Remote-Audits: Auditierung aus der Ferne

REMOTE statt ON-SITE: Möglichkeiten der Auditierung in Zeiten von Corona

 

Das Corona-Virus stellt auch den TIC-Sektor (Testing, Inspection & Certification) vor neue Herausforderungen. Das gilt insbesondere für bestehende, möglicherweise bald auslaufende Zertifikate, die weiterhin aufrecht erhalten werden sollen, wenn ein Vor-Ort-Audit aufgrund der aktuellen Situation nicht realisierbar ist.

Das Remote-Audit: Auditierung per Videokonferenz

Eine Lösung, die es ermöglicht, auch ohne physische Präsenz des Auditors, Auditierungen durchzuführen, ist das Remote-Audit. Dabei handelt es sich um eine Audit-Methode, die mittels einer Videokonferenz interaktiv abgehalten wird. In dieser Form werden dann Aspekte abgefragt und Dokumente geprüft, die auch Bestandteil eines Vor-Ort-Audits wären. 

Wir sind auch weiterhin mit Sicherheit für Sie da

Angesichts der aktuellen Lage bieten wir Ihnen in vielen Fällen Audits per Videokonferenz an. Weiter unten finden Sie Leistungen, die aktuell remote oder in veränderter Form angeboten werden. Wenn sich Ihre Prüfung oder Zertifizierung erst einmal nicht darunter finden lässt, sprechen Sie uns einfach an. Wir finden mit Sicherheit die bestmögliche Herangehensweise für Ihr Unternehmen.

 
 
„The auditing of our SCADA solution PROZA NET and communication gateway PROZA LKKU according to IEC 62443 2-4 was carried out by TÜViT in large parts as a remote audit. It worked smoothly and even accelerated the process.“
 
Stjepan Sučić, Business Director at KONČAR-KET
 
 

Folgende Dienstleistungen bieten wir Ihnen unter anderem remote oder in teils veränderter Form an:

 

ISO 27001 & IT-Grundschutz

ISO 27001:
GAP-Analysen und interne Audits können grundsätzlich remote durchgeführt und damit weiterhin ohne Einschränkungen angeboten werden.
 

IT-Grundschutz:
GAP-Analysen und interne Audits können grundsätzlich remote durchgeführt werden. Das gilt derzeit auch für IT-Grundschutz-Auditierungen für Zertifizierungen beim BSI. Sollten Sie hierzu noch weitere Fragen haben, helfen unsere BSI-zugelassenen Audit-Teamleiter Ihnen gerne weiter.

 

Rechenzentren (TSI | EN 50600) &
Alarmempfangsstellen (TSA | EN 50518)

In Anlehnung an die Vorgehensweisen der Deutschen Akkreditierungsstelle (DAkkS) haben wir ein Verfahren eingeführt, dass es erlaubt, Ihr bestehendes Zertifikat um 6 Monate zu verlängern. Die Basis hierfür bildet ein zweistufiges Verfahren:


Stufe 1:
 

a) Ihre Unterlagen werden wie bisher geprüft und Änderungen an Ihrem Rechenzentrumsbetrieb bewertet.

b) Eine Checkliste wird mit Ihnen über eine WEB-Konferenz (Remote-Audit) durchgearbeitet. Dabei kann es sein, dass Sie uns aktuelle Bilder/Aufnahmen mit Ihrem Mobiltelefon zur Verfügung stellen müssen.

c) Die Ergebnisse der Dokumenten-Prüfung und der Checkliste wird von der Zertifizierungsstelle bewertet und bei positiver Entscheidung erfolgt automatisch eine Verlängerung Ihres Zertifikats um 6 Monate. Dieses Zwischenzertifikat wird Ihnen elektronisch zur Verfügung gestellt.


Stufe 2

a) Das Vor-Ort-Audit wird spätestens 6 Monate später nachgeholt und der Prüfbericht erstellt.

b) Der Prüfbericht ist Grundlage für die Neuausstellung des Zertifikats. Dieses Zertifikat wird dann in Papierform zur Verfügung gestellt und hat dann noch eine Gültigkeit von weiteren 18 Monaten (bei TSI) oder 6 Monaten (bei TSA).


Die Zwischenlösung des 2-stufigen Verfahrens wird ohne Mehrkosten für Sie durchgeführt.

 

eID & Vertrauensdienste

Dokumentenprüfungen sind uneingeschränkt möglich und können wie geplant durchgeführt werden.

Darüber hinaus gilt für: 

Erst-Zertifizierungen
a) Stage 2-Audits können remote als Webkonferenz durchgeführt werden. Dabei sind insbesondere auch Pandemie-bezogene Betrachtungen zu berücksichtigen.
b) Alle Punkte, die gar nicht oder nicht zur Zufriedenheit des Auditors per Remote geprüft werden können, müssen im Rahmen eines späteren Onsite-Audits nachgeholt werden.
c) Sobald es die Gesamtsituation wieder zulässt, planen wir das ausstehende Onsite-Audit in der Reihenfolge, in der die Webkonferenzen durchgeführt wurden.
d) Eine Zertifizierung (Zertifikat & CAR) kann erst nach dem Onsite-Audit erfolgen.


