Remote-Audit: ISO Zertifizierungen erfolgreich bestätigt.
Der planmäßige Überprüfungs-Audit bei GRASS-MERKUR für die Normen ISO 27001, ISO 27017 und ISO 27018 wurde auch in 2020 wieder erfolgreich abgeschlossen, durchgeführt durch einen erfahrenen Auditor unseres Zertifizierers BSI Group.
Aufgrund der besonderen Rahmenbedingungen (Corona) hatte das BSI vorgeschlagen und gebeten, den Überwachungsaudit 2020 als „Remote-Audit“ durchzuführen. Unternehmen müssen dieser Form des Auditierens offen gegenüberstehen. Für GRASS-MERKUR war die Entscheidung klar: Sicherheit steht an oberster Stelle. Daher haben wir dem Wunsch des BSI sofort zugestimmt für die Durchführung als „Remote-Audit“.
In den besonderen Zeiten von Corona sind Remote Audits oft das einzige Mittel der Wahl. Diese alternative Auditmethode wurde allerdings nicht entwickelt, um Audits vor Ort zu ersetzen, sondern, um diese zu ergänzen, wenn es sinnvoll, technisch möglich und zugelassen ist.
GRASS-MERKUR bietet diese Möglichkeit eines Remote-Audits auch für eigene Kunden an – gemeinsam mit deren Wirtschaftsprüfern, Auditoren oder Revisoren (Details und Download Checkliste siehe unten).
Was bedeutet das im konkreten Fall?
Die Auditplanung für GRASS-MERKUR wurde durch unseren Zertifizierer BSIGroup an die Erfordernisse eines „Remote-Audits“ entsprechend angepasst.
Als IT-Dienstleistungsunternehmen und RZ-Betreiber gehören Remote-Aktivitäten schon immer zum „Handwerkszeug“ bei GRASS-MERKUR. Diese Arbeitsweise ist daher fester Bestandteil unserer etablierten Steuerungs- und Betriebsprozesse – auch bereits vor Corona.
Alle Teams bei GRASS-MERKUR verfügen über praktische Erfahrung beim Einsatz von Videokonferenz- und Collaboration-Tools aus Ihrer täglichen Arbeit. Zusammen mit dem hohen Digitalisierungsgrad unserer Dokumentationen bildet dies die ideale Basis, um Audits auch „remote“ reibungslos durchführen zu können.
Im konkreten Fall bedeutet dies: Der komplette Überprüfungs-Audit für die Controls der Normen ISO 27001, ISO 27017 und ISO 27018 wurde vollständig als Video-Konferenz durchgeführt.
Voraussetzungen für erfolgreiche „Remote-Audits“
Im Vergleich zum Audit „vor Ort“ stellt diese Form des Auditierens besondere Anforderungen an alle Beteiligte. Denn schließlich gilt: Der Wert eines „Remote-Audits“ soll vergleichbar sein gegenüber dem Ergebnis eines „vor Ort Audits“. Dazu erfüllen wir bei GRASS-MERKUR u.a. folgende wesentliche Voraussetzungen, z.B.
- Qualitativ hochwertige technische AusstattungVideokonferenz-Lösung mit hochauflösender Webcam, Konferenz-Mikro und Lautsprecher
- Große Flat-Screens für die „augenfreundliche Betrachtung“ von gesharten Dokumenten (insb. bei Videokonferenzen von bis zu 8 Std./Tag über mehrere Tage)
- Breitbandige, stabile Internetverbindung
- Hoher DigitalisierungsgradVollständige, digitale Ablage aller prozess-relevanten Dokumente
- Präsentation aller relevanten Betriebsprozesse online möglich
- Bereitschaft der Beteiligten
- Sowohl seitens des Auditierers (BSIGroup) als auch bei GRASS-MERKUR
- Vertrauensvolles Verhältnis zwischen Auditor und Unternehmen ist notwenige Voraussetzung
- ÜberprüfungsauditRemote-Audit sehr gut geeignet für Überprüfungs-Audits
- Weniger geeignet für die erstmalige Zertifizierung
Wie wird geprüft?
