Periodische Access Reviews: Prozess, Häufigkeit, Nachweisführung
Ein Access Review ist eine Audit-Anforderung, mit der fast jedes KMU kämpft. Beim zweiten Mal müssen Sie dafür keine Woche mehr einplanen — wenn Sie es beim ersten Mal richtig aufsetzen.
Access Reviews — das regelmäßige Durchgehen, wer worauf Zugriff hat und warum — sind für ISO 27001 Annex A.9 keine Option. Auch ohne Audit-Druck ist es die einzige Möglichkeit, Ihre Zugriffsmatrix aktuell zu halten.
Häufigkeit: Quartal oder Halbjahr
KMU-Richtwert: quartalsweise. Haben Sie weniger als 20 Mitarbeiter und eine geringe Fluktuation? Halbjährlich ist ebenfalls akzeptabel. Jährlich reicht für ISO-Ziele nicht aus. Siehe auch ISO 27001 Annex A.9.
Die sechs Schritte
- Snapshot. Erstellen Sie eine Kopie der aktuellen Matrix.
- Scope festlegen. Siehe Scope abgrenzen.
- Entscheidung pro Zeile. Keep, Revoke oder Change. Binden Sie Führungskräfte ein, siehe Führungskräfte einbinden.
- Bulk-Aktionen für eindeutige Fälle. 80 % sind „Keep". Siehe Bulk-Entscheidungen.
- Folgemaßnahmen. Jedes „Revoke" und „Change" wird zu einer konkreten Aufgabe für die IT.
- Nachweise sichern. Siehe Nachweisführung für Audits.
Häufige Fehler
- „Dafür fehlt gerade die Zeit." Tragen Sie den Review in Outlook ein — sonst findet er nicht statt.
- Review durch eine einzige Person. Das Risiko: Eigene Zugriffsrechte werden zu schnell durchgewunken.
- Entscheidungen NICHT umsetzen. Ein Revoke auf dem Papier bewirkt nichts.
Automatisierung
Unser AccessGuard-Tool erstellt einen Review-Snapshot mit einem Klick. Die Demo zeigt einen laufenden Zyklus.
Siehe auch: Quartal-Rhythmus, KI bei Reviews, Stichprobe oder vollständig.
Volledige gids: Revisiones de acceso periódicas: proceso, frecuencia y evidencia
Dit artikel is onderdeel van onze uitgebreide Access reviews-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →