Audits sind ein unverzichtbares Instrument zur Überprüfung der IT-Sicherheit und der Einhaltung von Unternehmensrichtlinien sowie gesetzlichen Vorgaben. Sie helfen, Schwachstellen zu identifizieren, Risiken zu bewerten und Verbesserungspotenziale aufzuzeigen. Damit ein Audit jedoch aussagekräftig ist und die gewünschten Erkenntnisse liefert, müssen bei der Planung und Definition bestimmte Vorkehrungen getroffen werden. Dies betrifft vor allem die Festlegung des Umfangs, der Prüftiefe und der Ziele des Audits. Eine sorgfältige Vorbereitung stellt sicher, dass die relevanten Bereiche geprüft werden und die gewonnenen Erkenntnisse für das Management wertvoll und umsetzbar sind.
Die Planung eines Audits erfordert eine präzise Definition der Ziele sowie eine klare Abgrenzung des Umfangs. Dies hilft, die Ressourcen optimal einzusetzen und sicherzustellen, dass die Prüfung in der gewünschten Tiefe erfolgt.
| Vorkehrung | Beschreibung | Beispiele/Tools |
| Zieldefinition | Klare Festlegung der Prüfziele und Erwartungen. | Überprüfung der Einhaltung von ISO 27001-Standards |
| Umfang (Scope) festlegen | Bestimmung der zu prüfenden Systeme, Prozesse und Abteilungen. | Rechenzentren, Cloud-Dienste, Zugriffsmanagement |
| Tiefe der Prüfung | Festlegung, wie detailliert die Prüfung erfolgen soll. | Oberflächenprüfung oder tiefgehende Systemanalyse |
| Ressourcen und Zeitrahmen | Zuweisung der notwendigen Mittel und Definition realistischer Fristen. | Audit-Teams, Budget, Zeitplan |
| Kriterien und Bewertungsmassstäbe | Definition von Bewertungsmassstäben zur Sicherstellung der Objektivität und Nachvollziehbarkeit. | Risiko-Score, Checklisten, Compliance-Standards |
| Kommunikation und Rollenverteilung | Klärung der Verantwortlichkeiten und Rollen im Auditprozess. | Audit-Verantwortliche, Ansprechpartner vor Ort |
| Dokumentation und Berichtswesen | Erstellung von Vorlagen für die Audit-Dokumentation und Berichterstattung. | Audit-Reports, Protokolle |
Die sorgfältige Planung eines Audits ist entscheidend für dessen Erfolg und die Aussagekraft der Ergebnisse. Eine klare Definition der Ziele, des Umfangs und der Prüftiefe sorgt dafür, dass alle relevanten Bereiche abgedeckt werden und die gewonnenen Erkenntnisse zur Verbesserung der IT-Sicherheit beitragen. Für das Management ist es wichtig, diese Vorkehrungen als integralen Bestandteil der Sicherheitsstrategie zu betrachten und regelmässig Audits durchzuführen, um die Sicherheitslage des Unternehmens kontinuierlich zu verbessern.