First-Party-Audit
First-Party-Audit Workspace
Systematischer Arbeitsraum für die Durchführung institutseigener Audits des Schwachstellenmanagements beim Full-Scope-Outsourcing-Provider.
10
Audit-Schritte
2
Audit-Einträge (Beispiele)
12
Prüffelder
3
Verantwortliche Rollen
Audit-Schritte
Stichprobe auswählen
Auswahl einer repräsentativen Stichprobe von Provider-Assets aus dem Asset-Inventar (mindestens 10 % der Assets, mindestens 5)
Interne Revision / IKT-RisikomanagementSIEM-Korrelation prüfen
Prüfung, ob die ausgewählten Assets im Provider-SIEM überwacht werden und Alarmierungsregeln hinterlegt sind
Interne Revision / Provider ManagerKritikalitäts-Tag prüfen
Validierung, ob die DORA-Kritikalität der Assets korrekt im Provider-System getaggt ist
Interne Revision / IKT-RisikomanagementScan-Historie prüfen
Überprüfung, ob die Assets regelmässig gescannt wurden und keine Scan-Lücken bestehen
Interne Revision / Provider ManagerFinding-Historie prüfen
Prüfung der Historie offener und geschlossener Schwachstellen-Findings für die ausgewählten Assets
Interne RevisionTicket-Status prüfen
Überprüfung, ob alle Findings in Tickets nachverfolgt werden und der Status korrekt ist
Interne Revision / Provider ManagerPatch-Status prüfen
Validierung der Patch-SLA-Einhaltung für alle Findings der ausgewählten Assets
Interne RevisionEvidenz erfassen
Screenshot, Export oder Log-Auszug als Nachweis für jede Prüfungshandlung erfassen
Interne RevisionAbweichung dokumentieren
Dokumentation aller identifizierten Abweichungen mit Risikobewertung und Massnahmenempfehlung
Interne RevisionMassnahme nachverfolgen
Erstellung von Findings und deren Nachverfolgung bis zur Behebung
Interne Revision / Provider ManagerKernbanken-Datenbank (Produktion)
FPA-2026-07-001PRV-DB-002 · 2026-07-08
Prüffeststellung
Patch-Status für CVE-2026-01234 entspricht nicht der vereinbarten SLA. Ausnahme wurde zwar dokumentiert, aber die Frist von 7 Tagen für P1-Findings wurde überschritten, bevor die Ausnahme beantragt wurde. Nachbesserung des Exception-Prozesses erforderlich.
Provider: Provider bestätigt, dass der Patch für CVE-2026-01234 aufgrund von Abhängigkeitskonflikten verschoben wurde. Ausnahme wurde im Exception-Register dokumentiert. Kompensationsmassnahmen sind aktiv und werden wöchentlich geprüft.
Kundenportal (Produktion, internet-facing)
FPA-2026-07-002PRV-APP-003 · 2026-07-08
Prüffeststellung
Keine Abweichungen festgestellt. Scan-Abdeckung, Patch-SLA-Einhaltung und Ticket-Nachverfolgung sind vollständig und nachvollziehbar dokumentiert.
Provider: Alle Findings wurden fristgerecht behoben. Letzter DAST-Scan vom 06.07.2026 zeigt keine offenen kritischen oder hohen Schwachstellen. WAF-Regeln sind aktiv und werden täglich überprüft.
Prüfinputs
- • Asset-Inventar (Provider-Seite)
- • SIEM-Konfiguration & Alarmierungsregeln
- • Scan-Reports & Historie
- • Ticket-System-Exporte
- • Patch-SLA-Compliance-Reports
Prüfoutputs
- • Audit-Protokoll mit Einzelnachweisen
- • Abweichungsprotokoll mit Risikobewertung
- • Findings mit Massnahmenplan
- • Management-Summary & Reporting
- • Evidenz-Pack für Prüfungsnachweise
🔗 Verwandte Module
First-Party-Audit strukturieren?
Vereinbaren Sie ein Pilotgespräch für den First-Party-Audit Workspace.
Pilotgespräch anfragen