Right-to-Test
Right-to-Test Validation Workspace
Strukturierter Arbeitsraum für die systematische Ausübung des aufsichtlichen Rechts auf eigene Prüfung und Validierung beim Provider.
8
Validierungs-Checkpoints
6
Validierungstypen
17
Evidence-Items
2
Technische Prüfungen
Provider Scan Report Review
Prüfung der vom Provider bereitgestellten Scan-Berichte auf Vollständigkeit und Plausibilität
Read-Only Dashboard Review
Analyse der Schwachstellendaten über das Read-Only Dashboard des Providers
Unabhängiger externer Penetrationstest
Vom Institut beauftragter Penetrationstest der Provider-Umgebung (gemäss vereinbarten Grenzen)
Stichprobenartige Asset-Validierung
Abgleich der vom Provider gemeldeten Assets mit institutseigenen Erkenntnissen zur Identifikation von Shadow-IT
Patch-SLA-Compliance-Validierung
Überprüfung der Einhaltung der vereinbarten Patch-SLAs durch unabhängige Zeitstempelprüfung
Kompensationsmassnahmen-Review
Prüfung der Wirksamkeit von Kompensationsmassnahmen für gewährte Patch-Ausnahmen
Provider-eigene Schwachstellenbewertung prüfen
Prüfung der vom Provider vorgenommenen CVSS-Bewertungen auf Plausibilität und Vollständigkeit
Right-to-Test-Ausübung protokollieren
Dokumentation der Ausübung des Right-to-Test gemäss vertraglicher Vereinbarung und aufsichtlicher Erwartung
Validierungstypen im Überblick
Dokumentenprüfung
Prüfung der vom Provider bereitgestellten Dokumente und Berichte auf Vollständigkeit und Plausibilität
Technische Prüfung
Technische Überprüfung von Schwachstellendaten, Logs oder Konfigurationen (Read-Only)
Externer Test
Vom Institut beauftragte unabhängige Sicherheitstests beim Provider
Abgleich / Reconciliation
Systematischer Abgleich von Provider-Daten mit institutseigenen Datenquellen
Datenanalyse
Automatisierte oder manuelle Analyse von Performance-Daten, SLA-Einhaltung und Trends
Dokumentation
Systematische Dokumentation der Ausübung von Prüfungs- und Kontrollrechten
Evidence-Items (17)
| ID | Titel | Owner | Frequenz | Audit-Relevanz |
|---|---|---|---|---|
| EVD-PVG-001 | Provider Vulnerability Scope Definition | Auslagerungsmanagement | jährlich (oder bei Vertragsänderung) | DORA Artikel 28, MaRisk AT 9 |
| EVD-PVG-002 | Provider Asset Inventory (synchronisiert) | Provider Manager | laufend (automatisierte Synchronisation) | DORA Artikel 6, MaRisk AT 7.3 |
| EVD-PVG-003 | Provider Scan Coverage Report | Provider Manager / Information Security | monatlich | DORA Artikel 9, MaRisk AT 7.3 |
| EVD-PVG-004 | DORA Risk Score Berechnungen | IKT-Risikomanagement | bei jeder neuen Schwachstelle | DORA Artikel 6, 7, MaRisk AT 7.3 |
| EVD-PVG-005 | Provider Patch SLA Compliance Report | Provider Manager | monatlich | DORA Artikel 28, 29, MaRisk AT 7.3 |
| EVD-PVG-006 | Ticket Mirror Status Log | IT Operations / Provider Manager | kontinuierlich | DORA Artikel 9, MaRisk AT 7.3 |
| EVD-PVG-007 | SLA Breach Escalation Protocol | Provider Manager | bei Bedarf (ereignisgesteuert) | DORA Artikel 28, MaRisk AT 7.3 |
| EVD-PVG-008 | Patch Exception Register (aktuell) | IKT-Risikomanagement / CISO | laufend (bei jeder Ausnahme) | DORA Artikel 6, 7, MaRisk AT 7.3 |
| EVD-PVG-009 | Compensating Control Effectiveness Report | Information Security | monatlich | DORA Artikel 6, 7, MaRisk AT 7.3 |
| EVD-PVG-010 | Right-to-Test Ausübungsnachweis | Provider Manager / Interne Revision | jährlich (mit Nachweisen der kontinuierlichen Ausübung) | DORA Artikel 28 Abs. 2, MaRisk AT 9 |
| EVD-PVG-011 | Independent Validation / Pentest Report | CISO / Interne Revision | jährlich | DORA Artikel 28 Abs. 2, MaRisk AT 7.3 |
| EVD-PVG-012 | Provider Vulnerability Governance Report (Management) | CISO / IKT-Risikomanagement | quartalsweise | DORA Artikel 5, MaRisk AT 4.3.1 |
| EVD-PVG-013 | Provider Vulnerability Audit Pack | Interne Revision / Compliance | bei Prüfungsanlass | DORA Artikel 5, 6, 28, 29, MaRisk AT 4.3.3 |
| EVD-PVG-014 | Architecture & Data Flow Diagram | IT-Architect | jährlich (oder bei Architekturänderung) | DORA Artikel 9, MaRisk AT 7.3 |
| EVD-PVG-015 | Provider Vulnerability Management Policy | CISO | jährliche Überprüfung | DORA Artikel 9, MaRisk AT 7.3 |
| EVD-PVG-016 | Provider SLA-Vertragsklauseln (Schwachstellenmanagement) | Auslagerungsmanagement / Legal | bei Vertragsschluss oder -änderung | DORA Artikel 28, 29, MaRisk AT 9 |
| EVD-PVG-017 | Management Escalation & Decision Log | IKT-Risikomanagement | bei Bedarf (ereignisgesteuert) | DORA Artikel 5, MaRisk AT 4.3.1 |
Right-to-Test systematisch ausüben?
Vereinbaren Sie ein Pilotgespräch für den Right-to-Test Validation Workspace.
Pilotgespräch anfragen