Die Informationssicherheitsrevision (IS-Revision) untersucht regelmässig die Lage der Informationssicherheit einer Organisation. Grundlage des Verfahrens ist der IT-Grundschutz des BSI. Im Gegensatz zu einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist für eine erfolgreiche IS-Revision jedoch keine vollständige Umsetzung des IT-Grundschutzes erforderlich.
Die Durchführung von IS-Revisionen ist für Bundesbehörden durch den Umsetzungsplan Bund (UP Bund) verpflich-tend und muss alle zwei Jahre geschehen. Der UP Bund beschreibt, wie die Vorgaben des nationalen Plans für den Schutz von Informationsinfrastrukturen (NPSI) in Bundesbehörden umzusetzen sind.
Folgende Arten von IS-Revisionen sind möglich:

1. IS-Kurzrevision
   Die IS-Kurzrevision verschafft dem IS-Management mit wenig Aufwand einen Überblick über den Sicherheitsstatus beim Auftraggeber. Betrachtet werden Aspekte aus dem IT-Grundschutz, die eine wesentliche Grundlage für Informationssicherheit bilden und sich aufgrund von Erfahrungswerten als problembehaftet erwiesen haben (z. B. Sicherheitsorganisation, Umgang mit mobilen Datenträgern). Die IS-Kurzrevision betrachtet dabei die gesamte Institution.

2. IS-Querschnittsrevision
   Eine IS-Querschnittsrevision betrachtet nach einem risikobasierten Ansatz wichtige Teile der IT-Struktur einer Organisation. Grundlage der Prüfung sind die jeweiligen Bausteine der IT-Grundschutzkataloge. Dieses Vorgehen schafft einen vollständigen Überblick zur Sicherheitslage in den relevanten Bereichen einer Organisation. Es setzt eine begonnene IT-Sicherheitskonzeption nach BSI Standard 100-2 voraus, da die Referenzdokumente zur IT-Struktur, dem Schutzbedarf und der Modellierung des Informationsverbunds vor Beginn der Prüfung vorliegen müssen.

3. IS-Partialrevision
   
   Eine IS-Partialrevision beschränkt sich auf einen speziellen Ausschnitt der Institution. Die Prüftiefe ist wesentlich größer als bei der IS-Kurzrevision. Sie ist prädestiniert für die IS-Revision von kritischen Geschäftsprozessen. Da sich eine IS-Partialrevision auf bestimmte IT-Verfahren beschränkt, werden auch nur die damit verbundenen Systeme und die hierfür anzuwendenden Bausteine des IT-Grundschutzes betrachtet. Abhängig vom definierten Prüfumfang kann bei einer IS-Partialrevision eine stichprobenbasierte Prüfung oder eine vollständige Prüfung aller zutreffenden Maßnahmen sinnvoll sein. Darüber hinaus gelten die gleichen Regelungen und Abläufe wie bei der IS-Querschnittsrevision.

Ich führe IS-Revisionen in allen drei Kategorien durch, je nach Prüfgegenstand auch gemeinsam mit technischen Experten. Die Ergebnisse werden in der seitens des BSI vorgegebenen Form dokumentiert und auf Wunsch in Form von zielgruppenorientierten Workshops erläutert.