Ein Informationssicherheitsmanagementsystem (ISMS) verlangt von Unternehmen, in regelmäßigen Intervallen unabhängige interne Audits durchzuführen. Diese Audits zielen darauf ab, zu überprüfen, ob die Vorgaben der relevanten Normen und die internen Richtlinien des Unternehmens eingehalten werden, sowie zu evaluieren, ob das ISMS effektiv in der Unternehmenspraxis umgesetzt wird. Für viele Unternehmen stellt die Durchführung dieser Audits eine Herausforderung dar. Dies ist insbesondere der Fall, wenn aufgrund einer kleinen Belegschaft die Unabhängigkeit des internen Auditors von dem zu prüfenden Bereich nicht sichergestellt werden kann. In solchen Situationen, und besonders wenn der Schwerpunkt auf der Aufdeckung und Nutzung von Verbesserungsmöglichkeiten liegt, ist es ratsam, die Bewertung des Managementsystems einem externen Auditor anzuvertrauen.
Auditor ≠ Auditor
In der Branche der Informationssicherheit fehlt es an einer gesetzlich geschützten Berufsbezeichnung für die Rolle des Auditors. Diese regulatorische Lücke ermöglicht es Personen, sich als Auditoren zu bezeichnen, selbst wenn ihre Qualifikation lediglich auf einer kurzen Schulung basiert, die nur wenige Tage dauert. Dies birgt das Risiko, dass die Qualität und Tiefe der Audits nicht den erforderlichen Standards entsprechen könnte, da theoretisches Wissen aus kurzen Kursen oft nicht ausreicht, um die komplexen Herausforderungen in der Praxis der Informationssicherheit zu bewältigen.
Eine ähnliche Problematik besteht im Bereich der Beratung. Es gibt Berater, die in ihrer beruflichen Laufbahn keine direkte operative Verantwortung im Bereich der IT-Sicherheit oder Informationssicherheit innegehabt haben. Trotzdem bieten sie Beratungsdienste an, auch wenn ihnen die praktische Erfahrung fehlt. Diese Diskrepanz zwischen Theorie und Praxis kann zu einem Mangel an realitätsnahen, effektiven Lösungen führen. Praktische Erfahrungen, insbesondere im operativen Bereich, sind jedoch für die Bewertung und Verbesserung der Informationssicherheit unerlässlich. Die Theorie allein kann die vielfältigen, oft unvorhersehbaren Herausforderungen der IT-Landschaft nicht vollständig erfassen.
Die Prüfdienstleister haben diesen Umstand unlängst erkannt und stellen deshalb klare Anforderungen an ihre Auditoren, bevor sie berufen und im Namen der Zertifizierungsstelle tätig werden dürfen.
Vorteile der internen Prüfung durch einen berufenen Auditor:
-
Unzweifelhafte Compliance mit den Normvorgaben für die Durchführung von internen Audits
-
Hohe Sach- und Fachkenntnisse
-
Objektive Bewertung auf dem Niveau eines Zertifizierungsaudits
-
Effizientes und routiniertes Vorgehen bei der Durchführung des Audits
Kontinuierlicher Prozess: Jährliche ISMS-Prüfung bei KRITIS-Betreibern
Unternehmen und Organisationen, die kritische Infrastrukturen betreiben, sind nicht nur verpflichtet branchenspezifische Sicherheitsanforderungen zu implementieren, sondern auch ein ISMS als Grundlage für einen in allen Aspekte der kDL umfassenden sicheren Betrieb aufzubauen und aufrechtzuerhalten. Dies kann unter anderem durch die Einführung und den Betrieb eines ISMS auf Grundlage des international anerkannten Standards (z.B. ISO/IEC 27001) erfolgen. Die regelmäßige Überprüfung dieses Managementsystems ist notwendig, um sicherzustellen, dass das ISMS wirksam und angemessen ist und den Anforderungen des Standards, der Branche sowie der gesetzlichen Vorschriften entspricht. Während des jährlichen internen Audits werden Prozesse und Verfahren innerhalb des ISMS auf ihre Wirksamkeit und Effizienz geprüft und auf mögliche Schwachstellen untersucht. Ziel ist es, die Sicherheit der kritischen Infrastruktur fortlaufend zu erhöhen, indem Risiken frühestmöglich identifiziert sowie beseitigt werden und dem Prüfdienstleister des KRITIS-Betreibers einen objektiven Nachweis zur Erfüllung der Anforderungen bezüglich der vorgeschriebenen unabhängigen internen Audits bereitzustellen.
