Quartalszyklus für Access Reviews: Planung und Rhythmus
Viermal im Jahr ein Review klingt viel. In der Praxis kostet es bei guter Struktur 3–4 Stunden pro Quartal. Hier der Rhythmus, der für ein KMU mit 40 Mitarbeitenden funktioniert.
Ein Quartalszyklus ist der natürliche Rhythmus für Access Reviews in einem KMU bis ±100 Mitarbeitende. Weniger ist nicht ISO-konform, mehr ist unnötiger Aufwand.
\n\nDer 3-Wochen-Zyklus pro Quartal
\n- \n
- Woche 1: Snapshot + Scope (30 Min.). Meist am ersten Arbeitstag des Quartals. \n
- Woche 2: Führungskräfte entscheiden über ihre Teams (30 Min. pro Führungskraft). \n
- Woche 3: IT führt Revoke/Change durch. Der Bericht wird unterzeichnet und archiviert. \n
Jahreskalender
\n- \n
- Q1 Review: 2. Januarwoche, Bericht Ende Januar. \n
- Q2: 2. Aprilwoche. \n
- Q3: 2. Juliwoche. \n
- Q4: 2. Oktoberwoche — zugleich Eingabe für das Management Review. \n
Wer übernimmt die Koordination?
\nEine Person ist „Review-Owner". Häufig der Security Officer oder Operations Lead. Nicht der CEO — das skaliert nicht.
\n\nEskalation
\nReagiert eine Führungskraft nicht innerhalb von 5 Werktagen, erfolgt eine Eskalation an die Geschäftsleitung. Konsequenz ist hier wichtiger als der Inhalt — merken Führungskräfte, dass Deadlines nicht ernst genommen werden, gerät der gesamte Prozess ins Hintertreffen.
\n\nSiehe auch: Review-Pillar, Führungskräfte einbinden.
Volledige gids: Revisiones de acceso periódicas: proceso, frecuencia y evidencia
Dit artikel is onderdeel van onze uitgebreide Access reviews-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →