Ist das gesamte Anwendungsportfolio erst einmal bekannt, kann anschliessend ein Audit durchgeführt werden. Ziel dieser Phase ist es, die Schwachstellen der Anwendungen auf Unternehmensebene zu ermitteln und auf dieser Grundlage die notwendigen und auf die Gesamtheit der ermittelten Schwachstellen abgestimmten Korrekturmassnahmen zu ergreifen.
In der Regel werden diese Audits in einem vierstufigen Verfahren durchgeführt:
- Umfang
In diesem ersten Schritt werden sämtliche beim Audit zu berücksichtigenden Anwendungen (d. h. der Umfang der Anwendungen) definiert. Dabei werden die Prozesse und die Fachbereiche der Organisation berücksichtigt.
- Klassifizierung der Risiken
Der zweite Schritt besteht darin, die Risikobereiche des Systems zu identifizieren und sie nach Risikoniveau und Handlungspriorität zu klassifizieren.
- Bewertungen und Tests
Diese Phase umfasst eine Reihe von Bewertungen, Tests (z. B. Pentests) und Kontrollen, bei denen Schwachstellen oder kritische Punkte (z. B. veraltete Anwendungen) des IT Systems aufgezeigt werden.
- Ergebnisse und Gegenmassnahmen
Abschliessend werden die Ergebnisse in Form eines Berichts zusammengefasst. Dieser Bericht enthält eine Liste der Korrekturmassnahmen, die zur Behebung der im Zuge des Audits festgestellten Schwachstellen und Mängel ergriffen werden sollten.
An dieser Stelle sei darauf hingewiesen, dass der Audit keinen Selbstzweck verfolgt, sondern aufzeigt, wo Sicherheitsdefizite bestehen und welche Korrekturmassnahmen zu ergreifen sind.
