Securance-iAP Prüfung & Auditierung

Prüfung & Implementierung

Wir machen Ihre Organisation audit-ready: von der GAP-Analyse über den Aufbau von IKS
bis zur unabhängigen Prüfung nach anerkannten Standards.
ISO 27001 · SOC 2 · ISAE 3402/3000 · BSI C5 · DORA/NIS2

Prüfung & Implementierung

Prüfung & Implementierung
– aus einer Hand

Jetzt Erstgepräch buchen
Wir machen Ihre Organisation audit-ready: von der GAP-Analyse über den Aufbau von IKS
bis zur unabhängigen Prüfung nach anerkannten Standards.
ISO 27001 · SOC 2 · ISAE 3402/3000 · BSI C5 · DORA/NIS2
Prüfung & Implementierung
– aus einer Hand

IT-Systeme verändern sich ständig – neue Technologien, organisatorische Anpassungen und immer ausgefeiltere Bedrohungen stellen Unternehmen vor große Herausforderungen. Kunden, Lieferanten, Behörden und Wirtschaftsprüfer erwarten den Nachweis verlässlicher Informationssicherheit und funktionierender Geschäftsprozesse.

Wir verbinden Prüfung, IKS-/ISMS-Aufbau, Implementierung wirksamer Kontrollen und Zertifizierungsbegleitung. So entstehen Systeme, die gesetzliche Anforderungen erfüllen, Audits bestehen und nachhaltig Mehrwert schaffen.

Unser Angebot

Unsere Expert:innen unterstützen Sie bei der Prüfung Ihrer IT-Umgebung auf Basis der gesetzlichen Vorgaben, entlang der aktuell gültigen internationalen und nationalen Prüfungsstandards, sowie bewährter Best Practices  – undiert durch langjährige Erfahrung. Darüber hinaus übernehmen wir die Implementierung wirksamer Kontrollen und begleiten Sie bis zum Zertifikat.

Wir arbeiten interdisziplinär: Informationssicherheit, IT-Audit, Datenschutz & Recht – für nahtlose Umsetzung und belastbare Prüfung.

Mit dem Outsourcing von Dienstleistungen stellt sich für Unternehmen immer die Frage, ob die Kundendaten bei der Verarbeitung durch den Outsourcing-Dienstleister sicher erfolgt und die Kundendaten angemessen geschützt sind.
Über eine Zertifizierung ihres Internen Kontrollsystems (IKS) nach einem anerkannten Standard können Outsourcing-Dienstleister ihren Kunden nachweisen, dass ein Internes Kontrollsystem mit angemessen ausgestalteten Kontrollen existiert (Typ I-Bericht) und dieses im Zeitverlauf auch wirksam ist (Typ II-Bericht).
Wir unterstützen Sie als Outsourcing-Dienstleister bei Prüfung Ihres Internen Kontrollsystems nach ISAE 3000, SOC 2 oder IDW PS 951​ und der Zertifizierung durch einen unserer Wirtschaftsprüfer.
Mehr erfahren über
Ob SaaS, PaaS oder IaaS – um auf dem Markt für Clouddienstleistungen zu bestehen und neue Kunden zu gewinnen, müssen Cloudanbieter nicht nur gute Cloudlösungen umsetzen, sondern insbesondere ihren aktuellen und potenziellen Kunden nachweisen, dass die Verarbeitung der Kundendaten in der Cloud sicher ist. Zur Vermeidung von Kunden-individuellen Audits können Cloudanbieter dies über eine entsprechende Zertifizierung des internen Kontrollsystems ihrer Cloudlösung durch einen Wirtschaftsprüfer auf Basis eines international anerkannten Standards nachweisen. Zur Umsetzung von Cloud-Security stehen mehrere Standards zur Verfügung, die gleichzeitig auch als Basis für die Prüfung und Zertifizierung von Cloud-Lösungen dienen können (BSI C5, CSA CCM, ISO27017/18​ und andere).
Wir führen Sie durch die Implementierung und Prüfung des Kontrollsystems für ihre Cloudlösung und unterstützen Sie bei der Herstellung von Cloud-Security nach den Vorgaben der einschlägigen Cloud Security Standards und der Zertifizierung durch einen unserer Wirtschaftsprüfer.
Mehr erfahren über

