Auditierung

Neben der beratenden Tätigkeit ist die complimant AG auch auditierend für verschiedene Zertifizierungsgesellschaften tätig. Die Erfahrungen unserer Lead-Auditoren ermöglichen unseren Kunden maßgeschneiderte Lösungen für ihr Unternehmen zu erlangen.

ISO 27001

Die Standardnorm ISO 27001 ist gegenwärtig der höchste international
anerkannte Sicherheitsstandard im Bereich der Informationssicherheit.
Eine erfolgreiche Zertifizierung bescheinigt dem Unternehmen, dass die gesamte IT-Struktur und Informationsverarbeitung auf Basis einer
Sicherheits- und Risikoanalyse ordnungsgemäß, wirksam, kontinuierlich
und zuverlässig entlang des ISO-Standards umgesetzt ist.
Die aktuellste, internationale Norm ISO/IEC 27001:2022 spezifiziert die
Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung
und Verbesserung eines dokumentierten Informationssicherheit-
Managementsystems unter Berücksichtigung der IT-Risiken innerhalb
der gesamten Organisation, insbesondere:

  • Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit sowie kosteneffizientes Management von Sicherheitsrisiken
  • Sicherstellung der Konformität mit Gesetzen von Regulatorien
  • Implementierung und Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Identifikation und Definition von bestehenden und neuen Informationssicherheits-Managementprozessen und -tätigkeiten

Eine koordinierte Umstellung auf die aktuelle ISO 27001:2022 kann mit unserer Unterstützung und unserem Fachwissen auch in ihrem Unternehmen durchgeführt werden

IT-Grundschutz

ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz geben
Institutionen die Möglichkeit, ihre Bemühungen um Informationssicherheit
und die erfolgreiche Umsetzung internationaler Normen, unter Anwendung
der IT-Grundschutz-Methodik nach innen und außen zu dokumentieren.
Mit der Vergabe eines Zertifikats wird der Institution bescheinigt, dass

  • Informationssicherheit ein anerkannter Wert ist,
  • ein funktionierendes IS-Management vorhanden ist
  • zu einem bestimmten Zeitpunkt ein definiertes Sicherheitsniveau besteht

„Informationstechnik – IT-Sicherheitsverfahren –
Informationssicherheits-Managementsysteme–Anforderungen“

„Managementsystem für Informationssicherheit ISMS“

„Informationstechnik – IT-Sicherheitsverfahren –
Informationssicherheits-Managementsysteme–Anforderungen“

„Managementsystem für Informationssicherheit ISMS“

TISAX ist ein unternehmensübergreifendes Prüf– und Austauschverfahren für
Informationssicherheit in der Automobilindustrie.
Dabei geht es um den Schutz Ihrer Daten, Ihrer Integrität und Verfügbarkeit
im Herstellungsprozess sowie im Betrieb von Fahrzeugen.
Dies erfolgt über ein Informationssicherheits-Managementsystem (ISMS) analog zur Norm ISO 27001.

Wir prüfen das Cloud Computing C5 anhand des dafür vorgesehenen BSI-Kriterienkatalogs.
Ein akkreditierter ISO 27001-Lead-Auditor oder Auditor auf Basis IT-Grundschutz führt die Prüfung durch.
Hierfür müssen dem Prüfer entweder

  • die entsprechenden Dokumentationen zur Verfügung gestellt werden mit einem reduzierten persönlichen Einbezug in Form eines Interviews oder
  • die Dokumentationen gänzlich in Interviewform vorgestellt werden. In dieser Form müssen dem Prüfer keine Dokumentationen übersandt bzw. zur Einsicht bereitgestellt werden, der Kunde muss jedoch 100% der Prüfungszeit anwesend sein

Prüfungen zum Nachweis der Konformität mit diesem Kriterienkatalog C5 haben nach Auffassung des BSI mit hinreichender Sicherheit zu erfolgen.
Ferner wird zwischen der Prüfung einer Erklärung und einer direkten Prüfung unterschieden.
Grundsätzlich eignen sich beide Prüfungsarten für die Beurteilung des Nachweises der Konformität
mit diesem Kriterienkatalog. Zudem können Prüfungen in der Form einer Angemessenheitsprüfung oder einer Wirksamkeitsprüfung durchgeführt werden.

