Audits
In Kooperation mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) auditieren wir verschiedenste Unternehmen in unterschiedlichsten Bereichen. Unsere Stärke ist, dass unsere Security-Consultants bereits in der Beratung den Blick für die Zertifizierung mitbringen.
Audits mit DS DATA SYSTEMS
Die DS DATA SYSTEMS bereitet Ihre Organisation mit einem systematischen Vorgehen auf die Einhaltung entsprechender Normen oder Rechtsvorschriften vor. Die Durchführung von Audits hilft bei der Identifizierung von Verbesserungspotenzialen, um Ihr Sicherheitsniveau zu bewahren. Wir überprüfen nicht nur ob rechtliche und vertragliche Vorgaben eingehalten werden (Compliance), sondern analysieren auch bestehende Dokumentationen, Prozesse und IT-Systeme.
Die DS DATA SYSTEMS ist seit über 30 Jahren der Experte für Informationssicherheit, Datenschutz und Sicherheitstechnik für den Mittelstand bis zu internationalen Konzernen größen- und branchenunabhängig sowie für Bund und Länder.
Ihre Vorteile:
- Branchenunabhängig
- Weltweit tätig
- Über 30 Jahre Markterfahrung
- Diskret und sorgfältig
- Persönlich und individuell
- Kostenoptimiert
Ihre Vorteile:
- Branchenunabhängig
- Weltweit tätig
- Über 30 Jahre Markterfahrung
- Diskret und sorgfältig
- Persönlich und individuell
- Kostenoptimiert
Warum Audits?
Audits haben einen größeren Nutzen im Vergleich zu den anfallenden Kosten.
Ziel eines Audits im Bereich Security ist es festzustellen, ob die vorhandenen Sicherheitseinrichtungen und -verfahren den jeweils geltenden Sicherheitsanforderungen entsprechen und effektiv genug sind, um die Risiken für das Unternehmen zu minimieren. In der Regel wird ein Audit nach einem bestimmten Zeitplan regelmäßig durchgeführt, damit potenzielle Schwachstellen rechtzeitig erkannt und nachhaltig behoben werden können.
Zertifizierungen unserer Security Consultants für akkreditierte Audits:
- Lead Auditor ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301
- Lead Auditor ISO 27701
- Assistant TISAX®-Auditor
Zertifizierungen unserer Security Consultants über das Bundesamt für Sicherheit in der Informationstechnik (BSI):
- Zertifizierter Auditteamleiter für die Durchführung von ISO 27001 Audits auf der Basis von BSI IT-Grundschutz
Sonstige Zertifizierungen:
- Prüfer nach §8a BSIG / KRITIS
Im Folgenden geben wir einen Überblick über die Themen, die wir auditieren können:
ISO/IEC 27001
ISO/IEC 27001 ist ein internationaler Standard für Informationssicherheitsmanagementsysteme (ISMS), der festlegt, wie Unternehmen und Organisationen ihre Informationssicherheit organisieren und überwachen sollten. Eine Auditierung zur ISO/IEC 27001 ist ein Prozess, bei dem eine unabhängige, externe Partei die Umsetzung und Wirksamkeit des ISMS-Systems einer Organisation überprüft, um sicherzustellen, dass es den Anforderungen des Standards bzw. der Norm entspricht.
Eine Auditierung nach ISO/IEC 27001 umfasst in der Regel eine umfassende Prüfung der ISMS-Prozesse, -Verfahren und -Systeme eines Unternehmens oder einer Organisation, einschließlich Dokumentenprüfungen.
ISO 27001 auf Basis von BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein Rahmenwerk, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde und stellt eine Methode zur Umsetzung von ISMS-Systemen in vorwiegend, aber nicht ausschließlich, deutschen Unternehmen und Organisationen dar.
Eine Auditierung nach ISO 27001 auf Basis von BSI IT-Grundschutz ist ein Prozess, bei dem eine unabhängige, externe Partei die Umsetzung und Wirksamkeit des ISMS-Systems eines Unternehmens oder einer Organisation nach den Anforderungen des ISO 27001 Standards und den Empfehlungen des BSI IT-Grundschutz-Rahmenwerks überprüft.
