Security Assessments & Audits

1 

Kickoff-Briefing

Die Bedürfnisse verstehen: uns ist bewusst, dass ein Assessment oder Audit sich wie eine Prüfungssituation anfühlt. Unser Bestreben ist, Sie auf eine Reise mitzunehmen, in der Sie verstehen und in der Sie lernen können. Wir werden Sie dabei kennenlernen und viele Fragen stellen, um ein rundes Bild zu erhalten und blinde Flecken zu vermeiden. Für die Transparenz erstellen wir gemeinsam Inhalt, Zeitplan und Termine, die sich am Ziel orientieren.

2

Projektkommunikation 

Grundlage für die Zielerreichung: Die Stakeholder des Audits oder Assessments werden auf dem Laufenden gehalten und wo möglich oder nötig eingebunden. Die Leitung erhält Informationen zum Stand der Arbeiten, auch auf Rückfrage. Die Projektmitglieder sind eng im Prozess, so dass die Arbeitsebenen in ständigem Austausch sind. Erkenntnisse werden frühzeitig vermittelt, um Überraschungen zu vermeiden. Die Kommunikation soll die positive Grundhaltung aufrecht halten. 

3

Audit-/ Assessment-Module

Hauptbestandteil: In der Umsetzung begleitet SC&E die durchführenden Organe des Unternehmens oder leistet diese mit eigenen oder vermittelten Ressourcen selbst. Die Umsetzung ist abhängig vom vorher vereinbarten Ziel, bspw. internes Audit für die ISO/IEC 27001 Zertifizierung, Assessement des Security Maturity Levels, Assessment des Microsoft 365 Security Hardening oder Assessment der NIS2 Readiness.

4

Report

Finale: Am Schluss eines Assessments oder Audits steht der Abschlussbericht. Wir verstehen diesen als Workbook. Die Betroffenen  sollen mehr haben als ein Dokument zum Abheften. Nämlich ein Dokument mit konkreten Findings, Fokus-Punkten und Handlungsempfehlungen. Der archivierte Report dient als Unterstützung bei Folge-Prüfungen und kann Sie bei einer möglichen ISO/IEC 27001 Zertifizierung unterstützen. Im Mindesten verhindert es doppelte Kosten durch doppelte Arbeit in mehreren Assessments oder Audits.