Prüfungen der Angemessenheit des dienstleistungsbezogenen internen Kontrollsystems sollten dabei jedoch nur im Falle der Erstprüfung eines Cloud-Dienstes nach diesem Kriterienkatalog erfolgen und keinesfalls mehrmals hintereinander in Betracht gezogen werden.

Bei diesen Reports geht es um interne Kontrollen in Bezug auf Sicherheit, Verfügbarkeit,
Integrität bzw. Vertraulichkeit (Datenschutz) im Hinblick auf IT-Rechenzentren.
Anhand der SOC 2-Zertifizierung wissen Unternehmen, dass ein Cloud-Anbieter
diese nachweisbar erfüllt. Konkret gibt dies Sicherheit, dass Informationen und
Systeme gegen unbefugten Zugriff, unbefugte Offenlegung von Informationen und
Schäden an den Systemen geschützt sind.

SOC 2 ist insbesondere geeignet für Unternehmen, die Nutzerdaten in Clouds speichern sowie für
Unternehmen aus dem Finanz- und Gesundheitswesen.
Beim SOC 2-Audit werden die Informationssicherheitslevel einer Organisation auf Basis der
TSCs und Prinzipien bewertet und eingestuft. Dementsprechend erhält ein Unternehmen eine
Bewertung und den aktuellen Status der Informationssicherheit.
Erwähnenswert ist an dieser Stelle die Tatsache, dass durch die Einführung der SOC-Reports nun
erstmalig die Möglichkeit besteht, Dienstleister miteinander zu vergleichen. Dies wird dadurch
gewährleistet, dass sich der Kontrollbezug auf vordefinierte Kriterien bezieht und vor allem auch der
Kontrollzeitpunkt festgelegt wird. Es findet eine Beurteilung und Berichterstattung zum Kontrolldesign im Hinblick auf die Angemessenheit der Definition der Ziele und der zugehörigen Kontrollen (Typ I) statt. Eine Prüfung nach Typ II prüft darüber hinaus auch noch die Wirksamkeit der eingerichteten Kontrollen und beinhaltet die Testszenarien sowie die Testergebnisse im Bericht.

Folgende Kriterien und Richtlinien für diese Vereinbarungen sind in den Vertragsrahmenbedingungen festzuhalten:

  • Sicherheit
  • Verfügbarkeit
  • Datenverarbeitung
  • Vetraulichkeit
  • Datenschutz

Laut einer neuen Bestimmung des Bundesamtes für Sicherheit in der Informationstechnik
brauchen KRITIS-Betriebe ab 1. Mai 2023 eine Angriffs-Früherkennung.
KRITIS steht für kritische Infrastrukturen. Das sind Organisationen und Einrichtungen
mit wichtiger Bedeutung für das staatliche Gemeinwesen, zum Beispiel
die Energie- und Wasserversorgung, der Verkehr und auch sämtliche medizinische
Versorgungseinrichtungen.

Seit 2023 müssen KRITIS-Unternehmen dem BSI Nachweise vorlegen, dass sie Angriffserkennungssysteme nutzen. Danach erfolgt eine Nachweispflicht alle zwei Jahre.
Wir bieten Ihnen hierfür die optimale Lösung an:
Unser FOX Managed SOC (Security Operations Center) ist ihr System zur
Angriffserkennung:
Unser Team aus hochqualifizierten Spezialisten im Bereich IT-Sicherheit kümmert
sich darum, bei unseren Kunden Hacker-Angriffe frühzeitig zu erkennen
und Gegenmaßnahmen einzuleiten. So können mögliche Schäden erst gar
nicht entstehen oder, im Falle eines Angriffes, verringert werden.

Auditiert wird unter anderem auch nach:

  • SMGWA
  • ISO22301
  • EN50600