RiLi-InterneAuditierung: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
{{#seo: | |||
|title=Mustervorlage für eine Richtlinie zur internen ISMS-Auditierung | |||
|keywords= ISMS,Richtlinie,Auditierung,intern,KVP,Audit | |||
|description=Beispiel Musterrichtlinie zur Durchführung interner ISMS-Audits in einer Organisation. | |||
}} | |||
Mustervorlage: '''"Richtlinie zur internen ISMS-Auditierung"''' | Mustervorlage: '''"Richtlinie zur internen ISMS-Auditierung"''' | ||
Version vom 11. April 2023, 13:51 Uhr
Mustervorlage: "Richtlinie zur internen ISMS-Auditierung"
Einleitung
Die Organisation hat ein Managementsystems für Informationssicherheit (ISMS) auf Basis der BSI-Standards 200-x (IT-Grundschutz) etabliert. Ein zentraler Bestandteil eines ISMS ist die regelmäßige Kontrolle der Wirksamkeit durch ein internes ISMS-Audit.
Diese Richtlinie beschreibt die Vorgaben zur Durchführung interner ISMS-Audits.
Geltungsbereich
Die vorliegende Richtlinie gilt für den KVP innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation.
Diese Richtlinie ist für alle zuständigen Mitarbeitenden der Organisation verbindlich.
Zielsetzung
Prozessbeschreibung
Verantwortliche
Verantwortlich für den Prozess der ISMS-Auditierung ist der ISB der Organisation.
Für die Durchführung der internen ISMS-Audits wird von der Leitung der Organisation ein interne ISMS-Auditor bestimmt. Der interne ISMS-Auditor darf nicht seinen eigenen Bereich auditieren.
An den internen ISMS-Auditor werden folgende Anforderungen gestellt:
- Kenntnisse in Informationstechnik und -sicherheit
- Kenntnisse in der IT-Grundschutz-Methodik
- Kenntnisse in Methodiken der Auditierung
Sowohl das Management als auch alle Mitarbeitenden unterstützen den Prozess zur Durchführung interner ISMS-Audits.
Prüfzyklen
Interne ISMS-Audits sind jährlich für jeden Informationsverbund durchzuführen.
Umfang der Prüfungen
Bei allen internen ISMS-Audit sind folgende Aspekte zu prüfen:
- Aktualität der Angaben und Dokumente
- Umsetzungsstand der Vorgaben
- Prüfung der Wirksamkeit der Maßnahmen
Das interne ISMS-Audit umfasst im Detail folgende Punkte:
Referenzdokumente | Die Referenzdokumente sind stichprobenartig auf Aktuaität und Konformität zur "Richtlinie zur Lenkung von Dokumenten" zu prüfen. |
Strukturanalyse | Die Strukturanalyse ist auf Vollständigkeit und Richtigkeit zu prüfen. |
Schutzbedarfsanalyse | Die Schutzbedarfsfeststellung ist auf Aktualität zu prüfen. |
Modellierung | Die Modellierung ist auf Vollständigkeit gemäß der aktuell gültigen Edition des Grundschutz-Kompendiums zu prüfen. |
IT-Grundschutz-Checks | Schwerpunkt des internen ISMS-Audits ist der IT-Grundschutz-Check. Für den IT-Grundschutz-Check wird ein Auditplan erstellt, der über drei Jahre vorgibt, welche Bausteine wann geprüft werden. |
Risikoanalyse | Die Risikoanalyse ist auf Aktualität und Angemessenheit der Riskobehandlung zu prüfen. |
Dokumentation
Das interne ISMS-Audit wird vollumfänglich dokumentiert. Die Dokumentation enthält mindestens folgende Aspekte:
- Dokumentation der Auditplanung,
- Ergebnisse der Dokumentenprüfung (A.0 - A.3 und A.5),
- Ergebnisse der geprüften IT-Grundschutz-Bausteine (A.4).
Die Auditdokumentation soll wiedergeben wer, wann, wen zu welchem Sachverhalt (Referenzdokument, Zielobjekt, Baustein, ...) befragt hat und welche Feststellungen getroffen wurden.
Es sind folgende Feststellungen vorgesehen:
- erfüllt: Dokument ist aktuell, Sachverhalt trifft zu oder Anforderung ist wirksam erfüllt.
- Empfehlung: grundsätzlich gilt „erfüllt“, es gibt aber das beschriebene Verbesserungspotential.
- Abweichung: Dokument ist nicht aktuell, Sachverhalt trifft nicht zu und/oder eine Anforderung ist nicht oder nicht wirksam erfüllt.
Das interne ISMS-Audit wird durch einen Bericht abgeschlossen. Etwaige Nicht-Konformitäten (Abweichungen und Empfehlungen) werden klar gekennzeichnet. Der Bericht zum internen ISMS-Audit wird in die Managementbewertung aufgenommen.
Umgang mit Abweichungen und Empfehlungen
Festgestellte Abweichungen und Empfehlungen gehen in den kontinuierlichen Verbesserungsprozess ein.
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung