Suchen

Security Audit für KMU – Teil 3 Beispiel-Audit – Zutrittskontrolle nach ISO 27001 und IT-Grundschutz

| Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

Mit den Formularen, die zusammen mit den BSI-Grundschutzkatalogen ausgeliefert werden, lässt sich ein Audit nach ISO 27001 vorbereiten. Dies wollen wir anhand des Beispiels der Zutrittskontrolle Schritt für Schritt durchspielen, da sich dieser Unterpunkt eines Audits gut darstellen lässt.

Firma zum Thema

Potenzial für Verbesserungen gibt es überall, auch bei der Zutrittssicherheit fürs Rechenzentrum.
Potenzial für Verbesserungen gibt es überall, auch bei der Zutrittssicherheit fürs Rechenzentrum.
( Archiv: Vogel Business Media )

Das Maßnahmenziel für Sicherheitsbereiche nach 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO 27001 lautet: „Schutz vor unerlaubtem Zutritt zu und Beschädigung und Störung von Organisationsinfrastruktur und der Organisation gehörenden Informationen“ Dieses Ziel wird durch insgesamt sechs Maßnahmen erreicht, bei denen außer der Zutrittskontrolle unter anderem noch Sicherheitszonen sowie die Sicherung von Büros, Räumen und Einrichtungen aufgeführt sind.

Vorbereitung von Audit-Katalogen

Die für die Absicherung der Zutrittskontrolle zuständige ISO-Maßnahme lautet: „Sicherheitsbereiche müssen durch angemessene Zutrittskontrollen geschützt sein, um sicherzustellen, dass nur autorisierten Mitarbeitern Zutritt gewährt wird.“

In unserem Beispiel soll es um das Audit eines normalen Rechenzentrums gehen. Dabei existiert ein zweistufiges Zutrittssystem, bei dem die erste Stufe den Zutritt zum Flur der IT-Abteilung und die zweite Stufe den Zutritt ins RZ erlaubt.

In den Grundschutzkatalogen gibt es in den Katalogen B 1.1 Organisation und B 2.9 Rechenzentrum einige Maßnahmen, die sich mit dieser Fragestellung beschäftigen:

  • M 2.4 Regelungen für Wartungs- und Reparaturarbeiten
  • M 2.6 Vergabe von Zutrittsberechtigungen
  • M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen
  • M 1.15 Geschlossene Fenster und Türen
  • M 1.23 Abgeschlossene Türen
  • M 1.73 Schutz eines Rechenzentrums gegen unbefugten Zutritt

Diese Daten werden in eine Excel-Tabelle eingetragen. Nun folgt die Überlegung, welche Zusatzspalten in die Tabelle eingebaut werden. In der Praxis haben sich die folgenden Spalten bewährt:

  • In die Spalte „entbehrlich“ wird ein Kreuz gemacht, wenn im jeweils aktuellen Audit diese Maßnahme nicht geprüft werden soll.
  • In die Spalte „Prüfungstyp“ wird eingetragen, wie die Prüfung erfolgt. In den meisten Fällen sind das Interviews, Begehungen oder Reviews von Dokumenten. In Ausnahmefällen können das auch technische Prüfungen wie Security-Scans oder Penetrationstests sein.
  • In die Spalte „Erfüllungsgrad“ wird nach erfolgter Prüfung ein Wert zwischen 0% und 100% eingetragen, je nachdem, wie gut die geprüfte Maßnahme nach Meinung des Auditors umgesetzt wurde.
  • Die Spalte „verantwortlich“ enthält den beim Audit anwesenden Ansprechpartner aus der Fachabteilung.
  • In die Spalte „Bemerkungen“ schließlich werden Stichpunkte des Audits eingetragen.

Zusätzlich enthält die Excel-Tabelle noch den Namen des Auditors sowie das Datum des Audits. Wie die fertige Tabelle für die RZ-Zutrittskontrolle aussieht, zeigt das Beispiel in der Bildergalerie. Die Tabelle für den Zutritt zum Flur der IT-Abteilung sieht fast identisch aus, einzig die Zeile „M 1.73 Schutz eines Rechenzentrums gegen unbefugten Zutritt“ fehlt hier.

Inhalt

  • Seite 1: Vorbereitung von Audit-Katalogen
  • Seite 2: Prüfungstyp und Prüfungsfragen
  • Seite 3: Auswertung des Audits

(ID:2048744)