Audit IT-Sicherheit

Audit – IT-Security & Cyber-Sicherheit

Bitte beantworten Sie jede Frage mit einer der vorgegebenen Antwortoptionen (Single Choice).

Pflichtangaben Ihr Name (Pflichtfeld) Persönliche E-Mail-Adresse (Pflichtfeld)

Auditfragen zur IT-Security & Cyber-Sicherheit

1. Gibt es eine dokumentierte IT-Sicherheitsrichtlinie, die die Anforderungen der DSGVO berücksichtigt?

Keine IT-Sicherheitsrichtlinie vorhanden.
Es gibt eine Sicherheitsrichtlinie, aber sie ist veraltet oder unvollständig.
Eine Sicherheitsrichtlinie ist vorhanden, aber nicht regelmäßig überprüft.
Die Sicherheitsrichtlinie ist vollständig, aktuell und regelmäßig überprüft.

2. Sind Zugriffsrechte auf IT-Systeme klar definiert und dokumentiert?

Es gibt keine Regelungen zu Zugriffsrechten.
Zugriffsrechte sind informell geregelt.
Zugriffsrechte sind dokumentiert, aber nicht regelmäßig geprüft.
Zugriffsrechte sind dokumentiert, regelmäßig geprüft und auf das notwendige Minimum beschränkt.

3. Sind Passwortrichtlinien implementiert und werden sie von den Mitarbeitern eingehalten?

Es gibt keine Passwortrichtlinien.
Es gibt Passwortrichtlinien, aber sie sind nicht verbindlich.
Passwortrichtlinien sind dokumentiert, aber nicht konsequent eingehalten.
Passwortrichtlinien sind dokumentiert, durchgesetzt und regelmäßig überprüft.

4. Sind alle IT-Systeme und Anwendungen durch regelmäßige Updates und Patches geschützt?

Updates und Patches werden nicht regelmäßig durchgeführt.
Updates werden sporadisch durchgeführt, ohne festgelegten Zeitplan.
Updates werden regelmäßig durchgeführt, aber nicht dokumentiert.
Updates und Patches werden regelmäßig und dokumentiert durchgeführt.

5. Gibt es ein Verfahren zur Erkennung und Meldung von Sicherheitslücken in IT-Systemen?

Es gibt kein Verfahren zur Erkennung von Sicherheitslücken.
Sicherheitslücken werden gelegentlich erkannt, aber nicht systematisch gemeldet.
Es gibt ein Verfahren, aber es wird nicht regelmäßig geübt.
Es gibt ein dokumentiertes und getestetes Verfahren zur Erkennung und Meldung von Sicherheitslücken.

6. Werden Mitarbeiter regelmäßig zu IT-Sicherheits- und Datenschutzthemen geschult?

Es gibt keine Schulungen zu IT-Sicherheit und Datenschutz.
Schulungen werden nur sporadisch durchgeführt.
Es gibt regelmäßige Schulungen, aber nicht alle Mitarbeiter werden einbezogen.
Alle Mitarbeiter werden regelmäßig geschult und sind umfassend sensibilisiert.

7. Gibt es eine klare Regelung zur Nutzung privater Geräte (BYOD) im Unternehmen?

Es gibt keine Regelung zur Nutzung privater Geräte.
Es gibt eine informelle Regelung, die nicht dokumentiert ist.
Es gibt eine dokumentierte Regelung, die jedoch nicht konsequent umgesetzt wird.
Es gibt eine dokumentierte und durchgesetzte Regelung zur Nutzung privater Geräte.

8. Werden Zugriffe auf IT-Systeme und Netzwerke protokolliert und regelmäßig überprüft?

Es gibt keine Protokollierung der Zugriffe.
Zugriffsdaten werden gelegentlich protokolliert, aber nicht überprüft.
Zugriffe werden regelmäßig protokolliert, aber nicht systematisch ausgewertet.
Zugriffe werden umfassend protokolliert und regelmäßig überprüft.

9. Sind alle IT-Systeme durch eine Firewall und andere Sicherheitsmaßnahmen geschützt?

Es gibt keine Firewall oder andere Sicherheitsmaßnahmen.
Es gibt eine Firewall, aber sie ist nicht regelmäßig konfiguriert oder überprüft.
Firewall und Sicherheitsmaßnahmen sind implementiert, aber nicht umfassend getestet.
Firewall und Sicherheitsmaßnahmen sind implementiert, regelmäßig geprüft und optimiert.

