Tool-basierte Audits im Modul “Information Security Management” – mit 360inControl

Bereits zum achten Mal konnte ich heute in der Vorlesung “Information Security Management” der HSLU Informatik eine Audit-Übung mit einem Online-Tool durchführen. Corona-bedingt natürlich vollständig online.

Wir haben dabei das Assessment-Tool “360inControl” der Firma CISS eingesetzt, die uns dies kostenlos für Lehrzwecke zur Verfügung stellt. Die Erklärungen, Einführung in das Tool und die Betreuung während dem “Begleitetem Selbststudium” wurden mit ZOOM durchgeführt. Die Begleitung seitens CISS übernahmen wieder souverän Andreas von Grebmer und Heike Klaus.

Die Aufgabenstellung (diverse Findings bei einem Audit bzgl. IT-Grundschutz) war vorher auf der Lernplattform Ilias bereitgestellt worden. In 360inControl wurden die passenden Kategorien gewählt, so dass 34 “Controls” (also Checks) zur Bearbeitung bereit standen.

Die Studierenden mussten diese Controls durchgehen und bewerten, welche von diesen durch ein Finding verletzt wurden. Dies muss in 360inControl dokumentiert werden. Am Schluss wird ein Audit-Report erzeugt, der von den Studierenden auf Ilias eingereicht wird und dem Nachweis der sorgfältigen Bearbeitung dient.

Hier ein Screenshot: links die Controls, rechts die Erklärung zur Konfiguration.

Dank des Einsatzes einer voll integralen Lösung wie 360inControl (Asset Management, Control Library, ISMS, Datenschutz, Risk und Compliance Management, Business Continuity, Audit) für die Gruppenarbeiten, lernen die Studierenden wie Corporate Governance im Digitalen Zeitalter aussehen kann und sollte. Weg von der Bearbeitung durch wenige Experten, Medien-Brüchen, funktionalen Silos, manuellem Reporting, verteilter Datenhaltung; hin zum geschäftsunterstützenden und kollaborativen integralen Ansatz.

Die stetige Weiterentwicklung von 360inControl, sowohl im Bereich der abgedeckten Standards (ISO27001/2/5, ISO9001, ISO22301, COBIT, PCI DSS 3.2, ITIL, OWASP TOP 10, NIST etc), als auch bei den Neuerungen in den Funktionen, erlaubt es, aktuelle Aufgabenstellungen für den Unterricht bereit zu stellen. Gespannt darf man auf das Third Party Management sein, das im Dezember ausgeliefert wird und das die Zulieferer einbindet.

Wir bedanken uns herzlich bei der Firma CISS für die unentgeltliche und professionelle Unterstützung, unsere Studierenden mit state-of-the-art Tools vertraut zu machen.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s