Audit Services

Basierend auf Ihren Anforderungen auditieren wir ausgesuchte Themenbereiche oder arbeiten Ihrem Audit-/Revisionsteam zu. Dabei übernimmt ein von uns gestellter Auditleiter bei Bedarf auch komplette Prüfaufträge. Wenn ihrerseits Vorgaben existieren, überprüfen wir für Sie die Einhaltung, unabhängig davon, ob das technisch oder organisatorisch zu erfolgen hat. Wir unterstützen Sie partnerschaftlich von der Planung und Durchführung, beraten Ihre Fachbereiche bei der Auswahl angemessener Maßnahmen und übernehmen die Nachverfolgung und dokumentierte Abnahme von Lösungen.

Unsere Vorgehensweise Mit der Auftragsunterzeichnung wird seitens CERTAINITY ein verantwortlicher Projektleiter festgelegt, der dafür sorgt, dass Ansprechpartner und Kommunikationslinien definiert sind, eine Geheimhaltungsvereinbarungen unterfertigt und die Vorgaben für einen sicheren Datenaustausch festgelegt wurden. Need-to-Know und Least-Privilege Prinzipien sind über die gesamte Projektlaufzeit strikt einzuhalten.

Die Planungsphase Die Planungsphase wird vom CERTAINITY Projektleiter mit einem Kick-Off Meeting eingeleitet und dient dazu, den Prüfungsumfang, die Vorgehensweise und den zeitlichen Rahmen abzustimmen und festzulegen. Dabei werden die für die Prüfung notwendigen Gesprächspartner identifiziert und ggf. ist zu klären, welche Informationen bereits im Vorfeld für einen Dokumentenreview bereitzustellen sind.

Dokumentenreview Das interne Policy Framework gibt Auskunft darüber, wie der gewünschte Soll-Zustand auszusehen hat. In Zusammenhang mit der Unternehmens- und Risikostrategie kann eingeschätzt werden, ob der Soll-Zustand dem Risiko angemessen bzw. ausreichend ist.

Die Prüfungsdurchführung Die Prüfungsdurchführung erfolgt entlang den Ergebnissen und Erkenntnissen aus dem Dokumentenreview. Dabei wird die tatsächliche Umsetzung anhand von Stichproben überprüft und nochmals eingeschätzt, ob die vorgefundenen Maßnahmen effektiv, geeignet, verhältnismäßig und dem Risiko angemessen sind bzw. ob interne oder regulatorische Vorgaben eingehalten werden. Abweichungen zum gewünschten Soll-Zustand werden detailliert beschrieben und mit Empfehlungen versehen. Nach Auswertung der Prüfungsergebnisse liegt ein vorläufiger Berichtsentwurf vor und soll dem Auftraggeber Gelegenheit geben, etwaige Unklarheiten auszuräumen bzw. nicht berücksichtigte mitigierende Maßnahmen zu erläutern und die vorgenommenen Bewertungen zu besprechen. Ergänzend zum finalen Bericht erstellen wir ein Management Summary und präsentieren dieses auf Wunsch. Sollten Sie Unterstützung bei der Nachverfolgung benötigen, können wir Ihre Fachbereiche bei der Lösungsfindung beraten und übernehmen projekthaft die Nachverfolgung und die dokumentierte Abnahme von Lösungen.

Auf folgende Audits haben wir uns spezialisiert: ISO 27001 Pre-Assessment, um zu erfahren, wo Sie tatsächlich stehen, führen wir ein ISO 27001 Pre-Assessments durch. Wir bewerten die zur Anwendung kommenden Mindestsicherheitsstandards auf Angemessenheit und Überprüfen die Wirksamkeit der gesetzten Maßnahmen. Dabei orientieren sich unsere Experten an Ihrer Strategie für Informationssicherheit und Riskmanagement, am Stand der Technik und an branchenspezifischen Best Practice Ansätzen. In Abhängigkeit Ihrer Ziele wird das Assessment als Standortbestimmung dienen um davon abgeleitet geeignete und angemessene Maßnahmen zur Verbesserung der Ist-Situation zu ermitteln und einen abgestimmten Plan zur Abarbeitung der Handlungsempfehlungen zu erarbeiten.