Review

Eine Review im ISMS (Informationssicherheitsmanagementsystem) ist eine systematische Überprüfung und Bewertung des ISMS, die sicherstellen soll, dass die Prozesse, Richtlinien und Maßnahmen den definierten Anforderungen entsprechen und effektiv funktionieren. Ziel der Review ist es, Schwachstellen und Verbesserungspotenziale zu identifizieren und die kontinuierliche Verbesserung des Systems zu fördern.

Infografik zeigt Review-Erstellung im qualido manager mit Pflichtfeldern Datum/Uhrzeit und Anlass, optionalen Zusatzfeldern sowie Funktionen zum Bearbeiten und Löschen von Reviews

Reviews lassen sich aktuell Risiken, Maßnahmen, Assets und Bereichen zuordnen. Eine Zuordnung zu einem „Item“ (Risiko o. Ä.) ist aber nicht erforderlich, so lassen sich z.B. Management-Reviews oder die Überprüfung von Dokumenten verwirklichen. Im Risikomodul können „Reviews“ grundsätzlich sein: 

Management-Review: Eine regelmäßige Überprüfung durch die oberste Leitung, die sicherstellt, dass das ISMS seine Ziele erreicht, relevante Anforderungen erfüllt und an die sich verändernden Risiken angepasst wird.

Interne Audits: Diese Überprüfungen werden innerhalb der Organisation durchgeführt, um die Einhaltung der ISMS-Richtlinien und Verfahren sicherzustellen. Interne Audits dienen dazu, die Wirksamkeit der Sicherheitsmaßnahmen zu evaluieren und mögliche Abweichungen frühzeitig zu erkennen. 

Risikobewertungs-Review: Hierbei wird das Risiko für die Organisation erneut bewertet, um sicherzustellen, dass alle Bedrohungen und Schwachstellen erfasst sind und sich geänderte Bedingungen oder neue Bedrohungen im ISMS widerspiegeln. 

Review von Sicherheitsvorfällen: Analyse und Überprüfung von Sicherheitsvorfällen oder -verstößen, um Ursachen und Verbesserungsmöglichkeiten zu identifizieren und solche Vorfälle in Zukunft zu vermeiden.

Review der Sicherheitsdokumentation: Regelmäßige Überprüfung und Aktualisierung aller ISMS-Dokumente, wie z. B. Richtlinien, Verfahren und Notfallpläne, um sicherzustellen, dass sie aktuell und anwendbar sind.

Tipp: Reviews sind auch als Erinnerungsfunktion denkbar- "Sie können jeden ersten Dienstag im Monat überprüft werden, ob alle Mitarbeiter bestimmte Dokumente zur Kenntnis genommen haben".

Im Hauptfenster finden Sie den Verwaltungsbereichstitel "Reviews" sowie die Listenansicht der aktiven "Alle Reviews" Tabs. Die Tableiste ermöglicht es Ihnen, die Liste der offenen, in Bearbeitung oder erledigten Reviews anzuzeigen.

  • Die Liste enthält die folgenden Bedienelemente: die Werkzeug- und Filterleiste sowie die Navigationsfußleiste.
  • Neben der Anlass des Reviews werden das ReviewID, der Status, das Datum & Uhrzeit und die Reviewverantwortliche angezeigt.
  • Weitere Spalten können nach Bedarf noch ein- oder ausgeblendet werden. 
  • Ein Rechtsklick auf ein Listenelement öffnet das Kontextmenü mit Bearbeitungs- oder Löschfunktionen.

Listenfilterung

Neben den üblichen Navigationselementen zum Blättern (Navigationsfußleiste der Listen unten) stehen noch verschiedene Filter zur Verfügung: Freitextfilter mit Dropdown-Datenauswahl und Review-Statusfilter. Durch die Einstellung des Filters werden die Daten aus der Liste ein- oder ausgeblendet. 

Liste im Hauptfenster

Die Listeneinträge sind alphabetisch sortiert.  Die Breite und die Reihenfolge der Spalten (durch Ziehen mit der Maus) ist auch anpassbar. Es besteht auch die Möglichkeit zusätzliche Spalten einzublenden, indem Sie mit der Maus über einen Spaltenkopf fahren und dort auf das kleine Dreieck rechts außen klicken. Es öffnet sich nun ein Menü in dem Sie die anzuzeigenden Spalten an- oder abwählen können. 

Tipp: Wenn Sie die Spaltenbreiten oder Reihenfolge durch Ziehen mit der Maus  ändern, speichern Sie dies bitte mit der Schaltfläche "Ansicht für aktuelle Liste speichern" pro Tab-Ansicht (über das Zahnrad-Symbol in der Kopfleiste oben rechts).