Unternehmen müssen ausgelagerte Dienstleistungen genauso wirksam kontrollieren wie eigens durchgeführte interne Prozesse. Cloudbasierte Softwarelösungen können für deutsche Kunden nach IDW PS 880 geprüft und eine entsprechende Softwarebescheinigung ausgestellt werden.

Für internationale Kunden bietet sich hierfür eher eine Softwareprüfung nach den Standards SOC 1 in Verbindung mit ISAE 3402 an. Hierbei wird geprüft, ob die Kontrollen des Dienstleisters sowie der Software insgesamt angemessen ausgestaltet (Typ I-Bericht) sowie im Zeitverlauf auch wirksam sind (Typ II-Bericht), um Risiken für die Rechnungslegung und Finanzberichterstattung der Kunden zu minimieren, welche die cloudbasierte Softwarelösung für ihre Geschäftsprozesse nutzen.

Wir unterstützen Sie bei der Prüfung Ihrer cloudbasierten Softwarelösung sowie des umgebenden internen Kontrollsystems nach SOC 1 / ISAE 3402 und der Zertifizierung durch einen unserer Wirtschaftsprüfer.
Mehr erfahren über
Im Rahmen der Prüfung des Jahresabschlusses durch Wirtschaftsprüfer ist nach ISA 315 (revised 2019) bei komplexen IT-Systemen  eine risiko-orientierte IT-Prüfung erforderlich, um Risiken für wesentliche Falschdarstellungen beim Jahresabschluss auszuschließen.
Die IT-Prüfung nach ISA 315 umfasst dabei i.d.R. mindestens eine Prüfung der Kontrollen auf Angemessenheit (Aufbauprüfung) sowie auf Wirksamkeit der wesentlichen Kontrollen. Darüber hinaus kann die Prüfung aber auch Datenanalysen zum vom Mandanten genutzten ERP-Systems umfassen, um die Integrität der Datenverarbeitung durch das ERP-System zu verifizieren.
Wir unterstützen unsere Kunden und Berufskollegen bei der Durchführung von IT-Prüfungen nach dem Prüfungsstandard ISA 315 (revised).
Für IT-Prüfungen außerhalb der Jahresabschlussprüfung und mit Fokus auf bestimmte Themen steht der Prüfungsstandard IDW PS 860 zur Verfügung. Eine Prüfung auf Basis dieses Standards kann sich dabei sowohl auf ein komplettes IT-System bzw. eine IT-Umgebung oder aber auf bestimmte Themenstellungen beziehen, wie z.B. auf Implementierungen unter Anwendung neuer Technologien und Trends:
  • Industrie 4.0
  • Big Data
  • Internet of Things (IoT)
  • Web 3.0
  • Blockchain
Da diese Themen zunehmend auch den Mittelstand betreffen, kann eine Prüfung und Auditierung der dafür erforderlichen IT-Umgebung einen maßgeblichen Beitrag zur Informationssicherheit und Prozesssicherheit für KMU leisten. Der genaue Prüfumfang richtet sich dabei aber immer nach den jeweils von Ihnen verfolgten Zielsetzung für die IT-Prüfung.
Wir unterstützen Sie bei der Absicherung Ihrer Risiken durch unsere Prüfungen auf Basis von IDW PS 860.
Externe Projektaudits bzw. projektbegleitende Prüfungen sind geeignet, durch den neutralen Blickwinkel eines externen Auditors Fehlentwicklungen zu vermeiden, Risiken zu minimieren und damit den Projekterfolg maßgeblich zu unterstützen. Der IDW hat dafür den Prüfstandard IDW PS 850 entwickelt, der die Eckpunkte für eine projektbegleitende Prüfung vorgibt.
