Database Reference
In-Depth Information
Anhand der Vorgaben dieser Audit-Agenda muss in den auditierten Bereichen eine
entsprechende logistische Vorbereitung stattfinden. Diese sollte analog des Gover-
nance Models an diejenigen DSMS-Akteure delegiert werden, welche direkt in den
Audit-Lokationentätigsind. FüreinenreibungslosenAuditmüssendabeigeeigneteRäum-
lichkeitenreserviertwerden. DabeiistaufhinreichendeAusstattungbezüglichGrößesowie
Kommunikations- und Präsentationsmedien zu achten. Die Auditees müssen eingeladen
werden: Dies muss in revisionssicherer Art und Weise geschehen und es muss daraus
hervorgehen, dass der Audit-Termin hohe Priorität hat.
Eine vorausschauende Planung empfiehlt sich insbesondere im Hinblick auf
teilnehmende Manager, da deren Zeit erfahrungsgemäß besonders knapp ist.
Das Audit-Vorhaben als solches muss zudem im gesamten Audit-Bereich verkündet wer-
den, damit bei der Vor-Ort-Begehung keine Überraschungen auftreten. Werden auch
speziellgeschützteRäumeauditiert(z.B.ServerräumeoderRechenzentren), musssicherge-
stelltsein, dassautorisiertesPersonalbereitstehtumdenZutrittzuermöglichen. Esistauch
zu empfehlen, den Empfangsbereich und das Sicherheitspersonal vorab zu informieren, da
diese Bereiche durchaus Gegenstand eines Audits sein können.
5.2.9.1.3 Einführungsgespräche
Zur Vorbereitung der Auditees empfehlen sich zeitnahe Einführungsgespräche mit den
lokalen DSMS-Akteuren und dem Management, um den Ablauf des Audits zu erläu-
tern. Dazu sollten aus der Audit-Checkliste einige Beispielfragen für eine Mustercheckliste
entnommen und diese dann vorgestellt werden, um so den Auditees ein Bild über den
Audit-Verlauf zu vermitteln. An dieser Stelle sollte auch die Teilnahme der Auditees (auch
der Mitarbeiter) an den einschlägigen Trainings geprüft werden: Es macht nämlich keinen
Sinn, untrainierte Auditees zu befragen und so beide Seiten mit einem unbefriedigenden
Ergebnis zurückzulassen. Die Auditees sollten ferner noch auf die wichtigsten Dokumen-
te mit den Audit-Kriterien (Datenschutz-Policy, DSMS-Handbuch, bereichsspezifische
Richtlinien und Arbeitsanweisungen, Rollenkonzepte etc.) hingewiesen werden, um an-
schließend beim Audit direkt in die Materie einsteigen zu können. Ob die Auditees sich
auf die Audits vorbereiten sollten, ist unterschiedlich zu beantworten:
•
DSMS-Akteure, die als Auditees auftreten, sollten sich detailliert vorbereiten, indem sie
über ihre Tätigkeit eine Zusammenfassung erstellen, welche sie im Audit präsentieren
können. Inhaltlich sollte diese Zusammenfassung die DSMS-Tätigkeiten beschrei-
ben, die Meetingstruktur erläutern und auch einen Ausblick auf geplante Aktivitäten
der nächsten Monate geben. Ebenfalls sollten (bei wiederholten Audits) die vorge-
nommenen Verbesserungsmaßnahmen zwischen den einzelnen Audits beschrieben
werden.
•
Bei Mitarbeitern ist es dagegen meist sinnvoller, wenn diese sich nicht umfassend
vorbereiten: HierstehtnämlichdasErfragenderbetrieblichenRoutineimVordergrund.
Search WWH ::
Custom Search