INTERNES AUDIT

Gap-Analyse

PHASE 1DURCHFÜHRUNG INTERNES AUDIT

In dieser Phase verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen auf Basis der Anforderungen. Dies betrifft alle Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Umsetzung, festgelegt.

Das Ergebnis dieser Phase, die Gap-Analyse, beschreibt den Optimierungsbedarf. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam.

GAP-ANALYSE AL2 ODER AL3?

AL2

(Aktenlage – einfache/verkürzte Form)

01Durchführung einfachesinternes Audit remote

02Erstellung Auditbericht

03Erstellung Maßnahmenkatalog 1

04Management Review(Resümee Gap-Analyse)

AL3

(vollumfänglich – Simulation des Prüfungsaudits)

01Durchführung umfangreichesinternes Audit vor Ort

02Erstellung Auditbericht

03Erstellung Maßnahmenkatalog 1

04Management Review(Resümee Gap-Analyse)

BEISPIELHAFTER AUDITPLAN FÜR EINE GAP-ANALYSE

Wenn es schon eine Informationssicherheitsbeauftragte gibt sollte diese bei allen Gesprächen dabei sein

Personal

(etwa 1-2 Stunden)
Alle Themen rund um Personal: Recruiting, Arbeitsverträge, On-boarding, Schulungen, Off-boarding, etc.

Einkauf

(etwa 1 Stunde)
Alle Themen rund um Beauftragung: Unterauftragnehmer, Dienstleister, freie Mitarbeitende, etc.

Recht

(etwa 1 Stunde)
Alle Themen rund um Verträge und Gesetze: Rahmenverträge, vertragliche und gesetzliche Verpflichtungen, etc.

Projektleitung

(etwa 1 Stunde)
Alle Themen rund um Auftragsbearbeitung: Abstimmung mit Auftraggeber, Klassifizierung von Projekten/Aufträgen, Durchführung von Projekten, etc.

IT

(etwa 3-4 Stunden)
Alle Themen rund um die IT-Infrastruktur: Auswahl/Einkauf, Betrieb, Hardware, Software, Sicherheit, Prozesse, etc.

Gebäudesicherheit

(etwa 1 Stunde)
Alle Themen rund um bauliches: Zutrittskontrolle, Zutrittsschutz, Sichtschutz, Brandschutz, Einbruchsschutz, etc.

Datenschutz

(etwa 1 Stunde)
Alle Themen rund um die DSGVO: Verarbeitungsverzeichnis, AVV, TOM, Konzept, Hinweise, etc.

Informationssicherheit

(etwa 1-2 Stunden)
Sonstige Themen rund um Informationssicherheit: Incident Management, Business Continuity Management, Change Management, Asset Managemen, etc.

Management

(etwa 1 Stunde)
Alle Themen rund um die Geschäftsführung: Umgang mit gesetzlichen und vertraglichen Verpflichtungen, Verantwortlichkeiten, Organisationsstruktur, etc.