Sind ISMS-Audits vergleichbar mit IT-Revisionen?

Sind ISMS-Audits vergleichbar mit IT-Revisionen?

26. Februar 2022 - Die eklatanten Unterschiede des Prüfungsaufwandes zwischen ISMS-Audits und IT-/Informa­tionssicherheits-Revisionen mit vergleichbarem Scope lassen sich eigentlich kaum erklären.
Artikel erschienen in IT Magazine 2022/03
Als ich 2002 als Fachexperte des METAS das erste Mal einen ISO27001-Zertifizierungsaudit beaufsichtigen musste, war ich leicht verwirrt: Der externe ISMS-Auditor schaffte es, die rund 130 Kontrollen (Sicherheitsmassnahmen) der damaligen Version BS7799 sowie das zugehörige Managementsystem innert weniger Tage zu prüfen und ein gültiges Zertifikat abzugeben. Da ich damals bereits mehrfach für Finanzdienstleister und IT-Provider Revisionen von IT- und Informationssicherheit mit ähnlichem Scope mit einem Budget von jeweils rund 30–70 Tagen durchgeführt hatte, fand ich die kurze Zeitdauer doch recht sportlich.

2005 durfte ich in an der IT Service Management Konferenz in Dresden die Keynote halten zum Thema «Prozessreifebeurteilung mit moderiertem Self Assessment» – auch hier war ich aufgrund des Feedbacks erneut ziemlich irritiert. Ich erläuterte in meinem Referat, wie man Prozesse und Schlüsselkontrollen eines ISMS anhand der Maturität der wichtigsten Kontrollaktivitäten beurteilen könnte. So würden die Beurteilungen verschiedener Spezialisten erstaunlich gut miteinander übereinstimmen – ohne eine klare Vorgabe würden aber die Ergebnisse auch von eigentlichen Audits sich nur wenig ähneln.

Um die Maturität einer bestimmten Kontrolle beurteilen zu können, sollten eigentlich die folgenden Faktoren z.B. auf einem Massstab von - - bis + + bewertet werden:
- Zuständigkeiten (Kontroll-Owner, Kontroll-Ausführender)
- Vorgaben (Weisungen, Richtlinien, Prozesse, Templates oder andere Vorgaben)
- Umgang mit Ausnahmen (formale Genehmigung, zeitliche Befristung, Über­wachung der Erledigung)
- Abdeckungsgrad (Anteil der abgedeckten Organisationseinheiten, Prozesse, ­Systeme, Anwendungen, …)
- Verifikation (Art, Häufigkeit einer unabhängigen Überprüfung)

Nun – bei einigen der Teilnehmenden stiessen diese Aussagen auf keine grosse Begeisterung, ging ich doch z.B. für eine solche Bewertung der ISO27001-Kontrollen von einem Gesamtaufwand von einigen Wochen aus – im Bereich Qualitäts- und Servicemanagement (ISO9000, ISO20000, usw.) waren wie im Sicherheitsumfeld Zertifizierungs-Audits mit einem Gesamtaufwand von wenigen Tagen üblich. Die anderen Tagungsteilnehmer hielten mich wohl für einen Alien von einem anderen Stern ;-)
(Quelle: ISACA)
Erst mit der Zeit habe ich realisiert, dass sich die grossen Unterschiede zwischen einem ISO-Zertifizierungsaudit und einer Prüfung sowie Beurteilung desselben Bereichs (ein ISMS inkl. allen Sicherheitsmassnahmen) – so wie ich das in der internen und externen IT-Revision gelernt hatte – nicht nur mit den anzuwendenden Prüfungsstandards erklären lassen. Der für ISO27001-Zertifizierungen verbindliche Auditstandard ISO27006 umfasst zwar mit gut 30 Seiten nur einen Bruchteil der entsprechenden Standards der Finanzprüfer. Aber sogar der ISO27006 enthält klare Mindestanforderungen an die Planung, Vorbereitung und Durchführung von ­ISMS-Audits sowie z.B. an die interne Organisation des Audit-Unternehmens oder an die benötigten Fachkenntnisse der Auditoren. Und dennoch werden je nach kulturellem Hintergrund der Auditoren (Arbeitgeber, Branche des Kunden, Land usw.) diese wenigen Vorgaben höchst unterschiedlich interpretiert, so dass sich die Prüfungsaufwände sehr stark unterscheiden. Erst aufgrund unserer Intervention aus der Schweiz hat sich sogar die ISO-Organisation im Jahr 2007 aufgerafft, minimale Auditzeiten vorzugeben, damit die Ergebnisse vergleichbarer würden. Eine weitere Schweizer «Erfindung» war eine Tabelle mit Hinweisen, ob die aufgeführten Kontrollen eher organisatorischer oder technischer Natur waren und wie sie daher geprüft werden können.

Um die Qualität der ISMS-Audits weiter zu verbessern, haben in den letzten Monaten einige Schweizer ISMS-Experten unter der Leitung von Peter Weiss eine neue Hilfestellung erarbeitet: Für jede der Kontrollen (Sicherheitsmassnahmen) sind ein paar Beispiele typischer Nachweise aufgeführt, welche dann beim Audit überprüft werden könnten (siehe Tabelle auf Rückseite). Die Idee haben wir aus der Finanzprüfung übernommen, wo zur Harmonisierung von jährlich mehreren Hundert Prüfungen der generellen IT-Kontrollen in den Prüfprogrammen der IT-Prüfer jeweils die erforderlichen typischen Nachweise aufgeführt wurden. Dank dieser sehr hilfreichen Vorgaben erhöhte sich die Qualität der Prüfungsergebnisse – und die entsprechenden Prüfungsaufwände nahmen sogar ab!
 
Seite 1 von 2

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
SPONSOREN & PARTNER