Kontakt Kontakt Downloads Downloads

GAP View GmbH

Schauenburgerstr. 116
24118 Kiel
T: +49 160 88 26100 info@gap-view.de
Kontaktformular

Live-Demo vereinbaren

BSI IS-RevisionOrganisation von IS-Revisionen in der Behörde

Ziel einer IS-Revision ist es, das aktuelle Sicherheitsniveau in der Institution festzustellen und Hinweise auf bestehende Sicherheitslücken zu geben und damit die Leitung der Institution, das IS-Management-Team und insbesondere den Informationssicherheitsbeauftragten (ISB) bei der Umsetzung und Optimierung der Informationssicherheit zu unterstützen und zu begleiten. IS-Revisionen sind regelmäßig durchzuführen.

Die Planung, Durchführung und Bewertung von IS-Revisionen ist im BSI-Standard „Leitfaden für die Informationssicherheitsrevision auf Basis von IT-Grundschutz“ sowie in verschiedenen Hilfsmitteln in Form von Vorlagen und Musterdokumenten verbindlich geregelt.

GAP View SoftwareOrganisatorische Effizienz und Kostensenkung

Die Audit Management Software GAP View wurde speziell für die kontinuierliche Überprüfung der Wirksamkeit, Vollständigkeit und Angemessenheit der implementierten Informationssicherheitsmaßnahmen (BSI IT-Grundschutz) unter strikter Berücksichtigung des BSI „Leitfadens für die IS-Revision auf Basis von IT-Grundschutz“ entwickelt. Ziel ist es, alle an einem IS-Revisionsverfahren und den dazugehörigen IS-Revisionen beteiligten Personen, von der Institutsleitung, den Mitgliedern interner und externer IS-Revisionsteams, bis hin zu den Mitarbeiterinnen und Mitarbeitern, ggf. externen Lieferanten und Experten, effizient und effektiv zu unterstützen.

Die Benutzerfreundlichkeit, der Funktionsumfang und nicht zuletzt die Integration von OpenAI ChatGPT, das optional im Bereich der Bewertung und bei den Umsetzungshinweisen der Korrekturmaßnahmen eingesetzt werden kann, reduzieren den organisatorischen Gesamtaufwand und die Kosten im IS-Revisionsverfahren und IS-Revisionen erheblich.

DocSetMinder® Software
DocSetMinder® Software

SoftwareeigenschaftenIS-Revisionsverfahren und IS-Revisionen

  • Zentrales Stammdatenmanagement aller im IS-Revisionsverfahren beteiligten Institutionen und Personen
  • Zentrales Management und eine einheitliche Bereitstellung aller Fragenkataloge, die für die IS-Revisionen verwendeten werden
  • Management von mehrjährigen IS-Revisionsverfahren (nach UP Bund)
  • Unterstützung aller im BSI-Leitfaden vorgegebenen IS-Revisionsarten (IS-Kurzrevision, IS-Querschnittsrevision, IS-Partialrevision)
  • Unterstützung aller im BSI-Leitfaden vorgegebenen Prüfmethoden (mündliche und schriftliche Befragung, Inaugenscheinnahme, Beobachtung, Aktenanalyse, technische Prüfung, Datenanlays)
  • Zentrales Management aller geplanten und durchgeführten IS-Revisionen mit genauer Zeitplanung (Kalender), Zuordnung der Beteiligten zu den jeweiligen IS-Revisionsthemen, Definition der Stichproben (Baustein-Zielobjekt), strukturierte Agenda mit IS-Revisionsfragen, IS-Prüfplan

SoftwareeigenschaftenDurchführung, Korrekturmaßnahmen und Berichtswesen in der IS-Revision

  • Bei durchgeführten IS-Revisionen erfolgt eine zentrale Verwaltung aller Ergebnisse, organisatorischen und fachbezogenen Referenzdokumente und Auditnachweise (Stichproben)
  • Unterstützung von Vor-Ort- und Remote-Audits sowie Self-Assessments
  • Unterstützung der zweistufigen BSI-Bewertungsschema (Erfüllungsgrad einer Anforderung und Bewertungskriterien)
  • Automatische Generierung von Katalogen mit Korrekturmaßnahmen für die festgestellten Nichtkonformitäten
  • Zentrale Verwaltung der Korrekturmaßnahmen mit Zuweisung von Verantwortlichkeiten, geschätztem Zeitbedarf für die Umsetzung, Umsetzungsdatum und -status sowie Prioritäten
  • Ausführliche Berichterstattung über das IS-Revisionsverfahren, IS-Prüfplan, Ergebnisse der IS-Revision (in unterschiedlichem Detaillierungsgrad), Pläne für Korrekturmaßnahmen
  • Dashboard mit aktuellem Stand der Durchführung einer IS-Revision, verbleibender Zeit bis zum Abschluss der IS-Revision, Bewertung, Stand der Umsetzung von Korrekturmaßnahmen
DocSetMinder® Software
DocSetMinder® Software

