contentTop
NetObjects Web Design Placeholder

Olaf Bormann - CISM, CISA

Informationen zu Informationssicherheit nach ISO 27001:2013,
BSI IT-Grundschutz, IT-Audit und
Corporate Governance over Information Technology

 
contentBottom

Kostenersparnis durch Zusammenarbeit von Interner Revision und Informationssicherheits-Revision

Aufgaben der Internen Revision

Die Funktion der Internen Revision beinhaltet:

  • Überprüfung der Eignung und Überwachung der Einhaltung von Regelungen und Anordnungen der Unternehmensleitung.
  • Prüfung der Ordnungsmäßigkeit von Aufbau und Funktion des Internen Kontrollsystems (IKS).

Die Ziele der Internen Revision sind:

  • Prüfung des Aufbaus und Überwachung der Funktion des IKS.
  • Untersuchung von Informationen, die sich auf betriebliche Prozesse beziehen.
    (Erkennung, Messung, Zuordnung dieser Informationen; Beurteilung von Vorgaben zur betriebsinternen Berichtserstattung)
  • Untersuchung zur Wirtschaftlichkeit, Zweckmäßigkeit, Wirksamkeit und Sicherheit von betrieblichen Vorgängen und Einschätzung von Risikosituationen.
  • Untersuchungen zur Wirksamkeit des Risikomanagementsystems.
  • Feststellung zur Einhaltung von Gesetzen, Verordnungen und anderer externer Vorgaben sowie Beachtung interner Regelungen.

Internes_Kontrollsystem1

Aufgaben der IT-Revision

Die IT-Revision ist ein Teil der Internen Revision und hat sich auf die Beurteilung von Maßnahmen zur:

  • Schaffung eines geeigneten IT-Umfelds
  • Einführung einer geeigneten IT-Organisation
  • Gewährleistung eines geordneten IT-Betriebs, insbesondere der Verfügbarkeit
  • Gewährleistung der Sicherheit; Umsetzung eines geeigneten IT-Sicherheitskonzepts
  • Einhaltung der erforderlichen Funktionalität von IT-Anwendungen
  • Gewährleistung der Wirksamkeit von in IT-Geschäftsprozessen enthaltenen Kontrollen

spezialisiert.

IT_Audit

Informationssicherheitsmanagementsystem

Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung zur Zielerreichung des Unternehmens sorgen.

Der Teil des Managementsystems, der sich mit der Informationssicherheit befasst, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden die Unternehmensleitung die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).

ISMS

Die Aufgaben der Informationssicherheits-Revision (IS-Revision)

Die IS-Revision ist für eine ganzheitliche Überprüfung der Informationssicherheit verantwortlich.
Dieses beinhaltet insbesondere folgende Aufgaben:

  • Prüfung der IS-Strategie und des ISMS-Vorgehens (ISMS-Leitlinie)
  • Prüfung des Aufbaus einer IS-Organisation (Rollen – Verantwortlichkeiten)
  • Prüfung des Sicherheitskonzepts (Angemessenheit – organisatorische und technische Umsetzung)
  • Prüfung der umgesetzten Sicherheitsmaßnahmen (Angemessenheit – Wirksamkeit)

Die Auswahl der IS-Revisoren und die Durchführung der Prüfungen der Informationssicherheit und des Informationssicherheits-Managementsystems müssen objektiv und unparteilich erfolgen. Daher dürfen die IS-Revisoren im geprüften Bereich nicht beratend oder ausführend, z.B. bei der Erstellung von Konzepten oder der Konfiguration von IT-Systemen, tätig gewesen sein. Die IS-Revisoren dürfen ihre eigene Tätigkeit nicht prüfen. Dieses schließt eine Funktion des Informations-Sicherheitsbeauftragten (IS-Beauftragen) als IS-Revisor in der Regel aus, da der IS-Beauftragte für die Informationssicherheitskonzeption verantwortlich ist und im Normalfall die Sicherheitsvorgaben erstellt. Gleichzeitig muss er sich im Rahmen von Audits von der korrekten Umsetzung der Sicherheitsvorgaben überzeugen.

Vorteile einer Kooperation von Interner Revision und IS-Revision

Die Interne Revision prüft im Rahmen seiner Tätigkeiten u.a. die Umsetzung der Sicherheitsvorgaben. Daher ergeben sich Schnittstellen der Prüfungstehmen von Interner Revision und IS-Revision. Zur Vermeidung von Interessenkonflikten und zur Kostenreduktion bietet sich ein Rückgriff auf die Ergebnisse der Internen Revision an.

Pruefungsthemen2

Neben den Überschneidungen der Prüfungsthemen prüft die Interne Revision auch die Informationssicherheit und das Informationssicherheits- Managementsystems selber. Eine frühzeitige Zusammenarbeit mit der Internen Revision hat daher einen Qualitätssicherungseffekt für den IS-Beauftragten.

Vorteile_Zusammenarbeit

(c) Olaf Bormann, 11.03.2013

 
[Home] [Über mich] [Artikel] [Die Grenzen und Möglichkeiten des Database Marketing] [IT Governance] [ISMS auf Basis von Geschäftsprozessen] [Revision und ISMS-Audit] [Kontakt]