Bundesamt für Sicherheit in der Informationstechnik

Wie positioniert sich das BSI mit dem "Leitfaden IS-Revision" zu den Standards des IDW und des IIR?

Die Publikationen des IIR und auch die des IDW sind dem BSI bekannt. Wesentliche dort enthaltene Grundsätze zur IS-Revision sind auch im Leitfaden berücksichtigt. Das im Leitfaden beschriebene Vorgehen richtet sich konkret an der IT-Grundschutz-Vorgehensweise aus, so dass der Leitfaden insbesondere für die IS-Revision in Bundesbehörden geeignet ist.

Inwieweit können bereits durchgeführte, dokumentierte Prüfungen des IT-Sicherheitsbeauftragten bei einer IS-Revision berücksichtigt werden?

Wenn die Vorgehensweise und die Dokumentation des IT-Sicherheitsbeauftragten bei diesen Prüfungen den Anforderungen des Leitfadens "Informationssicherheitsrevision (IS-Revision) auf der Basis von IT-Grundschutz" genügen und eine unabhängige Einbettung des IT-Sicherheitsbeauftragten in die Aufbauorganisation der Institution gewährleistet ist, können die hieraus gewonnenen Erkenntnisse mitberücksichtigt werden. Hierbei ist jedoch zu beachten, dass der Baustein B 1.0 "IT-Sicherheitsmanagement" in jedem Falle durch einen unabhängigen Revisor und nicht durch den IT-Sicherheitsbeauftragten selbst geprüft werden muss.

Wie sind die in einer zu prüfenden Institution intern zu erbringenden Aufwände zur Vorbereitung einer IS-Revision und die dafür benötigten Ressourcen zu bewerten?

Soweit in einer zu prüfenden Institution bereits ein ISMS nach den BSI-Standards etabliert ist, sollten lediglich überschaubare organisatorische Aufwände (z. B. Terminkoordinierung Bereitstellung von Arbeitsmitteln) entstehen.

Können sich der IT-Sicherheitsbeauftragte und eine evtl. vorhandene Innenrevision bei IS-Revisionen ergänzen?

Sofern der IT-Sicherheitsbeauftragte und die Mitarbeiter der Innenrevision über die notwendigen Voraussetzungen gem. Leitfaden verfügen (fachliche Kompetenz, persönliche Eignung, Unabhängigkeit etc.), können sich diese grundsätzlich bei Prüfungen ergänzen. Dies ist jedoch abhängig von den spezifischen Gegebenheiten in der Institution und sollte immer im Einzelfalle betrachtet und dann individuell im Revisionshandbuch der Institution definiert werden.

Inwieweit lässt sich der Prüfaufwand einer IS-Revision bei Vorlage eines ISO 27001-Zertifikates auf der Basis von IT-Grundschutz reduzieren?

Sind einzelne Informationsverbünde einer Institution bereits nach ISO 27001 auf der Basis von IT-Grundschutz zertifiziert, sollten Re-Zertifizierung und IS-Revision für diese nach Möglichkeit zusammen durchgeführt werden. Erkenntnisse aus Überwachungsaudits oder dem Zertifizierungsverfahren können für die IS-Revision genutzt werden.

Gibt es gemäß neuem Leitfaden noch die Möglichkeit bei der Durchführung einer Querschnittsrevision auf eine Basisrevision zurückzufallen?

Nein! Da empfohlen wird, immer eine IS-Kurzrevision durchzuführen, die ein Votum über den sinnvollen Beginn einer Querschnittsrevision abgibt, ist eine Basisrevison als Rückfallposition entbehrlich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK