deDeutschland
0
0
deDeutschland
ISO 42001 Audit
Ist dein KIMS zertifizierungsreif?

Home > Beratung > ISO 42001 Audit

Ist dein KI-Managementsystem ISO 42001 konform?

Prüfe die Konformität und Wirksamkeit deines KI-Managements nach ISO/IEC 42001. Ein ISO/IEC 42001-Zertifikat bescheinigt einer Organisation, dass sie die notwendigen Rahmenbedingungen für einen sicheren, effektiven und verantwortungsvollen KI-Einsatz definiert und etabliert hat. Außerdem bescheinigt es, dass sie diese Rahmenbedingungen ausreichend und angemessen kontrolliert und kontinuierlich verbessert und dazu in der Lage ist, mit Chancen und Risiken der KI-Technologie umzugehen. Dies ist für den langfristigen Erfolg aller Organisation von hoher Wichtigkeit. Das Zertifikat vermittelt zudem allen interessierten Kunden das oft entscheidende Vertrauen in die Organisation.

Was ist ISO/IEC 42001?

ISO/IEC 42001 ist der erste international anerkannte Standard zur Einführung und zum Betrieb von KI-Managementsystemen (KIMS). Organisationen aller Art und Größe können ihr KIMS – also ihre Leitlinien, Prozesse, Verfahren, Maßnahmen und Fähigkeiten im Bereich der Künstlichen Intelligenz – nach diesem Standard zertifizieren lassen.

  • Audit-Ziele

  • Schnelle und kostengünstige Messung des Konformitätsgrades

  • Identifikation von Lücken (Gaps) im KIMS mit detailliertem Bericht

  • Planungsgrundlage durch konkreten und pragmatischen Maßnahmenkatalog zum Erreichen der Zertifizierungsreife

Wozu dient ein KIMS-Audit?

Ein internes Audit nach ISO/IEC 42001 unterstützt dich bei deinem Zertifizierungsvorhaben. Es klärt, inwieweit die Anforderungen des Standards erfüllt sind und ob eine Zertifizierung bereits möglich ist. Zum Schließen der Lücken geben unsere Spezialisten konkrete Handlungsempfehlungen für den direkten Weg zur erfolgreichen Zertifizierung.

Was prüft das ISO/IEC 42001-Audit?

Es prüft die internen und externen Vorgaben (KI-Richtlinien, Prozessbeschreibungen, Arbeitsanweisungen) und weitere relevante Dokumente auf:

  • Existenz und Gültigkeitsbereich: Gibt es alle notwendigen Dokumente?
  • Institutionalisierungsgrad: Wie bekannt sind die Vorgaben? Werden sie eingehalten?
  • Aktualität und Vollständigkeit

Es prüft die verschiedenen KI-bezogenen Maßnahmen auf

  • Vollständigkeit: Sind alle Maßnahmen beschrieben?
  • Sinnhaftigkeit:  Sind alle Maßnahmen im Sinne der Ziele richtig entworfen?
  • Implementierungsgrad: Sind alle Maßnahmen auch umgesetzt?

Es prüft die Rolle der Organisationsleitung:

  • Rückhalt in der Geschäftsführung und IT-Leitung
  • Definition von Verantwortung für das KIMS

Es prüft die kontinuierliche Verbesserung des KIMS:

  • Management Review
  • Internes Audit
  • Nachverfolgung der gefunden Lücken

Was erhältst du?

  • Transparenter Bericht mit allen Feststellungen und Schlussfolgerungen
  • Konkreter und pragmatischer Maßnahmenkatalog für die notwendigen Verbesserungen
  • Priorisierung der Maßnahmen in kurz-, mittel- und langfristige Verbesserungen
  • Präsentation der Ergebnisse bei deinem Unternehmen vor Ort
  • Optional: Coaching zur Umsetzung der notwendigen Maßnahmen

Kostenlose Erstberatung

Vereinbare mit uns einen Termin für ein ganz unverbindliches Erstberatungsgespräch, damit wir deinen Bedarf genau verstehen können, unter +49 89 – 44 44 31 88 0 oder über unseren Anfrageservice:

Jan-Philipp Starke

Jan-Philipp ist Experte für Künstliche Intelligenz und und Informationssicherheit beim mITSM. Er hat mehrjährige Praxiserfahrung aus verschiedenen Unternehmen der Software-Branche sowie einen rechtswissenschaftlichen Hintergrund im IT- und Sicherheitsrecht.

Wie ist die Vorgehensweise?

Das Audit verläuft in sechs aufeinanderfolgenden Phasen und beansprucht abhängig von Scope/Betrachtungsumfang 5-9 Arbeitstage.

