Informationssicherheit und Business Continuity: Interne Audits mit TÜV SÜD

Informationssicherheit und Business Continuity: Interne Audits mit TÜV SÜD

Verpassen Sie keine wichtigen News aus der Zertifizierwelt

Verpassen Sie keine wichtigen News aus der Zertifizierwelt

Informationssicherheit und Business Continuity: Interne Audits mit TÜV SÜD

Für einen großen internationalen Anbieter von Datacenter-Infrastrukturen hat TÜV SÜD interne Audits auf der Basis von ISO/IEC 27001 und ISO 22301 durchgeführt – eine Vorstufe zur Zertifizierung. Was sind die Vorteile, und wie läuft ein internes Audit ab?

Hochperformante Server, immense Speicher und zugangsgeschützte Geschäftsräume – mit einer erstklassigen Hardware ist es für IT-Systemhäuser nicht getan, wenn sie das Vertrauen von Kundschaft gewinnen und bewahren wollen. Denn die Bedrohungen aus dem Netz sind groß und ändern sich wegen der Kreativität Cyberkrimineller täglich. Um die ihm anvertrauten sensiblen Informationen, Daten und Systeme jederzeit bestmöglich zu schützen, hat sich ein großer international tätiger Anbieter von Datacenter-Infrastrukturen mit Hauptsitz in Deutschland daher entschieden, ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 einzuführen und zu betreiben – mit Zertifikat ein starkes Signal an den Kundenstamm und Interessenten. Bevor eine solche Zertifizierung aber durchgeführt werden kann, ist ein internes Audit auf Basis der ISO/IEC 27001 verpflichtend erforderlich. Da sich der Datacenter-Infrastrukturanbieter für die Zertifizierung seines ISMS für einen anderen Prüfdienstleister entschieden hatte, beauftragte er TÜV SÜD Management Service mit der Durchführung des internen Audits – diese dürfen nicht vom Zertifizierungsdienstleister erbracht werden. Zusätzlich prüfte TÜV SÜD im Rahmen des Audits die Kernanforderungen der ISO 22301 für Business Continuity Managementsysteme (BCMS). Auch hier strebt der IT-Dienstleister eine Zertifizierung durch einen anderen Dienstleister an.

Internes Audit zeigt Reife für ISO/IEC 27001-Zertifizierung

Ein internes Audit beleuchtet alle relevanten Elemente eines ISMS und in diesem Fall auch des BCMS. Damit gibt es zuverlässig Auskunft darüber, wie gut ein Unternehmen in diesen Bereichen aufgestellt ist und ob noch Verbesserungspotenziale bestehen – und es zeigt, wo die Organisation auf ihrem Weg zum ISO/IEC 27001-Zertifikat steht. „Tatsächlich nutzen einige Unternehmen die internen Audits auf Basis von ISO/IEC 27001 und ISO 22301 als Einstieg in die Thematik Informationssicherheit und Business Continuity, ohne gleich eine umfangreiche und zeitaufwendige Zertifizierung anzustreben“, erklärt Dietmar Werder von TÜV SÜD. „Sie wollen feststellen, wo sie in Sachen Informationssicherheit noch nachbessern müssen, und was sie tun können, um auch in Ausnahmesituationen ihren laufenden Betrieb sicherzustellen. Ein internes Audit kann die Vorstufe zu einer ISO/IEC 27001-Zertifizierung sein. Wer eine solche anstrebt, kommt darum ohnehin nicht herum.“

Vom Kick-off bis zum Prüfbericht: Der Ablauf eines internen Audits

Im ersten Schritt setzte sich der TÜV SÜD-Auditor mit dem Datacenter-Infrastrukturanbieter zusammen, um die Rahmenbedingungen für das interne Audit zu klären. Das Unternehmen, das seine 139.000 Mitarbeiter nicht nur im deutschen Headquarter, sondern auch in Standorten rund um den Globus beschäftigt, entschied sich, zunächst nur die Firmenzentrale in Sachen Informationssicherheit und Business Continuity Management auf Herz und Nieren prüfen zu lassen. Gemeinsam mit dem Kunden legte der Auditor fest, welche Bereiche das interne Audit betrachten sollte – von den Lieferantenbeziehungen über die Kommunikationssicherheit und Informationsrichtlinien bis hin zu Compliance-Themen. Liegen für Mitarbeitende im Homeoffice eine entsprechende Firewall-Konfiguration und ein VPN-Tunnel vor, damit sie sich sicher mit dem Datacenter und Netzwerk des Unternehmens verbinden können? Ist im Unternehmen ein Informationssicherheitsbeauftragter definiert? Existiert eine Absichtserklärung? Gibt es bereits konkrete Informationssicherheitsrichtlinien, zum Beispiel im Zusammenhang mit dem Qualitätsmanagement? Wie ist der Zugang zu den Büros gesichert?

Das Audit selbst fand vor Ort in der Unternehmenszentrale statt. Neben der Prüfung der Pflichtdokumente begutachtete der Auditor, wie die vorhandenen Richtlinien im Business-Alltag umgesetzt sind. Die Prüfungsergebnisse und der entsprechende Bericht sind für den Kunden ein wichtiger Baustein für seine ISO/IEC 27001- und ISO 22301-Zertifizierung. Viel hatte der TÜV SÜD-Prüfer bei dem Datacenter-Infrastrukturanbieter ohnehin nicht zu beanstanden. „Informationssicherheit und Business Continuity sind bei einem IT-Anbieter wesentlicher Teil seines Business“, bestätigt Werder. „Mit klaren Richtlinien und einer vollständigen Dokumentation war unser Kunde bereits extrem gut aufgestellt und hatte die Normanforderungen bereits gut in der Praxis umgesetzt. So kann das Unternehmen seinem Zertifizierungsaudit gelassen entgegenblicken.“

Zufrieden mit der Audit-Qualität und Zusammenarbeit beauftragte der Datacenter-Infrastrukturanbieter die TÜV SÜD Management Service anschließend mit mehreren Audits auf Basis seiner spezifischen Anforderungen, die – ebenfalls vor Ort – an mehreren Standorten im Vereinigten Königreich (UK) durchgeführt wurden. Hier wurde neben den klassischen ISMS- und BCM-Themen unter anderem auch das Qualitätsmanagement betrachtet.

Weitere Informationen

ISO/IEC 27001 für Informationssicherheit

  

Wissenswert

IT Management

ISO/IEC 27001 ISMS-Zertifizierung

Ausgewiesene Informationssicherheit nach ISO/IEC 27001

Erfahren Sie mehr

ISO 27001Whitepaper
White Paper

ISO/IEC 27001 White Paper

Erfahren Sie mehr über die Inhalte der ISO/IEC 27001 und über ISMS.

Download

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German