IT-Grundschutz/Audit/Auditprozess

Aus Foxwiki
(Weitergeleitet von Grundschutz/Audit/Auditprozess)

Auditprozess

Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen.
  • Die erste Phase umfasst zunächst die Prüfung der vom Antragsteller eingereichten Referenzdokumente.
  • In der zweiten Phase schließt sich eine Vor-Ort-Prüfung des Informationsverbundes durch das Auditteam an.

Hierbei wird im realen Informationsverbund die praktische Umsetzung der in den Referenzdokumenten dokumentierten Sicherheitsmaßnahmen auf ihre Vollständigkeit, Korrektheit und Wirksamkeit hin überprüft.

  • Für jedes Audit ist vom Auditteamleiter ein Auditbericht zu erstellen, der alle Prüfergebnisse enthält.
  • In Anlehnung an die Aufteilung eines Audits in zwei Phasen ist der Auditbericht ebenfalls in zwei Schritten zu erstellen: zunächst dokumentiert der Auditbericht die Auditergebnisse für die erste Phase des Auditprozesses (Dokumentenprüfung), anschließend sind die Auditergebnisse der zweiten Phase (Vor-Ort-Prüfung) zu ergänzen.

Abweichungen und Empfehlungen aus vorangegangenen IT-Grundschutz-Audits sind im Rahmen des kontinuierlichen Verbesserungsprozesses zu berücksichtigen und auditieren.

Hinweis
Die Erläuterungen zum Auditprozess gelten sowohl für das Erst- als auch Re-Zertifizierungsaudit sowie für die beiden Überwachungsaudits.
  • Abweichend hiervon gestaltet sich das Voraudit.

Der Auditbericht muss auf der Basis des Musters für Auditberichte in der jeweils gültigen Version erstellt werden.

Phase 1 - Dokumentenprüfungen

Die erste Phase dient dazu, dass der Auditteamleiter ein ausreichendes Verständnis für den Informationsverbund erlangt und feststellt, ob die Konzeption der Sicherheitsstruktur des Informationsverbundes gemäß der Vorgehensweise des BSI-Standards 200-2 schlüssig und sinnvoll ist.

  • Der Auditor prüft insbesondere, ob die Zertifizierungsfähigkeit des Informationsverbundes grundsätzlich gegeben ist.

Damit der Auditteamleiter ein ausreichendes Verständnis des Informationsverbundes gewinnen kann, kann es sinnvoll sein, einen Teil der Dokumentenprüfung bei der auditierenden Institution durchzuführen.

  • In einigen Fällen ist die Einsichtnahme von Dokumenten auch aus Vertraulichkeitsgründen nur vor Ort möglich.

Festgestellte Abweichungen und Empfehlungen in den Referenzdokumenten teilt der Auditteamleiter dem Antragsteller mit einer angemessenen Frist zur Behebung mit.

  • Der Antragsteller bekommt somit die Gelegenheit, festgestellt Abweichungen und Empfehlungen bereits vor der zweiten Phase des Audits zu beheben.

Alle Abweichungen und Empfehlungen aus der Dokumentenprüfungen müssen im Auditbericht dokumentiert werden.

  • Dies gilt auch dann, wenn die Abweichungen und Empfehlungen bereits vor der zweiten Phase des Audits behoben wurden.

Phase 2 - Umsetzungsprüfung

Vorbereitung des Vor-Ort-Audits

Der Auditteamleiter erhält durch die Dokumentenprüfung einen umfassenden Einblick in die zu auditerende Institution.

  • Nach dieser Prüfung sollte der Auditor prüfen, ob die Fachkenntnisse des Auditteams ausreichend sind.
  • Es können Sektor und Baustein spezifische Fachkenntnisse für die Auditierung nötig sein, die das Auditteam zum Zeitpunkt der Anmeldung für die Zertifizierung nicht ausreichend erfüllt.
  • Dann muss der Auditteamleiter das Auditteam durch Auditoren oder Fachexperten erweitern.
  • Die Anpassung des Auditteams muss rechtzeitig der Zertifizierungsstelle des BSI mitgeteilt werden.
  • Die Unabhängigkeitserklärungen müssen rechtzeitig vor dem Vor-Ort-Audit an die Zertifizierungsstelle des BSI übersendet und von dieser freigegeben werden.

