Audits sind die Berichte, die für eine mögliche Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz benötigt werden. Mit dem Add-on VIVA können Audits erstellt und verwaltet werden. Neben den Audits verfügt VIVA über weitere Berichte, die der kontinuierlichen Qualitätssicherung dienen.

Audits erstellen

Wenn alle Informationen zusammengetragen und innerhalb von VIVA dokumentiert sind, können Audits erstellt werden. Diese richten sich nach dem gewählten Informationsverbund und der Art der angestrebten Zertifizierung (Erstzertifizierung, Überwachungsaudit et cetera). Inhaltlich und von der Formatierung her orientieren sie sich an den Vorgaben, die in den BSI-Standards gemacht werden. Zu finden sind die Audits unter dem gleichnamigen Punkt im Menübaum.

Audit erstellen

Folgende Ausgabeformate stehen zur Auswahl:

  • PDF
  • HTML (inklusive Head-Bereich und Stylesheet)
  • HTML-Body (ohne Head-Bereich und Stylesheet)

Die generierten HTML-Dokumente enthalten alle Informationen, die nötig sind, um sie in anderen Anwendungen weiterzuverarbeiten. Sie können problemlos in eine Textverarbeitung importiert und dort an eigene Vorgaben (zum Beispiel ans Corporate Design) angepasst werden.

Audit-Ausgabe erstellen

Referenzdokumente

Im Folgenden wird auf die einzelnen Referenzdokumente eingegangen.

Referenzdokument A.0 IT-Sicherheitsrichtlinien

Das erste Referenzdokument enthält einige übergreifende Angaben, die direkt im jeweiligen Audit dokumentiert werden können.

Referenzdokument A.0 bearbeiten

Referenzdokument A.1 IT-Strukturanalyse

Das zweite Referenzdokument speist sich zum Einen aus den Daten, die innerhalb des gewählten Informationsverbunds dokumentiert werden (Siehe Zielgruppen anlegen und Zielobjekte zuordnen.], und zum Anderen aus weiteren Daten, die direkt im jeweiligen Audit hinterlegt werden können.

Referenzdokument A.1 bearbeiten

Das Referenzdokument enthält unter anderem einen bereinigten Netzplan (Siehe BSI-Standard 100-2, Kapitel 4.2.3 und 4.3.5.). Dieser kann entweder über das entsprechende Formularfeld textuell referenziert werden oder – wenn das Feld leergelassen wird – ein automatisch generiertes Diagramm wird verwendet, das den Netzplan repräsentiert. Das generierte Bild enthält alle Informationen, die zu einem bereinigten Netzplan benötigt werden und durch die momentane Dokumentation zur Verfügung stehen: Dazu gehören die einzelnen Zielgruppen, deren Kommunikationsverbindungen untereinander sowie den dazugehörenden Kritikalitäten. Ergänzt wird dies durch eine Farbgestaltung, die sich aus der Objekttyp-Konfiguration zusammensetzt: Dies geschieht auf Basis der den Zielgruppen zugeordneten Zielobjekte.

Bereinigter Netzplan

Bitte beachten Sie die optionalen Systemvoraussetzungen.

Referenzdokument A.2 Schutzbedarfsfeststellung

Dieses Referenzdokument enthält lediglich Daten, die bereits innerhalb des gewählten Informationsverbunds dokumentiert wurden. Siehe Schutzbedarfskategorien definieren und Schutzbedarf festlegen.

Referenzdokument A.3 Modellierung des IT-Verbunds

Dieses Referenzdokument enthält lediglich Daten, die bereits innerhalb des gewählten Informationsverbunds dokumentiert wurden. Siehe Informationsverbünde modellieren.

Referenzdokument A.4 Ergebnis des Basis-Sicherheitschecks

Dieses Referenzdokument enthält lediglich Daten, die bereits innerhalb des gewählten Informationsverbunds dokumentiert wurden. Siehe Maßnahmen umsetzen.

Referenzdokument A.5 Ergänzende Sicherheitsanalyse

Dieses Referenzdokument enthält lediglich Daten, die bereits innerhalb des gewählten Informationsverbunds dokumentiert wurden. Siehe Ergänzende Sicherheitsanalyse durchführen.

Referenzdokument A.6 Risikoanalyse

Dieses Referenzdokument stellt Informationen zusammen, um eine Risikoanalyse nach BSI-Standard 100-3 abzudecken. Siehe Risikoanalyse nach IT-Grundschutz.

Referenzdokument A.7 Risikobehandlungsplan

Dieses Referenzdokument wird derzeit noch nicht generiert.