VDA ISA
Lieferanten und Dienstleister in der Automobilbranche müssen gegenüber den Automobilherstellern nachweisen, wenn sie sensible Informationen verarbeiten, dass sie gemäß dem Anforderungskatalog ‘Information Security Assessment’ (ISA) ein entsprechendes Informationssicherheitsniveau aufweisen.
Dafür wurde von der ENX Association und dem VDA (Verband der Automobilindustrie) gemeinsam das Nachweisverfahren „Trusted Information Security Assessment Exchange“ (TISAX®) entwickelt. Über ein Assessment kann der Reifegrad des Unternehmens bzgl. der in dem VDA ISA definierten Anforderungen an einem spezifischen Standort nachgewiesen werden. Das Unternehmen kann für den geprüften Standort ein sogenanntes ‘Label’ erhalten, wenn es die relevanten Anforderungen des VDA ISA erfüllt.
Prüfung nach §8a BSIG (KRITIS)
Der §8a BSI-Gesetz (BSIG), auch bekannt als Gesetz für Kritische Infrastrukturen (KRITIS), ist ein deutsches Gesetz, das die Sicherheit von kritischen Infrastrukturen regelt. Kritische Infrastrukturen sind Einrichtungen und Anlagen, die für die Aufrechterhaltung der öffentlichen Sicherheit und Ordnung sowie der grundlegenden Versorgung der Bevölkerung von entscheidender Bedeutung sind.
Eine Auditierung nach dem §8a BSIG ist ein Prozess, bei dem eine unabhängige, externe Partei die Sicherheit von kritischen Infrastrukturen überprüft, um sicherzustellen, dass sie den Anforderungen des Gesetzes entsprechen. Eine Auditierung umfasst in der Regel eine umfassende Prüfung der Sicherheitsprozesse, -verfahren und -systeme einer kritischen Infrastruktur, einschließlich Dokumentenprüfungen.
ISO 22301
ISO 22301 ist ein internationaler Standard für Business Continuity Management (BCM), der festlegt, wie Unternehmen und Organisationen ihre Fähigkeit, auf unvorhergesehene Ereignisse zu reagieren und ihre Geschäftstätigkeit aufrechtzuerhalten, organisieren und überwachen sollten. Eine Auditierung nach ISO 22301 ist ein Prozess, bei dem eine unabhängige, externe Partei die Umsetzung und Wirksamkeit des BCM-Systems einer Organisation überprüft, um sicherzustellen, dass es den Anforderungen der Norm entspricht.
Die Auditierung nach ISO 22301 umfasst in der Regel eine umfassende Prüfung der BCM-Prozesse, -Verfahren und -Systeme einer Organisation, einschließlich Dokumentenprüfungen.
ISO/IEC 20000-1
ISO/IEC 20000-1 ist ein internationaler Standard für IT-Service-Management (ITSM) und legt Anforderungen an Prozesse, Systeme und die Organisation fest, die IT-Services bereitstellen. Eine Auditierung nach ISO/IEC 20000-1 ist ein Prozess, bei dem eine unabhängige, externe Partei die Umsetzung und Wirksamkeit des ITSM-Systems einer Organisation überprüft, um sicherzustellen, dass es den Anforderungen der Norm entspricht.
Die Auditierung nach ISO/IEC 20000-1 umfasst in der Regel eine umfassende Prüfung der ITSM-Prozesse, -Verfahren und -Systeme einer Organisation, einschließlich Dokumentenprüfungen.
ISO/IEC 27701
ISO/IEC 27701 ist ein internationaler Standard und stellt eine Erweiterung des Informationssicherheitsmanagements (ISMS) nach ISO 27001 für die Verwaltung und Verarbeitung von personenbezogenen Daten, insbesondere im Hinblick auf die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO), dar. Diese Auditierung kann nur auf Basis eines wirksamen ISMS nach ISO/IEC 27001 erfolgen. Eine Auditierung nach ISO/IEC 27701 ist ein Prozess, bei dem eine unabhängige, externe Partei die Umsetzung und Wirksamkeit des ISMS-Systems einer Organisation im Zusammenhang mit der Verwaltung von personenbezogenen Daten überprüft, um sicherzustellen, dass es den Anforderungen der Norm entspricht.
