IS-Revision des BSI (UP Bund)

Unsere lizenzierten ISO 27001 Auditoren sind vom BSI (Bundesamt für Sicherheit in der Informationstechnik) auch zugelassen, IS-Revisionen bei Bundesbehörden durchzuführen.

Die IT-Sicherheit (einschließlich die Angemessenheit der Sicherheitsmaßnahmen) ist das wesentliche Prüfkriterium der IS-Revision. Die IS-Revision legt den Schwerpunkt auf die ganzheitliche Prüfung der Informationssicherheit. Das bedeutet, dass hier vom Aufbau einer Informationssicherheitsorganisation über Personalaspekte bis zur Konfiguration von Systemen alle Ebenen geprüft werden.

Bundesbehörden sind gemäß UP Bund verpflichtet, mindestens alle 3 Jahre eine umfassende IS-Revision durchzuführen.

In den Bundesbehörden wird mit den Festlegungen des UP Bund (Umsetzungsplan Bund) die vollständige Umsetzung des IT-Grundschutzes gefordert. Neben der Erstellung und Umsetzung eines Sicherheitskonzepts werden auch die Vorgaben aus den BSI-Standards 100-1 und 100-2 sowie Erfolgskontrollen im Rahmen von IS-Revisionen gefordert. Die Informationssicherheitsrevision auf Basis von IT-Grundschutz“ ist ein Baustein bei der Umsetzung des „Nationalen Plans zum Schutz der Informationsinfrastrukturen (NPSI)“ und des „Umsetzungsplans für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung (UP Bund, VS - Nur für den Dienstgebrauch)“. Der UP Bund wie auch der NPSI wurden unter der Federführung des Bundesministeriums des Innern (BMI) erarbeitet und gelten für alle Bundesressorts und deren Geschäftsbereiche.

Die IS-Revision und die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz ergänzen sich. IS-Revisionen können den Weg zur Zertifizierung begleiten und der Institution aufzeigen, wo dringender Handlungsbedarf besteht und welche Sicherheitsmängel vorrangig bearbeitet werden sollten. Liegt für die gesamte Institution ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz vor, lösen die im Zertifizierungsverfahren geforderten Überwachungsaudits die IS-Revisionen ab.

Die IS-Revision prüft die Effektivität der Sicherheitsorganisation sowie die Angemessenheit und Umsetzung des Sicherheitskonzeptes der Institution. Dabei werden die Sicherheitsstrategie und die Umsetzung technischer, organisatorischer und personeller Maßnahmen betrachtet.

IS-Kurzrevision – das Einstiegsverfahren

Die IS-Kurzrevision verschafft dem IS-Management mit wenig Aufwand einen Überblick über den Sicherheitsstatus in der Institution. Betrachtet werden Aspekte aus dem IT-Grundschutz, die eine wesentliche Grundlage für Informationssicherheit bilden und sich aufgrund von Erfahrungswerten als problembehaftet erwiesen haben (z. B. Sicherheitsorganisation, Umgang mit mobilen Datenträgern).
Die IS-Kurzrevision betrachtet dabei die gesamte Institution.
Die Durchführung einer IS-Kurzrevision kann bereits am Anfang des Sicherheitsprozesses angestoßen werden. Es bestehen keine Voraussetzungen für die geprüfte Institution hinsichtlich Dokumentation und Umsetzungsstatus der Maßnahmen. Die IS-Kurzrevision dient zudem der Überprüfung, ob die wesentlichen Voraussetzungen für eine IS-Querschnittrevision gegeben sind.
Die IS-Kurzrevision ist die IS-Revisionsart zum Einstieg in das regelmäßige Revisionsverfahren und ein erster Schritt zur Erreichung der Anforderungen des UP Bund.

IS-Querschnittrevision – das IS-Revisionsverfahren gemäß UP Bund

Ist der Sicherheitsprozess weiter fortgeschritten und ein Großteil der IT-Grundschutz-Maßnahmen umgesetzt, ist eine IS-Querschnittrevision durchzuführen. Eine IS-Querschnittrevision hat einen ganzheitlichem Ansatz und ein breites Prüfspektrum. Bei einer IS-Querschnittrevision werden alle Schichten des IT-Grundschutzes anhand von Stichproben geprüft.

IS-Partialrevision – die IS-Revision für Spezialfälle

Eine IS-Partialrevision beschränkt sich auf einen speziellen Ausschnitt der Institution und wird bei Bedarf z. B. durch das IS-Management-Team angestoßen. Die Prüftiefe ist wesentlich größer als bei der IS-Querschnittrevision.
Die IS-Partialrevision ist eine anlassbezogene IS-Revision, die z. B. nach größeren Umstrukturierungen, Sicherheitsvorfällen oder bei Einführung neuer Geschäftsprozesse bzw. neuer Technologien durchgeführt wird. Sie ist prädestiniert für die IS-Revision von kritischen Geschäftsprozessen. Da sich eine IS-Partialrevision auf bestimmte Geschäftsprozesse oder IT-Verfahren beschränkt, werden auch nur die damit verbundenen Systeme und die hierfür anzuwendenden Bausteine des IT-Grundschutzes betrachtet. Dadurch kann die Prüftiefe deutlich erhöht werden.

Die Hauptaufgabe der IS-Revision ist es, das Management, das IS-Management-Team und insbesondere den IT-Sicherheitsbeauftragten bei der Umsetzung und Optimierung der Informationssicherheit zu unterstützen und zu begleiten. Die Prüfungstätigkeit zielt darauf ab, die Informationssicherheit zu verbessern, Fehlentwicklungen auf diesem Gebiet zu vermeiden und die Wirtschaftlichkeit der Sicherheitsmaßnahmen und der Sicherheitsprozesse zu optimieren. Dies sichert die Handlungsfähigkeit, das Ansehen und die Vermögenswerte (Assets) der Institution.

Das Ergebnis einer IS-Revision, der IS-Revisionsbericht, zeigt der Institution in kompakter Form den Sicherheitsstatus und ggf. den Handlungsbedarf aufgrund bestehender Sicherheitsmängel auf und dient als Hilfsmittel für den weiteren Optimierungsprozess des Informations- Sicherheits- Management- Systems (ISMS).

Der IS-Revisionsbericht ist eine Informationsquelle für das Management und Arbeitsmittel für alle Sicherheitsverantwortlichen.