Audits und Zertifizierungen | Bayern

Audit

Mein Tätigkeitsfeld umfasst neben der klassischen Beratung und der Übernahme der Funktion des externen Datenschutzbeauftragten auch das Auditieren von Managementsystemen auf Basis der ISO 27001 sowie Datenschutzaudits.

Internes Audit

Externes Audit

Datenschutzaudit

Interne Audits

Das Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 gibt den Unternehmen, die sich zertifizieren lassen wollen, vor, in regelmäßigen Intervallen interne Audits durchzuführen.

Diese internen Audits dienen insbesondere der Prüfung der Umsetzung der Maßnahmen, die einerseits durch das ISMS, aber auch durch das Unternehmen selbst vorgegeben wurden. Doch speziell für kleine und mittelständische Unternehmen (KMU) kann nicht nur die Umsetzung eines ISMS zur Mammutaufgabe werden, sondern auch die Auswahl eines unvoreingenommenen internen Auditors aus der eigenen Belegschaft erweist sich in diesen Fällen regelmäßig als sehr schwierig.

Daher ist es ratsam, auch bereits für das interne Audit einen unbefangenen Dritten hinzuzuziehen, welche zur Identifikation von Verbesserungspotentialen beitragen kann.

Auditor ist nicht gleich Auditor

Wie in anderen Bereichen auch, ist der „Auditor“ kein geschützter Titel, was mitunter zu Schwankungen in der Qualität der Mitbewerber führen kann. Unter Umständen treten Anbieter auf, die selbst nur tageweise entsprechende Schulungen besucht haben, und kaum nennenswerte Referenzen vorweisen können. Auch sog. Berater, mit unzureichender praktischer Erfahrung und teilweise ausschließlich theoretischem Wissen treten auf den Markt und werden ausschließlich aus monetären Gründen ausgewählt.

Die von der DAkkS akkreditierten Stellen sorgen dafür, dass nur diejenigen Personen als Auditor benannt werden, die umfangreiche praktische Erfahrung besitzen, und aus dieser heraus wissen, wie die sehr theoretisch und abstrakt gehaltene Norm der ISO/IEC 27001 mithilfe Ihres Anhangs und dessen Maßnahmen praktisch, also organisatorisch und technisch, aber vor allem auch individuell angewandt werden kann.

Anforderungen an berufene Auditoren:

Abgeschlossenes Studium im einschlägigen Bereich sowie 4 Jahre Berufserfahrung im Bereich der IT, davon mindestens 2 Jahre in der Informationssicherheit oder – ohne Studium – 8 Jahre Berufserfahrung im Bereich der Informationssicherheit

Nachgewiesene Kenntnisse in den Bereichen IT-Sicherheit, IT-Risikomanagement, IT-Compliance, Informationssicherheits- und Datenverarbeitungssysteme
Auditorenausbildung und erfolgreicher Abschluss des Trainee-Programms

Vorteile der internen Prüfung durch einen berufenen Auditor:

Unzweifelhafte Compliance mit den Normvorgaben für die Durchführung von internen Audits
Hohe Sach- und Fachkenntnisse
Objektive Bewertung auf dem Niveau eines Zertifizierungsaudits
Effizientes und routiniertes Vorgehen bei der Durchführung des Audits

Gerne unterstütze ich Sie bei der Planung und Durchführung Ihres internen ISO 27001 Audit. Nehmen Sie einfach hier Kontakt mit mir auf.

Prüfschwerpunkte, Branchen und KRITIS Sektoren

Banken, Energie, Finanzen, Handel, Housing, Hosting, Industrie, IT, Krankenhaus, Lebensmittelindustrie, Logistik, Medien, Netzführung, Gas & Strom, Pharma, Prototypenschutz, Provider, Telekommunikation, VAIT, Versicherung, KAIT, Kapitalanlagegesellschaften.

Angeboten werden interne Audits für folgende Standards

Externes Audit / Zertifizierungsaudit

Informationssicherheit ist längst nicht mehr nur ein Thema für öffentliche Behörden. Private Unternehmen unterliegen teilweise gesetzlichen Regulierungen, haben vertragliche Pflichten oder schlicht ein nicht zu unterschätzendes eigenes Interesse, nicht nur ihre physischen, sondern insbesondere auch ihre digitalen Werte und Informationen nach einem standardisierten Verfahren zu schützen.

