high
must
Vorfallnachweise und Lessons Learned pruefungsfest dokumentieren
Fuer IKT-Vorfaelle muessen Ursachen, Auswirkungen, Entscheidungen, Massnahmen und Lessons Learned nachvollziehbar dokumentiert werden.
Sparkassen-Relevanz
hoch fuer Revision, externe Pruefung, Informationssicherheit und nachhaltige Maengelbearbeitung
EZB-Relevanz
hoch, weil Wiederholungsrisiken, Ursachenanalyse und Massnahmenwirksamkeit typische Aufsichtsthemen sind
Moegliche Prueffragen
- Sind Ursachenanalyse, Auswirkungen und getroffene Entscheidungen nachvollziehbar dokumentiert?
- Werden Massnahmen aus Vorfaellen priorisiert, verfolgt und auf Wirksamkeit geprueft?
- Gibt es eine Verbindung zwischen Vorfall, Meldeentscheidung, Nachweisen und Massnahmenplan?
- Werden wiederkehrende Stoerungsmuster an Management und Kontrollfunktionen berichtet?
Nachweise
- Root-Cause-Analyse
- Impact-Assessment
- Chronologie des Vorfalls
- Massnahmen- und Wirksamkeitsnachweise
- Lessons-Learned-Protokoll
Abgeleitete Handlungen
- Standard fuer Vorfalldokumentation und Chronologie definieren
- Lessons-Learned-Review nach meldepflichtigen oder kritischen Vorfaellen etablieren
- Massnahmen aus Vorfaellen mit Pruefungsreife und Verantwortlichen verknuepfen