(openPR) Einführung: Ziel einer IS-Revision ist es, das aktuelle Sicherheitsniveau in der Institution festzustellen und Hinweise auf bestehende Sicherheitslücken zu geben und damit die Leitung der Institution, das IS-Management-Team und insbesondere den Informationssicherheitsbeauftragten (ISB) bei der Umsetzung und Optimierung der Informationssicherheit zu unterstützen und zu begleiten.
Problemstellung: Eine sorgfältige und BSI-konforme Organisation von IS-Revisionen im Rahmen eines langfristigen IS-Verfahrens ist zeit- und ressourcenintensiv. Die Zeitvorgaben für die Dauer von IS-Revisionen nach BSI sind knapp bemessen und müssen vom internen und/oder externen IS-Revisionsteam eingehalten werden. Die Erstellung von IS-Prüfplänen, insbesondere für die IS-Querschnittsrevision bei großen Institutionen mit mehreren Standorten und komplexen IT-Verbünden, mit herkömmlichen Office-Werkzeugen (Textverarbeitung und Tabellenkalkulation) stellt die Verantwortlichen vor eine große Herausforderung. Die Erstellung, Verteilung, regelmäßige Ergänzung und Aktualisierung von Fragenkatalogen/Checklisten stellt für die im Rahmen der IS-Revision vorgesehenen Mitarbeiterbefragungen eine schwierige Aufgabe dar. Eine weitere Herausforderung ist die Organisation von Korrekturmaßnahmen für Abweichungen (Nichtkonformitäten), die bei der IS-Revision festgestellt wurden. Dabei geht es darum, zuständigen und ausführenden Personen zu bestimmen, Prioritäten festzulegen Zeitaufwände und die Fristen für die Umsetzung zu bestimmen.
Lösung: Die Audit Management Software GAP View wurde speziell für die kontinuierliche Überprüfung der Wirksamkeit, Vollständigkeit und Angemessenheit der implementierten Informationssicherheitsmaßnahmen unter strikter Berücksichtigung des BSI „Leitfadens für die IS-Revision auf Basis von IT-Grundschutz“ entwickelt. Ziel ist es, alle an einem IS-Revisionsverfahren und den dazugehörigen IS-Revisionen beteiligten Personen, von der Institutsleitung, den Mitgliedern interner und externer IS-Revisionsteams, bis hin zu den Mitarbeiterinnen und Mitarbeitern, ggf. externen Lieferanten und Experten, effizient und effektiv zu unterstützen.
Softwareeigenschaften:
- Zentrales Stammdatenmanagement aller im IS-Revisionsverfahren beteiligten Institutionen und Personen
- Zentrales Management und eine einheitliche Bereitstellung aller Fragenkataloge, die für die IS-Revisionen verwendeten werden
- Optionale Bereitstellung der herstellereigenen Fragenkataloge je BSI IT-Grundschutz Baustein inkl. geschätzter Auditbearbeitungszeit
- Management von mehrjährigen Auditprogrammen/IS-Revisionsverfahren,
- Zentrales Management aller geplanten und durchgeführten IS-Revisionen mit genauer Zeitplanung (Kalender), Ressourcenzuteilung, Stichprobendefinition (Baustein-Zielobjekt), Fragenkatalogen, Nachweisen und Ergebnissen
- Zentrales Management aller für eine IS-Revision erforderlichen Dokumentationen (u.a. IS-Revisionshandbuch, Organigramm)
- Unterstützung aller Arten von IS-Revisionen (IS-Kurzrevision, IS-Partialrevision und IS-Querschnittsrevision)
- Unterstützung aller erforderlichen Prüfmethoden (mündliche und schriftliche Befragung, Inaugenscheinnahme, Beobachtung, Aktenanalyse, technische Prüfung, Datenanalyse)
- Zweistufige Bewertung der Ergebnisse (Umsetzungsstatus und Sicherheitsmängel)
- Automatische Generierung von Korrekturmaßnahmenkatalogen (Nichtkonformitäten)
- Zentrales Management der Korrekturmaßnahmenkataloge mit Zuordnung der zuständigen Personen, geschätztem Zeitaufwand, Umsetzungsdatum, Prioritäten und Umsetzungsstatus
- Ausführliches Berichtswesen u.a. IS-Revisionsverfahren, IS-Revisionshandbuch, IS-Prüfplan, IS-Revisionsbericht (unterschiedliche Detaillierungsgrade)
- Dashboard (Stand der Umsetzung einer IS-Revision, verbleibende Zeit bis zum Abschluss der IS-Revision, Bewertung der IS-Revision, Stand der Umsetzung von Korrekturmaßnahmen)
- Unterstützung verschiedener Auditmethoden (Vor-Ort-Audit, Remote-Audit und Self Assessment)
- Unterstützung von ExPress Informations-sicherheits-Checks (EPIC), u.a. Schnell-diagnose zum Umsetzungsstand von IT-Sicherheits- und Datenschutzmaßnahmen
Weitere Anwendungsbeispiele
- Audit Management nach ISO 19011 und ISO/IEC 17021
- Branchenspezifische Sicherheitsaudits u.a. NIS-2, DORA, TISAX, PCI DSS
- Auditmanagement von ISMS, BCMS und DSMS u.a. ISO/IEC 27001 mit fachspezifischen Normen, ISO/IEC22301 BSI 200-4, EU-DSGVO (SDM) und BDSG
- Lieferanten-Audits nach BSI und ISO
Fazit: Die webbasierte Software GAP View ist ein Audit-Management-System für die Organisation von Audits, Revisionen und Sicherheitsprüfungen mit Fokus auf Informationssicherheit und Datenschutz. Die Software kann in einer Cloud-Umgebung oder On-Prem betrieben werden. Der Funktionsumfang der Software bildet die Anforderungen der Normen ISO 19011, ISO/IEC 17021 und des BSI für die Durchführung von internen und externen Audits und Revisionen ab. Die einfache Bedienbarkeit und der Funktionsumfang der GAP View Software sorgen für eine signifikante Optimierung der Audits und Revisionen.
