Kostenloses ebook: NIS2 bereit mit ISO 27001 Best Practices
ebook herunterladen
Heimat der Akademie
Hilft
Verwendung von Compliance-Berichten

Unter Cyberday können Sie für jedes Regelwerk, das Sie einhalten wollen, einen Bericht über die Einhaltung der Vorschriften einsehen. Der Konformitätsbericht dient als umfassender Überblick über die Antworten Ihrer Organisation auf die einzelnen Anforderungen/Kontrollen im entsprechenden Rahmenwerk.

Der Bericht über die Einhaltung von ISO 27001 wird als Anwendbarkeitserklärung (Statement of Applicability, SoA) bezeichnet.

Übersicht über den Compliance-Bericht

Wo Sie diese Ansicht finden: Dashboard -> Compliance-Bericht (Kasten oben rechts)

Die Berichte über die Einhaltung der Vorschriften können entweder direkt über den Abschnitt "Anforderungsrahmen" des Dashboards oder über die Seite "Berichte" aufgerufen werden.

Die Gesamtbewertung der Einhaltung der Vorschriften misst Ihre Fortschritte bei der Einhaltung der Vorschriften. Dieser Wert fasst die entsprechenden Zahlen im Konformitätsbericht zusammen. Unterhalb der Gesamtbewertung sehen Sie die Bereitschaft des Rahmens nach Anforderungen. Zunächst werden die Anforderungen in Kategorien eingeteilt und nach ihrer Bereitschaft bewertet.

Erfüllungsgrad (Maximalwert 100) = (dunkelgrüne Abschnitte + 0,8 * grüne Abschnitte + 0,5 * hellgrüne Abschnitte + 0,2 * gelbe Abschnitte) / Anforderungsmenge im Rahmen * 100

Die Berichte über die Einhaltung der Vorschriften sind so konzipiert, dass sie einen klaren und präzisen Überblick über die Einhaltung des vorgegebenen Rahmens durch eine Organisation geben. In diesem Bericht wird jede Anforderung des Rahmens mit einer farbcodierten Zelle dargestellt, die den aktuellen Konformitätsstatus widerspiegelt. Die folgenden Farben werden angezeigt:

  • Dunkelgrün: Alle empfohlenen Aufgaben sind auf den Status "Vollständig erledigt" gesetzt.
  • Grün: Wenn keine Aufgaben mit "niedriger Priorität" berücksichtigt werden, werden alle empfohlenen Aufgaben als erledigt betrachtet.
  • Hellgrün: Mindestens ein Aufgabensatz erledigt
  • Gelb: Keine Aufgaben erledigt, aber mindestens eine Aufgabe auf aktiven Status gesetzt
  • Grau: Keine Aufgaben aktiv (= nichts getan)
  • Dunkelgrau: Anforderung als "nicht anwendbar" eingestuft (direkt aus dem Bericht)
N.B.. Wenn Sie eine Aufgabe als "nicht relevant" einstufen, wird sie in der obigen Farbkategorisierung nicht berücksichtigt

Ein separater Konformitätsbericht ist automatisch für alle in Cyberday unterstützten Frameworks verfügbar.

In der visuellen Darstellung sehen Sie die Übersicht, aber wenn Sie auf eine Zelle klicken, können Sie in die Details eintauchen.

Details zum Bericht über die Erfüllung einer Anforderung

Die Einzelheiten des Berichts über die Erfüllung der einzelnen Anforderungen beziehen sich auf die Aufgabentabelle, die unter einer Anforderung im Hauptteil des Berichts angezeigt wird. Sie gelangen dorthin, indem Sie auf eine der Anforderungsnummern in der Übersicht klicken, z. B. auf "5.15" aus dem ISO 27001-Konformitätsbericht. Sie gelangen dann direkt zur folgenden Ansicht (rote Zahlen werden unten erklärt):

  1. Der Abschnitt, den Sie angeklickt haben, kann weitere kleine Abschnitte enthalten. Sie können zwischen diesen wechseln, indem Sie auf einen der beiden Bereiche unter der Überschrift des Hauptbereichs klicken.
  2. Suchen Sie eine Zusammenfassung des Abschnitts Behandlungsstatus und bearbeiten Sie die Anforderung. Die Werte für die Anforderungen werden standardmäßig automatisch ausgefüllt, aber Sie können die Anwendbarkeit und den Ausführungsstatus hier manuell ändern. Geben Sie z. B. an, ob die betreffende Anforderung auf Ihre Organisation nicht anwendbar ist und warum. Wählen Sie "nicht anwendbar" aus der Dropdown-Liste neben "Anwendbarkeit" und geben Sie eine freie Beschreibung ein. Der Abschnitt wird dann in der Übersichtstabelle am Anfang des Compliance-Berichts ausgegraut.
  1. Hier finden Sie eine Tabelle mit den Aufgaben, die für die Anforderung vorgeschlagen werden, um die Konformitätsstufe zu erreichen. In der Tabelle sehen Sie den Aufgabennamen, den Aufgabentyp (ein Indikator für die Aktionen, die zur Erfüllung der Aufgabe erforderlich sind), die Zuverlässigkeitsinformationen, die Prioritätsstufe (voreingestellt, wenn nicht manuell geändert) und den Status, d. h. ob die Aufgabe aktiv, teilweise erledigt, erledigt usw. ist. Wenn Sie auf das "+" auf der linken Seite der Aufgabe klicken, erhalten Sie weitere Informationen über die Aufgabe, sofern diese vorhanden sind. Dies setzt voraus, dass die Aufgabe bereits einige Eingaben enthält. Wenn Sie auf das "->" auf der rechten Seite der Aufgabe klicken, gelangen Sie direkt zur Aufgabenkarte, so dass Sie mit der Bearbeitung der Aufgabe beginnen können.
  2. Wenn Sie möchten, können Sie dem (Haupt-)Abschnitt dieses Teils des Compliance-Berichts eine freie Beschreibung hinzufügen.

Die wichtigsten Vorteile von Compliance-Berichten

Es gibt verschiedene Kernpunkte eines Compliance-Berichts. In der folgenden Liste finden Sie einige der wichtigsten davon.

Verstehen Sie Ihre aktuelle Compliance

Anhand der Berichte über die Einhaltung der Vorschriften können Sie sich eine einheitliche Meinung darüber bilden, wo Ihre Informationssicherheit derzeit steht. Sind wir zu 25 %, 50 % oder 75 % konform, und reicht das aus oder sollten wir mehr tun?

Bewerten Sie Ihre Umsetzung verschiedener Anforderungen/Kontrollen

In den Compliance-Berichten sind die von uns vorgeschlagenen Aufgaben aufgelistet, die Sie zur Umsetzung ausgewählter Anforderungen oder Kontrollen verwenden können. Es handelt sich dabei um unsere Vorschläge mit den Prioritäten Kritisch/Hoch/Normal/Niedrig. Beginnen Sie also von oben nach unten und überlegen Sie selbst, wie weit Sie bei den einzelnen Themen gehen wollen.

Sie können die Liste der Aufgabenvorschläge natürlich auch mit Ihren manuellen Aufgabenergänzungen ergänzen. Zusammenfassend lässt sich sagen, dass Sie den Compliance-Bericht nutzen können, um Ideen für die weitere Verschärfung der Umsetzung bestimmter Anforderungen/Kontrollen zu erhalten, z. B. wenn Ihre Analyse große Risiken oder Beinahe-Vorfälle im Zusammenhang mit diesen aufzeigt.

Beweise für die Einhaltung der Vorschriften haben

Der Konformitätsbericht gibt die Struktur des Rahmenwerks vor, so dass er z. B. einem Prüfer oder jedem, der mit einem bestimmten Rahmenwerk vertraut ist, hilft, Ihr ISMS zu durchschauen. Bei einem Zertifizierungsaudit beispielsweise muss der Prüfer von Ihnen Nachweise für die Umsetzung der einzelnen Anforderungen des Rahmenwerks erhalten. Der Konformitätsbericht hilft Ihnen, diese Antworten zu erhalten.

Wofür sind Compliance-Berichte zu verwenden?

  • Interne Bewertung: Unternehmen verwenden diese Berichte intern, um ihre Cybersicherheitslage zu bewerten, die Teile zu identifizieren, die noch nicht behandelt wurden, und Maßnahmen zur Verbesserung zu priorisieren.
  • Interne und externe Audits: Prüfer, Compliance-Bewerter oder Aufsichtsbehörden können diese Berichte überprüfen, um sicherzustellen, dass eine Organisation die Industriestandards, gesetzlichen Anforderungen oder vertraglichen Verpflichtungen einhält. Sie können auch unsere Auditing-Funktion nutzen, um Ihre Audits direkt in Cyberday durchzuführen.
  • Risikomanagement: Es hilft beim Verstehen und Verwalten von Cybersicherheitsrisiken, indem es die Kontrollen mit den ermittelten Bedrohungen und Schwachstellen abgleicht und Ihre Risiken direkt in Ihrem ISMS dokumentiert und behandelt. Sie können sogar eine Vorfallsmeldung für Ihre Mitarbeiter aktivieren, damit Vorfälle in Echtzeit an Ihr ISMS gemeldet und dokumentiert werden, so dass Sie die Vorfalls- und Risikomanagementprozesse direkt in Cyberday starten können.
  • Sicherheitskommunikation: Sie trägt dazu bei, das Engagement einer Organisation für die Cybersicherheit gegenüber Interessengruppen, Kunden und Partnern zu kommunizieren und so Vertrauen und Transparenz zu schaffen.
  • Kontinuierliche Verbesserung: Der Bericht dient als Fahrplan für die laufenden Bemühungen zur Verbesserung der Cybersicherheit und leitet die Organisation bei der Aufrechterhaltung oder Verbesserung ihrer Sicherheitslage an. Cyberday schlägt Ihnen zusätzliche Aufgaben vor, um Ihre Sicherheit weiter zu verbessern.

Ein Bericht über die Einhaltung der Cybersicherheitsvorschriften wie die ISO 27001-Anwendbarkeitserklärung ist ein wichtiges Instrument für Unternehmen, um ihr Engagement für den Schutz sensibler Daten, die Einhaltung von Vorschriften und die kontinuierliche Verbesserung ihrer Cybersicherheitsmaßnahmen zu demonstrieren.

Fragen und Feedback

Haben Sie weitere Fragen, benötigen Sie einen weiteren Hilfeartikel oder möchten Sie uns ein Feedback geben? Bitte kontaktieren Sie unser Team über team@cyberday.ai oder die Chatbox in der rechten unteren Ecke.

Inhalt

Artikel teilen