Zum Inhalt springen

First-Party-Audit

First-Party-Audit Workspace

Systematischer Arbeitsraum für die Durchführung institutseigener Audits des Schwachstellenmanagements beim Full-Scope-Outsourcing-Provider.

Note: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine technische Sicherheitsprüfung und keine institutsspezifische Prüfung.

10

Audit-Schritte

2

Audit-Einträge (Beispiele)

12

Prüffelder

3

Verantwortliche Rollen

Audit-Schritte

1

Stichprobe auswählen

Auswahl einer repräsentativen Stichprobe von Provider-Assets aus dem Asset-Inventar (mindestens 10 % der Assets, mindestens 5)

Interne Revision / IKT-Risikomanagement
2

SIEM-Korrelation prüfen

Prüfung, ob die ausgewählten Assets im Provider-SIEM überwacht werden und Alarmierungsregeln hinterlegt sind

Interne Revision / Provider Manager
3

Kritikalitäts-Tag prüfen

Validierung, ob die DORA-Kritikalität der Assets korrekt im Provider-System getaggt ist

Interne Revision / IKT-Risikomanagement
4

Scan-Historie prüfen

Überprüfung, ob die Assets regelmässig gescannt wurden und keine Scan-Lücken bestehen

Interne Revision / Provider Manager
5

Finding-Historie prüfen

Prüfung der Historie offener und geschlossener Schwachstellen-Findings für die ausgewählten Assets

Interne Revision
6

Ticket-Status prüfen

Überprüfung, ob alle Findings in Tickets nachverfolgt werden und der Status korrekt ist

Interne Revision / Provider Manager
7

Patch-Status prüfen

Validierung der Patch-SLA-Einhaltung für alle Findings der ausgewählten Assets

Interne Revision
8

Evidenz erfassen

Screenshot, Export oder Log-Auszug als Nachweis für jede Prüfungshandlung erfassen

Interne Revision
9

Abweichung dokumentieren

Dokumentation aller identifizierten Abweichungen mit Risikobewertung und Massnahmenempfehlung

Interne Revision
10

Massnahme nachverfolgen

Erstellung von Findings und deren Nachverfolgung bis zur Behebung

Interne Revision / Provider Manager

Kernbanken-Datenbank (Produktion)

FPA-2026-07-001

PRV-DB-002 · 2026-07-08

Nicht konform
Kritikalitäts-Tag: Geprüft Scan-Historie: Geprüft Patch-Status: Nicht geprüft Ticket-Status: Geprüft

Prüffeststellung

Patch-Status für CVE-2026-01234 entspricht nicht der vereinbarten SLA. Ausnahme wurde zwar dokumentiert, aber die Frist von 7 Tagen für P1-Findings wurde überschritten, bevor die Ausnahme beantragt wurde. Nachbesserung des Exception-Prozesses erforderlich.

Provider: Provider bestätigt, dass der Patch für CVE-2026-01234 aufgrund von Abhängigkeitskonflikten verschoben wurde. Ausnahme wurde im Exception-Register dokumentiert. Kompensationsmassnahmen sind aktiv und werden wöchentlich geprüft.

Kundenportal (Produktion, internet-facing)

FPA-2026-07-002

PRV-APP-003 · 2026-07-08

Konform
Kritikalitäts-Tag: Geprüft Scan-Historie: Geprüft Patch-Status: Geprüft Ticket-Status: Geprüft

Prüffeststellung

Keine Abweichungen festgestellt. Scan-Abdeckung, Patch-SLA-Einhaltung und Ticket-Nachverfolgung sind vollständig und nachvollziehbar dokumentiert.

Provider: Alle Findings wurden fristgerecht behoben. Letzter DAST-Scan vom 06.07.2026 zeigt keine offenen kritischen oder hohen Schwachstellen. WAF-Regeln sind aktiv und werden täglich überprüft.

Prüfinputs

  • Asset-Inventar (Provider-Seite)
  • SIEM-Konfiguration & Alarmierungsregeln
  • Scan-Reports & Historie
  • Ticket-System-Exporte
  • Patch-SLA-Compliance-Reports

Prüfoutputs

  • Audit-Protokoll mit Einzelnachweisen
  • Abweichungsprotokoll mit Risikobewertung
  • Findings mit Massnahmenplan
  • Management-Summary & Reporting
  • Evidenz-Pack für Prüfungsnachweise

First-Party-Audit strukturieren?

Vereinbaren Sie ein Pilotgespräch für den First-Party-Audit Workspace.

Pilotgespräch anfragen