  • 1. Phase: Planung der Analyse

    Im ersten Schritt werden im Gespräch mit dir die zu auditierenden Bereiche und Prozesse festgelegt. Dies erfolgt unter Berücksichtigung des Umfangs bzw. Anwendungsbereichs (Scope) und der Ziele der Analyse. Gegenstand der Vorbesprechung ist zudem eine Abstimmung über die Prüfkriterien. Der Umfang beschreibt Ausmaß und Grenzen der Überprüfung, wie etwa physische Standorte und Organisationseinheiten, zu überprüfenden Tätigkeiten und Prozesse im Rahmen des Managementsystems und den von der Überprüfung abgedeckten Zeitraum. Die Kriterien bilden die Referenz, gegen welche die Konformität bzw. der Reifegrad festgestellt werden soll. Im Anschluss daran wird eine Liste der für die Dokumentenprüfung erforderlichen Dokumente und Aufzeichnungen erstellt.

  • 2. Phase: Prüfung der Dokumentation

    Die zuvor festgelegten Dokumente wie zum Beispiel Leitlinien (Policy), Prozessbeschreibungen, Maßnahmenpläne oder Aufzeichnungen über Ereignisse und Störungen werden ausgiebig gesichtet und analysiert. Bereits an dieser Stelle werden durch das mITSM die späteren Interviewpartner identifiziert. Diese Leistung erfolgt „off-site“ und nimmt je nach Umfang (Scope) in der Regel einen halben Tag bis Tag in Anspruch. Die Ergebnisse der Dokumentenprüfung fließen in die nächste Phase ein, da sich hieraus in der Regel Rückschlüsse über eine sinnvolle Schwerpunktsetzung bei den Vor-Ort-Aktivitäten ergeben.

  • 3. Phase: Erstellung des Auditplans

    Nach Abschluss der Dokumentenprüfung wird ein strukturierter Plan erstellt, der alle relevanten Rahmendaten der Überprüfung zusammenfasst und eine detaillierte Liste der Kriterien und den Zeitplan für die weiteren Schritte enthält. In gemeinsamer Abstimmung mit dir werden die Interviewpartner für die Vor-Ort Aktivitäten bestimmt und der Zeitrahmen dafür festgelegt. Das Team des mITSM wird alle relevanten Arbeitsdokumente wie Checklisten und Fragelisten zusammenstellen. Die Erstellung des Plans und der Arbeitsdokumente nimmt etwa einen halben Tag in Anspruch und erfolgt „off-site“. Absprachen können telefonisch oder per E-Mail erfolgen.

  • 4. Phase: Vor-Ort-Aktivitäten

    Die Vor-Ort-Aktivitäten werden von einem erfahrenen, entsprechend ausgebildeten und zertifizierten Prüfer bzw. Lead-Auditor koordiniert und durchgeführt. Wesentliches Ziel ist das Erfassen und Verifizieren von Informationen. Hierzu werden Interviews geführt, weitere Dokumente und Aufzeichnungen gesichtet und Beobachtungen gemacht. Dies alles erfolgt stichprobenartig mit dem Ziel, ein umfassendes und der Realität entsprechendes Bild der Situation zu zeichnen. Die Vor-Ort-Aktivitäten können einen oder mehrere Tage – in Abhängigkeit vom Umfang der Überprüfung – beanspruchen.

  • 5. Phase: Auswertung der Ergebnisse und Berichterstellung

    Nachdem alle ausgewählten Bestandteile des Managementsystems betrachtet und die Gespräche mit den Interviewpartnern durchgeführt wurden, erfolgt die Auswertung der Ergebnisse, indem aus dem Feststellungen Schlussfolgerungen gezogen werden. Diese werden in einem aussagekräftigen Auditbericht zusammengetragen und dem Kunden zur Verfügung gestellt.

  • 6. Phase: Präsentation und Festlegung der Folgemaßnahmen (optional)

    Auf Basis des erstellten und dir übergebenen umfassenden Berichtes werden die wichtigsten Informationen für die Präsentation bei dir vor Ort zusammengefasst. Es werden der Erfüllungsgrad der überprüften Bereiche und Prozesse sowie die von mITSM vorgeschlagenen Verbesserungsmaßnahmen dargestellt und erläutert.

Das mITSM ist Partner der Allianz für Cyber-Sicherheit von BSI und BITKOM und Kooperationspartner der TÜV SÜD Management GmbH.

+49 89 - 44 44 31 88 0 Chat starten
4.9
Basierend auf 120 Rezensionen
powered by Google