Fragenkataloge zur IS-RevisionStrukturiert, flexibel und aktuell

Für Behörden, die keine oder unvollständige Fragenkataloge für die Durchführung von IS-Revisionen haben, bieten wir eine Reihe von detaillierten Fragenkatalogen und Checklisten an. Die Fragenkataloge spiegeln genau die Anforderungen der BSI IT-Grundschutz-Kompendiums wider. Zu jedem Baustein gibt es einen Fragenkatalog. Die Fragen sind nach den Anforderungsstufen (Basisanforderungen, Standardanforderungen und Anforderungen bei erhöhtem Schutzbedarf) gegliedert. Jeder Anforderung sind in der Regel mehrere Fragen zugeordnet. Pro Anforderung können optional geschätzte Auditzeiten zugeordnet werden, so dass bei der Planung der Zeitaufwand für die IS-Revision genau kalkuliert werden kann. Die Fragenkataloge können je IS-Revisionsart (IS-Kurzrevision, IS-Querschnittsrevision, IS-Partialrevision) und zu prüfendem Thema beliebig miteinander kombiniert werden. Beispielsweise können für die Prüfung der Wirksamkeit und Vollständigkeit des Einsatzes von Systemen zur Angriffserkennung (SzA) (§ 8a Abs. 1a BSIG) folgende Fragenkataloge ausgewählt werden:

  • OPS.1.1.4 Schutz vor Schadprogrammen
  • OPS.1.1.5 Protokollierung
  • NET.1.2 Netzmanagement
  • NET.3.2 Firewall
  • DER.1 Detektion von sicherheitsrelevanten Ereignissen
  • DER.2.1 Behandlung von Sicherheitsvorfällen

Step-by-StepBSI IS-Revision auf Basis von IT-Grundschutz

Die sorgfältige und standardkonforme Planung, Durchführung und Auswertung von IS-Revisionen ist zeit- und ressourcenintensiv. Die Erstellung des erforderlichen IS-Revisionsplans mit geeigneten Fragenkatalogen, die Dokumentation der Feststellungen mit Nachweisen sowie die IS-Revisionsberichte unterschiedlicher Ausprägung stellen eine Herausforderung für den leitenden IS-Revisor und sein IS-Revisionsteam dar. Die GAP View Methodik erleichtert diese Aufgabe erheblich.

Step 1. Stammdaten für die IS-Revision erfassen
  • Erfassung der beteiligten Personen u.a: Mitarbeiter der auditierten Institution, IS-Revisionsteam und Sachverständige/Experten ggf. Beobachter mit den erforderlichen Informationen wie Funktion, Kompetenzen/Qualifikationen und Kontaktdaten.
Step 2. Erstellung oder Import von Fragenkatalogen
  • Auswahl der zur Verfügung gestellten Fragenkataloge pro Baustein. Pro BSI IT-Grundschutz-Kompendium gibt es einen Fragenkatalog.
  • Optional: Import oder manuelle Erstellung eigener Fragenkataloge (Format MS Excel).
  • Die Fragenkataloge werden zentral verwaltet und den berechtigten IS-Revisoren für die Planung der IS-Revisionen zur Verfügung gestellt.
Step 3. Import des BSI IT-Grundschutz-Kompendiums

  • Grundlage für die Erstellung eines IS-Prüfplans ist die vorhandene IT-Grundschutz-Modellierung, aus der sich die Zuordnung der IT-Grundschutz-Bausteine zu den einzelnen Zielobjekten (Baustein-Zielobjekt) ergibt. Dazu wird das IT-Grundschutz-Kompendium des BSI importiert (XML-Format).

Step 4. Festlegung des IS-Revisionsverfahrens (Auditprogramm)
  • Gemäß Umsetzungsplan Bund 2017 (UP Bund) sollen die Bundesbehörden regelmäßig IS-Revisionen durchführen. Es wird empfohlen, einen mehrjährigen IS-Revisionsprozess in der Institution zu etablieren, der die notwendigen organisatorischen und personellen Rahmenbedingungen regelt.
  • Der IS-Revisionsverantwortliche legt den mehrjährigen Zeitraum, die Art und Anzahl der einzelnen IS-Revisionen, die Standorte, den Umfang, mögliche Risiken und Chancen sowie die am IS-Revisionsverfahren beteiligten Institutionen und Mitarbeitenden fest (Stammdaten).
Step 5. Planung einer IS-Revision (Organisation)
  • Erfassung der Grunddaten der IS-Revision, u.a. Bezeichnung, Standort und Art der IS-Revision (Kurz-, Querschnitt- oder Partialrevision), Kommentar über die Beauftragung, ggf. mit einer Kopie der Beauftragung (Anhang) dokumentiert.
  • Festlegung der Ziele, Vorgaben und Prüfmethoden
  • Dokumentation der organisatorischen und fachbezogenen Dokumente
  • Festlegung der Kontaktperson(en), IS-Revisionsteams und Mitarbeiter der Institution
  • Erstellung des Revisionshandbuches
Step 6. Planung einer IS-Revision (Zeitvorgaben)

  • Festlegung der Dauer der IS-Revision (vgl. Leitfaden für die IS-Revision auf Basis von IT-Grundschutz), Beginn und Ende eines regulären Arbeitstages sowie bestimmte feste Tagestermine, wie z.B.: gesetzlich vorgeschriebene Pausen und Besprechungen.

