TTS GmbH
Ihr Partner für Informationssicherheit
TTS GmbH
Mit Methode
TTS GmbH
Mit Erfahrung
TTS GmbH
Mit Kompetenz

DAkkS Bewertung zu Corona und Vor-Ort Begehungen

In den letzten Wochen haben sich immer wieder Fragestellungen zur Informations-/IT-Sicherheit in Zusammenhang mit COVID-19 ergeben. Wir haben für Sie den aktuellen Stand aufbereitet und diverse nützliche Quellen zusammengestellt.

Die aktuelle Corona-Zeit stellt Unternehmen der Kritischen Infrastrukturen auch vor die Frage, wie aktuell mit den anstehenden Audits im Rahmen eines ISMS umzugehen ist. Bei Auditierungen ist in der Regel ein mehr oder weniger großer Umfang an Vor-Ort-Prüfungen erforderlich. Diese Vor-Ort-Auditierungen sind derzeit nicht so einfach durchzuführen, weil entweder die Unternehmen selbst den Kontakt mit Externen eingeschränkt oder untersagt haben, oder dies von Prüfstellen und / oder externe Auditoren so gehandhabt wird. Grundlegend liefert die ISO 19011 Vorgaben für interne Audits oder Lieferantenaudits. Die ISO 19011 führt aus, dass Remote-Audittechniken zunächst anwendbar sind, weist aber auf die Angemessenheit hin. Im Unterschied dazu sind externe Audits durch die ISO 27006 in Verbindung mit der ISO 17021 geregelt. Hier gibt es die Vorgabe, dass wenn mehr als 30% der Auditzeit durch Remote-Audittechniken durchgeführt werden soll, dieses eine Genehmigung der Akkreditierungsstelle (hier also die DAkkS) erfordert.


Nun ist aber in dieses Thema auch seitens der DAkkS ebenfalls Bewegung gekommen:

  • Die DAkkS hat am 02.04.2020 einen Leitfaden zur Durchführung von Fernbegutachtungen (https://www.dakks.de/content/dakks-ver%C3%B6ffentlicht-leitfaden-zur-durchf%C3%BChrung-von-fernbegutachtungen) veröffentlicht, welche bis auf weiteres die Vor-Ort-Begutachtungen ersetzen können. Erstbegutachtungen und fachliche Änderungen/Erweiterungen können nicht per Fernbegutachtung durchgeführt werden. Dieser Leitfaden regelt nur die Überwachungs- und Wiederholungsbegutachtungen der DAkkS zu den Konformitätsbewertungsstellen, bspw. der DQS. Die Fernbegutachtungen werden durchgeführt, solange die behördlichen Einschränkungen bei Reisen und sozialen Kontakten besteht. Ausschließlich die DAkkS-Verfahrensmanager entscheiden darüber, in welchem Fall Fernbegutachtungen durchgeführt werden können und laden dementsprechend die akkreditierten Stellen zu einer solchen Fernbegutachtung ein. Mit Datum vom 07.05.2020 hat die DAkkS weiterhin mitgeteilt, dass Fernbegutachtungen unter bestimmten Umständen nun auch für Erweiterungsanträge zum Einsatz kommen können.
  • Hinsichtlich der Arbeit der Prüfstellen verweist die DAkkS auf die Vorgaben der IAF ID3:2011. Dieses „Informative Dokument“ des „International Accreditation Forum“ gibt den Prüfstellen Rahmenbedingungen für das Verfahren in außergewöhnlichen Situationen wie höhere Gewalt. Dazu zählt laut DAkkS auch die COVID-19 Krise.
  • So umfassen die Empfehlungen der IAF ID3:2011 u. a. auch die Möglichkeit, dass anstehende Audits um bis zu 6 Monate zu verschieben, wenn in den vorangegangenen Audits hinreichend Evidenzen für das Funktionieren des Managementsystems gesammelt wurden.


Weiterhin hat das IAF eine COVID-19 FAQ publiziert in der u. a., auch auf die Frage des Umfangs von Remote-Begutachtungen eingegangen wird. Hier (https://iaffaq.com/2020/03/13/q6-is-the-limit-imposed-by-iso-iec-27006-maximum-30-of-remote-audit-still-valid/) heißt es, dass das IAF auch Remote-Begutachtungen von mehr 30% bis zu 100% befürwortet werden. Hier scheint also die IAF gedanklich etwas vor der DAkkS zu liegen. Dennoch ist es so, dass die Prüfstellen zunächst der DAkkS verpflichtet sind.
Damit wird offenbar den Prüfstellen ein gewisser Spielraum eingeräumt, den Sie in Abstimmungen auch nutzen sollten.

Hier noch einmal die wesentlichen Referenzen:

  • ISO 17021: Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren
  • ISO 19011: Leitfaden zur Auditierung von Managementsystemen
  • ISO 27006: Anforderungen an Institutionen, die Audits und Zertifizierungen von Informationssicherheits-Managementsystemen anbieten
  • IAF ID3:2011: Informative Document for Management of Extraordinary Events or Circumstances Affecting ABs, CABs and Certified Organizations

 

 

Leistungen
Ihr Partner für Informationssicherheit