Zum Inhalt springen

Right-to-Test

Right-to-Test Validation Workspace

Strukturierter Arbeitsraum für die systematische Ausübung des aufsichtlichen Rechts auf eigene Prüfung und Validierung beim Provider.

Hinweis: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine technische Sicherheitsprüfung und keine institutsspezifische Prüfung.

8

Validierungs-Checkpoints

6

Validierungstypen

17

Evidence-Items

2

Technische Prüfungen

Provider Scan Report Review

Dokumentenprüfung monatlich

Prüfung der vom Provider bereitgestellten Scan-Berichte auf Vollständigkeit und Plausibilität

Durchgeführt von: Institut CISO / Information Security
Erforderliche Nachweise: Provider Scan Reports, institutseigene Plausibilitätsprüfung
Direkte Ausübung des Right-to-Test gemäss DORA Artikel 28 Abs. 2

Read-Only Dashboard Review

Technische Prüfung wöchentlich

Analyse der Schwachstellendaten über das Read-Only Dashboard des Providers

Durchgeführt von: Institut SOC / Information Security
Erforderliche Nachweise: Dashboard-Screenshots, Abweichungsanalyse
Kontinuierliche Ausübung des Right-to-Test

Unabhängiger externer Penetrationstest

Externer Test jährlich

Vom Institut beauftragter Penetrationstest der Provider-Umgebung (gemäss vereinbarten Grenzen)

Durchgeführt von: Externer Pentester (vom Institut beauftragt)
Erforderliche Nachweise: Pentest-Bericht, Abweichungsanalyse, Massnahmenplan
Volle Ausübung des Right-to-Test gemäss DORA Artikel 28 Abs. 2

Stichprobenartige Asset-Validierung

Abgleich / Reconciliation quartalsweise

Abgleich der vom Provider gemeldeten Assets mit institutseigenen Erkenntnissen zur Identifikation von Shadow-IT

Durchgeführt von: Institut Provider Management / Asset Management
Erforderliche Nachweise: Asset-Abgleichsprotokoll, Abweichungsliste
Indirekte Ausübung des Right-to-Test durch Validierung der Asset-Basis

Patch-SLA-Compliance-Validierung

Datenanalyse monatlich

Überprüfung der Einhaltung der vereinbarten Patch-SLAs durch unabhängige Zeitstempelprüfung

Durchgeführt von: Institut IKT-Risikomanagement
Erforderliche Nachweise: SLA-Compliance-Report, Abweichungsanalyse
Validierung der vertraglich vereinbarten Leistungserbringung

Kompensationsmassnahmen-Review

Technische Prüfung + Dokumentenprüfung monatlich

Prüfung der Wirksamkeit von Kompensationsmassnahmen für gewährte Patch-Ausnahmen

Durchgeführt von: Institut CISO / Information Security
Erforderliche Nachweise: Wirksamkeitsnachweise, Log-Auswertungen
Validierung der Risikoakzeptanzentscheidungen

Provider-eigene Schwachstellenbewertung prüfen

Dokumentenprüfung monatlich

Prüfung der vom Provider vorgenommenen CVSS-Bewertungen auf Plausibilität und Vollständigkeit

Durchgeführt von: Institut Information Security
Erforderliche Nachweise: Provider CVSS-Bewertungen, institutseigene Gegendarstellung
Validierung der Entscheidungsgrundlage des Providers

Right-to-Test-Ausübung protokollieren

Dokumentation kontinuierlich

Dokumentation der Ausübung des Right-to-Test gemäss vertraglicher Vereinbarung und aufsichtlicher Erwartung

Durchgeführt von: Institut Provider Management
Erforderliche Nachweise: Right-to-Test-Protokoll, Ausübungsnachweise
Nachweis der systematischen Ausübung des Right-to-Test

Validierungstypen im Überblick

Dokumentenprüfung

Prüfung der vom Provider bereitgestellten Dokumente und Berichte auf Vollständigkeit und Plausibilität

Aufwand: niedrig · Intensität: niedrig

Technische Prüfung

Technische Überprüfung von Schwachstellendaten, Logs oder Konfigurationen (Read-Only)