Eine Auditierung nach ISO/IEC 27701 umfasst in der Regel eine umfassende Prüfung der ISMS-Prozesse, -Verfahren und -Systeme einer Organisation im Zusammenhang mit der Verwaltung von personenbezogenen Daten, einschließlich Dokumentenprüfungen sowie die Durchführung von Tests und Überprüfungen.
Datenschutzaudit
Ein Datenschutzaudit ist ein Prozess, bei dem eine unabhängige, externe Partei die Umsetzung und Wirksamkeit von Datenschutzmaßnahmen und -verfahren einer Organisation überprüft, um sicherzustellen, dass diese den geltenden Datenschutzgesetzen und -vorschriften entsprechen. Ein Datenschutzaudit kann sowohl auf nationaler als auch auf internationaler Ebene durchgeführt werden, je nachdem, welche Gesetze und Vorschriften für das Unternehmen oder die Organisation gelten.
Ein Datenschutzaudit umfasst in der Regel eine umfassende Prüfung der Datenschutzprozesse, -verfahren und -systeme einer Organisation, einschließlich Dokumentenprüfungen. Das Ziel des Audits ist es, festzustellen, ob die Organisation ihre Datenschutzmaßnahmen auf eine geeignete Weise organisiert und überwacht, die den geltenden Gesetzen entsprechen. Es stellt jedoch kein Zertifizierungsaudit dar.
Dienstleister- und Lieferantenaudit
Ein Dienstleister- und Lieferantenaudit ist ein Prozess, bei dem ein Unternehmen oder eine Organisation die Fähigkeiten und die Einhaltung von Standards (unter anderem internen Vorgaben) durch ihre Dienstleister und Lieferanten überprüft. Es dient dazu, sicherzustellen, dass die Dienstleister und Lieferanten die erwarteten, vereinbarten Leistungen erbringen und ihre Verpflichtungen erfüllen, insbesondere in Bezug auf Qualität, Sicherheit, Notfallmanagement, Umwelt- und ethische Standards.
Ein Dienstleister- und Lieferantenaudit umfasst in der Regel eine umfassende Prüfung der Prozesse, Verfahren und Systeme eines Dienstleisters oder Lieferanten, einschließlich Dokumentenprüfungen.
Internes Audit
Ein internes Audit wird in der Regel von Mitarbeitenden des Unternehmens oder der Organisation selbst durchgeführt. Die Hauptaufgabe hierbei ist es, Schwachstellen in den Sicherheitsverfahren zu identifizieren und Vorschläge für deren Beseitigung zu ermitteln. Dies kann zum Beispiel durch regelmäßige Überprüfungen der Aufzeichnungen oder Stichprobenkontrollen zu einzelnen Themen erfolgen. Es ist jedoch sinnvoll, interne Audits auch von externen Personen durchführen zu lassen, um Interessenskonflikten, eine gewisse subjektive Betrachtung und einer möglichen Betriebsblindheit vorzubeugen.
Physischer Sicherheitsaudit
Ein physischer Sicherheitsaudit ist eine Überprüfung der physischen Sicherheitseinrichtungen eines Unternehmens oder einer Organisation. Die physische Sicherheit befasst sich mit den Maßnahmen zur Vermeidung von Gefahren durch unmittelbare, körperliche (physische) Einwirkung auf Objekte.
Der Bereich der physischen Sicherheit beginnt mit einfachen Mitteln wie verschlossenen Rechnergehäusen und reicht bis zum zutrittsgeschützen Systemen in Rechenzentren. Dazu gehören zum Beispiel Bereiche wie physische Türen und Fenster, Videoüberwachungssysteme, Alarmierungssysteme, elektronische Zutrittskontrollsysteme, Lichtanlagen und andere, ähnliche Vorrichtungen. Die Überprüfung kann intern durch Mitarbeitende des Unternehmens oder extern durch unsere unabhängigen Security-Consultants erfolgen.
Security Quick Check
Zudem bieten wir individuelle Quick Checks zur schnellen Evaluierung Ihres Sicherheitsniveaus für folgende Bereiche an:
- Informationssicherheit
- Datenschutz
- Sicherheitssysteme
Durch unsere langjährige Erfahrung als akkreditierte Auditierende arbeiten wir schnell und kosteneffizient und stehen Ihnen in den hier genannten Punkten zur Seite. Ihre Anfrage können Sie einfach und bequem über unseren Button „kostenloses Erstgespräch“ stellen.