CompliantDesk

A.8 Technologische Maßnahmen

A.8.34

Schutz von Informationssystemen bei Audit-Tests

ISO 27001TISAXBSI

Audit-Tests und andere Sicherungsmaßnahmen, die den Zugriff auf produktive Systeme beinhalten, müssen geplant und zwischen Prüfer und Management vereinbart werden.

Was fordert dieses Control?

Audit-Tests und andere Sicherungsmaßnahmen, die den Zugriff auf produktive Systeme beinhalten, müssen geplant und zwischen Prüfer und Management vereinbart werden.

Warum ist das wichtig?

Auditaktivitäten an Produktivsystemen können den Betrieb stören oder Daten gefährden. Abgestimmte, kontrollierte Tests schützen die Verfügbarkeit während der Prüfung.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX1.2.3Direkt
BSIDER.3.1Direkt

Was der Auditor erwartet

  1. 1Abstimmung von Audit-Tests mit dem Management
  2. 2Schutz der Produktivsysteme während der Prüfung
  3. 3Begrenzung und Protokollierung der Zugriffe

Audit-Checkliste

Dokumente

  • Audit-Test-Vereinbarung

    Geplanter Umfang, Zeitfenster und Schutzmaßnahmen

Nachweise

  • Protokolle der Audit-Zugriffe

    Kontrollierte, nachvollziehbare Prüfzugriffe

Praxis-Tipps zur Umsetzung

1

Zugriffe begrenzen

Prüfern nur lesenden, nötigen Zugriff in abgestimmten Zeitfenstern geben.

2

Schonend testen

Belastende Tests außerhalb von Stoßzeiten und mit Rückfalloption planen.

3

Alles protokollieren

Audit-Aktivitäten an Produktivsystemen vollständig dokumentieren.

Häufige Fehler

Ungeplante Tests

Prüfungen stören den Betrieb, weil sie nicht abgestimmt sind.

Zu weitreichender Zugriff

Prüfer erhalten unnötig umfangreiche Rechte auf Produktivsysteme.

Häufig gestellte Fragen

Worum geht es bei A.8.34 konkret?

Um den Schutz produktiver Systeme, wenn Audit- oder Prüfaktivitäten direkt auf sie zugreifen.

Wer muss Audit-Tests genehmigen?

Sie werden zwischen Prüfer und Management vorab geplant und vereinbart.

Gilt das auch für interne Audits?

Ja, auch interne Prüfungen mit Zugriff auf Produktivsysteme sollten abgestimmt und kontrolliert erfolgen.

So hilft CompliantDesk bei A.8.34

Planen Sie Audit-Aktivitäten im Audit-Simulations- und Kalender-Modul und dokumentieren Sie abgestimmte, kontrollierte Prüfzugriffe.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.35

Unabhängige Überprüfung der Informationssicherheit

A.8.15

Protokollierung (Logging)

A.8.2

Privilegierte Zugangsrechte