IT-Grundschutz/Audit/Überwachungsaudit

Aus Foxwiki
Version vom 23. Oktober 2024, 10:27 Uhr von Dirkwagner (Diskussion | Beiträge) (Dirkwagner verschob die Seite Grundschutz/Audit/Überwachungsaudit nach IT-Grundschutz/Audit/Überwachungsaudit, ohne dabei eine Weiterleitung anzulegen)

Überwachungsaudit

  • Ein erteiltes Zertifikat ist mit jährlichen Überwachungsaudits verbunden, das von einem beim BSI zertifizierten Auditteamleiter für ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz durchgeführt werden muss.
  • Ein Überwachungsaudit dient der Überwachung der für das Zertifikat nachgewiesenen Informationssicherheit im laufenden Betrieb des Informationsverbundes und hat einen deutlich geringeren Umfang als das Zertifizierungsaudit.
  • Das Überwachungsaudit soll nachweisen, dass das ISMS aktiv ist und weiterentwickelt wird.

Der Auditbericht zu einem Überwachungsaudit muss vom Auditteamleiter erstellt und bei der Prüfbegleitung des BSI vorgelegt werden.

  • Nur im Falle der Einhaltung der Anforderungen gemäß der Standard- oder Kern-Absicherung des BSI-Standards 200-2 und des IT-Grundschutz/Kompendiums bleibt das erteilte Zertifikat gültig.
  • Es erfolgt keine Neuausstellung der Zertifikatsurkunde oder des Zertifizierungsreports.

Ein Überwachungsaudit erfolgt analog zur Vorgehensweise, die in Kapitel 4 beschrieben ist, jedoch mit folgenden Einschränkungen:

  • Ein Voraudit ist nicht möglich.
  • Es wird der „Muster-Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz“ gemäß den gültigen Prüfgrundlagen verwendet, der auch bei Zertifizierungsaudits/Rezertifizierungsaudits verwendet wird, es sind jedoch nur die jeweils relevanten Kapitel auszufüllen.
  • Für das Überwachungsaudit ist von der Institution eine Zusammenstellung der wesentlichen Änderungen seit dem Audit bereitzustellen.

Zusätzlich erfolgt eine Fortschreibung der von der Institution erstellten Liste der Referenzdokumente.

  • Aufgrund dieser Zusammenstellung verschafft sich der Auditteamleiter einen Überblick über die Änderungen im Informationsverbund im Vergleich zum vorherigen Audit.
  • Die Referenzdokumente sind keiner vollumfänglichen Prüfung zu unterziehen, es sind nur geänderte Dokumente zu prüfen.
  • Die Kapitel 3.2 bis 3.8 des Muster-Auditberichts sind entsprechend nicht vollumfänglich zu bearbeiteten.
    • Der Bausteins ISMS.1 wird vollständig auditiert, Schwerpunkt wird dabei auf die Aspekte Aufrechterhaltung der Informationssicherheit und Management-Berichte zur Informationssicherheit gelegt.
    • Stellt der Auditteamleiter bei seiner Prüfung gravierende Änderungen am Informationsverbund fest und ist die Institution ihrer Anzeigepflicht gegenüber dem BSI nicht nachgekommen, informiert der Auditteamleiter die Zertifizierungsstelle des BSI hierüber.
  • Die Zertifizierungsstelle des BSI entscheidet über das weitere Vorgehen und behält sich in diesem Falle vor, das Zertifikat zurückzuziehen.

Durch das Überwachungsaudit soll sichergestellt werden, dass

  • das Managementsystem für Informationssicherheit weiterhin wirksam und angemessen ist,
  • Sicherheitsrevisionen durchgeführt und bei erkannten Mängeln Korrekturmaßnahmen ergriffen wurden - dass die Leitungsebene regelmäßig über den Stand der Informationssicherheit informiert wurde und diese bewertet hat,
  • die seit der vorhergehenden Auditierung unveränderten Komponenten des Informationsverbundes weiterhin die Anforderungen gemäß dem BSI-Standard 200-2 und dem IT-Grundschutz/Kompendium erfüllen,
  • neue Bausteine, die im Rahmen der regelmäßigen Aktualisierung des IT-Grundschutz/Kompendiums hinzugekommen sind, in der Modellierung des Informationsverbundes korrekt berücksichtigt sind,
  • neue oder aktualisierte Anforderungen des IT-Grundschutz/Kompendiums im vorliegenden Informationsverbund angemessen umgesetzt sind,
  • durch den Wegfall von Komponenten seit der vorhergehenden Auditierung die Informationssicherheit des Informationsverbundes nicht beeinträchtigt wird,
  • die Informationssicherheit des Informationsverbundes durch Veränderungen in übergeordneten Aspekten, beispielsweise Änderungen der Organisationsstruktur, nicht beeinträchtigt wird.