10. Gibt es ein Verfahren zur Verwaltung von Benutzerkonten und Berechtigungen?

Es gibt kein Verfahren zur Verwaltung von Benutzerkonten.
Benutzerkonten werden manuell verwaltet, ohne klare Prozesse.
Das Verfahren ist dokumentiert, aber nicht regelmäßig überprüft.
Es gibt ein dokumentiertes und überprüftes Verfahren zur Verwaltung von Benutzerkonten und Berechtigungen.

11. Werden Daten regelmäßig gesichert und sind die Backups vor unbefugtem Zugriff geschützt?

Es gibt keine regelmäßigen Backups.
Backups werden erstellt, aber die Sicherheit ist nicht gewährleistet.
Backups werden regelmäßig erstellt, aber nur teilweise geschützt.
Backups werden regelmäßig erstellt, sicher aufbewahrt und getestet.

12. Gibt es ein Verfahren zur Wiederherstellung von IT-Systemen nach Störungen oder Angriffen?

Es gibt kein Wiederherstellungsverfahren.
Ein informelles Verfahren ist vorhanden, aber nicht dokumentiert.
Das Verfahren ist dokumentiert, aber nicht regelmäßig getestet.
Es gibt ein dokumentiertes und getestetes Wiederherstellungsverfahren.

13. Sind Maßnahmen zur Verhinderung von Datenverlust (DLP) implementiert?

Es gibt keine Maßnahmen zur Verhinderung von Datenverlust.
Einzelne DLP-Maßnahmen sind vorhanden, aber nicht umfassend.
DLP-Maßnahmen sind implementiert, aber nicht regelmäßig überprüft.
Umfassende DLP-Maßnahmen sind implementiert und werden regelmäßig überprüft.

14. Werden alle mobilen Geräte abgesichert (z. B. durch Verschlüsselung und Fernlöschung)?

Mobile Geräte sind nicht abgesichert.
Einzelne Geräte sind abgesichert, aber nicht alle.
Mobile Geräte sind abgesichert, aber die Maßnahmen werden nicht regelmäßig überprüft.
Alle mobilen Geräte sind abgesichert und die Maßnahmen werden regelmäßig überprüft.

15. Gibt es ein Verfahren zur Meldung und Bearbeitung von Datenschutzverletzungen?

Kein Verfahren.
Informelles Verfahren, das nicht dokumentiert ist.
Ein dokumentiertes Verfahren ist vorhanden, aber es wird nicht regelmäßig geübt.
Ein dokumentiertes und getestetes Verfahren zur Bearbeitung von Datenschutzverletzungen.

16. Werden IT-Systeme und Netzwerke regelmäßig auf Sicherheitslücken geprüft?

Es finden keine Prüfungen statt.
Prüfungen werden gelegentlich durchgeführt, ohne festen Plan.
Prüfungen werden regelmäßig durchgeführt, aber nicht immer gründlich dokumentiert.
Prüfungen werden regelmäßig und umfassend durchgeführt und dokumentiert.

17. Gibt es ein Verfahren zur Kontrolle und Überwachung von externen Zugriffen auf IT-Systeme?

Externe Zugriffe sind nicht geregelt.
Externe Zugriffe werden stichprobenartig überwacht.
Externe Zugriffe werden regelmäßig überwacht, aber nicht dokumentiert.
Externe Zugriffe werden umfassend überwacht und dokumentiert.

18. Sind sensible Daten bei der Übertragung durch Verschlüsselung geschützt?

Verschlüsselung wird nicht verwendet.
Verschlüsselung wird teilweise verwendet.
Verschlüsselung wird verwendet, aber nicht immer geprüft.
Verschlüsselung wird umfassend verwendet und regelmäßig geprüft.

19. Gibt es eine Regelung zur Nutzung von Cloud-Diensten?

Es gibt keine Regelung zur Nutzung von Cloud-Diensten.
Es gibt eine informelle Regelung zur Nutzung von Cloud-Diensten.
Es gibt eine dokumentierte Regelung, die jedoch nicht regelmäßig überprüft wird.
Es gibt eine klare, dokumentierte und regelmäßig überprüfte Regelung.

20. Werden kritische IT-Systeme durch Multi-Faktor-Authentifizierung (MFA) geschützt?

MFA wird nicht verwendet.
MFA wird nur für einzelne Systeme verwendet.
MFA wird verwendet, aber nicht für alle kritischen Systeme.
MFA wird umfassend für alle kritischen Systeme eingesetzt.

Ihre nächsten Schritte 1. Speichern Sie den Quickcheck als PDF Datei (per Windows oder Browser print).
2. senden Sie mir den PDF Quickcheck per E-Mail zu.
3. Sie erhalten ein kostenloses Beratungsgespräch bei Vorlage eines Beratungs-Gutscheines von mir,
oder Sie erhalten ein auf Ihr Unternehmen abgestimmtes Beratungsangebot.