Was passiert bei einem Audit der Informationssicherheit?

1. Die Bedeutung der Informationssicherheit und entsprechender Zertifizierungen für Unternehmen nimmt stetig zu, insbesondere durch Kundenanforderungen (z. B. TISAX®), aber auch durch regulatorische Vorgaben oder Sicherheitsvorfälle.

2. Ein Informationssicherheitsaudit ist häufig mit Fragezeichen verbunden – was geschieht überhaupt im Audit? Und was bedeuten die unterschiedlichen Audit-Ergebnisse? Vereinfacht gesprochen geht es in einem Audit darum zu ermitteln, inwieweit die Audit-Kriterien erfüllt sind – bzw., wie wirksam das Informationssicherheits-Managementsystem (ISMS) ist. 

3. Für ein erfolgreiches Audit gilt es viele Dinge zu beachten – nachfolgend listen wir einige Best Practices für empfehlenswertes Verhalten in einem Audit aus:

4. Tipps:

• • Kennen Sie Ihre eigenen Dokumente
  • Täuschen Sie niemals bewusst den Auditor
  • Beantworten Sie Fragen vollständig, aber beantworten Sie keine Fragen, die nicht gestellt wurden
  • Nehmen Sie Nachfragen nicht persönlich, halten Sie Schweigen aus und geben Sie dem Auditor Zeit
  • Nehmen Sie interne Audits ernst und führen Sie diese als Vorbereitung durch auf das externe Audit durch
  • Involvieren Sie Ihr Team – Informationssicherheit muss immer von der Organisation (und vom Management!) mitgetragen werde

TISAX® ist eine eingetragene Marke der ENX Association.