Ob Migrationsprojekte, die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexerer Themen wie Blockchain-Technologie oder Künstliche Intelligenz – ein externes Risikomonitoring oder eine projektbegleitende Prüfung sichert den Erfolg Ihres Vorhabens.
Wir unterstützen Sie durch die Auditierung ihres Projekts vor und während der Umsetzung, haben die Informationssicherheit sowie die Umsetzungs-Risiken für Sie im Blick und übernehmen die Abnahme von Projektmeilensteinen oder des Gesamtprojekts.
Die Überprüfung der GoBD obliegt dem verantwortlichen Finanzamt und deren Prüferinnen und Prüfern. Im Steuerrecht gilt grundsätzlich zunächst die Annahme, dass die digitale Buchhaltung korrekt ist. Um bei der Prüfung durch das Finanzamt jedoch keine Überraschungen zu erleben, sollte das gesamte digitale Verfahren der Belegführung und Verarbeitung sowie die dabei eingesetzte Software auf Ordnungsmäßigkeit hin geprüft werden.
Wir unterstützen Sie bei der Prüfung ihrer Verfahren und Lösungen zur Belegführung und Verarbeitung und bescheinigen die GOBD-Konformität.
Mit einer Software-Prüfung und Bescheinigung nach IDW PS 880 wird nachgewiesen, ob die von Ihnen entwickelte oder eingesetzte Software bei sachgerechter Anwendung und Einrichtung den Kriterien der Ordnungsmäßigkeit entspricht. Mit dem Software-Testat kann die ordnungsmäßige Datenverarbeitung durch die Software nachgewiesen werden, die z.B. im Rahmen von Jahresabschlussprüfungen von Abschlussprüfern und Mandanten verifiziert werden muss. Darüber hinaus ist eine Software-Bescheinigung eine grundlegende Voraussetzung für den Erfolg der Vertriebsaktivitäten für Ihre Software.
Wir unterstützen Sie mit der Prüfung und Zertifizierung ihrer Software nach IDW PS 880.
Unabhängig von Unternehmensgröße, Anzahl der Standorte oder Branchenzugehörigkeit – immer wenn Daten verarbeitet werden, gilt es, Risiken für die Schutzziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) zu minimieren. Mit einer Zertifizierung nach DIN ISO/IEC 27001:2022 können Unternehmen durch eine unabhängige Prüfung nachweisen, dass ein dem Standard entsprechendes Informationssicherheits-Managementsystem (ISMS) etabliert ist und gelebt wird.
Wir bereiten Sie auf die Zertifizierung des ISMS Ihres Unternehmens auf Basis des aktuellen Standards DIN ISO/IEC 27001:2022 vor und zertifizieren das ISMS für den vorab definierten Geltungsbereich.
Mehr erfahren über
Manche deutsche Auftraggeber verlangen Zertifizierungsnachweise für das ISMS ihrer Kunden nach DIN ISO 27001 auf Basis BSI-Grundschutz. Mit der nach BSI-Vorgabe durchgeführten Prüfung und dem vom BSI ausgestellten Zertifikat kann nachgewiesen werden, dass ein dem BSI-Grundschutz entsprechendes ISMS betrieben wird und von einem unabhängigen Auditor geprüft wurde:
  • Definition des Informationsverbunds
  • Durchführung einer Strukturanalyse
  • Durchführung einer Schutzbedarfsfeststellung
  • Modellierung
  • Durchführung des IT-Grundschutz-Checks
  • Risikoanalyse
  • Konsolidierung der Maßnahmen
  • Umsetzung der IT-Grundschutzmaßnahmen
Wir bereiten Sie auf die Zertifizierung des ISMS Ihres Unternehmens nach DIN ISO/IEC 27001 auf Basis von BSI Grundschutz vor und zertifizieren zusammen mit unseren Partnern ihr ISMS für den vorab definierten Geltungsbereich in der Kern- oder Standardabsicherung.
Betreiber kritischer Infrastrukturen (KRITIS) sind gem. § 8a Abs. 3 BSIG verpflichtet, alle zwei Jahre prüfen zu lassen, ob ihre IT-Sicherheit dem Stand der Technik entspricht. Dies betriff Organisationen und Einrichtungen aus folgenden Sektoren:
  • Energie mit Elektrizität, Erdöl, Erdgas, Wasserstoff, Fernwärme und -kälte
  • Verkehr mit Straßenverkehr, Schienenverkehr, Luftverkehr, Schifffahrt
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung IKT-Dienste
  • Öffentliche Verwaltung: Behörden und Ämter auf nationaler und regionaler Ebene
  • Weltraum: Betreiber von Bodeninfrastrukturen
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Anbieter digitaler Dienste
  • Forschung
Wir prüfen die IT-Sicherheit Ihres Unternehmens in Zusammenarbeit mit unseren Partnern nach den Anforderungen des IT-Sicherheitsgesetzes und verifizieren, ob Ihre IT-Systeme, -Prozesse und -Komponenten dem Stand der Technik entsprechen.
Mehr erfahren über
Mit der Norm DIN EN 50600 wurde die erste europaweit geltende Norm verabschiedet, die umfassende Vorgaben für die Planung, den Neubau und den Betrieb eines Rechenzentrums definiert. Wesentliche Inhalte der Norm sind dabei folgenden Themen:
  • Allgemeine Konzeption
  • Gebäudekonstruktion
  • Stromversorgung
  • Regelung der Umgebungsbedingungen
  • Infrastruktur der Telekommunikationsverkabelung
  • Sicherungssysteme
  • Informationen für das Management und den Betrieb
  • Anforderungen an Leistungskennzahlen und Energie-bezogene Kennzahlen
RZ-Anbieter auf dem europäischen Markt werden von ihren Kunden zunehmend nicht nur nach der ISO 27001 Zertifizierung oder zusätzlich nach einem ISAE- oder SOC-Bericht gefragt, sondern auch nach der Zertifizierung der Konformität ihres Rechenzentrums nach DIN EN 50600.
Wir unterstützen Sie bei der Herstellung der Zertifizierungs-Readiness sowie bei der Zertifizierung ihres Rechenzentrums nach DIN EN 50600 oder dem darauf basierenden TSI-Standards.
Der Einsatz von Informationstechnik in Unternehmen des Finanzsektors hat eine zentrale Bedeutung und wird weiter an Bedeutung gewinnen. In mehreren fokussierten Verwaltungsanweisungen in Form von Rundschreiben hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jeweils konkrete Anforderungen definiert, die für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und der Unternehmens-Governance einzuhalten bzw. umzusetzen sind (BAIT, VAIT, KAIT, xAIT).
Wirtschaftsprüfer verifizieren im Rahmen ihrer Prüfungstätigkeiten die Einhaltung der Anforderungen, die sich aus den regulatorischen und gesetzlichen Vorgaben, z.B. Leitlinen EBA, ESMA, EIOPA, MaRiks, KaMaRisk, etc. sowie aus weiteren Konkretisierungen im Rahmen der xAIT ergeben.
Wir unterstützen unsere Berufskollegen bei risikobasierten IT-Prüfungen von Instituten und Unternehmen des Finanzsektors entlang der regulatorischen und gesetzlichen Vorgaben und unter Berücksichtigung des Proportionalitätsprinzips.

Unternehmen sind zunehmend gefordert, die Widerstandsfähigkeit ihrer Geschäftsprozesse sicherzustellen. Ein wirksames BCM gewährleistet die Fortführung kritischer Abläufe auch bei Ausfällen, Störungen oder Krisen. Maßgebliche Standards sind die ISO 22301 sowie der BSI-Standard 200-4.

Wir prüfen Ihr BCM-System im Hinblick auf:

  • Durchführung und Dokumentation von Risiko- und Business Impact Analysen
  • Angemessenheit der Business-Continuity-Strategie und Notfallpläne
  • Organisation, Ressourcen und Kommunikation im Krisenfall
  • Wirksamkeit von Tests, Übungen und kontinuierlicher Verbesserung

Wir zertifizieren die Funktionsfähigkeit und Angemessenheit Ihres BCM und geben Ihnen so Sicherheit gegenüber Management, Kunden, Aufsicht und Partnern.

Die Richtlinie für Tabakerzeugnisse (2014/40/EU) trat am 19. Mai 2014 in Kraft und wurde am 20. Mai 2016 in den EU-Mitgliedstaaten geltendes Recht. Sie enthält Vorschriften über die Herstellung, die Aufmachung und den Verkauf von Tabakerzeugnissen. Darin ist ebenfalls die Einführung für ein EU-weites System zur Überwachung und Rückverfolgung von Tabakprodukten zwecks Eindämmung des illegalen Handels mit Tabakerzeugnissen festgeschrieben.
Wir sind bei der EU gemeinsam mit unserem Partner als Prüfer gelistet und prüfen Ihr Unternehmen nach den Vorgaben aus 2014/40/EU sowie der weiterführenden Ausführungsbestimmungen.

Branchenfokus

  • Cloud & IT Services: DataCenter-Betreiber · SaaS-, Paas-Anbieter · Cloud- & IT-Umfeld
  • Finanzdienstleister & Versicherungen: Banking & Finanzdienstleister · Versicherung & Assurance
  • Öffentlicher und regulierter Sektor: Kritische Infrastrukturen · Gesundheit/MedTech · Öffentliche Verwaltung
  • Real Estate

Unser Vorgehensmodell

Von der GAP-Analyse bis zum Testat

Unser Vorgehen orientiert sich an Ihrer konkreten Problemstellung, Zielsetzung und dem aktuellen Ist-Zustand. Gemeinsam stimmen wir den Prüfungsprozess sowie den Weg zur jeweiligen Zertifizierung ab.

Unsere Expert:innen verfügen über langjährige Erfahrung in der Herstellung der Prüf- und Zertifizierungsfähigkeit und in der effizienten Durchführung von IT-Prüfungen – auch parallel zum Tagesgeschäft Ihrer IT-Abteilung.

Wir arbeiten transparent, eng und partnerschaftlich mit Ihnen zusammen und schaffen jederzeit Klarheit über den Status der Prüfungen und der angestrebten Zertifizierung.

Prozess Zertifizierungsaudit Sec-IAP

FAQ

Häufig gestellte Fragen und unsere Antworten darauf

Die BSI Zertifizierung wird vom Bundesamt für Sicherheit in der Informationstechnik durchgeführt und bestätigt die Einhaltung definierter IT-Sicherheitsstandards. Neben Zertifizierungen nach Common Criteria bietet das BSI auch weitere Prüf- und Testverfahren an, z. B. nach dem Cloud Computing Compliance Criteria Catalogue (C5). Für Unternehmen in Deutschland gilt eine BSI-Zertifizierung als verlässlicher Sicherheitsnachweis – national wie international.

Ein IT-Sicherheitszertifikat ist ein offizieller Nachweis, dass ein IT-Produkt, ein Dienst oder ein System bestimmten Sicherheitsanforderungen entspricht. Es wird nach einer unabhängigen Prüfung durch eine akkreditierte Stelle vergeben. IT-Sicherheitszertifikate helfen, Vertrauen bei Kunden und Partnern aufzubauen und sind in vielen Ausschreibungen und Compliance-Anforderungen Voraussetzung. Beispiele sind ISO 27001-Zertifikate, BSI C5-Testate oder künftig das europäische EUCC-Zertifikat.

Lassen Sie uns über Ihre Ideen sprechen.

Jetzt Kontakt aufnehmen