Remote-Audits: Auditierung aus der Ferne

ISO 27001:
GAP-Analysen und interne Audits können grundsätzlich remote durchgeführt und damit weiterhin ohne Einschränkungen angeboten werden.
 

IT-Grundschutz:
GAP-Analysen und interne Audits können grundsätzlich remote durchgeführt werden. Das gilt derzeit auch für IT-Grundschutz-Auditierungen für Zertifizierungen beim BSI. Sollten Sie hierzu noch weitere Fragen haben, helfen unsere BSI-zugelassenen Audit-Teamleiter Ihnen gerne weiter.

In Anlehnung an die Vorgehensweisen der Deutschen Akkreditierungsstelle (DAkkS) haben wir ein Verfahren eingeführt, dass es erlaubt, Ihr bestehendes Zertifikat um 6 Monate zu verlängern. Die Basis hierfür bildet ein zweistufiges Verfahren:

Stufe 1: 

a) Ihre Unterlagen werden wie bisher geprüft und Änderungen an Ihrem Rechenzentrumsbetrieb bewertet.

b) Eine Checkliste wird mit Ihnen über eine WEB-Konferenz (Remote-Audit) durchgearbeitet. Dabei kann es sein, dass Sie uns aktuelle Bilder/Aufnahmen mit Ihrem Mobiltelefon zur Verfügung stellen müssen.

c) Die Ergebnisse der Dokumenten-Prüfung und der Checkliste wird von der Zertifizierungsstelle bewertet und bei positiver Entscheidung erfolgt automatisch eine Verlängerung Ihres Zertifikats um 6 Monate. Dieses Zwischenzertifikat wird Ihnen elektronisch zur Verfügung gestellt.

Stufe 2: 

a) Das Vor-Ort-Audit wird spätestens 6 Monate später nachgeholt und der Prüfbericht erstellt.

b) Der Prüfbericht ist Grundlage für die Neuausstellung des Zertifikats. Dieses Zertifikat wird dann in Papierform zur Verfügung gestellt und hat dann noch eine Gültigkeit von weiteren 18 Monaten (bei TSI) oder 6 Monaten (bei TSA).

Die Zwischenlösung des 2-stufigen Verfahrens wird ohne Mehrkosten für Sie durchgeführt.

Dokumentenprüfungen sind uneingeschränkt möglich und können wie geplant durchgeführt werden.

Darüber hinaus gilt für: 

Erst-Zertifizierungen: 
a) Stage 2-Audits können remote als Webkonferenz durchgeführt werden. Dabei sind insbesondere auch Pandemie-bezogene Betrachtungen zu berücksichtigen.
b) Alle Punkte, die gar nicht oder nicht zur Zufriedenheit des Auditors per Remote geprüft werden können, müssen im Rahmen eines späteren Onsite-Audits nachgeholt werden.
c) Sobald es die Gesamtsituation wieder zulässt, planen wir das ausstehende Onsite-Audit in der Reihenfolge, in der die Webkonferenzen durchgeführt wurden.
d) Eine Zertifizierung (Zertifikat & CAR) kann erst nach dem Onsite-Audit erfolgen.

Re-Zertifizierungen: 
a) Stage 2-Audits können remote als Webkonferenz durchgeführt werden. Dabei sind insbesondere auch Pandemie-bezogene Betrachtungen zu berücksichtigen. Außerdem muss uns der Anbieter bestätigen, dass er seit der letzten Prüfung keine Änderungen infrastruktureller Art vorgenommen hat.
b) Alle Punkte, die gar nicht oder nicht zur Zufriedenheit des Auditors per Remote geprüft werden können, müssen im Rahmen eines späteren Onsite-Audits nachgeholt werden.
c) Sofern ein überwiegender Teil der Anforderungen prüfbar war und keine kritischen Abweichungen ergeben hat sowie die zusätzlich genannten Bedingungen erfüllt werden, besteht die Möglichkeit, die Gültigkeit des bisherigen Zertifikats und Konformitätsbewertungsberichts aufgrund der aktuellen Ausnahmesituation ausnahmsweise um bis zu 6 Monate zu verlängern.
d) Sobald es die Gesamtsituation wieder zulässt, planen wir das ausstehende Onsite-Audit in der Reihenfolge, in der die Webkonferenzen durchgeführt wurden.
e) Die Ausstellung des neuen Zertifikats / CAR's kann erst nach dem Onsite-Audit erfolgen. Die Gültigkeit bemisst sich basierend auf der Gültigkeit des ursprünglichen Zertifikats, nicht auf Basis der ausnahmsweise verlängerten Gültigkeit.

Überwachungen:
a) Stage 2-Audits können remote als Webkonferenz durchgeführt werden. Dabei sind insbesondere auch Pandemie-bezogene Betrachtungen zu berücksichtigen. Außerdem muss uns der Anbieter bestätigen, dass er seit der letzten Prüfung keine Änderungen infrastruktureller Art vorgenommen hat.
b) Sofern ein überwiegender Teil der Anforderungen prüfbar war und keine kritischen Abweichungen ergeben hat sowie die zusätzlich genannten Bedingungen erfüllt werden, bewerten wir die Überwachung als positiv und führen die Zertifizierung durch. Auf einen Besuch vor Ort kann in diesem Fall verzichtet werden.

Change-Audits / Nachträge:
a) Sofern die Änderung remote als Webkonferenz ausreichend geprüft und bewertet werden kann, ist auch eine Zertifizierung bzgl. der Änderung / des Nachtrags möglich.
b) Sobald es die Gesamtsituation wieder zulässt, planen wir das ausstehende Onsite-Audit in der Reihenfolge, in der die Webkonferenzen durchgeführt wurden.

Im Rahmen der Webkonferenz (Stage 2) für Erst-Zertifizierungen, Re-Zertifizierungen und Überwachungen müssen die folgenden zusätzlichen auf die Pandemie bezogenen Fragen geklärt werden:

• Gibt es eine Auswirkungsanalyse bzgl. der Pandemie?
• Welche Maßnahmen hat der TSP getroffen, um den Betrieb aufrecht zu halten?
• Welche Einschränkungen gibt es? Sind ggf. einige Services nicht verfügbar?
• Gibt es Kundenbeschwerden zu den Services?
• Kann der TSP jetzt und in Zukunft die Erfüllung aller Anforderungen aus ETSI / eIDAS bestätigen? 
• Wann kann aus Sicht des TSP ein Onsite-Audit stattfinden?

Viele unserer angebotenen Dienstleistungen im Bereich der Cyber-Security, wie beispielsweise Angriffe auf Webanwendungen, werden üblicherweise bereits remote angeboten und durchgeführt. Hier ergeben sich für Kunden folglich keine Einschränkungen.

Sollten Sie sich unsicher sein, ob der von Ihnen gewünschte Penetrationstest aktuell durchgeführt werden kann, nehmen Sie gerne Kontakt zu uns auf. Wir erarbeiten mit Ihnen dann eine individuelle Lösung und finden mit Sicherheit die bestmögliche Herangehensweise für Ihr Unternehmen.

Im Bereich der Common Criteria erarbeiten wir mit Ihnen flexible und individuelle Lösungen. Bitte sprechen Sie uns hierzu an. Wir finden mit Sicherheit die bestmögliche Herangehensweise für Ihr Unternehmen.