In dieser Phase verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen auf Basis der Anforderungen. Dies betrifft alle Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis dieser Phase, die Gap-Analyse, beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Entwicklung ISMS, festgelegt.

AL3 (vollumfänglich – Simulation des Prüfungsaudits)

Durchführung internes Audit vor Ort (Interviews und Begehung)
– Erstellung Gap-Analyse und Auditbericht
– Erstellung Maßnahmenkatalog 1
– Dokumentation Gap-Analyse
– Management Review (Präsentation Gap-Analyse)

 

AL 2 (Aktenlage – einfache/verkürzte Form)

– Durchführung internes Audit (Remote)
   (Interviews via Telefon und Aktenlage)
– Erstellung Gap-Analyse und Auditbericht
– Erstellung Maßnahmenkatalog 1
– Dokumentation Gap-Analyse
– Management Review (Präsentation Gap-Analyse)

Beispiel für einen Auditplan Gap-Analyse

Wir sprechen mit folgenden Fachbereichen, wenn ISB oder ähnlich vorhanden sollte dieser bei allen Gesprächen dabei sein:


Personal: etwa 1-2 Stunden

Alle Themen rund um Personal: Recruiting, Arbeitsverträge, On-boarding, Schulungen, Off-boarding, etc.


Einkauf: etwa 1 Stunde

Alle Themen rund um Beauftragung: Unterauftragnehmer, Dienstleister, freie Mitarbeiter, etc.


Legal: etwa 1 Stunde

Alle Themen rund um Verträge und Gesetze: Rahmenverträge, vertragliche und gesetzliche Verpflichtungen, etc.


Projektleiter: etwa 1 Stunde

Alle Themen rund um Auftragsbearbeitung: Abstimmung mit Auftraggeber, Klassifizierung von Projekten/Aufträgen, Durchführung von Projekten, etc.


IT: etwa 3-4 Stunden

Alle Themen rund um die IT-Infrastruktur: Auswahl/Einkauf, Betrieb, Hardware, Software, Sicherheit, Absicherung, etc.


Gebäudesicherheit: etwa 1-2 Stunden

Alle Themen rund um bauliches: Zutrittskontrolle, Zutrittsschutz, Sichtschutz, Brandschutz, Einbruchsschutz, etc.


Datenschutzbeauftragte: etwa 1 Stunde

Alle Themen rund um DSGVO: Verarbeitungsverzeichnis, AVV, TOM, Konzept, Hinweise, etc.


ISB oder ähnlich: etwa 1 Stunde

Sonstige Themen rund um Informationssicherheit: Incident Management, Business Continuity Management, Change Management, Asset Managemen, etc.


GF: etwa 1 Stunde

Alle Themen rund um das Management: Umgang mit gesetzlichen und vertraglichen Verpflichtungen, Verantwortlichkeiten, Organisationsstruktur, etc.