Database Reference
In-Depth Information
Tätigkeit herausziehen kann. Ebenfalls wird im Gespräch festgestellt, dass der Mit-
arbeiter entgegen den Vorgaben der einschlägigen Arbeitsanweisungen hochsensible
Kundendaten in den entsprechenden Notizfeldern des neuen CRM-Systems vermerkt.
Beim anschließenden Rundgang durch das Büro wird festgestellt, dass auch andere
Mitarbeiter diese Möglichkeit nutzen. Die Datenschutzkoordinatoren dokumentieren
die Ergebnisse in den Checklisten sowie über Screenshots.
SAP
Bei SAP werden die Audits vom Security & Data Protection Office ausgeführt. Der
Ablauf eines Audits orientiert sich dabei an der bereits oben unter Abschn. 5.2.9.1.3
dargestellten Audit-Agenda unter Heranziehung der ebenfalls beschriebenen Audit-
Checklisten. Die Checklisten werden dabei je nach auditierter Lokation abgewandelt.
Gleiches gilt, wenn für eine Lokation ein Remote-Audit durchgeführt wird, für den die
Checkliste um Fragen ergänzt werden muss, die sonst über die Ortsbegehung durch
den Auditor geklärt würden.
5.2.9.3 Nachbereitung
5.2.9.3.1 Audit-FeststellungundAbleitenderAudit-Schlussfolgerungen
Auf Basis der Audit-Nachweise kann der Auditor meist sehr schnell feststellen, inwieweit
ein Audit-Kriterium erfüllt worden ist oder nicht. Zu unterscheiden ist zwischen vier
verschiedenen Feststellungsarten:
•
Eine
kritische Abweichung
liegt dann vor, wenn ein Audit-Kriterium (und damit
eine Anforderung an das DSMS ) nicht ausreichend umgesetzt worden ist und da-
mit kein funktionierendes DSMS vorliegt oder das DSMS in entscheidenden Teilen
nicht funktioniert. Als Schlussfolgerung sind hier zwingend und umgehend Anpassun-
gen vorzunehmen. Beispiel: Die installierten Maßnahmen zur Zugriffskontrolle greifen
nicht und müssen korrigiert werden. In der Regel sind bei kritischen Abweichungen
Nach-Audits von Nöten, in welchen die Verantwortlichen innerhalb von wenigen Ta-
gen die Abschaffung des Mangels oder zumindest einen entsprechenden Aktionsplan
nachweisen müssen.
•
Eine
Nebenabweichung
liegt dann vor, wenn die Abweichung von einer Anforderung
als nicht so schwer eingestuft wird. Auch hier müssen Anpassungen angenommen
werden. Beispiel für eine Nebenabweichung: Die Zugriffskontrolle ist wirksam, je-
doch nicht dokumentiert. Die Unterscheidung zwischen kritischer Abweichung und
Nebenabweichung ist dabei fließend und verlangt einen erfahrenen Auditor.
•
Eine
Beobachtung
spricht der Auditor dann aus, wenn er keinen Nachweis für eine
Abweichung finden konnte, eine solche aber für wahrscheinlich hält bzw. er noch
Verbesserungspotential in der entsprechenden Umsetzung erkannt hat. Beispiel: Die
Search WWH ::
Custom Search