CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.35

Unabhängige Überprüfung der Informationssicherheit

ISO 27001NIS2TISAXBSI

Der Ansatz der Organisation zur Steuerung der Informationssicherheit und dessen Umsetzung müssen in geplanten Abständen oder bei wesentlichen Änderungen unabhängig überprüft werden.

Was fordert dieses Control?

Der Ansatz der Organisation zur Steuerung der Informationssicherheit und dessen Umsetzung müssen in geplanten Abständen oder bei wesentlichen Änderungen unabhängig überprüft werden.

Warum ist das wichtig?

Eine unabhängige Sicht deckt blinde Flecken auf, die intern übersehen werden. Sie ist Voraussetzung für glaubwürdige Wirksamkeitsaussagen und die Zertifizierung.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX1.2.3Direkt
BSIISMS.1.A11Direkt

Was der Auditor erwartet

  1. 1Geplante unabhängige Überprüfungen (interne Audits)
  2. 2Unabhängigkeit der Prüfer von den geprüften Bereichen
  3. 3Nachverfolgung der Auditergebnisse

Audit-Checkliste

Dokumente

  • Auditprogramm

    Geplante interne Audits mit Umfang und Intervall

Nachweise

  • Auditberichte

    Durchgeführte Audits mit Feststellungen und Maßnahmen

Interviews

  • Interne Auditoren

    Unabhängigkeit und Vorgehen

Praxis-Tipps zur Umsetzung

1

Unabhängigkeit sichern

Prüfer dürfen nicht den eigenen Verantwortungsbereich auditieren.

2

Programmbasiert planen

Audits über ein mehrjähriges Programm steuern, nicht ad hoc.

3

Feststellungen verfolgen

Abweichungen mit Maßnahmen und Fristen konsequent nachhalten.

Häufige Fehler

Prüfer prüft sich selbst

Mangelnde Unabhängigkeit entwertet das Audit.

Berichte ohne Folgen

Feststellungen werden dokumentiert, aber nicht abgearbeitet.

Häufig gestellte Fragen

Muss die Überprüfung extern sein?

Nicht zwingend, sie muss aber unabhängig sein. Interne Audits durch unabhängige Personen genügen.

Wie oft sind interne Audits nötig?

In geplanten Abständen, üblich ist mindestens jährlich, plus anlassbezogen bei großen Änderungen.

Wer darf interne Audits durchführen?

Geschulte Personen, die unabhängig vom geprüften Bereich sind, intern oder extern beauftragt.

So hilft CompliantDesk bei A.5.35

Planen Sie interne Audits, dokumentieren Sie Feststellungen und verfolgen Sie Korrekturmaßnahmen im Gap-Tracker mit Fristen.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.36

Einhaltung von Richtlinien, Regeln und Standards

A.5.1

Informationssicherheitsrichtlinien

A.5.27

Erkenntnisse aus Informationssicherheitsvorfällen