PRÜFUNGSBERICHT FÜR LDCC Vertraulich

PRÜFUNGSBERICHT FÜR LDCC

Vorbereitet von: Srinivasa Rajagopal K

Kundenname: Lake Dale Contact Center

Kundenvertreter : Clive Prichard

Stand: 20. September 2019

Prüfungszeitraum: 2-tägiges Audit am 16. und 17. September 2019

ZUSAMMENFASSUNG
Über LDCC

LDCC ist ein Call-Center-Spezialist, der im Auftrag verschiedener multinationaler und Blue-Chip-
Unternehmen in den Bereichen Finanzen, Personal, Versorgung und Vertrieb äußerst hochwertige
und preislich wettbewerbsfähige Kundenkontaktlösungen anbietet.

Das strategische Leitbild von LDCC

Bieten Sie Ihren Kunden:

 Ein ausgelagerter Service inklusive technischer Infrastruktur, Prozesskompetenz und

Managementerfahrung, jedoch zu geringeren Kosten und ohne langfristige Vertragsbindung
 Das höchste Maß an Integrität, Professionalität und Informationssicherheit durch unsere
eigenen externen Anbieter
 Eine sichere Umgebung und Best Practice, die der ISO 27001:2013 entspricht
 Angemessenes und wirksames Maß an Vertraulichkeit der Daten
 Geschäftskontinuität, die die Verfügbarkeit von Daten gewährleistet
 Informationssicherheit für die Integrität der Daten, die LDCC behält und bereitstellt

PRÜFUMFANG, ZIEL UND KRITERIEN

Umfang

Das Informationssicherheits-Managementsystem (ISMS) gilt für die Bereitstellung von

Telefondiensten, die Verwaltung von Informationen und Geschäftsunterstützungsdienste an
unserem einzigen Standort in Mumbai (INDIEN) gemäß der ISMS-SOA-Revision vom 3. April 2018.
Der Geltungsbereich dieses ISMS schließt alle IS-ausgelagerten Prozesse aus (da diese nicht von LDCC
kontrolliert werden).

Zielsetzung

 Bestimmung des Ausmaßes der Konformität des Managementsystems mit den Auditkriterien

Seite1 von 3
PRÜFUNGSBERICHT FÜR LDCC Vertraulich

 Bewertung der Fähigkeit des Managementsystems, die Einhaltung gesetzlicher und vertraglicher
Anforderungen sicherzustellen
 Um die Wirksamkeit von Managementsystemen gemäß dem Ziel zu bewerten und Bereiche für
potenzielle Verbesserungen zu identifizieren

Kriterien

 ISO/IEC 27001:2013

Teilnehmer des Prüfungsteams

NEIN. Name Rolle

1 Srinivas Teamleiter

Bewertungsteilnehmer

NEIN Name Bezeichnung Eröffnungstre Abschlussbesp Interview

. ffen rechung
1 Amanda Betriebsleiter  
French
2 Simon Lock Hausmeister  
3 Clive Prichard IS-Manager   
4 Clive Seite Verkaufsleiter 
5 John Bishop Leiter des IT-Teams  
6 Schwan CEO/Top-   
Management

Definition von Befunden:

Nichtkonformität : Nichterfüllung einer Anforderung.

Schwerwiegende Nichtkonformität: Nichtkonformität, die die Fähigkeit des Managementsystems

beeinträchtigt, die beabsichtigten Ergebnisse zu erzielen. In den folgenden Fällen können
Nichtkonformitäten als schwerwiegend eingestuft werden: Wenn erhebliche Zweifel daran
bestehen, dass eine wirksame Prozesskontrolle vorhanden ist oder dass Produkte oder
Dienstleistungen bestimmte Anforderungen erfüllen; Mehrere geringfügige Nichtkonformitäten im
Zusammenhang mit derselben Anforderung oder demselben Problem könnten auf einen
systemischen Fehler hinweisen und somit eine schwerwiegende Nichtkonformität darstellen.

Geringfügige Nichtkonformität: Nichtkonformität, die die Fähigkeit des Managementsystems, die

beabsichtigten Ergebnisse zu erzielen, nicht beeinträchtigt.

Verbesserungsmöglichkeit: Dabei handelt es sich um eine Tatsachenfeststellung, die von einem

Prüfer während einer Bewertung abgegeben und durch objektive Beweise untermauert wird und die
sich auf eine Schwäche oder einen potenziellen Mangel in einem Managementsystem bezieht, der,

Seite2 von 3
PRÜFUNGSBERICHT FÜR LDCC Vertraulich

wenn er nicht verbessert wird, in der Zukunft zu Nichtkonformität führen kann. Wir stellen
möglicherweise allgemeine Informationen über Best Practices in der Industrie bereit, es wird jedoch
keine spezifische Lösung als Teil einer Verbesserungsmöglichkeit angeboten.

Prüfungsergebnisse und Empfehlungen

NC- Finden Nichtkonfor Management- Empfehlung

Numme mität Standardklausel
r
NC001 Basierend auf der Wesentlich 6.1.3(f) Es ist die
Risikobewertungsvorlage ISO Genehmigung des
27001 – D13 – Ausgabe 1 Risikoverantwortlic
haben wir festgestellt, dass hen für den
einige der Informationssicher
„Risikoverantwortlichen“ heits-
nicht genehmigt wurden, Risikobehandlungs
insbesondere in den plan (RTP) und die
Abschnitten A1 und A18. Akzeptanz
Während des verbleibender
Prüfungsprozesses gab der Informationssicher
Managementvertreter an, heitsrisiken
dass der erforderlich.
Risikoverantwortliche die
Genehmigung nicht erteilt
habe, weil er beurlaubt sei
NC002 Das Statement of Wesentlich 6.1.3(d) Es muss eine
Applicability (SoA)-Dokument Anwendbarkeitserk
ist nicht wirksam. Im SoA- lärung erstellt
Dokument Nummer SoA – werden, die die
D14 – Ausgabe 1, das sich auf erforderlichen
den Vermögenswert und Kontrollen aus
nicht auf die Kontrolle Anhang A enthält.
bezieht.

Schlussfolgerungen der Prüfung

Das Prüfungsteam empfiehlt dem Managementbeauftragten (MR), sich mit den relevanten
Stakeholdern über die Korrektur und Korrekturmaßnahmen aller Feststellungen in Verbindung zu
setzen. Der MR muss sicherstellen, dass alle Genehmigungen des Risikoinhabers genehmigt und die
Risiken akzeptiert werden. Das Informationssicherheitsteam sollte bei der Umsetzung der Korrektur
und Korrekturmaßnahmen für die gemeldeten Nichtkonformitäten wirksam sein. Das Auditteam
stellte fest, dass während des Auditierungsprozesses mehrere Nichtkonformitäten festgestellt
wurden, und beschloss, die ISO 27001:2013-Zertifizierung nicht an LDCC weiterzuleiten, bis die
identifizierten Lücken und Nichtkonformitäten vom LDCC behoben wurden. Das Auditteam wird in
den nächsten 60 Tagen den Folgeauditprozess durchführen.

Seite3 von 3