Security Audit
Effektive Audits für mehr Sicherheit, Compliance und langfristige Verbesserungen
Stärken Sie Ihre IT-Sicherheit und erfüllen Sie alle relevanten Vorschriften mit unseren auf Sie zugeschnittenen internen Audits und System Audits. Wir kombinieren fundierte technische Expertise mit praxisnahen Lösungen, um Ihnen effektive Verbesserungen und eine erfolgreiche Zertifizierungsvorbereitung zu bieten. Lernen Sie aus Sicherheitslücken und stärken Sie die Awareness Ihrer Mitarbeitenden für eine nachhaltige Sicherheitskultur.
System Audit
-
Sind Ihre Systeme ausreichend gegen externe Angriffe geschützt?
In einer Zeit, in der Cyberangriffe immer komplexer und häufiger werden, stellt sich oft die Frage: Sind unsere Systeme gegen externe Angriffe geschützt? Mit einem einfachen Vulnerability-Scan lassen sich bekannte Sicherheitslücken zwar erkennen, doch ein wahrer Schutz benötigt tiefergehende Massnahmen. Nur eine durchdachte Sicherheitsarchitektur, kombiniert mit der notwendigen Security Awareness bei allen Mitarbeitern, gewährleistet einen ausreichenden Schutz.
-
Ist Ihre Sicherheitsarchitektur zukunftssicher?
Im Rahmen eines System Audits überprüfen wir die Architektur Ihrer IT-Systeme und Netzwerke. Ob Netzwerksicherheit, Collaboration-Security, hybride und Cloud-Umgebungen oder Endpoint-Protection – wir analysieren und bewerten alle relevanten Bereiche. Zudem beraten wir Sie, wie diese Systeme optimal zusammenarbeiten sollten, um den Schutz zu maximieren und Sicherheitsvorfälle frühzeitig zu erkennen.
-
Sind Ihre Systeme wirklich nach den aktuellen Best Practices konfiguriert?
Unsere Experten untersuchen die laufenden Konfigurationen Ihrer Sicherheitssysteme und prüfen sie im Vergleich zu Herstellerempfehlungen sowie dem allgemeinen Stand der Technik. Abweichungen werden identifiziert und Handlungsempfehlungen zur Verbesserung gegeben.
-
Weisen Ihre Datensysteme und Softwarekomponenten Verwundbarkeiten auf?
Ein Vulnerability und Exposure-Check hilft dabei, Schwachstellen in Ihren internen und externen Systemen aufzudecken. Egal, ob einmalige Überprüfung oder kontinuierliches Monitoring – wir bieten Ihnen die Möglichkeit, den Zustand Ihrer Systeme regelmässig zu überprüfen und eventuelle Schwachstellen rechtzeitig zu beheben.
-
Wie setzen Sie Sicherheitsvorgaben des Security Offices erfolgreich um?
Die Einhaltung von Sicherheitsrichtlinien stellt oft eine Herausforderung dar. Häufig fällt es Engineers schwer, Vorgaben aus dem Security Office korrekt zu interpretieren und umzusetzen. Wir unterstützen Sie dabei, Ihre Sicherheitsstandards zu verstehen, passende Lösungen zu implementieren und die Einhaltung dieser Vorgaben im Rahmen von Audits nachzuweisen.
Internal Audit
-
Sind Sie konform mit den relevanten Vorschriften und Standards?
Unser Security Audit hilft Ihnen dabei, sicherzustellen, dass Ihr Informationssicherheits-Managementsystem (ISMS) die aktuellen rechtlichen Vorschriften wie das neue Datenschutzgesetz (nDSG) und Informationssicherheitsgesetz (ISG) erfüllt.
Dabei prüfen wir auch die Konformität gegenüber anerkannten Standards wie ISO 27001, TISAX oder IKT-Grundschutz.
Doch wir gehen noch weiter: Wir schaffen bei den betroffenen Stakeholdern das nötige Verständnis für Abweichungen und zeigen, wie Sicherheitslücken geschlossen werden können. Unser Ziel ist es, Sie optimal auf externe Audits vorzubereiten – inklusive aller Nachweise.
-
Werden Ihre Sicherheitsrichtlinien verstanden und korrekt umgesetzt?
Oft führt mangelndes Verständnis der Sicherheitsrichtlinien zu falscher Umsetzung. In unserem internen Auditprogramm legen wir grossen Wert darauf, die Anforderungen und deren Schutzwirkung verständlich zu erklären, um sicherzustellen, dass alle Vorgaben korrekt angewendet werden.
-
Ist Ihre Datenspeicherung nDSG-konform?
Mit dem neuen Datenschutzgesetz (nDSG) kommen auf viele Organisationen neue Herausforderungen zu. Unser Audit-Programm hilft Ihnen dabei, den aktuellen Stand Ihrer Datenverarbeitung zu überprüfen und notwendige Massnahmen zur Konformität zu priorisieren, um Bussgelder und Sicherheitsrisiken zu vermeiden.
