IT Security - Das Verfahren

Die Evaluation der IT-Sicherheit von Versicherungsunternehmen ist angelehnt an die ISO Norm 27001 ff.
Sie beurteilt die IT-Sicherheit und macht sie vergleichbar. Neben der Beurteilung der Ist-Situation werden Empfehlungen und Anregungen für evtl. Anpassungsmaßnahmen abgeleitet. So sehen Sie, wo Sie stehen und was ggf. noch verbessert werden kann.

Drei Stufen können genutzt werden:

IT-Security-Check: hierbei wird die VAIT-Konformität unabhängig geprüft und dokumentiert (BaFin Vorgabe)

IT-Security-Audit: umfassender und unabhängiger Evaluationsprozess, der in Anlehnung an ISO Standards durchgeführt wird und zu einem anerkannten IT Sicherheitssiegel führt. Der Prozess dient auch zur Vorbereitung auf eine Zertifizierung nach DIN ISO 27001

IT-Zertifizierung nach ISO Norm 27001 ff: die AMS bereitet sie umfassend, aber effizient auf die Zertifizierung vor, die dann durch eine unabhängige Zertifizierungsstelle durchgeführt wird. Die Vorbereitung wird durch geprüfte Lead Auditors begleitet.

Das AMS IT Security Audit umfasst folgende Schritte:

  • Mittels eines standardisierten Anforderungstools werden Informationen von dem Versicherungsunternehmen angefordert
  • Während eines Pre-Audits in den Räumen des Versicherers werden offene Fragen zu den Audit-Anforderungen besprochen und ein einheitliches Verständnis der unternehmensindividuellen IT-Infrastruktur/-Sicherheitsphilosophie geschaffen
  • Nach dem Pre-Audit, währenddem oft noch weitere Unterlagen zur Verfügung gestellt und Fragen geklärt werden können, sichtet das Team der Auditoren die Unterlagen und bereitet das Haupt-Audit vor
  • Das Haupt-Audit findet in der Regel ein paar Wochen nach dem Pre-Audit ebenfalls vor Ort statt. Auf der Agenda stehen Interviews mit den Verantwortlichen, eine Begehung der Räumlichkeiten und eine Inaugenscheinnahme der IT des Versicherers
  • Die Ergebnisse werden durch die Auditoren auf einer standardisierten, fünfstufigen Reifegradskala bewertet und in einem Bericht zusammengefasst
  • Nach erfolgreichem Abschluss der Evaluation erhält der Versicherer (optional) ein anerkanntes Assekurata-Siegel für die Kommunikation des Beurteilungsergebnisses in der Öffentlichkeit


Das AMS-IT-Security-Audit wird nach 12 und 24 Monaten im Rahmen eines Reviews überprüft.

Die Bewertung

Die Ergebnisse der einzelnen Prüfpunkte werden jedes für sich auf einer fünfstufigen Reifegrad-Skala eingeordnet, aggregiert und zu einem Gesamturteil (Gesamtreifegrad) zusammengefasst.
Ab einem Gesamturteil von mindestens Reifegrad 3 erhalten die Unternehmen die Möglichkeit, mit dem  IT-Sicherheitssiegel der Assekurata ihr positives Ergebnis nach außen zu dokumentieren.

Weitere Informationen und Veröffentlichungen finden Sie unter www.it-sicherheitssiegel.de.