Nach der Dokumentenprüfung besteht für den Auditteamleiter die Möglichkeit, den Auditierungsprozess abzubrechen, wenn ein Abschluss der Auditierung mit einem positiven Votum ausgeschlossen erscheint.

  • Dies ist beispielsweise dann der Fall, wenn die Dokumentation zum ISMS gravierende Defizite aufweist oder bei der Institution nicht die Bereitschaft erkennbar ist, beim Zertifizierungsaudit aktiv mitzuwirken.
  • Die Zertifizierungsstelle des BSI muss hiervon informiert werden.

Erstellung eines Auditplans für die Vor-Ort-Prüfung

Zur Vorbereitung auf die Vor-Ort-Prüfung muss der Auditteamleiter einen Auditplan erstellen.

  • Das bedeutet, dass der Auditteamleiter aus den Ergebnissen der Dokumentenprüfung die erforderlichen Themen benennt, damit die zu auditierende Institution die Interviewpartner rechtzeitig benennen kann.
  • Für die Vorbereitung der Vor-Ort-Prüfung gelten die folgenden Vorgaben:
    • Bei der Erst-/Re-Zertifizierung werden mindestens 6 Bausteine auditiert, darunter zwingend der Baustein ISMS.1 Sicherheitsmanagement.
    • Bei den beiden Überwachungsaudits werden jeweils zwingend der Baustein ISMS.1 Sicherheitsmanagement und mindestens 2 weitere Bausteine auditiert.

Über die Zertifikatslaufzeit gilt:

  • Es werden alle modellierten Schichten mit mindestens je einem Baustein überprüft.
  • Es werden mindestens 12 Bausteine auditiert.
  • Es werden mindestens 10% der modellierten Bausteine auditiert.
  • Der Auditteamleiter kann die Stichprobe erweitern.
  • Der Baustein ISMS.1 (Sicherheitsmanagement) wird zwingend bei jedem Audit geprüft.
  • Der Baustein OPS.2.1 Outsourcing für Kunden wird zwingend auditiert, sofern Outsourcing-Dienstleister im Informationsverbund eingebunden sind.

- Der Auditteamleiter wählt die Bausteine Risiko-orientiert aus und begründet die Auswahl. - Der Auditteamleiter wählt zu den Bausteinen die Zielobjekte aus und begründet die Auswahl. - Es werden 5 Maßnahmen der Risikoanalyse auditiert.

  • Der Auditteamleiter muss seine Auswahl begründen.

Welche Zielobjekte konkret auditiert werden, sollte der zu auditierenden Institution nach Möglichkeit vorab nicht mitgeteilt werden.

  • Sofern eine Änderung der Bausteinwahl erforderlich oder sinnvoll ist, muss eine plausible Begründung vorliegen.

Sollten sich während der Zertifikatslaufzeit neue Risiken ergeben (z. B. Änderung im Informationsverbund, neue bekannte Risikoklasse, neue Risikobehandlungen) sollten diese Änderungen vor einem Vor-Ort-Audit zwischen dem Auditteamleiter und der Prüfbegleitung der Zertifizierungsstelle des BSI bewertet werden.

  • Die zu Beginn der Zertifikatslaufzeit getroffene Auswahl kann aufgrund veränderter Rahmenbedingungen nachträglich und begründet angepasst werden.

Begutachtung der Standorte des Informationsverbundes

Die Mindestanzahl an Standorten (Stichprobe), die pro Audit zu begehen sind, berechnet sich wie folgt
  • Erst-Zertifizierungsaudit: Quadratwurzel aus der Anzahl der Standorte, gerundet auf die höhere Anzahl.
  • Überwachungsaudit: Quadratwurzel aus der Anzahl der Standorte, multipliziert mit dem Faktor 0,6, gerundet auf die höhere Anzahl.
  • Re-Zertifizierungsaudit: analog zum Erst-Zertifizierungsaudit, sollte sich das ISMS in den letzten drei Jahren als effektiv erwiesen haben, berechnet sich die Mindestanzahl an Standorten durch die Quadratwurzel aus der Anzahl der Standorte, multipliziert mit dem Faktor 0,8, gerundet auf die höhere Anzahl.
Beispiel

Ein Informationsverbund besteht auch 18 Standorten, somit ergibt sich pro Audit folgende Mindestanzahl an Standorten, die zu begehen sind:

