Audit Services
Basierend auf Ihren Anforderungen auditieren wir ausgesuchte Themenbereiche oder arbeiten Ihrem Audit-/Revisionsteam zu. Dabei übernimmt ein von uns gestellter Auditleiter bei Bedarf auch komplette Prüfaufträge. Wenn ihrerseits Vorgaben existieren, überprüfen wir für Sie die Einhaltung, unabhängig davon, ob das technisch oder organisatorisch zu erfolgen hat. Wir unterstützen Sie partnerschaftlich von der Planung und Durchführung, beraten Ihre Fachbereiche bei der Auswahl angemessener Maßnahmen und übernehmen die Nachverfolgung und dokumentierte Abnahme von Lösungen.
Die Planungsphase wird vom CERTAINITY Projektleiter mit einem Kick-Off Meeting eingeleitet und dient dazu, den Prüfungsumfang, die Vorgehensweise und den zeitlichen Rahmen abzustimmen und festzulegen. Dabei werden die für die Prüfung notwendigen Gesprächspartner identifiziert und ggf. ist zu klären, welche Informationen bereits im Vorfeld für einen Dokumentenreview bereitzustellen sind.
Dokumentenreview – Das interne Policy Framework gibt Auskunft darüber, wie der gewünschte Soll-Zustand auszusehen hat. In Zusammenhang mit der Unternehmens- und Risikostrategie kann eingeschätzt werden, ob der Soll-Zustand dem Risiko angemessen bzw. ausreichend ist.
Die Prüfungsdurchführung erfolgt entlang den Ergebnissen und Erkenntnissen aus dem Dokumentenreview. Dabei wird die tatsächliche Umsetzung anhand von Stichproben überprüft und nochmals eingeschätzt, ob die vorgefundenen Maßnahmen effektiv, geeignet, verhältnismäßig und dem Risiko angemessen sind bzw. ob interne oder regulatorische Vorgaben eingehalten werden. Abweichungen zum gewünschten Soll-Zustand werden detailliert beschrieben und mit Empfehlungen versehen.
Nach Auswertung der Prüfungsergebnisse liegt ein vorläufiger Berichtsentwurf vor und soll dem Auftraggeber Gelegenheit geben, etwaige Unklarheiten auszuräumen bzw. nicht berücksichtigte mitigierende Maßnahmen zu erläutern und die vorgenommenen Bewertungen zu besprechen. Ergänzend zum finalen Bericht erstellen wir ein Management Summary und präsentieren dieses auf Wunsch. Sollten Sie Unterstützung bei der Nachverfolgung benötigen, können wir Ihre Fachbereiche bei der Lösungsfindung beraten und übernehmen projekthaft die Nachverfolgung und die dokumentierte Abnahme von Lösungen.
Auf folgende Audits haben wir uns spezialisiert:
ISO 27001 Pre-Assessment, um zu erfahren, wo Sie tatsächlich stehen, führen wir ein ISO 27001 Pre-Assessments durch. Wir bewerten die zur Anwendung kommenden Mindestsicherheitsstandards auf Angemessenheit und Überprüfen die Wirksamkeit der gesetzten Maßnahmen. Dabei orientieren sich unsere Experten an Ihrer Strategie für Informationssicherheit und Riskmanagement, am Stand der Technik und an branchenspezifischen Best Practice Ansätzen. In Abhängigkeit Ihrer Ziele wird das Assessment als Standortbestimmung dienen um davon abgeleitet geeignete und angemessene Maßnahmen zur Verbesserung der Ist-Situation zu ermitteln und einen abgestimmten Plan zur Abarbeitung der Handlungsempfehlungen zu erarbeiten.
Datenschutz - DSGVO (siehe Datenschutz)
NIS-2 Readiness – Sicherheit der Netz-/Informationssysteme
Mit NIS-2 wurde im Jänner 2023 ein EU-weites einheitliches Cybersicherheitsniveau beschlossen, welches bis Oktober 2024 in nationales Recht umzusetzen ist. Das Ziel ist, die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU zu verbessern. Betroffen sind Unternehmen > 10 Mio. Jahresbilanz und > 50 MitarbeiterInnen, gegliedert in wesentliche und wichtige Einrichtungen folgender Sektoren:
Wir unterstützen Sie mit einer Gap-Analyse als Basis für das nachfolgende Umsetzungsprojekt zur Herstellung der NIS-2 Readiness, um die Erfüllung der regulatorischen Vorgaben, welche bis Oktober 2024 umzusetzen sind, zu gewährleisten.
DORA Readiness – Digital Operational Resilience Act
Mit DORA wurde Anfang 2023 ein harmonisierter und umfassender Rechtsrahmen1 für die digitale operationelle Widerstandsfähigkeit europäischer „Finanzunternehmen“ und „IKT-Drittdienstleister“ verabschiedet, welcher ab dem 17.01.2025 anzuwenden ist. Der Umfang gliedert sich in fünf Kernbereiche und ist abhängig von der Größe und den Risiken aus dem Geschäftsmodell (Proportionalitätsprinzip) und dem Reifegrad der digitalen operationalen Resilienz des jeweiligen Finanzunternehmens. Für die von DORA erfassten Unternehmen bedeuten die mit der Verordnung einhergehenden Verpflichtungen eine enorme finanzielle und technische Herausforderung, es besteht unmittelbarer Handlungsbedarf! Wir unterstützen Sie mit einer Gap-Analyse als Basis für das nachfolgende Umsetzungsprojekt zur Herstellung der DORA Readiness, um die Erfüllung der regulatorischen Vorgaben, welche bis Jänner 2025 umzusetzen sind, zu gewährleisten.
Cyber-Sicherheits-Check für Klein- und Mittelbetriebe
Mit dem speziell für Klein- und Mittelbetriebe entwickelten Cyber-Sicherheits-Check überprüfen wir für Sie, ob Ihr Sicherheitskonzept wie beabsichtigt umgesetzt ist und den aktuellen Anforderungen in Bezug auf Vollständigkeit, Wirkungsweise und Angemessenheit gerecht wird. Der Cyber-Sicherheits-Check liefert entlang von ausgewählten Themenbereichen sowohl den Verantwortlichen für Informationssicherheit als auch der Unternehmensleitung, zuverlässige Informationen über den aktuellen Zustand und möglichem Potential zur Verbesserung des Konzeptes und der damit verbundenen Informationssicherheit. Vor allem wenn ein Unternehmen noch wenig Erfahrung mit diesem Thema hat, ist der Cyber-Sicherheits-Check eine wichtige Hilfe zur Überprüfung des Sicherheitsniveaus. Das Ergebnis zeigt detailliert Verbesserungspotentiale auf und wird nach Umsetzung unserer Handlungsempfehlungen die Anfälligkeit gegen Cyberangriffe verringern. Des Weiteren unterstützt Sie das Ergebnis bei der Herstellung der Cyber-Versicherbarkeit.