Nachweise für Access Reviews: Was aufbewahren und wo?

Ein Review ohne Nachweis ist für den Auditor ein Review, das nie stattgefunden hat. Hier erfahren Sie, was Sie aufbewahren, in welchem Format und wie lange.

Bei einem ISO-Audit verlangen Auditoren Nachweise. „Wir führen Reviews durch" reicht nicht aus — sie wollen sehen, was passiert ist, von wem und wann.

Pro Review aufbewahren

• Snapshot-Export: Wer hatte zum Zeitpunkt des Reviews welchen Zugriff.
• Entscheidungen pro Zeile: keep/revoke/change + ggf. Begründung.
• Beteiligte: Wer welche Entscheidungen getroffen hat.
• Zeitverlauf: Start, Abschluss, Ausführung der Maßnahmen.
• Ausführungsbestätigung: Bestätigung, dass Revoke-Maßnahmen tatsächlich umgesetzt wurden.
• Abschlussbericht: 2-seitiges PDF mit Zusammenfassung, Namen und Unterschrift.

Format

PDF ist ideal für die Übergabe an Auditoren. Viele Tools generieren dies automatisch — siehe die AccessGuard-Demo für einen Beispielbericht.

Aufbewahrungsfrist

Mindestens 3 Jahre für ISO-Zwecke. In der Praxis: so lange aufbewahren, wie Sie ISO-zertifiziert sind, plus 1 Jahr.

Speicherort

Ein zentraler Ort in Ihrem Wiki/Dokumentensystem, mit ACL auf „nur Compliance-Team + Geschäftsleitung". Nicht über Postfächer verteilen.

Was Auditoren ablehnen

• Einzelne Screenshots ohne Kontext.
• Berichte ohne Datum oder Namen.
• Kein Zusammenhang zwischen Entscheidung und Umsetzung.
• Review-Datum in der Zukunft („geplant für nächste Woche").

Siehe auch: Pre-Audit-Checkliste, Review-Pillar.