  • Erst-Zertifizierungsaudit: 5
  • Überwachungsaudit: 3
  • Re-Zertifizierungsaudit: 5, bei effektivem ISMS 4
Die Vorgaben richten sich nach IAF MD 1 - Verbindliches IAF-Dokument für die Auditierung und Zertifizierung von Managementsystemen in Organisationen mit mehreren Standorten (DAkkS 71 SD 6 013).
  • Die ausgewählten Standorte werden im Auditbericht bereits beim Erst-/Re-Zertifizierungsverfahren über die Zertifikatslaufzeit hinweg für eine Begutachtung vor Ort geplant.
  • Diese Planung darf aufgrund veränderter Rahmenbedingungen begründet angepasst werden.
  • Abweichungen von der beschriebenen Vorgehensweise bei der Auswahl von Standorten (z. B. die vollständige Begutachtung aller Standorte, wenn diese mehr drei umfassen) sind zulässig, müssen jedoch vorher mit der Zertifizierungsstelle des BSI abgestimmt werden.

Outsourcing

Sind Teile des Informationsverbundes ausgelagert (sogenanntes Outsourcing), ist die Auditierung auf der Basis der ergänzenden Bestimmungen zum Auditierungsschema durch das Dokument „IT-Grundschutz im Kontext von Outsourcing“ vorzunehmen.

XXXXXXXXXXXXXXXXXXXXXXXXX

Es ist wichtig, dass das Managementsystem für Informationssicherheit des Informationsverbundes wirksam und effektiv ist, gelebt und weiterentwickelt wird.
  • Dazu gehört auch, dass alle wichtigen Prozesse des Informationsverbundes dokumentiert sind, und nach diesen Prozessen verfahren wird.
  • Der Auditteamleiter prüft die Sicherheitsleitlinie und andere Dokumente und führt intensive Gespräche mit den Mitarbeitern der zu auditierenden Institution, ums ich von der Effektivität und der Effizienz des ISMS zu überzeugen.
Bei der Vor-Ort-Prüfung wird für jeden gewählten Baustein durch Inspektion des jeweiligen Zielobjekts überprüft, ob der im IT-Grundschutz-Check festgestellte und dokumentierte Umsetzungsstatus die in diesem Baustein enthaltenen Anforderungen angemessen umsetzt.
  • Für den Fall, dass es zu einem Baustein Umsetzungshinweise gibt, sollten diese gesichtet und überprüft werden, ob die Anforderungen mit diesen oder gleichwertigen Sicherheitsmaßnahmen umgesetzt wurden.
  • Es sollten keine schwächeren Mechanismen umgesetzt werden.
Die einzelnen Prüfungen sollen direkt am Zielobjekt vor Ort erfolgen, nicht nur anhand der Papierlage.
  • Bei technischen Aspekten bedeutet dies eine Demonstration durch den jeweils zuständigen Administrator oder Mitarbeiter.
  • Zusätzlich wird die Umsetzung der ausgewählten Maßnahmen aus der Risikoanalyse überprüft.
Zudem muss sichergestellt sein, dass die in der Strukturanalyse (A.1) aufgeführten Eigenschaften der IT-

Systeme mit den tatsächlichen Gegebenheiten, wie beispielsweise dem jeweils verwendeten Betriebssystem und dem Aufstellungsort, übereinstimmen. Bei Anforderungen, die die Institution als entbehrlich gekennzeichnet hat, muss die Begründung für den Auditteamleiter nachvollziehbar dokumentiert sein.

Übernahme von Risiken durch das Management (Realisierungsplan)

Für Anforderungen, die nicht oder noch nicht vollständig umgesetzt wurden, bedarf es eines Realisierungsplans (siehe hierzu BSI-Standard 200-2).
  • Die bestehenden Risiken bis zur vollständigen Umsetzung der Anforderungen müssen für das Management transparent dargestellt werden.
  • Darüber hinaus müssen im Realisierungsplan auch solche Risiken dokumentiert werden, für die das Management eine Risiko-Übernahme oder einen Risiko-Transfer (siehe hierzu BSI-Standard 200-3) beschlossen hat.

Die Übernahme von Risiken muss vom Management durch Unterschrift oder elektronische Freigabe bestätigt werden.

Sind zum Zeitpunkt der Auditierung IT-Grundschutz-Anforderungen des Realisierungsplans noch nicht oder nur teilweise umgesetzt, entscheidet der Auditteamleiter, ob eine Zertifizierung zu diesem Zeitpunkt möglich ist.
  • Der Auditteamleiter muss Risiko orientiert den Gesamtkontext des Informationsverbundes und der kritischen Geschäftsprozesse betrachten.
  • Basis-Anforderungen, also solche Anforderungen, die grundlegend zur Informationssicherheit der gesamten Institution beitragen, dürfen nicht in die Risiko-Übernahme einfließen.Voraussetzungen für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz ist, dass alle Basis-Anforderungen umgesetzt sind.
  • Anforderungen können nur dann als „Entbehrlich“ gekennzeichnet werden, wenn die Erfüllung in der vorgeschlagenen Art nicht notwendig ist, weil die Anforderung im betrachteten Informationsverbund nicht relevant ist (z.B. weil Dienste nicht aktiviert wurden) oder durch Alternativmaßnahmen behandelt wurde (vgl BSI-Standard 200-2).

Nachbesserungen während des Audits

Sowohl bei der Sichtung der Referenzdokumente als auch bei der Inspektion vor Ort werden in manchen Fällen Abweichungen und Empfehlungen ausgesprochen werden.
  • Diese müssen sachgerecht behoben und dokumentiert werden.
  • Dabei gibt es verschiedene Stufen der Behandlung von Abweichungen und Empfehlungen:

Empfehlungen

Der Auditteamleiter hat die Möglichkeit, Empfehlungen an die Institution auszusprechen.

  • Diese sind nicht bindend, erhöhen aber die Effektivität und Effizienz des ISMS.
  • Empfehlungen sind z. B. Verbesserungsvorschläge, die im Rahmen der kontinuierlichen Verbesserung der Prozesse umgesetzt werden sollten, zumindest jedoch zu prüfen sind.
  • Die Empfehlungen werden mit einer Frist zur Prüfung versehen.
  • Die Nichtbeachtung der Prüfung einer Empfehlung kann nach der Entscheidung des Auditteamleiters oder der Prüfbegleitung der Zertifizierungsstelle des BSI zu einer geringfügigen Abweichung führen.

Geringfügige Abweichungen

Geringfügige Abweichungen sind Mängel, bei denen IT-Grundschutz-Anforderungen nicht angemessen umgesetzt werden, das ISMS aber insgesamt funktioniert.
  • Eine Abweichung ist also dann geringfügig, wenn einzelne Aspekte einer Anforderung nicht (ausreichend) umgesetzt wurden, aber das wesentliche Ziel der Anforderung realisiert ist.
  • Eine Ausstellung des Zertifikats kann unter Umständen trotzdem erfolgen.
  • Mehrere geringfügige Abweichungen können zusammen eine schwerwiegende Abweichung darstellen.
  • Die Anzahl der geringfügigen Abweichungen für die Erteilung eines Zertifikats muss in jedem Einzelfall bewertet werden.

Schwerwiegende Abweichungen

Schwerwiegende Abweichungen sind Mängel, ohne deren Behebung nicht sichergestellt werden kann, dass das Informationssicherheitsmanagementsystem effektiv und effizient funktioniert oder die Sicherheit des Informationsverbundes erheblich gefährdet ist.

  • Ein solcher Mangel kann vorliegen, wenn IT-Grundschutz-Anforderungen nicht oder in wesentlichen Teilen nicht umgesetzt sind.
  • Bei Vorliegen von schwerwiegenden Abweichungen ist die Ausstellung oder Aufrechterhaltung eines Zertifikats nicht möglich.

Der Auditteamleiter entscheidet bei Abweichungen, ob es sich um geringfügige oder schwerwiegende Abweichungen handelt.

  • Jede ausgesprochene Abweichung oder Empfehlung wird mit einer angemessenen Bearbeitungsfrist in die Liste eingetragen.
Der Auditteamleiter beginnt die Liste der Abweichungen und Empfehlungen bereits während der Dokumentenprüfung.
  • Im Anschluss an die Dokumentenprüfung überreicht der Auditteamleiter die Liste der Abweichungen und Empfehlungen dem Ansprechpartner der zu auditierenden Institution, sodass diese die Möglichkeit erhalten, bis zum Vor-Ort-Audit die ersten Abweichungen und Empfehlungen zu beheben.
  • Während des Vor-Ort-Audits prüft der Auditteamleiter, ob bereits Abweichungen und Empfehlungen auf der Dokumentenbasis behoben wurden und dokumentiert diesen Status in der Liste der Abweichungen und Empfehlungen.
  • Abweichungen und Empfehlungen, die während des Vor-Ort-Audits festgestellt werden, ergänzt der Auditteamleiter in der Liste der Abweichungen und Empfehlungen.
  • Die Liste der Abweichungen und Empfehlungen wird für den Informationsverbund fortgeschrieben.
  • Dies ist vor allem bei der Vergabe der Nummern zu berücksichtigen.