Hinweis: Bitte beachten Sie, dass jegliche Änderungen der Listenansicht pro Tab für alle Administratoren gültig sind und das Speichern von Änderungen nur für Portaladministratoren möglich ist.

Schaltflächen in der Werkzeugleiste

Review anlegen: Beim Anlegen einer neuen Review sind nur zwei Felder erforderlich: Datum/Uhrzeit und der Anlass.Alle weiteren Felder sind optional.

Tipp: Das Datum wird, beim Anlegen einer neuen Review, auf in 14 Tagen in der Zukunft vorbelegt und kann natürlich jederzeit geändert werden ( auch eine „Rückdatierung“  ist möglich).

Bearbeiten: Über die Schaltfläche können Sie einen vorhandenen Review ändern.

Löschen: Der gewählte Review wird aus der Liste endgültig entfernt.

Review in Terminserie umwandeln

Jede Review lässt sich als Einzeltermin, oder als Serie anlegen. Einzeltermine können jederzeit zur Serie umgewandelt werden und umgekehrt.  Ähnlich der Terminverwaltung ist in der ersten Spalte ersichtlich, ob es sich um eine Serie handelt. Bei der Bearbeitung wird bei Serien abgefragt, ob der einzelne Termin, oder die komplette Serie bearbeitet werden soll. Bearbeitet man die Serie, stehen alle "übergeordneten" Datenfelder zur Verfügung - also alle Felder, die für alle Einzeltermine der Serie gelten. Bearbeitet man den Einzeltermin einer Serie, stehen alle Einzeltermin spezifischen Felder zur Verfügung, der Rest wird zwar angezeigt, ist aber nicht bearbeitbar. Bei einem reinen Einzeltermin stehen alle Felder zur Verfügung - die beiden Felder für die Beschreibung sind entsprechend kommentiert.

Infografik zeigt flexible ISMS-Review-Verwaltung mit nahtloser Umwandlung zwischen Einzelterminen und Serien in beide Richtungen.

Über die Schaltfläche In Serie umwandeln öffnet sich ein entsprechendes Fenster, in dem die Serie konfiguriert werden kann:

  • Das Datum aus dem vorherigen Fenster wird als Startdatum der Serie übernommen.
  • Es folgt der "Intervall", also ob der Termin "Täglich", "Wöchentlich", "Monatlich", oder "Jährlich"ausgeführt werden soll. Je nach Auswahl findet sich im mittleren Teil dann eine entsprechende Auswahl, ob der Termin z.B. jeden Tag ausgeführt werden soll, jede Woche an bestimmten Tagen usw.
  • Des Weiteren lässt sich festlegen, ob eine Serie an einem Datum enden soll, oder nach einer bestimmten Anzahl von Terminen.
  • Das Feld "Endet am" ist, je nach gewähltem Intervall-Typ, auf ein Enddatum begrenzt - 'Täglich' → Ein Monat - 'Wöchentlich' → Sechs Monate - 'Monatlich' → Drei Jahre - 'Jährlich’ → 10 Jahre
  • Das Feld "Endet nach" ist, je nach gewähltem Intervall-Typ, auf eine bestimmte Anzahl begrenzt: 'Täglich' → 31;  'Wöchentlich' → 26; 'Monatlich' → 36 ; 'Jährlich’ → 10

Tipp: Theoretisch sind aber z.B. bei wöchentlicher Ausführung mit täglichem Intervall bis zu 182 Termine pro Serie möglich.

Nach der Auswahl der gewünschten Serie jund Bestätigung über die Schaltfläche Serie übernehmen erscheint ein Hinweis. Erst wenn die Review gespeichert wird, werden die Änderungen an der Serie wirksam. Dies trifft auch dann zu, wenn eine Serie entfernt wird.

Warnung: Termine, die aufgrund einer Änderung an der Serie, oder durch das Entfernen der Serie, wegfallen, werden aus der Datenbank gelöscht. Wurde z.B. ein Serientermin bereits bearbeitet, also kommentiert und/oder der Status geändert, und aufgrund der Serienänderung fällt dieser Termin weg, sind auch die Daten zu diesem Termin für den Admin nicht mehr zugänglich.

Hinweis: Reviews haben kein eigenes Logbuch, pro Termin/Serie, alle Änderungen werden aber im "allgemeinen" Logbuch aufgeführt.

Hinweis: Reviews werden den Verantwortlichen in ihren offenen Aufgaben angezeigt, sobald der genaue Termin(Tag) erreicht ist. Die Ansicht "Meine Reviews" ist ebenfalls über "Mein qualido" zu erreichen. Hier werden dann auch zukünftige und vergangene Reviews aufgeführt. Der Benutzer kann lediglich den Status und die Termin-Beschreibung ändern.

Verwandte Themen

  1. Risiken
  2. Maßnahmen
  3. Assets
  4. Logbuch
  5. Risikomanagement