IT-Grundschutz/Audit/Voraudit

Aus Foxwiki

Voraudit

  • Beim sogenannten Voraudit kann der Auditor gezielt einzelne Aspekte auswählen und stichprobenartig vor Ort und anhand der Referenzdokumente prüfen.
  • Außer intensiven Gesprächen mit dem Antragsteller hat der Auditteamleiter die Möglichkeit, sich Dokumente, Prozesse und Implementierungen anzusehen, um einen Eindruck davon zu bekommen, ob ein Zertifizierungsaudit prinzipiell zu einem positiven Ergebnis führen könnte.

Umfang des Voraudits

  • Das Voraudit darf in Summe nicht mehr als ein Dritte der Gesamtzeit für das Zertifizierungsaudit in Anspruch nehmen.
  • Das Voraudit darf nicht dem Zweck dienen, die Institution auf später geprüft Aspekte vorzubereiten, indem Prüfungen wiederholt werden.

Dokumentation des Voraudits

  • Alle Prüfungen, die der Auditteamleiter während des Voraudits durchführt, müssen im Auditbericht dokumentiert werden.
  • Hierzu gehört auch der Umfang des Voraudits mit den geprüften Aspekten, Ergebnissen und Feststellungen.

Wenn der Auditteamleiter ein Voraudit durchführt, ist es sinnvoll, unter anderem die Prüfpunkte zu:

  • Aktualität der Dokumente
  • Leitlinie zur Informationssicherheit
  • Referenzdokumente
  • Nachvollziehbarkeit der Abgrenzung des Informationsverbundes und
  • Wirksamkeit des ISMS schon zu diesem Zeitpunkt durchzuführen oder anzureißen.

Verschiebung des Audits

  • Kommt der Auditteamleiter nach dem Voraudit zu der Empfehlung, das Audit um eine von ihm festgesetzte Zeit zu verschieben, so teilt er dieses der zu auditierenden Institution schriftlich mit.
  • Folgt die Institution der Entscheidung des Auditteamleiters, wird die Fortführung des Audits an einem späteren Zeitpunkt fortgesetzt.
  • Ein erneutes Voraudit ist nicht möglich.
  • Die Zertifizierungsstelle des BSI wird über die Verschiebung des Audits schriftlich informiert.
Abgerufen von „https://wiki.foxtom.de/index.php?title=IT-Grundschutz/Audit/Voraudit&oldid=112366