IT-Grundschutz/Audit/Überwachungsaudit: Unterschied zwischen den Versionen

Aus Foxwiki
Die Seite wurde neu angelegt: „== Überwachungsaudit == * Ein erteiltes Zertifikat ist mit jährlichen Überwachungsaudits verbunden, das von einem beim BSI zertifizierten Auditteamleiter für ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz durchgeführt werden muss. * Ein Überwachungsaudit dient der Überwachung der für das Zertifikat nachgewiesenen Informationssicherheit im laufenden Betrieb des Informationsverbundes und hat einen deutlich geringeren Umfang als das Zert…“
 
Keine Bearbeitungszusammenfassung
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 25: Zeile 25:
* durch den Wegfall von Komponenten seit der vorhergehenden Auditierung die Informationssicherheit des Informationsverbundes nicht beeinträchtigt wird,
* durch den Wegfall von Komponenten seit der vorhergehenden Auditierung die Informationssicherheit des Informationsverbundes nicht beeinträchtigt wird,
* die Informationssicherheit des Informationsverbundes durch Veränderungen in übergeordneten Aspekten, beispielsweise Änderungen der Organisationsstruktur, nicht beeinträchtigt wird.
* die Informationssicherheit des Informationsverbundes durch Veränderungen in übergeordneten Aspekten, beispielsweise Änderungen der Organisationsstruktur, nicht beeinträchtigt wird.
[[Kategorie:IT-Grundschutz/Audit]]

Aktuelle Version vom 23. Oktober 2024, 10:30 Uhr

Überwachungsaudit

  • Ein erteiltes Zertifikat ist mit jährlichen Überwachungsaudits verbunden, das von einem beim BSI zertifizierten Auditteamleiter für ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz durchgeführt werden muss.
  • Ein Überwachungsaudit dient der Überwachung der für das Zertifikat nachgewiesenen Informationssicherheit im laufenden Betrieb des Informationsverbundes und hat einen deutlich geringeren Umfang als das Zertifizierungsaudit.
  • Das Überwachungsaudit soll nachweisen, dass das ISMS aktiv ist und weiterentwickelt wird.

Der Auditbericht zu einem Überwachungsaudit muss vom Auditteamleiter erstellt und bei der Prüfbegleitung des BSI vorgelegt werden.

  • Nur im Falle der Einhaltung der Anforderungen gemäß der Standard- oder Kern-Absicherung des BSI-Standards 200-2 und des IT-Grundschutz/Kompendiums bleibt das erteilte Zertifikat gültig.
  • Es erfolgt keine Neuausstellung der Zertifikatsurkunde oder des Zertifizierungsreports.

Ein Überwachungsaudit erfolgt analog zur Vorgehensweise, die in Kapitel 4 beschrieben ist, jedoch mit folgenden Einschränkungen:

  • Ein Voraudit ist nicht möglich.
  • Es wird der „Muster-Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz“ gemäß den gültigen Prüfgrundlagen verwendet, der auch bei Zertifizierungsaudits/Rezertifizierungsaudits verwendet wird, es sind jedoch nur die jeweils relevanten Kapitel auszufüllen.
  • Für das Überwachungsaudit ist von der Institution eine Zusammenstellung der wesentlichen Änderungen seit dem Audit bereitzustellen.

Zusätzlich erfolgt eine Fortschreibung der von der Institution erstellten Liste der Referenzdokumente.

  • Aufgrund dieser Zusammenstellung verschafft sich der Auditteamleiter einen Überblick über die Änderungen im Informationsverbund im Vergleich zum vorherigen Audit.
  • Die Referenzdokumente sind keiner vollumfänglichen Prüfung zu unterziehen, es sind nur geänderte Dokumente zu prüfen.
  • Die Kapitel 3.2 bis 3.8 des Muster-Auditberichts sind entsprechend nicht vollumfänglich zu bearbeiteten.
    • Der Bausteins ISMS.1 wird vollständig auditiert, Schwerpunkt wird dabei auf die Aspekte Aufrechterhaltung der Informationssicherheit und Management-Berichte zur Informationssicherheit gelegt.
    • Stellt der Auditteamleiter bei seiner Prüfung gravierende Änderungen am Informationsverbund fest und ist die Institution ihrer Anzeigepflicht gegenüber dem BSI nicht nachgekommen, informiert der Auditteamleiter die Zertifizierungsstelle des BSI hierüber.
  • Die Zertifizierungsstelle des BSI entscheidet über das weitere Vorgehen und behält sich in diesem Falle vor, das Zertifikat zurückzuziehen.

Durch das Überwachungsaudit soll sichergestellt werden, dass

  • das Managementsystem für Informationssicherheit weiterhin wirksam und angemessen ist,
  • Sicherheitsrevisionen durchgeführt und bei erkannten Mängeln Korrekturmaßnahmen ergriffen wurden - dass die Leitungsebene regelmäßig über den Stand der Informationssicherheit informiert wurde und diese bewertet hat,
  • die seit der vorhergehenden Auditierung unveränderten Komponenten des Informationsverbundes weiterhin die Anforderungen gemäß dem BSI-Standard 200-2 und dem IT-Grundschutz/Kompendium erfüllen,
  • neue Bausteine, die im Rahmen der regelmäßigen Aktualisierung des IT-Grundschutz/Kompendiums hinzugekommen sind, in der Modellierung des Informationsverbundes korrekt berücksichtigt sind,
  • neue oder aktualisierte Anforderungen des IT-Grundschutz/Kompendiums im vorliegenden Informationsverbund angemessen umgesetzt sind,
  • durch den Wegfall von Komponenten seit der vorhergehenden Auditierung die Informationssicherheit des Informationsverbundes nicht beeinträchtigt wird,
  • die Informationssicherheit des Informationsverbundes durch Veränderungen in übergeordneten Aspekten, beispielsweise Änderungen der Organisationsstruktur, nicht beeinträchtigt wird.