Österreich
Secure Your Business
 

ISAE 3402 Hand in Hand mit ISO 27001:
CIS führt Kombi-Audits durch  – als ein Vorreiter in Europa


Ein Audit – für zwei recht unterschiedliche Regelwerke. CIS-Auditor Gerd Brunner beschreibt die Vorteile eines harmonisierten Prüfansatzes.

 

(CIS-Newsletter Sept 2013) - „Da müssen wir uns doch alle auf die Schultern eines Riesen stellen, um die Herausforderungen einer gemeinsamen ISO-27001-Zertifizierung und einer ISAE-3402-Testierung überblicken und meistern zu können.“ Diese pointierte Aussage eines verantwortlichen Security-Gerd-BrunnerManagers entspricht einer verbreiteten Annahme, die sich aber in der Praxis sehr positiv widerlegen lässt – wie zahlreiche ISMS-/IKS-Implementierungsprojekte und Prüfungen nach ISO 27001 / ISAE 3402 gezeigt haben. Bei vielen Unternehmen ergibt sich der Bedarf eines kombinierten Ansatzes zur Erfüllung der entsprechenden Anforderungen – nicht nur um der Norm Genüge zu tun – sondern vielmehr um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen hochzuhalten. Denn die kombinierte Betrachtung verbessert auch die Qualität des IKS hinsichtlich der Informationssicherheitsanforderungen.

 

Überblick zu ISAE 3402
Das International Auditing and Assurance Standards Board (IAASB) hat Ende 2009 den International Standard on Assurance Engagements No. 3402 (kurz: ISAE 3402) herausgegeben. Unter anderem regelt der Standard welche Anforderungen und welche Form die Prüfung eines dienstleistungsbezogenen internen Kontrollsystems zu erfüllen hat und wie und mit welchen Inhalten die Berichterstattung erfolgen sollte. der internationale Prüfungsstandard „ergänzt und ersetzt“ den amerikanischen SAS 70 und sieht vor, dass die Geschäftsführung intensiver die Verantwortung dafür übernimmt, die Angemessenheit und Wirksamkeit des internen Kontrollsystems sicherzustellen und zu bestätigen. Ein ISAE-3402-Bericht kann beispielsweise dem Abschlussprüfer des auslagernden Unternehmens mit dem Ziel vorgelegt werden, dass dieser die Ergebnisse im Rahmen seines Prüfungsauftrags verwertet.

 

CIS als ein Vorreiter in Europa
Die akkreditierte Zertifizierungsorganisation CIS nimmt hier am europäischen Markt eine Vorreiterrolle ein und hat sich gemeinsam mit der namhaften Wirtschaftsprüfungskanzlei Consultatio sowie mit externen Spezialisten der Herausforderung eines harmonisierten Prüfungsansatzes angenommen: Als eine der ersten Zertifizierungsorganisationen bietet die CIS seit 2013 Kombinationsaudits für ISO 27001 mit ISAE 3402 an.

 handshake_istockphoto WillSelarep

Kombinierte Auditierung ISO + ISAE
Als Grundlage für den harmonisierten Prüfansatz dient eine gemeinsame Betrachtung und Beurteilung des im Unternehmen betriebenen und dokumentierten internen Kontrollsystems sowie des definierten und des gelebten Managementsystems nach ISO 27001 für Informationssicherheit. Dabei erhebt und prüft der Auditor sich inhaltlich überschneidende Themengebiete nur ein einziges Mal auf die Prozessdefinitionen und Vorgaben durch das Management sowie auf die zu den Prozessen gemappten Kontrollen und deren Wirksamkeit. Die Vorteile des harmonisierten Prüfansatzes für ISO 27001 und ISAE 3402 liegen auf der Hand:

