IT-Grundschutz/Audit/Überwachungsaudit: Unterschied zwischen den Versionen

Überwachungsaudit

• Ein erteiltes Zertifikat ist mit jährlichen Überwachungsaudits verbunden, das von einem beim BSI zertifizierten Auditteamleiter für ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz durchgeführt werden muss.
• Ein Überwachungsaudit dient der Überwachung der für das Zertifikat nachgewiesenen Informationssicherheit im laufenden Betrieb des Informationsverbundes und hat einen deutlich geringeren Umfang als das Zertifizierungsaudit.
• Das Überwachungsaudit soll nachweisen, dass das ISMS aktiv ist und weiterentwickelt wird.

Der Auditbericht zu einem Überwachungsaudit muss vom Auditteamleiter erstellt und bei der Prüfbegleitung des BSI vorgelegt werden.

• Nur im Falle der Einhaltung der Anforderungen gemäß der Standard- oder Kern-Absicherung des BSI-Standards 200-2 und des IT-Grundschutz/Kompendiums bleibt das erteilte Zertifikat gültig.
• Es erfolgt keine Neuausstellung der Zertifikatsurkunde oder des Zertifizierungsreports.

Ein Überwachungsaudit erfolgt analog zur Vorgehensweise, die in Kapitel 4 beschrieben ist, jedoch mit folgenden Einschränkungen:

• Ein Voraudit ist nicht möglich.
• Es wird der „Muster-Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz“ gemäß den gültigen Prüfgrundlagen verwendet, der auch bei Zertifizierungsaudits/Rezertifizierungsaudits verwendet wird, es sind jedoch nur die jeweils relevanten Kapitel auszufüllen.
• Für das Überwachungsaudit ist von der Institution eine Zusammenstellung der wesentlichen Änderungen seit dem Audit bereitzustellen.

Zusätzlich erfolgt eine Fortschreibung der von der Institution erstellten Liste der Referenzdokumente.

• Aufgrund dieser Zusammenstellung verschafft sich der Auditteamleiter einen Überblick über die Änderungen im Informationsverbund im Vergleich zum vorherigen Audit.
• Die Referenzdokumente sind keiner vollumfänglichen Prüfung zu unterziehen, es sind nur geänderte Dokumente zu prüfen.
• Die Kapitel 3.2 bis 3.8 des Muster-Auditberichts sind entsprechend nicht vollumfänglich zu bearbeiteten.
  • Der Bausteins ISMS.1 wird vollständig auditiert, Schwerpunkt wird dabei auf die Aspekte Aufrechterhaltung der Informationssicherheit und Management-Berichte zur Informationssicherheit gelegt.
  • Stellt der Auditteamleiter bei seiner Prüfung gravierende Änderungen am Informationsverbund fest und ist die Institution ihrer Anzeigepflicht gegenüber dem BSI nicht nachgekommen, informiert der Auditteamleiter die Zertifizierungsstelle des BSI hierüber.
• Die Zertifizierungsstelle des BSI entscheidet über das weitere Vorgehen und behält sich in diesem Falle vor, das Zertifikat zurückzuziehen.

Durch das Überwachungsaudit soll sichergestellt werden, dass

• das Managementsystem für Informationssicherheit weiterhin wirksam und angemessen ist,
• Sicherheitsrevisionen durchgeführt und bei erkannten Mängeln Korrekturmaßnahmen ergriffen wurden - dass die Leitungsebene regelmäßig über den Stand der Informationssicherheit informiert wurde und diese bewertet hat,
• die seit der vorhergehenden Auditierung unveränderten Komponenten des Informationsverbundes weiterhin die Anforderungen gemäß dem BSI-Standard 200-2 und dem IT-Grundschutz/Kompendium erfüllen,
• neue Bausteine, die im Rahmen der regelmäßigen Aktualisierung des IT-Grundschutz/Kompendiums hinzugekommen sind, in der Modellierung des Informationsverbundes korrekt berücksichtigt sind,
• neue oder aktualisierte Anforderungen des IT-Grundschutz/Kompendiums im vorliegenden Informationsverbund angemessen umgesetzt sind,
• durch den Wegfall von Komponenten seit der vorhergehenden Auditierung die Informationssicherheit des Informationsverbundes nicht beeinträchtigt wird,
• die Informationssicherheit des Informationsverbundes durch Veränderungen in übergeordneten Aspekten, beispielsweise Änderungen der Organisationsstruktur, nicht beeinträchtigt wird.