Re-Zertifizierungen
a) Stage 2-Audits können remote als Webkonferenz durchgeführt werden. Dabei sind insbesondere auch Pandemie-bezogene Betrachtungen zu berücksichtigen. Außerdem muss uns der Anbieter bestätigen, dass er seit der letzten Prüfung keine Änderungen infrastruktureller Art vorgenommen hat.
b) Alle Punkte, die gar nicht oder nicht zur Zufriedenheit des Auditors per Remote geprüft werden können, müssen im Rahmen eines späteren Onsite-Audits nachgeholt werden.
c) Sofern ein überwiegender Teil der Anforderungen prüfbar war und keine kritischen Abweichungen ergeben hat sowie die zusätzlich genannten Bedingungen erfüllt werden, besteht die Möglichkeit, die Gültigkeit des bisherigen Zertifikats und Konformitätsbewertungsberichts aufgrund der aktuellen Ausnahmesituation ausnahmsweise um bis zu 6 Monate zu verlängern.
d) Sobald es die Gesamtsituation wieder zulässt, planen wir das ausstehende Onsite-Audit in der Reihenfolge, in der die Webkonferenzen durchgeführt wurden.
e) Die Ausstellung des neuen Zertifikats / CAR's kann erst nach dem Onsite-Audit erfolgen. Die Gültigkeit bemisst sich basierend auf der Gültigkeit des ursprünglichen Zertifikats, nicht auf Basis der ausnahmsweise verlängerten Gültigkeit.

Überwachungen:
a) Stage 2-Audits können remote als Webkonferenz durchgeführt werden. Dabei sind insbesondere auch Pandemie-bezogene Betrachtungen zu berücksichtigen. Außerdem muss uns der Anbieter bestätigen, dass er seit der letzten Prüfung keine Änderungen infrastruktureller Art vorgenommen hat.
b) Sofern ein überwiegender Teil der Anforderungen prüfbar war und keine kritischen Abweichungen ergeben hat sowie die zusätzlich genannten Bedingungen erfüllt werden, bewerten wir die Überwachung als positiv und führen die Zertifizierung durch. Auf einen Besuch vor Ort kann in diesem Fall verzichtet werden.

Change-Audits / Nachträge:
a) Sofern die Änderung remote als Webkonferenz ausreichend geprüft und bewertet werden kann, ist auch eine Zertifizierung bzgl. der Änderung / des Nachtrags möglich.
b) Sobald es die Gesamtsituation wieder zulässt, planen wir das ausstehende Onsite-Audit in der Reihenfolge, in der die Webkonferenzen durchgeführt wurden.


Im Rahmen der Webkonferenz (Stage 2) für Erst-Zertifizierungen, Re-Zertifizierungen und Überwachungen müssen die folgenden zusätzlichen auf die Pandemie bezogenen Fragen geklärt werden:

• Gibt es eine Auswirkungsanalyse bzgl. der Pandemie?
• Welche Maßnahmen hat der TSP getroffen, um den Betrieb aufrecht zu halten?
• Welche Einschränkungen gibt es? Sind ggf. einige Services nicht verfügbar?
• Gibt es Kundenbeschwerden zu den Services?
• Kann der TSP jetzt und in Zukunft die Erfüllung aller Anforderungen aus ETSI / eIDAS bestätigen? 
• Wann kann aus Sicht des TSP ein Onsite-Audit stattfinden?

 

Cyber Security: Penetrationstests

Viele unserer angebotenen Dienstleistungen im Bereich der Cyber-Security, wie beispielsweise Angriffe auf Webanwendungen, werden üblicherweise bereits remote angeboten und durchgeführt. Hier ergeben sich für Kunden folglich keine Einschränkungen.

Sollten Sie sich unsicher sein, ob der von Ihnen gewünschte Penetrationstest aktuell durchgeführt werden kann, nehmen Sie gerne Kontakt zu uns auf. Wir erarbeiten mit Ihnen dann eine individuelle Lösung und finden mit Sicherheit die bestmögliche Herangehensweise für Ihr Unternehmen.

 

Common Criteria

Im Bereich der Common Criteria erarbeiten wir mit Ihnen flexible und individuelle Lösungen. Bitte sprechen Sie uns hierzu an. Wir finden mit Sicherheit die bestmögliche Herangehensweise für Ihr Unternehmen.

 

Wichtige Voraussetzung für das Remote-Audit ist die richtige Hard- und Software. Notwendig sind ein Laptop oder Tablet mit stabiler Internetverbindung, eine Webcam, ein Headset und ein Konferenztool, beispielsweise Skype for Business oder Webex.
 

Sie haben noch Fragen? Wir helfen gerne!