Step 7. Planung einer IS-Revision (Auswahl Bausteine-Zielobjekte)
  • Grundlage für die Erstellung des IS-Prüfplans ist die IT-Grundschutz-Modellierung. Aus der Grundschutz-Modellierung ergibt sich eine Zuordnung von Grundschutz-Bausteinen zu bestimmten Zielobjekten (Baustein-Zielobjekt). Mindestens 30% der modellierten Baustein-Zielobjekte müssen für die stichprobenartige Prüfung berücksichtigt werden.
  • Die GAP View Software unterstützt das IS-Revisionsteam bei der Auswahl der erforderlichen Anzahl von Baustein-Zielobjekten. Die prozentuale Berechnung der Stichprobe von mindestens 30% erfolgt automatisch. Zusätzlich werden die Zielobjekte erfasst und die Revisionsrelevanz dokumentiert.
Step 8. Planung einer IS-Revision (Ressourcenplanung)

  • Zuordnung der IS-Revisoren, Sachverständigen und Mitarbeiter(n) zu den einzelnen Schichten, Bausteinen oder Anforderungen.

  • Zuordnung der Prüfmethoden den einzelnen Schichten, Bausteinen oder Anforderungen.
Step 9. Planung einer IS-Revision (Auditplan/Kalender)

  • Automatische Generierung des Auditkalenders mit den geplanten Aktivitäten und Ressourcen. Die in den Fragenkatalogen definierten benötigten Zeiten pro Schicht /Baustein werden berücksichtigt.

  • Optional können die automatisch erstellte Termine manuell angepasst werden.

  • Filterfunktion für Übersichten der Termine, z.B. pro ausgewähltem IS-Revisor oder eines bestimmten Mitarbeiters.

  • Die einzelnen Kalendereinträge verbergen detaillierte Angaben des geplanten Termins, u.a.: genaue Zeitangaben, Ort/Raum und die Teilnehmer (IS-Revisor(en), Mitarbeiter ggf. Experten).

  • Generierung des IS-Prüfplans mit allen relevanten Angaben über die anstehende IS-Revision (PDF).
  • Optionale Benachrichtigung der Beteiligten per E-Mail.
Step 10. Durchführung einer IS-Revision
  • Dem IS-Revisionsteam steht eine Liste der zur Prüfung ausgewählten Anforderungen zur Verfügung. Anhand der Statusanzeige ist leicht zu erkennen, welche Anforderungen bereits bearbeitet (GRÜN), in Bearbeitung (ORANGE) oder noch nicht begonnen (ROT) sind.
  • Die IS-Revision erfolgt durch Auswahl einer Anforderung. Die Referenznummer und die Bezeichnung der Anforderung werden angezeigt. Die Feststellung und die Referenzdokumente/Nachweise (auch als Anlage) können dokumentiert werden.
  • Der IS-Revisor dokumentiert die Feststellung, kann Nachweise zur Feststellung als Anlage einfügen und bewertet abschließend die Anforderung gemäß der BSI-Bewertung nach Umsetzungsstand und Sicherheitsmangel (zweistufiges Bewertungsschema).
Step 11. IS-Revisionsbericht

  • Dem IS-Revisionsteam stehen zwei Standard-Berichte zu Verfügung. Die Kurzfassung besteht aus dem Inhaltsverzeichnis, der Darstellung der organisatorischen Aspekte der IS-Revision, einer Zusammenfassung der Ergebnisse und der Bewertung der einzelnen Anforderungen der Bausteine mit den Feststellungen.

  • Die detaillierte Fassung listet zusätzlich die Bewertungen aller in der IS-Revision gestellten Fragen auf.  

Step 12. Maßnahmenkatalog

  • Die bei der IS-Revision festgestellten Sicherheitsmängel sowie die Verbesserungsvorschläge werden automatisch in einem Maßnahmenkatalog zusammengefasst.

  • Für jede Maßnahme wird festgelegt, wer für die Umsetzung verantwortlich ist.

  • Für jede Maßnahme wird die Priorität und der Zeitpunkt der Umsetzung festgelegt.

Kontaktformular

Nutzen Sie das Formular, wenn Sie mehr über GAP View GmbH und unsere Beratungsleistungen erfahren möchten.

Bitte addieren Sie 8 und 7.

* Pflichtfelder