Eine IS-Revision steht an. Was nun?

3 Minuten Lesezeit
  • Informationssicherheit
  • IS-Revision


Ob planmäßig oder als Reaktion auf ein Ereignis, früher oder später trifft es jedes Unternehmen, das Wert auf die Sicherheit seiner IT legt: IS-Revisionen.

Im Rahmen unserer Blogreihe „ISMS – how to?“ möchte ich diesmal darauf eingehen, was bei einer IS-Revision passiert und wie du dich am besten vorbereitest.

Was ist eine IS-Revision?

Zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS) gehören kontinuierliche Überarbeitungen und Verbesserungen des aufgebauten Systems. So weiß man jederzeit, wie angemessen der gesamte Prozess noch für die Informationssicherheit der Organisation ist.

Um eine Aussage über den aktuellen Stand der Informationssicherheit treffen zu können, muss eine Informationssicherheitsrevision (kurz IS-Revision) durchgeführt werden. Die Informationssicherheitsrevision ist also die Überprüfung der Informationssicherheit mit dem Ziel, den Stand der Informationssicherheit festzustellen.

Diese Revisionen können gemäß einem Revisionsplan erfolgen, der ein Intervall für die Revisionen festlegt. Wir empfehlen einen Abstand von weniger als drei Jahren. Aber auch das Management kann Revisionen anstoßen, zum Beispiel nach einem Sicherheitsvorfall. Dabei gibt es verschiedene Arten von IS-Revisionen, die sich durch Prüfumfang und -tiefe voneinander unterscheiden.

Welche Arten von IS-Revisionen gibt es?

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wird zwischen Kurz-, Querschnitts- und Partialrevisionen unterschieden. Es gibt aber noch mehr Ausprägungen.

Mit der Kurzrevision kannst du dir mit wenig Aufwand einen Überblick über den Stand der Sicherheit in einem Unternehmen verschaffen. Betrachtet werden dabei unternehmensweit Themen aus dem IT-Grundschutz, die grundlegend für die Informationssicherheit sind, sich aber als problematisch erwiesen haben (Bsp.: Umgang mit mobilen Datenträgern). Dabei existieren keine Anforderungen an Dokumentation oder Umsetzung von Anforderungen. Die Kurzrevision kannst du auch für die Überprüfung verwenden, ob wesentliche Bestandteile für die Querschnittsrevision gegeben sind.

Mit der Querschnittsrevision werden stichprobenartig alle Schichten des IT-Grundschutzes geprüft. Dabei betrachtest du das gesamte Unternehmen mit dem Ziel, einen kompletten Eindruck von der Informationssicherheit zu bekommen.

Die Partialrevision nimmt einen Ausschnitt des Unternehmens mit größerer Prüftiefe in den Blick. Diese Art der Prüfung ist anlassbezogen und kann durch das IS-Management zum Beispiel nach einem Sicherheitsvorfall angestoßen werden.

Wer führt eine IS-Revision durch?

Die Überprüfung der Informationssicherheit von Betrieben ist Aufgabe des BSI. Daher dürfen nur BSI-zertifizierte Revisoren solche Revisionen durchführen. Ein Revisionsteam besteht in der Regel aus einem Revisionsleiter und Revisoren. Der Revisionsleiter stellt das Revisorenteam zusammen und trägt die Gesamtverantwortung für die Durchführung sowie die Vor- und Nachbereitung der Revision. Mitunter erweist sich bei einer Revision, dass weitere Fachexperten benötigt werden. Ihr Einsatz dauert in der Regel nur ca. 1 bis 2 Tage, während die Arbeit des Revisorenteams ca. 12 bis 17 Tage in Anspruch nimmt.

Wie läuft eine IS-Revision ab?

Zuerst sollte feststehen, welche Art von IS-Revision durchzuführen ist. Darauf aufbauend wird von dem Revisionsleiter ein Ablaufplan geschrieben. Dieser enthält die zukünftigen Prüfungen mit Prüfungsthemen, welche in einem 3-Jahres-Plan formuliert sind. Diese Tätigkeiten fallen in die erste Phase einer Revision, in der es um den Prüfauftrag der Revision geht.

In der anschließenden zweiten Phase beginnt die eigentliche Prüfung. Das Revisorenteam wird zusammengestellt und untersucht das Unternehmen auf Grundlage der vorbereitenden Dokumentenprüfung und der anschließenden Vor-Ort-Prüfung. Dabei werden dann vor Ort Gespräche geführt und die Räume und Systeme begutachtet. An diesem Punkt solltest du besonders aufmerksam sein, denn eine Revision kann an jedem Punkt wieder abgebrochen werden, wenn dem Revisor nicht genügend Einsicht gewährt werden kann. Das kann zum Beispiel bei der Dokumentenprüfung geschehen, wenn der Zugriff nicht funktioniert oder bei der Begutachtung, wenn angefragte Sicherheitsmaßnahmen nicht demonstriert werden können.

Nach Beendigung der Revision werden der Geschäftsführung die Ergebnisse präsentiert und als Prüfbericht vorgelegt.

Was solltest du beachten?

  1. Stelle sicher, dass das Revisionsteam über die benötigten Ressourcen frei verfügen kann. Ist das nicht der Fall, wird die IS-Revision wahrscheinlich abgebrochen.
  2. Für die Anforderung einer IS-Revision stellt das BSI ein Antragsmuster zur Verfügung. Dieses enthält auch ein Muster für die Bekanntgabe der Revision an die Mitarbeiter und weitere Dokumente, wie beispielsweise ein Muster für ein Revisionshandbuch oder die Prüfthemen einer Revision (BSI – Hilfsmittel IS-Revision (bund.de)).
  3. Das richtige Mindset deines Teams ist Voraussetzung für eine offene und konstruktive Zusammenarbeit mit dem Revisorenteam und somit für eine reibungslose IS-Revision.
  4. Bereite dich vor, hole dir Unterstützung! Ein interner Probelauf einer IS-Revision und das Hinzuziehen externer Unterstützung für die Auditbegleitung (Audit Defense) gibt dir und deinem Team Sicherheit!

Beitrag teilen

Planung, Aufbau und Betrieb
eines hochsicheren Netzes
Teil 10: Handlungsempfehlung

3 Minuten Lesezeit
Zur Übersicht