-
Sind Ihre IT-Prozesse richtig dokumentiert und zugänglich?
Gut dokumentierte und leicht verständliche IT-Prozesse sind entscheidend für die Sicherheit Ihrer Organisation. Wir überprüfen, ob Ihre Prozesse den Anforderungen entsprechen und ob sie für die Mitarbeitenden verständlich und anwendbar sind. So helfen wir Ihnen, Sicherheitsrisiken zu minimieren und die Effizienz zu steigern.
-
Sind Sie bereit für das Zertifizierungsaudit?
Mit einem internen Audit-Programm bereiten wir Sie gezielt auf das Zertifizierungsaudit vor. Neben einem gut dokumentierten ISMS erhalten Sie wertvolle Hinweise, worauf externe Auditoren achten, welche Nachweise gefordert werden und wie Sie optimal vorbereitet auftreten können. So können Sie dem Zertifizierungsaudit entspannt entgegensehen.
Effektives Lernen: Durch die Integration von Audit und Security Awareness erkennen Sie Schwachstellen und lernen daraus für nachhaltige Verbesserungen.
Optimale Zertifizierungsvorbereitung: Sie verstehen genau, was externe Auditoren erwarten, und sind bestens auf das Zertifizierungsaudit vorbereitet.
Praxisnähe, Erfahrung und technische Expertise: Profitieren Sie von unserer Branchenerfahrung und praxisnahen Lösungen aus zahlreichen Implementierungsprojekten. Unsere fundierten technischen Kenntnisse gewährleisten präzise und umfassende System Audits.
FAQ Security Audit
-
Was ist der Unterschied zwischen einem Internal Audit und einem System Audit?
-
Ein internes Audit prüft die Konformität gegenüber einem Standard oder einer Vorschrift. Im Rahmen von ISO 27001 ist das ein fortlaufender Prozess, der über drei Jahre das gesamte ISMS mit Richtlinien, Prozessen und Systemen validiert und den kontinuierlichen Verbesserungsprozess unterstützt. Dabei werden auch System Audits durchgeführt, um stichprobenartig die Einhaltung der Vorgaben zu verifizieren. Ein anderes Beispiel wäre die punktuelle Überprüfung gemäss den Vorgaben des neuen Datenschutzgesetzes.
-
Ein System Audit fokussiert sich auf ein System oder eine Systemlandschaft und prüft dabei die Sicherheit gegenüber Ihren Vorgaben. Das kann eine interne Weisung sein, ein anerkannter Standard oder eine Vorschrift, Best-practices von Herstellern oder der allgemeine Stand der Technik.
Beispielsweise könnte ein Auftrag lauten, die Einhaltung der Verschlüsselungs-Richtlinie im WAN- und Remote-Access Umfeld zu untersuchen. Oder wir überprüfen die Konfiguration der E-Mail-Kommunikation gemäss dem aktuellen Stand der Technik.
-
-
Wie wird das Audit Team zusammengestellt?
Abhängig vom Auftrag und Anforderung bieten wir die passenden Consultants an. In einem System Audit sind das technisch ausgebildete Personen mit einem hohen Erfahrungsschatz. Für ein Internal Audit senden wir ein Team bestehend aus GRC zertifizierten Consultants, zusammen mit technischen Consultants.
-
Warum sollten Sie ein Internal Audit extern vergeben?
Auch ein internes Audit stellt Anforderungen an die Unabhängigkeit und Fähigkeiten der Auditoren. Mit einem extern beauftragten Team können Sie die Unabhängigkeit leichter nachweisen. Durch die Erfahrungen aus zahlreichen anderen Aufträgen bringen unsere Consultants neben der Zertifizierung auch entsprechende Erfahrung mit ein.
Unter externen Auditoren versteht man im Sprachgebrauch von ISO 27001 diejenigen, welche die Prüfung zur Zertifizierung abnehmen. Das bietet BNC bewusst nicht an, weil wir Sie aktiv beraten und unterstützen wollen, was wiederum externe Auditoren nicht dürfen, um eine unvoreingenommene Beurteilung vornehmen zu können.
-
Wozu dient der Ergebnisbericht?
Unser Ziel ist es, Ihnen neben einer Liste der Prüfresultate vor allem Feedback geben, was gut läuft und wie sie sich konkret verbessern können. Der Ergebnisbericht dient Ihnen vornehmlich zum Nachweis, dass sie ein ordentliches internal Audit-Programm umgesetzt haben.
-
Welche Standards werden von BNC unterstützt?
BNC unterstützt Sie aktuell bei der Compliance zu folgenden Standards und Vorschriften im Rahmen von internen Auditmassnahmen:
- ISO/IEC 27001
- ISO/IEC 27005
- TISAX
- Neues Schweizer Datenschutzgesetz und die Europäische GDPR / DSGVO
- Das Schweizer Informationssicherheitsgesetz und die Europäische NIS-2
- IKT-Grundschutz für die Bundesverwaltung