Remote-Audits werden grundsätzlich genauso durchgeführt, wie Audits „vor Ort“. Lediglich Besichtigungen oder RZ-Begehungen finden beim Remote-Audit natürlich nicht statt. Diese sind aber üblicherweise bereits Bestandteil der „Erst-Zertifizierung“.
Der Auditor erwartet auch beim Remote-Audit, dass alle relevanten Dokumente, Prozessbeschreibungen und Nachweise unmittelbar zugänglich sind und sofort präsentiert werden können. Dazu gehören neben der Prüfung von sog. Bestandsdokumenten (z.B. Prozessbeschreibungen, Leitlinien und Dokumentation) auch die intensive Überprüfung sog. Bewegungsdokumente (z.B. Asset-Listen, Logs, Incidents, Tickets, Prüfprotokolle, Changes, …). Sie sind der Nachweis dafür, dass die beschriebenen Prozesse auch „gelebt“ werden.
Für die Normen ISO 27017 (Cloud-Sicherheit) und ISO 27018 (Cloud-Datenschutz) wurden z.B. auch Administrationsplattformen und Konfigurationsprozesse auf die Erfüllung der Controls dieser Normen genau betrachtet.
Fazit: Remote-Audit erfolgreich abgeschlossen
Der diesjährige Überprüfungsaudit wurde erstmals als „Remote-Audit“ durchgeführt – und wieder erfolgreich abgeschlossen. BSIGroup (als Auditierer) und GRASS-MERKUR (als auditiertes Unternehmen) hatten dazu bereits im Vorfeld die grundsätzliche positive Bereitschaft für diese Form des Auditierens gegenseitig bestätigt.
Die Vorbereitung und die professionelle Durchführung des Audits auf Seiten aller Beteiligten führte zu dem Ergebnis, dass der inhaltliche Wert des „Remote-Audits“ dem eines Audits „vor Ort“ nahezu vergleichbar ist. Der Ablauf war hocheffizient und der Aufwand ressourcenschonend (z.B. Reduktion von Reisenzeiten, Organisationsaufwand, …).
Remote-Audits auch für Kunden der GRASS-MERKUR
Unser Fazit bestätigt auch die Ergebnisse aktueller Befragungen zur Bedeutung und Akzeptanz von Remote-Audits*). Die Resonanz unserer Kunden zeigt ebenfalls, dass dieses Thema auch in Zukunft mehr Relevanz erfahren wird. So zum Beispiel bei den jährlichen Audits unserer Kunden gemeinsam mit deren Wirtschaftsprüfern.
GRASS-MERKUR hat in den vergangenen Wochen erfolgreich auch bei div. Neukundenprojekten Remote Besprechungen durchgeführt. Mit dieser Technik können auch komplexe Sachverhalte bei Projekten für alle Beteiligten transparent dargestellt und standortübergreifend (z.B. bei verteilt arbeitenden Teams) präsentiert werden. Dadurch haben wir auch in der aktuellen Pandemiesituation Neuprojekte erfolgreich umgesetzt. Unsere Projektteams bleiben „agil“ (auch im Fall möglicher conronabedingter behördlicher Einschränkungen).
In vier Schritten zum Remote-Audit
- Kontaktieren Sie uns
- Sie stimmen mit uns Art und Umfang des Remote-Audits ab
- Wenn gewünscht: Testkonferenz
- Durchführung des Remote-Audits gemeinsam mit Ihren Prüfern / Auditoren / Revisoren
Checkliste: Sind Sie bereit für einen Remote-Audit?
Mit dieser Checkliste erhalten Sie alles, was Sie zur Vorbereitung und erfolgreichen Durchführung eines Remote-Audit wissen müssen.
–> DOWNLOAD Checkliste <–
Sie möchten gerne mehr erfahren über die Möglichkeiten von Remote-Audits? Gerne stehen wir hierzu für weitere Informationen zur Verfügung.
- Per Mail: vertrieb@grass-merkur.de
- Per Telefon: 0511 47 54 14 0
*) Quelle: https://www.dqs.de/blog/remote-audit/remote-audit-umfrage-der-dqs/