InformationssicherheitIS-Revision

Eine IS-Revision steht an. Was nun?

8. November 20222 Minuten Lesezeit
Abstrakte Komposition mit klaren Farbfeldern in Blau, Grün und Weiß.

Was ist eine IS-Revision?

Eine IS-Revision (Informationssicherheitsrevision) ist ein essenzieller Bestandteil eines Informationssicherheitsmanagementsystems (ISMS). Sie dient der Überprüfung der bestehenden Sicherheitsmaßnahmen, um den aktuellen Stand der Informationssicherheit zu bewerten und Verbesserungen abzuleiten.

Eine IS-Revision kann planmäßig oder anlassbezogen durchgeführt werden, beispielsweise nach einem Sicherheitsvorfall. Unternehmen sollten regelmäßige Revisionen einplanen – idealerweise im Abstand von weniger als drei Jahren.

Arten der IS-Revision

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet verschiedene Arten von IS-Revisionen:

1. Kurzrevision

Eine Kurzrevision gibt mit minimalem Aufwand einen schnellen Überblick über den Sicherheitsstatus eines Unternehmens. Sie konzentriert sich auf spezifische IT-Grundschutz-Themen, die potenzielle Schwachstellen aufweisen. Diese Art der Revision eignet sich zur Vorbereitung auf umfassendere Prüfungen.

2. Querschnittsrevision

Bei der Querschnittsrevision werden stichprobenartig alle Schutzmaßnahmen des Unternehmens überprüft. Ziel ist es, ein ganzheitliches Bild der Informationssicherheit zu erhalten.

3. Partialrevision

Die Partialrevision ist eine tiefgehende Überprüfung eines bestimmten Unternehmensbereichs. Sie wird häufig als Reaktion auf einen Sicherheitsvorfall oder andere spezielle Anlässe durchgeführt.

Wer führt eine IS-Revision durch?

Nur BSI-zertifizierte Revisoren dürfen eine IS-Revision durchführen. Ein Revisionsteam besteht in der Regel aus:

  • Revisionsleiter: Verantwortlich für Planung, Durchführung und Nachbereitung
  • Revisoren: Führen die Prüfung durch
  • Fachexperten: Werden bei Bedarf hinzugezogen

Ein IS-Revisionsteam arbeitet üblicherweise 12 bis 17 Tage an einer vollständigen Revision, während Fachexperten oft nur ein bis zwei Tage beteiligt sind.

Ablauf einer IS-Revision

1. Planungsphase

  • Festlegung der Art der Revision
  • Erstellung eines Revisionsplans (z. B. ein 3-Jahres-Plan)
  • Definition der Prüfungsthemen

2. Durchführungsphase

  • Zusammenstellung des Revisorenteams
  • Dokumentenprüfung und Vor-Ort-Prüfung
  • Interviews mit Mitarbeitern
  • Überprüfung der Sicherheitsmaßnahmen

Achtung: Falls dem Revisor nicht genügend Einsicht gewährt wird, kann die Prüfung abgebrochen werden!

3. Abschlussphase

  • Präsentation der Ergebnisse an die Geschäftsführung
  • Erstellung des Prüfberichts

Wichtige Tipps für eine erfolgreiche IS-Revision

  • Bereitstellung der benötigten Ressourcen: Das Revisionsteam muss ungehinderten Zugang zu allen relevanten Dokumenten, Systemen und Ansprechpartnern haben.
  • Nutzung von BSI-Hilfsmitteln: Das BSI stellt hilfreiche Vorlagen bereit, z. B. Antragsmuster, Revisionshandbuch und Prüfthemen-Katalog.
  • Vorbereitung und internes Probelauf-Audit: Ein internes Probelauf-Audit hilft, Schwachstellen frühzeitig zu identifizieren. Unterstützung durch externe Auditbegleiter (Audit Defense) kann die Erfolgschancen erhöhen.
Ihr Ansprechpartner
Porträtfoto von Kjeld

