TISAX® Kapitel 5.2.6
Inwieweit werden IT-Systeme und -Dienste technisch überprüft (System- und Dienst-Audit)?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
Das Ziel von technischen Überprüfungen ist die Erkennung von Zuständen, die zu einer Gefährdung der Verfügbarkeit, Vertraulichkeit oder Integrität von IT-Systemen und -Diensten führen können.
Anforderungen
- Muss
- Anforderungen an die Auditierung von IT-Systemen oder -Diensten sind ermittelt.
- Muss
- Der Umfang des Systemaudits ist rechtzeitig festgelegt.
- Muss
- System- oder Dienst-Audits sind mit dem Betreiber und den Nutzern der IT-Systeme oder -Dienste abgestimmt.
- Muss
- Die Ergebnisse von System- oder Dienst-Audits werden rückverfolgbar gespeichert und an das zuständige Management berichtet.
- Muss
- Von den Ergebnissen werden Maßnahmen abgeleitet.
- Sollte
- System- und Dienst-Audits werden unter Berücksichtigung aller Sicherheitsrisiken geplant, die dadurch hervorufen werden könnten (z.B. Störungen).
- Sollte
- Regelmäßige System- oder Dienst-Audits werden durchgeführt
- Sollte
- von Fachpersonal durchgeführt
- Sollte
- geeignete Werkzeuge (z.B. Schwachstellen-Scanner) werden für System
- Sollte
- und Dienst-Audits verwendet (sofern anwendbar)
- Sollte
- vom Internet und dem internen Netzwerk durchgeführt
- Sollte
- Innerhalb eines angemessenen Zeitraums nach Abschluss des Audits wird ein Bericht erstellt.
- Schutzbedarf hoch
- Für kritische IT-Systeme oder -Dienste wurden zusätzliche Anforderungen an das System
- Schutzbedarf hoch
- oder Dienst-Audit identifiziert, die erfüllt werden (z. B. dienstspezifische Tests und Werkzeuge und/oder Penetrationstests, risikobasierte Zeitintervalle) (A)
- Bei Sehr Hoch
- IT-Systeme und -Dienste werden regelmäßig auf Schwachstellen gescannt. (A)
- Bei Sehr Hoch
- Bei Systemen und Diensten, die nicht gescannt werden können, müssen geeignete Schutzmaßnahmen umgesetzt werden.
Umsetzung
Planung und Durchführung von IT-System- und Dienst-Audits
Beginnen Sie mit der Ermittlung der spezifischen Anforderungen für die Auditierung Ihrer IT-Systeme und -Dienste. Identifizieren Sie dabei, welche Elemente und Aspekte überwacht werden müssen und legen Sie klare Ziele für das Audit fest. Anschließend ist es essentiell, den Umfang und die Tiefe des Audits rechtzeitig zu bestimmen und sicherzustellen, dass alle beteiligten Parteien, darunter der Betreiber und die Nutzer der Systeme oder Dienste, entsprechend informiert und in die Planung einbezogen sind.
Stellen Sie sicher, dass die Audits ohne Störungen der laufenden Betriebsprozesse und unter Beachtung eventueller Sicherheitsrisiken durchgeführt werden. Nutzen Sie dabei Spezialisten für die Durchführung der Audits und setzen Sie, wenn möglich und angebracht, automatisierte Werkzeuge ein, etwa Schwachstellen-Scanner. Diese Überprüfungen sollten sowohl über das interne Netzwerk als auch über das Internet erfolgen, um eine umfassende Sicherheitsbewertung zu gewährleisten.
Bewahren Sie alle Audit-Ergebnisse nachvollziehbar auf und stellen Sie sicher, dass diese an das zuständige Management berichtet werden. Daraus sind dann unmittelbar Maßnahmen zur Verbesserung der IT-Sicherheitslage abzuleiten und umzusetzen. Es ist ratsam, die Audits regelmäßig durchzuführen, um die Sicherheitsstandards kontinuierlich zu verbessern und an neue Bedrohungen anzupassen.
Besondere Maßnahmen bei erhöhtem Schutzbedarf
Für kritische IT-Systeme und -Dienste sind aufgrund des höheren Schutzbedarfs zusätzliche Sicherheitsprüfungen vorzunehmen. Zu diesen zählen spezielle dienstspezifische Tests und, wo angebracht, Penetrationstests, die mit risikobasierten Zeitintervallen durchgeführt werden sollten.
Anforderungen bei sehr hohem Schutzbedarf
Bei einem sehr hohen Schutzbedarf ist es erforderlich, dass IT-Systeme und Dienste regelmäßig auf Schwachstellen untersucht werden. Für Systeme und Dienste, die nicht effektiv gescannt werden können, müssen alternativ geeignete Schutzmaßnahmen etabliert werden, um die Sicherheit zu gewährleisten.
Abschließend ist es kritisch, dass nach jedem Audit zeitnah ein eingehender Bericht erstellt wird. Dieser Bericht sollte nicht nur die Ergebnisse des Audits festhalten, sondern auch praxisnahe Empfehlungen für anpassende oder verbesserte Sicherheitsmaßnahmen enthalten, um gewährleisten zu können, dass alle erkannten Schwachstellen oder Sicherheitsrisiken angemessen adressiert werden.
Verwandte TISAX-Kapitel
- Kapitel 5.2.5 – Schwachstellen erkennen – Schwachstellenmanagement als Basis für Audits.
- Kapitel 1.5.2 – Unabhängige Prüfung – ISMS extern überprüfen lassen.
