Die Publikationen des IIR und auch die des IDW sind dem BSI bekannt. Wesentliche dort enthaltene Grundsätze zur IS-Revision sind auch im Leitfaden berücksichtigt. Das im Leitfaden beschriebene Vorgehen richtet sich konkret an der IT-Grundschutz-Vorgehensweise aus, so dass der Leitfaden insbesondere für die IS-Revision in Bundesbehörden geeignet ist.
Wenn die Vorgehensweise und die Dokumentation des IT-Sicherheitsbeauftragten bei diesen Prüfungen den Anforderungen des Leitfadens "Informationssicherheitsrevision (IS-Revision) auf der Basis von IT-Grundschutz" genügen und eine unabhängige Einbettung des IT-Sicherheitsbeauftragten in die Aufbauorganisation der Institution gewährleistet ist, können die hieraus gewonnenen Erkenntnisse mitberücksichtigt werden. Hierbei ist jedoch zu beachten, dass der Baustein B 1.0 "IT-Sicherheitsmanagement" in jedem Falle durch einen unabhängigen Revisor und nicht durch den IT-Sicherheitsbeauftragten selbst geprüft werden muss.
Soweit in einer zu prüfenden Institution bereits ein ISMS nach den BSI-Standards etabliert ist, sollten lediglich überschaubare organisatorische Aufwände (z. B. Terminkoordinierung Bereitstellung von Arbeitsmitteln) entstehen.
Sofern der IT-Sicherheitsbeauftragte und die Mitarbeiter der Innenrevision über die notwendigen Voraussetzungen gem. Leitfaden verfügen (fachliche Kompetenz, persönliche Eignung, Unabhängigkeit etc.), können sich diese grundsätzlich bei Prüfungen ergänzen. Dies ist jedoch abhängig von den spezifischen Gegebenheiten in der Institution und sollte immer im Einzelfall betrachtet und dann individuell im Revisionshandbuch der Institution definiert werden.
Sind einzelne Informationsverbünde einer Institution bereits nach ISO 27001 auf der Basis von IT-Grundschutz zertifiziert, sollten Re-Zertifizierung und IS-Revision für diese nach Möglichkeit zusammen durchgeführt werden. Erkenntnisse aus Überwachungsaudits oder dem Zertifizierungsverfahren können für die IS-Revision genutzt werden.
Nein! Da empfohlen wird, immer eine IS-Kurzrevision durchzuführen, die ein Votum über den sinnvollen Beginn einer Querschnittsrevision abgibt, ist eine Basisrevison als Rückfallposition entbehrlich.