Kjeld Lindenblatt

Geschäftsführung und Informationssicherheit
kjeld.lindenblatt@umbrellaconsulting.de
Seit der Gründung leitet Kjeld ein engagiertes Team, das innovative Lösungen im Bereich Informationssicherheit entwickelt. Sein Ziel ist es, Unternehmen und Gesellschaft vor digitalen Bedrohungen zu schützen und eine sichere Digitalisierung zu ermöglichen. Mit seiner Expertise sorgt er dafür, dass sensible Daten und Systeme zuverlässig geschützt bleiben.
Weitere Inhalte

Themen & Beiträge

Künstlerische Textur in Blau, Weiß und Türkis mit linearen Mustern und bewegter Oberfläche.

BSI IT-Grundschutz – Der Standard für Informationssicherheit

Was ist der BSI IT-Grundschutz? Der BSI IT-Grundschutz ist eine bewährte Methodik, die Unternehmen und Organisationen dabei unterstützt, ihre Daten, Systeme und Informationen abzusichern und ein effektives Managementsystem für Informationssicherheit (ISMS) aufzubauen. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), bietet der IT-Grundschutz seit 1994 eine strukturierte Vorgehensweise zur Identifikation, Bewertung und Reduzierung von […]

Abstraktes Acrylgemälde in Blautönen mit goldenen Akzenten und dynamischen Pinselstrukturen.

Informationssicherheit: Schutz von Unternehmensinformationen

Warum ist Informationssicherheit wichtig?  In einer zunehmend digitalen Welt sind Unternehmensinformationen einer Vielzahl von Bedrohungen ausgesetzt. Manipulation, unbefugte Weitergabe vertraulicher Informationen oder technische Ausfälle können Geschäftsprozesse erheblich beeinträchtigen. Die Informationssicherheit umfasst alle Maßnahmen, die den Schutz sensibler Daten gewährleisten.  Was ist Informationssicherheit?  Informationssicherheit dient dem Schutz aller im Unternehmen genutzten Informationen – unabhängig davon, ob […]

Blau dominierender Bildausschnitt eines abstrakten Gemäldes mit feinen Linien und goldenen Details.

Netzwerktechnologien

Was sind Netzwerktechnologien?  Netzwerktechnologien ermöglichen die sichere und effiziente Datenübertragung zwischen IT-Systemen. Ein zentrales Konzept ist das Routing, das den Datenpfad von Datenpaketen durch das Netzwerk bestimmt. Router treffen Routing-Entscheidungen auf Grundlage verschiedener Kriterien wie Netzwerktopologie, Verfügbarkeit von Verbindungen und Routing-Protokoll. Router mit lokaler Sicht kennen nur ihre direkten Nachbarn und entscheiden den nächsten Hop […]

Moderne abstrakte Kunst mit geschichteten Pinselstrichen in Blau, Weiß und Gold.

Hochsichere Netze – Sicherheit für kritische Kommunikation

Was sind hochsichere Netze? Hochsichere Telekommunikationsnetze sind speziell geschützte Kommunikationsinfrastrukturen, die für die Übertragung sensibler Informationen erforderlich sind. Sie bieten höchste Sicherheitsstandards und Schutzmechanismen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Kommunikation sicherzustellen. Warum sind hochsichere Netze wichtig? Nutzer hochsicherer Netze sind insbesondere Institutionen mit hoheitlichen Aufgaben, wie Regierungseinrichtungen, Sicherheitsbehörden und kritische Infrastrukturen. Diese Organisationen […]

Drei Personen stehen nebeneinander in einem Seminarraum und schauen gemeinsam in ein Buch, fotografiert durch ein Fenster.

IT-Sicherheit und Agentenfilme faszinieren dich schon immer – aber Hacker, Computer-Nerd oder James Bond zu werden war einfach keine Option?

Komm zu uns