Stichprobe oder vollständige Access Review: Was akzeptiert der Auditor?
Bei größerem Umfang ist eine vollständige Review nicht praktikabel. Risikobasierte Stichproben sind dann die Lösung – vorausgesetzt, Sie können Ihre Vorgehensweise nachvollziehbar erklären.
Bei einem KMU mit 200 Mitarbeitern und 40 Systemen fallen pro Review 8.000 Zeilen an. Das ist nicht handhabbar. Eine risikobasierte Stichprobe ist dann die Antwort – aber nur, wenn Sie diese auch verteidigen können.
Wann vollständig?
- Weniger als 500 Zellen insgesamt (bei ca. 15 Personen × ca. 10 Systemen).
- Jährliche „große" Review – auch wenn die Quartalsreviews als Stichproben durchgeführt werden, einmal im Jahr alles prüfen.
- Nach einem schwerwiegenden Vorfall.
Wann Stichprobe?
- Mehr als 1.000 Zellen.
- Quartalsreviews bei größeren Organisationen.
Wie führt man eine risikobasierte Stichprobe durch?
- Privilegierten Zugriff priorisieren. 100 %.
- Inaktive oder neu aktivierte Benutzer. 100 %.
- Hochrisiko-Systeme (Buchhaltung, HR, Kundendaten). 100 % der Zugriffszeilen.
- Rest: 20 % Stichprobe je Rolle, mit Fokus auf Rollenwechsel im vergangenen Quartal sowie Alter des letzten Verifikationsdatums.
Dokumentation
Der Auditor möchte Ihre Stichprobenstrategie sehen – als schriftlich festgelegte Richtlinie, nicht ad hoc bei jeder Review neu. Siehe Nachweisführung.
Siehe auch: Review-Pillar.
Volledige gids: Revisiones de acceso periódicas: proceso, frecuencia y evidencia
Dit artikel is onderdeel van onze uitgebreide Access reviews-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →