IT-Audit

Bild einer Notebook Tastatur mit der Aufschrift IT-Audit

Es gibt eine Vielzahl von Gründen warum ein IT-Audit in einem Unternehmen durchgeführt wird.

Ein IT-Audit ist im Grunde eine kleine bzw. teilweise Infrastrukturanalyse

Generell kann ein IT-Audit eine Software, einen Online Dienst, einen digital gesteuerten Fertigungsprozess oder eben Teilbereiche der IT-Hardware, Netzwerkstruktur oder IT-Sicherheit betreffen. Ein IT-Audit führen wir im Auftrag unserer direkten Kunden, nicht selten aber auch im Auftrag Dritter durch. Zwei typische Anwendungsgebiete sind die folgenden:

IT-Audit im Rahmen einer ISO 900x Zertifizierung.

Im Rahmen einer ISO Re-Zertifizierung kommen Teilbereiche der IT in den Fokus des begleitenden Qualitäts-Managers. Liegt jetzt beim geprüften Unternehmen keine umfassende Dokumentation z.B. der Datensicherung vor, werden wir als externer Dienstleister angefordert, um ein Datensicherungskonzept für das Unternehmen zu erstellen oder das vorhandene zu überprüfen. Letzteres ist dann ein IT-Audit „Datensicherung“. Unsere Audits führen wir gemäß der Vorgaben der ISO 27001 durch.

Begehung zur Feststellung der Technischen und Organisatorischen Maßnahmen (T.O.M)

Unser vermutlich häufigster Anwendungsfall. Die DSGVO sieht für Unternehmen spätestens seit Mai 2018 eine vertragliche Vereinbarung zwischen datenverarbeitenden Parteien vor, den sogenannten AV-Vertrag (Auftragsverarbeitungsvertrag). Für diesen  braucht es notwendigerweise die Erklärung der technischen und organisatorischen Maßnahmen kurz T.O.M. Viele Firmen stellen einen internen Datenschutzbeauftragten oder der jeweilige Geschäftsführer übernimmt die Rolle des Datenschutz-Verantwortlichen selbst. Für einen AV-Vertrag kann man sich fast fertige Muster kaufen, die T.O.M hingegen sind sehr individuell und selbst für den fortgeschrittenen IT-Anwender kaum rechtsverbindlich zu ermitteln.

Wir ermitteln und dokumentieren Ihre individuellen T.O.M. DSGVO konform und nach den Richtlinien der ISO 27001.

Typische Auftraggeber für IT-Audits und T.O.M sind häufig Rechtsanwälte, die als externer Datenschutzbeauftragter Mandate für ihre Kunden übernommen haben, der Mandant kann aber die benötigten Informationen für die T.O.M nicht liefern. Weiterhin interne Datenschutzbeauftragte, die sich die rechtlichen Anforderungen der Datenschutz-Grundverordnung per Fortbildung angeeignet haben, den viel komplexeren Anteil der informationellen Datensicherheit aber nicht überblicken können.

Ein IT Audit zur Feststellung der T.O.M dauert für ein Unternehmen mit 25 Mitarbeitern in der Regel 1-2 Tage und wird mit Hilfe eines digitalen Fragebogens durchgeführt. Die von uns dafür eingesetzten Mitarbeiter sind als externe Datenschützer und ISO 27001 Berater vom TÜV Nord geprüft.

Gerne führen wir für Sie auch eine Audit- und Prüfbegleitung zur ISO 27001 Zertifizierung auf Basis von IT-Grundschutz durch. Nehmen Sie einfach Kontakt zu uns auf.