RiLi-InterneAuditierung

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie zur internen ISMS-Auditierung"

Einleitung

Die Organisation hat ein Managementsystems für Informationssicherheit (ISMS) auf Basis der BSI-Standards 200-x (IT-Grundschutz) etabliert. Ein zentraler Bestandteil eines ISMS ist die regelmäßige Kontrolle der Wirksamkeit durch ein internes ISMS-Audit.

Diese Richtlinie beschreibt die Vorgaben zur Durchführung interner ISMS-Audits.

Geltungsbereich

Die vorliegende Richtlinie gilt für den Kontinuierlichen Verbesserungsprozess (KVP) innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation.

Diese Richtlinie ist für alle zuständigen Mitarbeitenden der Organisation verbindlich.

Zielsetzung

Die Richtlinie zur internen ISMS-Auditierung legt die Verfahren und Richtlinien fest, um regelmäßige interne Audits des Informationssicherheitsmanagementsystems (ISMS) durchzuführen. Sie beschreibt den Prozess, wie die Überprüfung der ISMS-Konformität, Effektivität und Effizienz erfolgt, um sicherzustellen, dass die Sicherheitsziele erreicht und die Anforderungen erfüllt werden. Das Ziel der internen ISMS-Auditierung ist es, potenzielle Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren, um eine kontinuierliche Weiterentwicklung und Anpassung des ISMS zu gewährleisten und so die Informationssicherheit im Unternehmen zu stärken.

Prozessbeschreibung

Verantwortliche

Verantwortlich für den Prozess der ISMS-Auditierung ist der ISB der Organisation.

Für die Durchführung der internen ISMS-Audits wird von der Leitung der Organisation ein interne ISMS-Auditor bestimmt. Der interne ISMS-Auditor darf nicht seinen eigenen Bereich auditieren.

An den internen ISMS-Auditor werden folgende Anforderungen gestellt:

  • Kenntnisse in Informationstechnik und -sicherheit
  • Kenntnisse in der IT-Grundschutz-Methodik
  • Kenntnisse in Methodiken der Auditierung

Sowohl das Management als auch alle Mitarbeitenden unterstützen den Prozess zur Durchführung interner ISMS-Audits.

Prüfzyklen

Interne ISMS-Audits sind jährlich für jeden Informationsverbund durchzuführen.

Umfang der Prüfungen

Bei allen internen ISMS-Audit sind folgende Aspekte zu prüfen:

  • Aktualität der Angaben und Dokumente
  • Umsetzungsstand der Vorgaben
  • Prüfung der Wirksamkeit der Maßnahmen

Das interne ISMS-Audit umfasst im Detail folgende Punkte:

Text der Überschrift
Referenzdokumente Die Referenzdokumente sind stichprobenartig auf Aktuaität und Konformität zur "Richtlinie zur Lenkung von Dokumenten" zu prüfen.
Strukturanalyse Die Strukturanalyse ist auf Vollständigkeit und Richtigkeit zu prüfen.
Schutzbedarfsanalyse Die Schutzbedarfsfeststellung ist auf Aktualität zu prüfen.
Modellierung Die Modellierung ist auf Vollständigkeit gemäß der aktuell gültigen Edition des Grundschutz-Kompendiums zu prüfen.
IT-Grundschutz-Checks Schwerpunkt des internen ISMS-Audits ist der IT-Grundschutz-Check. Für den IT-Grundschutz-Check wird ein Auditplan erstellt, der über drei Jahre vorgibt, welche Bausteine wann geprüft werden.
Risikoanalyse Die Risikoanalyse ist auf Aktualität und Angemessenheit der Riskobehandlung zu prüfen.

Dokumentation

Das interne ISMS-Audit wird vollumfänglich dokumentiert. Die Dokumentation enthält mindestens folgende Aspekte:

  • Dokumentation der Auditplanung,
  • Ergebnisse der Dokumentenprüfung (A.0 - A.3 und A.5),
  • Ergebnisse der geprüften IT-Grundschutz-Bausteine (A.4).

Die Auditdokumentation soll wiedergeben wer, wann, wen zu welchem Sachverhalt (Referenzdokument, Zielobjekt, Baustein, ...) befragt hat und welche Feststellungen getroffen wurden.

Es sind folgende Feststellungen vorgesehen:

  • Erfüllt: Dokument ist aktuell, Sachverhalt trifft zu oder Anforderung ist wirksam erfüllt.
  • Empfehlung: grundsätzlich gilt „erfüllt“, es gibt aber das beschriebene Verbesserungspotential.
  • Abweichung: Dokument ist nicht aktuell, Sachverhalt trifft nicht zu und/oder eine Anforderung ist nicht oder nicht wirksam erfüllt.

Das interne ISMS-Audit wird durch einen Bericht abgeschlossen. Etwaige Nicht-Konformitäten (Abweichungen und Empfehlungen) werden klar gekennzeichnet. Der Bericht zum internen ISMS-Audit wird in die Managementbewertung aufgenommen.

Umgang mit Abweichungen und Empfehlungen

Festgestellte Abweichungen und Empfehlungen gehen in den kontinuierlichen Verbesserungsprozess ein.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=RiLi-InterneAuditierung&oldid=664