Aufwand: mittel · Intensität: mittel

Externer Test

Vom Institut beauftragte unabhängige Sicherheitstests beim Provider

Aufwand: hoch · Intensität: hoch

Abgleich / Reconciliation

Systematischer Abgleich von Provider-Daten mit institutseigenen Datenquellen

Aufwand: mittel · Intensität: mittel

Datenanalyse

Automatisierte oder manuelle Analyse von Performance-Daten, SLA-Einhaltung und Trends

Aufwand: niedrig · Intensität: mittel

Dokumentation

Systematische Dokumentation der Ausübung von Prüfungs- und Kontrollrechten

Aufwand: niedrig · Intensität: niedrig

Evidence-Items (17)

ID Titel Owner Frequenz Audit-Relevanz
EVD-PVG-001 Provider Vulnerability Scope Definition Auslagerungsmanagement jährlich (oder bei Vertragsänderung) DORA Artikel 28, MaRisk AT 9
EVD-PVG-002 Provider Asset Inventory (synchronisiert) Provider Manager laufend (automatisierte Synchronisation) DORA Artikel 6, MaRisk AT 7.3
EVD-PVG-003 Provider Scan Coverage Report Provider Manager / Information Security monatlich DORA Artikel 9, MaRisk AT 7.3
EVD-PVG-004 DORA Risk Score Berechnungen IKT-Risikomanagement bei jeder neuen Schwachstelle DORA Artikel 6, 7, MaRisk AT 7.3
EVD-PVG-005 Provider Patch SLA Compliance Report Provider Manager monatlich DORA Artikel 28, 29, MaRisk AT 7.3
EVD-PVG-006 Ticket Mirror Status Log IT Operations / Provider Manager kontinuierlich DORA Artikel 9, MaRisk AT 7.3
EVD-PVG-007 SLA Breach Escalation Protocol Provider Manager bei Bedarf (ereignisgesteuert) DORA Artikel 28, MaRisk AT 7.3
EVD-PVG-008 Patch Exception Register (aktuell) IKT-Risikomanagement / CISO laufend (bei jeder Ausnahme) DORA Artikel 6, 7, MaRisk AT 7.3
EVD-PVG-009 Compensating Control Effectiveness Report Information Security monatlich DORA Artikel 6, 7, MaRisk AT 7.3
EVD-PVG-010 Right-to-Test Ausübungsnachweis Provider Manager / Interne Revision jährlich (mit Nachweisen der kontinuierlichen Ausübung) DORA Artikel 28 Abs. 2, MaRisk AT 9
EVD-PVG-011 Independent Validation / Pentest Report CISO / Interne Revision jährlich DORA Artikel 28 Abs. 2, MaRisk AT 7.3
EVD-PVG-012 Provider Vulnerability Governance Report (Management) CISO / IKT-Risikomanagement quartalsweise DORA Artikel 5, MaRisk AT 4.3.1
EVD-PVG-013 Provider Vulnerability Audit Pack Interne Revision / Compliance bei Prüfungsanlass DORA Artikel 5, 6, 28, 29, MaRisk AT 4.3.3
EVD-PVG-014 Architecture & Data Flow Diagram IT-Architect jährlich (oder bei Architekturänderung) DORA Artikel 9, MaRisk AT 7.3
EVD-PVG-015 Provider Vulnerability Management Policy CISO jährliche Überprüfung DORA Artikel 9, MaRisk AT 7.3
EVD-PVG-016 Provider SLA-Vertragsklauseln (Schwachstellenmanagement) Auslagerungsmanagement / Legal bei Vertragsschluss oder -änderung DORA Artikel 28, 29, MaRisk AT 9
EVD-PVG-017 Management Escalation & Decision Log IKT-Risikomanagement bei Bedarf (ereignisgesteuert) DORA Artikel 5, MaRisk AT 4.3.1

Right-to-Test systematisch ausüben?

Vereinbaren Sie ein Pilotgespräch für den Right-to-Test Validation Workspace.

Pilotgespräch anfragen