Nach DER.3.2.A4 muss die Revision mindestens alle drei Jahre erfolgen. Wie ist die „best practice“? Wo sollen Revisionsdaten /Prüfungsstatements in verinice eingetragen werden? Sollten Kommentare (geprüft am …) in das Feld Umsatzungshinweis eingetragen werden, auch wenn die Umsetzung nicht geändert wurde?
Das lässt sich nicht wirklich im jeweils bestehenden IV abbilden. Je nach Umfang des bestehenden IVs lege ich entweder einen neuen IV an und kopiere die zu prüfenden IT-Objekte rein, oder kopiere den kompletten IV und schmeiße die nicht benötigten Teile raus. Dann ziehe ich die IS-Revision wie ein Grundschutzaudit in dem „neuen“ IV durch und dokumentiere in den geprüften Anforderungen jeweils im Abschnitt Grundschutz Audit. Danach den Report ITGS-Auditbericht gezogen und die Ergebnisse in die Mustervorlage des BSI übertragen.
Einen passenden Report auf Basis des Musterberichtes des BSI für IS-Revisionen gibt es nicht.
Das Thema ist leider zu exotisch als dass es Programmiertätigkeiten im verinice rechtfertigen würde. Ich kenne aber auch kein Tool am Markt, mit dem dies besser zu machen wäre.
@mflue Wir sollten mal überlegen, ob sich im Grundschutz nicht auch eine Audit-Struktur wie in der ISM-Perspektive sinnvoll wäre. Schließlich müssen wir auch beim Grundschutz interne Audits durchführen. Dies könnte dann auch für IS-Revisionen verwendet werden.
für die Revision wurden in verinice extra Felder hinzugefügt. Diese sind bei Anforderungen, Maßnahmen und im Zielobjekt Dokument zu finden. Dabei können Sie die letzte und die nächste Revision dokumentieren. Zusätzlich haben Sie die Möglichkeit Notizen/Bemerkungen (z.B. was und wie geprüft wurde) einzutragen. Standardmäßig gibt es keinen Report der diese Informationen beinhaltet. Allerdings können Sie mit der Report-Abfrage oder dem v.Designer eigene Berichte erstellen. Wie Sie die Report-Abfrage nutzen können, erfahren Sie in diesem Beitrag.
die Revision-Felder in den Anforderungen helfen uns an dieser Stelle leider nicht. Es geht bei der IS-Revision gemäß Revisionshandbuch des BSI um einen abgewandelten Grundschutz-Check.
Die Revisions-Felder sind ausgesprochen wertvoll für den Nachweise, die entsprechenden Anforderungen überprüft zu haben. Brauchen wir für die Überwachungsaudits bei einem zertifizierten IV.
Die IS-Revision gemäß Revisionshandbuch ähneln mehr den internen Audits der ISO 27001er Norm. Zumindest die Querschnittsrevision, die Kurzrevision oder die Partialrevision sind nochmals davon abgewandelt. Aber gerade die Partialrevision ist gut für eine Umsetzung in einem eigenständigen IV geeignet. Daher glaube ich tatsächlich nicht, dass für diese Exoten eigenständige Strukturen angelegt werden sollten. Aber grundsätzlich fehlt mir die Möglichkeit ein internes Audit im GS-IV abzubilden / zu dokumentieren schon ein bisschen.