In diesem Fall kommt dann eine Zertifizierung nach der ISO 27001 infrage. Aufgrund der in kurzer Zeit in hoher Anzahl anstehenden Zertifizierungen kann es bei den von der DAkks akkreditierten Stellen teilweise zu zeitlichen Engpässen kommen. Mit umfangreicher Erfahrung sowohl als externer als auch als interner Auditor stehe ich Ihnen gerne zur Verfügung.

KRITIS Audit

Audit nach der KRITIS VO

Deutsche Unternehmen, speziell die Betreiber kritischer Infrastrukturen (KRITIS), werden immer häufiger virtuell von außen angegriffen. Um diese Angriffe und daraus etwaige resultierenden negativen Folgen vor allem für die Bevölkerung zu verhindern, wurde durch den Gesetzgeber ein entsprechendes Gesetz für Betreiber kritischer Dienstleistungen (kDL) formuliert.

Mehr

Seit dem 25. Juli 2015 gilt das IT-Sicherheitsgesetz (ITSiG), zu dem auch das BSI-Gesetz (BSIG) gehört. Nach §8a (1) des BSIG werden die Betreiber kritischer Infrastrukturen dazu aufgefordert, organisatorische und technische Vorkehrungen zu treffen, die Störungen umgehen und somit die Verfügbarkeit, Authentizität und Vertraulichkeit Ihrer informationstechnischen Systeme, Komponenten und Prozesse schützen.

Kritische Infrastrukturen sind insbesondere diejenigen Organisationen und Unternehmen, die zur Versorgung von Grundbedürfnissen der Bevölkerung beitragen (Wasser, Strom usw.). Ausfälle einzelner oder vollständiger Systeme könnten gravierende Auswirkungen wie Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen haben.

Nach § 10 (1) des BSIG wurde eine gesetzliche Vorgabe angeordnet, die besagt, welche Anlagen als kritische Infrastruktur gelten. Die Betreiber von betroffenen Anlagen müssen das BSIG fristgerecht umsetzen und Nachweise gemäß § 8a (3) richtig, vollständig und rechtzeitig erbringen.

Lesen Sie zu den drohenden Strafen den wirklich lesenswerten Artikel eines geschätzten Kollegen.

Mit umfangreicher Erfahrung sowohl als externer als auch als interner Auditor stehe ich Ihnen gerne zur Verfügung. Um den gesetzlichen Anforderungen zu entsprechen wird geraten, den branchenspezifischen Sicherheitsstandard (B3S) als Grundlage zu nutzen. Nur so kann auch der jeweilige Auditor einen angemessenen Prüfkatalog erstellen und auf dessen Basis ein valides Angebot inkl. Aufwandsabschätzung abgeben.

Schwerpunkte, Branchen und KRITIS-Sektoren:
Versicherung, Banken, Ernährung, Energie, Finanzen, Handel, Industrie, IT, Logistik, Medien, Rechtsberatung, Pharma, Telekommunikation

Datenschutzaudit

Datenschutzaudit auf Basis der DSGVO und BDSG

Im Rahmen meiner bisherigen Tätigkeit habe ich einen Fragenkatalog entwickelt, der alle Fragen umfasst, die sicherstellen, dass die Lücken im Datenschutz und die Bußgeldrisiken in Ihrem Unternehmen identifiziert werden.

Der Fragenkatalog beruht auf dem Bußgeldkatalog des Art. 83 Abs. 4 und 5 EU-DSGVO. Dieses Audit ist das Ergebnis meiner Masterthesis, die ich im Jahr 2019 geschrieben habe.

Als Ergebnis bekommen Sie einen Katalog aller offenen Punkte, die in Ihrem Unternehmen ein Bußgeldrisiko nach der EU-DSGVO darstellen.

Gerne unterbreite ich Ihnen ein Angebot. Einfach hier Kontakt aufnehmen.

Kontakt

Tel: 01712 035820

SendE e-mail

Weitere Links

Impressum
Datenschutz