Support
Status
Shop
Um den Branchenstandard B3S WA abzubilden, habe ich die Controls gelöscht, die nicht im B3S WA zu berücksichtigen sind. Der Auditor prüft auch nur dem B3S WA ab und soll auch in den Reports nur diesen Anwendungsbereich sehen können.
Wenn nun die gesamte Institution zu bewerten ist, greift der B3S WA greift nicht.
Wir haben vor, für nicht NICHT-B3S WA-Assets die Anforderungen selbst zu definieren, die nach unserer Ansicht gelten sollen (Basis-, Standard- oder Hochverfügbarkeitsanforderungen aus dem IT-Kompendium - auch eine Mischung wäre möglich).
Das widerspricht aber den hinterlegten Controls. Was wär aus ihrer Sicht ein logischer Ansatz? Alle Controls wieder rein und nur über Scopes die Zuordnung realisieren?
Über die Löschung der nicht erforderlichen Controls konnte ich als ISB steuern, dass die Fachkollegen nur das bewerten bzw. verknüpfen, was auch erforderlich ist.