IT-Prüfung
Die Integration der ISO-27001-Anforderungen in die Prüfungsansätze der IT-Revision
Der prüferische Konsens zwischen Ordnungsmäßigkeit und Informationssicherheit
Michael Neuy
Abstract
Die Prüfungsaufgaben für den IT-Revisor, die traditionell wichtige Aspekte der Ordnungsmäßigkeit abzudecken haben, die auf entsprechende Vorgaben aus Abschlussprüfung, Fiskus oder Haushaltsführung ausgerichtet sind, orientieren sich in den letzten Jahren immer stärker auch an der Informationssicherheit der Unternehmen. Gleichwohl arbeiten IT-Revision und CISOs/Informationssicherheit häufig mit unterschiedlichem Fokus. Während Letztere in der Praxis oftmals mit dem Aufbau und der Pflege eines Informationssicherheits-Managementsystems voll ausgelastet sind, haben besonders Erstere die (u.a. vom ISO-Standard geforderte) Unabhängigkeit. Nach Ansicht des Autors können aber beide Aufgabenfelder inhaltlich und wirtschaftlich sinnvoll miteinander verbunden werden. Der Weg dorthin ist jedoch nicht für jedes Unternehmen und jede IT-Revision selbstverständlich.