IT-Audit

Bild einer Notebook Tastatur mit der Aufschrift IT-Audit

Es gibt eine Vielzahl von Gründen warum ein IT-Audit in einem Unternehmen durchgeführt wird.

Ein IT-Audit ist im Grunde eine kleine bzw. teilweise Infrastrukturanalyse

Generell kann ein IT-Audit eine Software, einen Online Dienst, einen digital gesteuerten Fertigungsprozess oder eben Teilbereiche der IT-Hardware, Netzwerkstruktur oder IT-Sicherheit betreffen. Ein IT-Audit führen wir im Auftrag unserer direkten Kunden, nicht selten aber auch im Auftrag Dritter durch. Zwei typische Anwendungsgebiete sind die folgenden:

IT-Audit im Rahmen einer ISO 900x Zertifizierung.

Im Rahmen einer ISO Re-Zertifizierung kommen Teilbereiche der IT in den Fokus des begleitenden Qualitäts-Managers. Liegt jetzt beim geprüften Unternehmen keine umfassende Dokumentation z.B. der Datensicherung vor, werden wir als externer Dienstleister angefordert, um ein Datensicherungskonzept für das Unternehmen zu erstellen oder das vorhandene zu überprüfen. Letzteres ist dann ein IT-Audit „Datensicherung“. Unsere Audits führen wir gemäß der Vorgaben der ISO 27001 durch.

Begehung zur Feststellung der Technischen und Organisatorischen Maßnahmen (T.O.M)

Unser vermutlich häufigster Anwendungsfall. Die DSGVO sieht für Unternehmen spätestens seit Mai 2018 eine vertragliche Vereinbarung zwischen datenverarbeitenden Parteien vor, den sogenannten AV-Vertrag (Auftragsverarbeitungsvertrag). Für diesen  braucht es notwendigerweise die Erklärung der technischen und organisatorischen Maßnahmen kurz T.O.M. Viele Firmen stellen einen internen Datenschutzbeauftragten oder der jeweilige Geschäftsführer übernimmt die Rolle des Datenschutz-Verantwortlichen selbst. Für einen AV-Vertrag kann man sich fast fertige Muster kaufen, die T.O.M hingegen sind sehr individuell und selbst für den fortgeschrittenen IT-Anwender kaum rechtsverbindlich zu ermitteln.

Wir ermitteln und dokumentieren Ihre individuellen T.O.M. DSGVO konform und nach den Richtlinien der ISO 27001.

Typische Auftraggeber für IT-Audits und T.O.M sind häufig Rechtsanwälte die als externer Datenschutzbeauftragter Mandate für ihre Kunden übernommen haben, der Mandant kann aber die benötigten Informationen für die T.O.M nicht liefern. Weiterhin interne Datenschutzbeauftragte die sich die rechtlichen Anforderungen der Datenschutz-Grundverordnung per Fortbildung angeeignet haben, den viel komplexeren Anteil der informationellen Datensicherheit aber nicht überblicken können.

Ein IT Audit zur Feststellung der T.O.M dauert für ein Unternehmen mit 25 Mitarbeitern in der Regel 1-2 Tage und wird mit Hilfe eines digitalen Fragebogens durchgeführt. Die von uns dafür eingesetzten Mitarbeiter sind als externe Datenschützer und ISO 27001 Berater vom TÜV Nord geprüft.

Gerne führen wir für Sie auch eine Audit- und Prüfbegleitung zur ISO 27001 Zertifizierung auf Basis von IT-Grundschutz durch. Nehmen Sie einfach Kontakt zu uns auf.

Success Story: Wie ein Mittelständische Unternehmen seine IT-Sicherheit mittels einer IT-Infrastrukturanalyse erheblich verbessert hat.

 

Ein mittelständisches Unternehmen aus Südwestfalen, dessen Namen aus Datenschutzgründen nicht genannt werden soll, entschied sich für eine IT-Infrastrukturanalyse, um sicherzustellen, dass ihre ITK-Systeme und Daten vor möglichen Bedrohungen geschützt sind.

Durch die Analyse wurden wesentliche Defizite in der IT-Sicherheit des Unternehmens aufgedeckt. Zum Beispiel wurde festgestellt, dass keine ausreichenden Zugriffsbeschränkungen vorhanden waren, um sicherzustellen, dass nur autorisierte Personen auf sensitive Daten zugreifen konnten. Darüber hinaus gab es keine effektiven Maßnahmen zur Überwachung und Überprüfung von Zugriffen auf die IT-Systeme des Unternehmens.

Gewachsene IT-Infrastrukturen haben oft das Problem, dass sich grundlegende Fehler über Jahre im System etabliert haben und der Aufwand für eine Neuplanung mangels systematischer Analyse für zu hoch erachtet wird.

Um diese Defizite zu beheben, implementierte wir für den Auftraggeber im Anschluss an das IT-Audit eine Reihe von Maßnahmen, einschließlich der Einführung von Zugriffsbeschränkungen und der Überwachung und Überprüfung von Zugriffen. Außerdem wurden Schulungen für alle Mitarbeiter durchgeführt, um sicherzustellen, dass alle wichtigen Aspekte der Informationssicherheit verstanden werden.

Durch diese Maßnahmen konnte das Unternehmen sicherstellen, dass seine IT-Systeme und Daten vor Bedrohungen geschützt sind. Darüber hinaus konnte das Unternehmen durch die Stärkung seiner Informationssicherheit das Vertrauen seiner Kunden, Partner und Mitarbeiter aufbauen.

Diese Success Story zeigt, wie wichtig es für Unternehmen ist, ihre IT-Infrastruktur regelmäßig zu überprüfen und Maßnahmen zur Stärkung ihrer Informationssicherheit zu ergreifen. Eine IT-Infrastrukturanalyse kann dabei helfen, potenzielle Bedrohungen frühzeitig zu erkennen und zu beheben, bevor es zu Schäden kommt.