Moin, ich finde es ein wenig merkwürdig, dass es keinen vorgefertigten Report für die ISM gibt, dir mir einfach alle benutzen Controls, die für ein Audit benötigt werden ausgibt.
Zu meinem Fall:
Ich saß letzte Woche in einem Audit und zeigte den Auditoren das super Verinice und wie dort alles dokumentiert und beschrieben ist. Doch dann wollte der Auditor das ganze ausgedruckt haben, und ich stand da wie ein Depp.
Wie machen das die anderen Kollegen hier? Ich werde ja nicht der einzige sein, der die Controls mal gedruckt haben muss oder?
Der Report sollte dann meiner Meinung nach mindestens diese Felder enthalten:
für diese Anforderung ist doch die Report-Abfrage prädestiniert.
Gehen sie in verinice einmal über das Menü Datei > Report Abfrage > Neue Abfrage und klicken sie die Felder wie aufgeführt zusammen. Sie können die Abfrage speichern, später erneut laden und ausführen, wobei die Ausgabe nach csv direkt in z.B. Excel geöffnet werden kann.
Weitere Hilfestellung zum Abfrage Generator finden Sie auch im Handbuch.
zusätzlich zum Kapitel 12.2 “Report-Abfragen erstellen” im verinice Handbuch finden Sie eine kurze Zusammenfassung direkt in verinice. Diese können Sie unter Hilfe > Tutorials… > 6 BSI Modernisierter IT-Grundschutz > 6.9 Berichterstellung (> Verwendung des Abfrageassistenten) öffnen. Auch wenn sich die Zusammenfassung in den Spickzetteln des Modernisierten IT-Grundschutzes befindet ist sie trotzdem allgemeingültig für alle Perspektiven. Zudem erhalten Sie eine umfangreiche Präsentation der Funktionen der Report-Abfrage auf dem verinice.YouTube-Channel.
Hallo Tatjana, ich kann mich mit der Antwort -"…für diese Anforderung ist doch die Report-Abfrage prädestiniert." nicht wirklich anfreunden. Die ISA Berichte sind einfach nicht gut und die Informationen möchte ich in einem richtigen Audit-Bericht sehen und nicht erst zusammenklicken. Zumal in den ISA-Reports ausschlißlich die Controls zu sehen sind und nicht die Audit-Handlungen, Audit-Findings und Audit Nachweise. Wird es zukünftig hier einen Audit-Report geben?
bisher ist ein solcher Standard-Report nicht angedacht. Allerdings würde ich gerne dieses Thema näher anschauen und diskutieren wollen. Dafür wären genaue Anforderungen an so einen Report notwendig.
Können Sie hier genauer skizzieren wie der Report aussehen bzw. was dieser enthalten sollte?