ISO27001 Audit Dokumentation

verinice – Einzelplatz und .PRO Feature Request
1

Ich würden mir eine Verknüpfungsmöglichkeit bei der Dokumentation von Audits mit den tatsächlichen Assets und Controls wünschen.

Der Bereich Audits im ISM View ermöglicht eine saubere Dokumentation aller Audithandlungen, Findings, Personen etc. Leider gibt es keine Funktion die bestehenden Assets, Controls, Personen etc. in ein Audit “hinein zu ziehen”. Es werden lediglich die gleichen Datentypen unterstützt, was bedeutet, dass ich die auditierten Controls, Assets, etc. ein weiteres Mal anlegen muss. Damit finde ich weder heraus, bei welchem Audit welches Control oder Asset geprüft wurde, weil diese Information bei dem tatsächlichen Asset nicht hinterlegt ist. Außer ich mache wieder eine Verknüpfung, was einen mehrfachen Pflegeaufwand bedeuten würde.

Einfach toll wäre, wenn ich in ein Audit die jeweiligen Assets und Controls reinziehen könnte, um sauber zu dokumentieren.

2

Hallo Bernhard,
da ist einiges möglich! Vorab wäre ein Beispiel nicht schlecht, daher habe ich einmal Screenshots von einem meiner Beispiele gemacht, in denen man die Verknüpfungen sieht, wie ich sie anlegen würde.

27kAudit
27kAudit.PNG576×649 34.1 KB

Zuerst das Auditelement, welches ich mit dem Asset verknüpfen kann, das ich beim Audit geprüft habe (wenn es mehr Assets werden, kann es hier schnell unübersichtlich werden).
Ebenfalls verknüpfe ich das Audit mit den ISO-Controls, die ich in dem Audit überprüft habe. Da es sehr viele sind, kann man entweder die Controls einzeln (im Bild A10.1.1 und A10.1.2) oder deren Gruppen (A10.1 Kryptogr…) verknüpfen.
Dazu kann ich das Audit mit einem Dokumentenelement verknüpfen, um den finalen Report abzubilden.
Standardmäßig verknüpfe ich auch alle Findings mit dem jeweiligen Auditelment, um mir später in Reports das Leben zu erleichtern.
Schließlich wird von mir auch der Auditor angefügt. Das kann man sich sparen, wenn man nur eine Person dabei hat, da es ein entsprechendes Feld im Auditelment geben müsste.

27kFinding
27kFinding.PNG575×597 28.7 KB

Schließlich noch ein beispielhaftes Finding (hier nur eine geringfügige Abweichung / GA). Das verknüpfe ich (wie oben erwähnt) mit dem Audit, aber auch mit dem ISO-Control (oder Mehrzahl), in dem ich ein Versagen festgestellt habe. Die Maßnahmen selbst verknüpfe ich natürlich auch, um die Verbesserungen zu tracken.

Ich bin auch gerade noch einmal meine SNCA.xml durchgegangen und bin überzeugt, dass alle diese Verknüpfungen von Haus aus gehen. Aber ich bin gespannt darauf, welche Änderungswünsche Du hast. Dann helfe ich sehr gern dabei und lerne vielleicht noch Tricks zu Audits :wink:

mit besten Grüßen

2 „Gefällt mir“
3

Vielen Dank Member123!

Auf die Idee das Audit Objekt zu verknüpfen bin ich noch nicht gekommen. Wäre ein gangbarer Weg. Mir hat die Sammlung der Auditobjekte in den jeweiligen Containern in Verinice recht gut gefallen, weil dann Ordnung herrscht und ich mich auf ein Audit vorbereiten und dann quasi als Checkliste die Punkte durchgehen kann. Wenn ich jetzt “nur” eine Verknüpfung zwischen Auditobjekt und den Controls od. Assets herstelle, wo dokumentiere ich dann die eigentliche Prüfung zu dem jeweiligen Objekt? Ich hab mir vorgestellt es wäre praktisch, wenn ich die jeweiligen Assets und Controls in die Ordner unter dem Audit Objekt ziehe, im Audit eins nach dem anderen prüfe und dokumentiere.

Wie bekommst Du dann die geprüften Objekte in den Auditbericht, wenn Sie nicht unter dem Scope des Audits angeführt sind?

lg
Bernhard