  • Die Prüfungen finden zur selben Zeit statt.
  • Der interne Koordinationsaufwand zur Vorbereitung verringert sich wesentlich.
  • Prozesse, Regelwerke und Kontrollen müssen nur ein einziges Mal erklärt und geprüft werden. Personelle interne Ressourcen werden nur auf das Nötigste gebunden.
  • Der Auditor befasst sich sehr intensiv mit den unterschiedlichen Prüfgebieten von der Vorgabe bis zu den einzelnen Kontrollevidenzen. Neben der Erhöhung der Prüfsicherheit kommt es zu einer erheblichen Qualitätssteigerung der Prozesse bzw. der Systeme, welche den Kunden direkt zu Gute kommt. Durch den harmonisierten Prüfansatz können die Auditoren Abläufe, die in einzelnen Audits isoliert betrachtet werden würden, kombiniert betrachten und „über den Tellerrand“ schauen. Daraus abgeleitete qualitätssteigernde Ansätze können dem Unternehmen im Gespräch weitergegeben werden.
  • Verkürzung der gesamten Durchlaufzeit – damit kann sich der Kunde rascher wieder seiner eigentlichen Geschäftstätigkeit widmen.

Planung des Kombi-Audits
Unabhängig vom definierten ISMS-Scope sowie der Größe des zu prüfenden internen Kontrollsystems lassen durch den harmonisieren Prüfansatz bei entsprechender Prüfungsplanung und Prüfungsvorbereitung wesentliche Einsparungen bei der gesamten Durchlaufzeit sowie bei den „intern“ gebundenen Personen erzielen. In der Praxis kann es hilfreich sein einen „Controls Baseline Workshop“ mit allen Schlüsselpersonen abzuhalten, um Ziele und Vorgehensweise der kombinierten Prüfung zu erörtern, nötige Unterstützung seitens des Managements zu festigen und erste Berührungspunkte mit dem internen Kontrollsystem zu erhalten. Dabei werden auch die Synergien durch die Überdeckung des ISMS mit dem internen Kontrollsystem ausgelotet und eine abgestimmte „Unified Controls Matrix“ erstellt. Grundlegendes Ziel dieser Matrix ist es aufzuzeigen, welche Gemeinsamkeiten und Unterschiede die einzelnen Kontrollen entlang der relevanten regulativen Anforderungen und Standards bestehen. Dies wiederum fließt direkt in die eigentliche Auditplanung des kombinierten Ansatzes ein, um eine effiziente vor-Ort-Prüfung mit minimalster interner Ressourcenbindung umzusetzen.


Zertifizierung und Prüfbericht
Der Deckungsgrad der einzelnen Kontrollen beider Regelwerke hängt stark vom gewählten Scope ab – für detaillierte Informationen steht der Verfasser dieses Artikels gerne zur Verfügung. Die Auditdurchführung erfolgt strikt nach den Vorgaben des Standards sowie der Norm. Beim positiven Abschluss des Audits erhält der Kunde einerseits von der CIS das ISO-27001-Zertifikat inklusive Prüfbericht sowie seitens der Wirtschaftsprüfergesellschaft Consultatio einen ISAE 3402 Type II Bericht. Ein harmonisierter Prüfansatz mit ISAE 3402 kann sowohl im Rahmen von ISO-27001-Zertifizierungsaudits als auch bei Re-Zertifizierungs- oder jährlichen Überwachungsaudits durchgeführt werden. Viele Unternehmen die bereits eine ISO-27001-Zertifizierung aufweisen oder über einen ISAE-3402-Bericht verfügen, überlegen sich gegenwärtig einen harmonisierten Prüfansatz zu verfolgen. Insbesondere ist dieser Trend bei Bankenrechenzentren, IT-Dienstleistern und Versicherungsgesellschaften erkennbar.

 


Gerd Brunner fungiert als CIS-Auditor für Informationssicherheit nach ISO 27001, auch im Rahmen von Kombi-Audits mit ISAE 3402, sowie als externer IT-Audit Experte bei Wirtschaftsprüfungskanzleien. Im Rahmen seines hauptberuflichen Engagements steht er mit seinem Team zahlreichen Unternehmen auf organisatorischer wie technischer Informationssicherheitsebene beratend zur Seite und deckt mit seinem Ansatz die Sichtweise des Informationssicherheitsberaters sowie die Sichtweise des Auditors ab.gerd.brunner@cis-cert.com
 

Für den Inhalt verantwortlich:

CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB