Die Vorgehensweise folgt einem …
… bewährten systematischen Prüfansatz. Dieser basiert auf einem standardisierten Prüfungskern und dem Bedarf des Kunden, seine Kontrollen individuell anzupassen. Die Prüfung erfolgt in vier Phasen und hat zwei Dimensionen: Organisation und Technik.
Festlegung des Prüfungsumfangs (Scoping)
In Abstimmung mit dem potenziellen Kunden wird ein detailliertes Scoping vorgenommen. Dieses beinhaltet den Umfang der Prüfung. Aus dieser gehen Machbarkeit, Aufwand und Durchlaufzeit hervor. Sollte auf Basis dessen eine weiterführende Prüfung beauftragt werden, wird ein Prüfprogramm inkl. Prüfplan erstellt.
Befundaufnahme (Assessment)
In der Phase, die sich an international anerkannten Standards orientiert, werden organisatorische und technische Maßnahmen geprüft. Dabei werden immer ein Dokumentationsaudit mit Feststellung zu Verpflichtungen formaler Natur wie auch ein „Proof-of-Design“ der getroffenen Maßnahmen und ein Konformitätsaudit „Proof-of-Effectiveness“ durchgeführt. Basis sind Testierungen und Stichproben bei Technik und Prozessen.
Die gewonnenen Erkenntnisse werden nachvollziehbar in einem Bericht zusammengefasst und hinsichtlich ihres Risikos bewertet. Im Zuge dieser Phase werden die Ergebnisse an die zuständige Stelle des geprüften Unternehmens übergeben und mit den verantwortlichen Personen besprochen, mit dem Ziel Handlungsempfehlungen abzuleiten.
Nachbesserungen (Remediation)
In dieser Phase wird dem geprüften Unternehmen die Möglichkeit gegeben, etwaige Mängel zu beheben. ZTP.digital unterstützt in dieser Phase bei der Umsetzung der Handlungsempfehlungen, soweit es mit ihrer Rolle als Auditor vereinbar ist. Anschließend werden Behebungen erneut geprüft und gegebenenfalls in einem finalen Audit verifiziert.
Gutachten (Expertise)
Auf Basis des Befundes wird ein Prüfbericht erstellt. Dieser resultiert in einem Gutachten, das die gewonnenen Erkenntnisse im Licht der gesetzlichen Rahmenbedingungen darstellt. Dieses Gutachten bestätigt final, ob die gegebenen Anforderungen an die geprüfte Organisation erfüllt wurden. Dies geschieht im Rahmen der Befugnis der Ziviltechnikergesellschaft für Informationstechnologie und Cyber-Sicherheit. Der Befund wird im Gutachten zu einer Urkunde mit erhöhter Beweiskraft ausgefertigt, gesiegelt und elektronisch signiert.