Erstellung des Auditberichts

Für jedes Audit wird vom Auditteamleiter ein Auditbericht erstellt, der alle Prüfergebnisse enthält.

  • Es muss immer die gültige Version des Muster-Auditberichts verwendet werden.
  • Die Inhalte aus dem Bericht dürfen nicht verändert werden.
  • Die Ausfüllhilfe im Anhang des Auditberichts muss beachtet werden.

Im Falle eines Erst- oder Re-Zertifizierungsaudits dient der Auditbericht der Zertifizierungsstelle des BSI als Grundlage für die Erteilung des Zertifikats.

  • Ein Auditbericht im Rahmen eines Überwachungsaudits bildet für die Zertifizierungsstelle des BSI die Grundlage für die Aufrechterhaltung eines erteilten Zertifikats.
  • Der Auditbericht muss der Zertifizierungsstelle des BSI unterschrieben in Papierform sowie in elektronischer Form zur Verfügung gestellt werden.

Gesamtvotum

Grundlage für die Entscheidung über die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist die Einschätzung des Auditteamleiters, ob der betrachtete Informationsverbund die jeweiligen Anforderungen erfüllt. Das Gesamtvotum ist vom Auditteamleiter mit Datum zu unterschreiben.

Nachforderungen

Die Prüfbegleitung der Zertifizierungsstelle des BSI empfängt den Auditbericht mit den erforderlichen Referenzdokumenten in verschlüsselter Form.

  • Die Prüfbegleitung prüft den Auditbericht und kann bei Bedarf Nachforderungen an den Auditteamleiter oder an die auditierte Institution benennen.

Die Nachforderungen der Prüfbegleitung können zu einer Nachbesserung gegenüber dem Antragsteller führen.

  • Der Auditteamleiter informiert die auditierte Institution entsprechend.
  • Für die Nachbesserung wird der Institution einmalig Gelegenheit zur Beseitigung der Defizite gegeben.
  • Der Auditteamleiter dokumentiert die Nachbesserung im Auditbericht und bewertet diese im entsprechenden Kapitel des Auditberichts.
  • Die Prüfbegleitung kann gegenüber dem Auditteamleiter mehrmals Nachforderungen stellen.

Hat die auditierte Institution bezüglich festgestellter Abweichungen und Empfehlungen eine andere Auffassung als der Auditteamleiter kann der Auditteamleiter sich schriftlich bei der Zertifizierungsstelle oder Prüfbegleitung des BSI zu den dokumentierten Abweichungen und Empfehlungen äußern.

  • Der Kommentar wird der Institution vorgelegt und in die Liste der Abweichungen und Empfehlungen im Auditbericht übernommen.
  • Der Prüfbegleitung oder der Zertifizierungsstelle obliegt die Entscheidung, ob die Abweichung behoben werden muss und innerhalb welcher Frist dies geschehen soll.

Kommt es zu Nachforderungen seitens der Prüfbegleitung, sind diese vom Auditteamleiter innerhalb der in der Kommentierung benannten Frist zu beheben.

  • Sollte absehbar sein, dass die benannte Frist nicht eingehalten werden kann, muss der Auditteamleiter unverzüglich Kontakt mit der Prüfbegleitung aufnehmen und eine Fristverlängerung begründet beantragen.

Zertifikatserteilung und Aufrechterhaltung

Sobald der Auditbericht zu einem Erst- oder Re-Zertifizierungsaudit in vollständiger Fassung bei der Zertifizierungsstelle des BSI vorliegt, prüft die Zertifizierungsstelle den Auditbericht auf Einhaltung aller Vorgaben des vorliegenden Auditierungsschema.

  • Die Prüfung gegen das Auditierungsschema erfolgt mit der Zielsetzung, ein einheitliches Niveau aller Zertifizierungen und die Vergleichbarkeit von einzelnen Zertifizierungsaussagen zu gewährleisten.
  • Analog verhält es sich bei Überwachungsaudits mit dem Ziel der Aufrechterhaltung eines erteilten Zertifikats.