Access-Review-Scope: Was gehört dazu, was nicht?

Nicht jeder Nutzer, nicht jedes System muss in jeden Review. Hier erfahren Sie, wie Sie den Scope so abgrenzen, dass er handhabbar bleibt – und vor Auditoren standhält.

Den Review-Scope festzulegen ist der erste Schritt im Review-Prozess. Ein Fehler hier bedeutet entweder zu viel Arbeit – oder Sie übersehen etwas Wichtiges.

Personen im Scope

• Aktive Mitarbeitende: immer.
• Scheduled-in (noch nicht gestartet): noch nicht im Scope.
• Scheduled-out (im Austritt): im Scope — letzte Prüfung vor dem Abgang.
• Seit dem letzten Review inaktiv: einmalig noch im Scope, um zu verifizieren, dass der Zugang tatsächlich entzogen wurde.
• Auftragnehmer und externe Parteien: eigener Review-Strang mit eigenem Rhythmus (häufig monatlich).

Systeme im Scope

• Alle Tier-1-Systeme (kritisch): immer.
• Tier-2: standardmäßig in jedem Review.
• Tier-3 (optionale SaaS-Lösungen): halbjährlich, sofern kein konkreter Anlass besteht.

Scope-Entscheidung dokumentieren

Halten Sie die Scope-Richtlinie in Ihrem ISMS fest. Pro Review: ein Scope-Snapshot, der dokumentiert, was enthalten war. So kann ein Auditor Reviews miteinander vergleichen und erkennen, dass Sie konsistent vorgehen.

Siehe auch: Stichprobe oder vollständiger Review, SaaS-Inventar erstellen.