheit der Riskobehandlung zu prüfen. |
Dokumentation
Das interne ISMS-Audit wird vollumfänglich dokumentiert. Die Dokumentation enthält mindestens folgende Aspekte:
- Dokumentation der Auditplanung,
- Ergebnisse der Dokumentenprüfung (A.0 - A.3 und A.5),
- Ergebnisse der geprüften IT-Grundschutz-Bausteine (A.4).
Die Auditdokumentation soll wiedergeben wer, wann, wen zu welchem Sachverhalt (Referenzdokument, Zielobjekt, Baustein, ...) befragt hat und welche Feststellungen getroffen wurden.
Es sind folgende Feststellungen vorgesehen:
- Erfüllt: Dokument ist aktuell, Sachverhalt trifft zu oder Anforderung ist wirksam erfüllt.
- Empfehlung: grundsätzlich gilt „erfüllt“, es gibt aber das beschriebene Verbesserungspotential.
- Abweichung: Dokument ist nicht aktuell, Sachverhalt trifft nicht zu und/oder eine Anforderung ist nicht oder nicht wirksam erfüllt.
Das interne ISMS-Audit wird durch einen Bericht abgeschlossen. Etwaige Nicht-Konformitäten (Abweichungen und Empfehlungen) werden klar gekennzeichnet. Der Bericht zum internen ISMS-Audit wird in die Managementbewertung aufgenommen.
Umgang mit Abweichungen und Empfehlungen
Festgestellte Abweichungen und Empfehlungen gehen in den kontinuierlichen Verbesserungsprozess ein.
Schlussbemerkung
Behandlung von Ausnahmen
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.
Revision
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung