Audit Rollen & Rechte
Der sichere und gesteuerte Zugang zu digitalen Unternehmensressourcen (Daten, Informationen) hängt maßgeblich von einem den Sicherheitsanforderungen entsprechend gestalteten Rollen- und Rechtekonzepts sowie einer korrekten technischen Implementierung ab.
Zusätzlich ergeben sich auch aus verschiedenen Normen und Gesetzen konkrete Anforderungen an das Rollen- und Rechtekonzept:
- Mindestanforderungen an das Risikomanagement (MaRisk; Technisch-organisatorische Ausstattung AT 7.2)
- Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS 5.5.1)
- ISO 27001 (Zugangskontrolle; Control A.11)
- Datenschutz (Anlage zu § 9 BDSG; technische und organisatorische Maßnahmen)
Übersicht
Audit Rollen & Rechte
- Erfassung des konzeptionellen SOLL-Zustands
- Analyse des konzeptionellen und technischen IST-Zustands
- Abgleich des IST-Zustands mit dem SOLL-Zustand (Gap Analyse) und Erstellung eines Maßnahmenkatalogs
Im Rahmen des Audits Rollen&Rechte analysieren wir gemeinsam mit Ihnen den SOLL- / IST-Zustand ihres Rollen- und Rechtekonzepts und gleichen diesen gegen die technische Implementierung (Netzwerk- und Applikationsebene) sowie die gesetzlichen Anforderungen ab.
Je nach Anforderung umfasst ein solches Audit folgende Elemente:
- Erfassung des konzeptionellen SOLL-Zustands, auf Basis der relevanten Anwendungen, Daten, Operationen und beteiligten Personen
- Analyse des konzeptionellen IST-Zustands
- Analyse des technischen IST-Zustands, z.B. durch Prüfung von Verzeichnissdiensten (z.B. Active Directory Audit), Log-Dateien, Netzwerkfreigaben etc.
- Abgleich des IST-Zustands mit dem SOLL-Zustand (Gap Analyse) und Erstellung eines Maßnahmenkatalogs
Sollte kein formales Rollen- und Rechtekonzept existieren, unterstützten wir Sie auf der Basis des erfassten IST-Zustands bei der Entwicklung des Konzepts.
