Security Audit für KMU – Teil 3

Beispiel-Audit – Zutrittskontrolle nach ISO 27001 und IT-Grundschutz

Seite: 3/3

Firmen zum Thema

Auswertung des Audits

Nachdem alle Formulare ausgefüllt und die Arbeit vor Ort beendet worden ist, geht es nun um die Auswertung der Erhebung. Ziel ist es, Sicherheitslücken und Fehlentwicklungen aufzuzeigen, aber auch zu dokumentieren, in welchen Bereichen es keine Probleme gibt. Dazu dient die Spalte mit dem Umsetzungsgrad der Maßnahmen. Der einzutragende Wert von 0% bis 100% gibt an, wie gut die Maßnahme umgesetzt wurde.

Natürlich gibt es keine mathematische Formel, aus den Ergebnissen von Interviews oder Begehungen eine Prozentzahl abzuleiten. Da ist die Erfahrung des Auditors gefragt. Als Faustformel sollte jedoch gelten, dass bei gefundenen Sicherheitslücken der Erfüllungsgrad immer kleiner als 50% angesetzt werden sollte. Damit wird deutlich demonstriert, dass akuter Handlungsbedarf besteht.

Die meist letzte Tätigkeit beim Audit ist das Schreiben des Berichts mit der Aufzählung der Feststellungen und den sich daraus ergebenden Konsequenzen für die Sicherheit. Hier helfen die Umsetzungsgrade, auch quantitative Aussagen zu machen.

Insbesondere ist es wichtig, auch die positiven Aspekte zu erwähnen. Potenzial für Verbesserungen besteht ja in den meisten Firmen und Behörden, sodass etwas Lob für gut geleistete Arbeit nicht schaden kann.

Fazit

Diese kleine Artikelreihe zum Thema Security Audit hat gezeigt, dass es durchaus möglich ist, auch ohne teure externe Berater oder Auditoren die eigene Sicherheit zu prüfen. Voraussetzung ist eine sorgfältige Vorbereitung, bei der die Standards der BSI-Grundschutzkataloge und der ISO 27001 wertvolle Hilfe leisten.

Bedient man sich der Vorteile beider Standards, so kann mit vergleichsweise überschaubarem Aufwand ein Rahmen geschaffen werden, der immer wieder für Audits nutzbar ist und die Sicherheit in der Firma auf einem akzeptablen Niveau hält.

Inhalt

  • Seite 1: Vorbereitung von Audit-Katalogen
  • Seite 2: Prüfungstyp und Prüfungsfragen
  • Seite 3: Auswertung des Audits

(ID:2048744)