Compliance-Lexikon · Praxis
Security Awareness – Praxis
Security Awareness ist im Audit ein klarer Pruefpunkt mit definierten Erwartungen. Der typische Befund: Konzept bekannt, Umsetzung dokumentiert, aber Evidence lueckenhaft. Was Auditoren wirklich verlangen, zeigt dieser Abschnitt.
Was Auditoren konkret prüfen
Bei einer Prüfung von Security Awareness prüft der Auditor Vollständigkeit, Aktualität und den Nachweis der Umsetzung. Das BAM-Objekt GOV-SA-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Dokument vorhanden, aber nicht durch das Leitungsorgan genehmigt
- Massnahmen umgesetzt, aber nicht nachweislich dokumentiert
- Jährliche Überprüfung versäumt
- Verantwortlichkeiten unklar oder nicht in Stellenbeschreibungen verankert
Praxis-Tipp
Für Security Awareness gilt: Auditoren prüfen nicht nur das Vorhandensein von Dokumenten, sondern deren Aktualität, formale Genehmigung und die Nachweise der Umsetzung. Ein Dokument von 2020 ohne seitdem aktualisiert ist in den meisten Fällen ein Befund.
Umsetzung Schritt für Schritt
Erster Schritt: Aktuellen Status prüfen – was ist vorhanden, was fehlt? Zweiter Schritt: Fehlende Dokumentation erstellen und formal genehmigen lassen. Dritter Schritt: Verantwortlichkeiten zuweisen und in Stellenbeschreibungen verankern. Vierter Schritt: Jährlichen Überprüfungsprozess etablieren. Fünfter Schritt: Evidence-Sammlung automatisieren, soweit möglich.
Evidence-Anforderungen im Audit
Der Auditor erwartet: datiertes, formal genehmigtes Dokument mit Versionshistorie, Nachweis der Kommunikation an alle betroffenen Personen, letztes Überprüfungsprotokoll und Massnahmenplan für identifizierte Lücken.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und ISO 27001 in 20 Minuten.
Die strategische Einordnung – warum Security Awareness langfristig mehr als eine Compliance-Pflicht ist – findet sich auf Ebene 3.