Security Audits
Audits sind Ihre Möglichkeit, um die Effizienz und Effektivität Ihres etablierten ISMS bestätigen zu lassen.
Security Audits von HvS
Im Rahmen von internen ISMS Audits (1st party audit) wird Ihr Unternehmen auf den Prüfstand gestellt. Das kann prinzipiell auch durch einen internen Kollegen erfolgen. Ausschlaggebend ist bei internen Audits, dass Ihr etabliertes ISMS durch eine möglichst unabhängige Instanz erfolgt, also jemand, der nicht am Aufbau oder Betrieb des ISMS mitgewirkt hat und daher keinen "Tunnelblick" hat. Und diese Person sollte sowohl die erforderliche Kompetenz für Audits, als auch fachliche Kompetenz im Bereich Informationssicherheit und Managementsysteme besitzen.
Falls Sie eine unabhängige Instanz (beispielsweise interne Revision) mit dem erforderlichen Know-How (z.B. ISO 27001 Lead Auditor) haben, können Sie interne ISMS Audits selbst durchführen. Ansonsten beauftragen Sie uns.
Das Ziel interner Audits ist eine unabhängige Überprüfung, ob alle anwendbaren externen Anforderungen (z.B. aus Gesetzen oder Verträgen mit Kunden) als auch internen Security Anforderungen (definiert in den eigenen Policies und Prozessbeschreibungen) eingehalten werden - und zwar über den gesamten Geltungsbereich Ihres ISMS.
Darüber hinaus benötigen Sie einen Nachweis interner Audits, um die notwendige Zertifizierungsreife zu erhalten.
Das interne Audit besteht aus einem Dokumenten-Review (sind die Policies und Prozesse sinnvoll) und mehreren Interviews mit den Fachbereichen, um zu verifizieren, ob die definierten Regeln auch tatsächlich gelebt werden. Am Ende erhalten Sie einen detaillierten Bericht, in dem alle identifizierten Abweichungen und Verbesserungspotenziale dokumentiert sind. Diese können Sie dann priorisieren, in Ihre Maßnahmenplanung überführen und umsetzen.
Im Rahmen eines Lieferantenaudits (auch 2nd party audit) stellen Sie einen Ihrer wesentlichen Dienstleister auf den Prüfstand. Dabei wird ihr Dienstleister auf die Einhaltung der Anforderungen der definierten Prüfgrundlage (z.B. ISO 27001, ein anderer Security-Standard oder ihr eigener Prüfkatalog) bewertet.
Solche Audits empfehlen sich insbesondere bei (potenziellen) strategischen oder wichtigen Lieferanten / Dienstleistern, sei es bei der Anbahnung einer neuer Geschäftsbeziehung mit dem Dienstleister, oder im Rahmen der Dienstleistersteuerung mit dem Ziel das Risiko eines Angriffs über den "Umweg Dienstleister" zu reduzieren.
Wir definieren mit Ihnen in einem Lieferantenaudit zunächst die gewünschte Prüfgrundlage, sowie den Scope der Prüfung - je nachdem welche Leistung Ihr Dienstleister für Sie erbringt. Im Anschluss sichten wir die Security Prozesse, Richtlinien und sonstige relevante Dokumentation Ihres Dienstleisters, um eine Aussage über die Qualität der Dokumente zu treffen. Anschließend führen wir Interviews mit den Verantwortlichen auf Lieferantenseiten durch und bewerten dessen Security-Reifegrad, sowie die Einhaltung der anzuwendenden Anforderungen mit dem Ziel, potenzielle Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren.
Am Ende des Lieferantenaudits werden alle identifizierten Abweichungen und Optimierungsvorschläge dokumentiert. Diese dienen Ihnen als Grundlage, sich mit Ihrem Lieferanten gemeinsam auf das gewünschte Security-Niveau hin zu entwickeln.
Bei einem Zertifizierungsaudit (auch 3rd party audit) haben Sie bereits die erforderlichen Anforderungen umgesetzt und möchten die letzte Hürde auf dem Weg zur Zertifizierung Ihres ISMS nehmen.
Abhängig vom Standard für den Sie eine Zertifizierung erlangen möchten können wir Sie als Auditoren unterstützen.
Im KRITIS-Umfeld agiert die als HvS-Consulting "geeignete prüfende Stelle". Daher können wir die KRITIS-Prüfung in Ihrem Unternehmen im Namen der Prüfstelle HvS-Consulting AG durchführen.
Für die Standards VDA ISA und ISO 27001 sind unsere HvS-Consultants als Assessoren im Namen der Zertifizierungsstelle TÜV Nord CERT tätig. Da die Abwicklung dabei vollständig über den TÜV Nord CERT erfolgt, stellen wir gerne den Kontakt her.
Auch agieren wir als Prüfer für DVO (EU) 2019/1583 Prüfungen als vom BSI anerkannter Dienstleister. Wenn Sie mit uns Ihre Prüfung durchführen wollen, kommen Sie gerne auf uns zu.
