ISMS Copilot
GRC-Engineering

Implementierung von Zugriffskontrolle und Identitätsmanagement mittels KI

Überblick

Zugriffskontrolle und Identitätsmanagement liegen an der Schnittstelle zwischen Compliance-Anforderungen und dem täglichen Security Engineering. Jedes bedeutende Framework schreibt Kontrollen vor, wer unter welchen Bedingungen auf was zugreifen darf und wie dieser Zugriff im Laufe der Zeit verwaltet wird. Die ISO 27001 widmet diesem Thema die Anhänge A.5.15 bis A.5.18 (Zugriffskontrollpolitik, Identitätsmanagement, Authentifizierung, Zugriffsrechte) sowie A.8.2 bis A.8.5 (privilegierter Zugriff, Zugriffsbeschränkung, sichere Authentifizierung, Quellcode-Zugriff). Die SOC 2 Trust Services Criteria CC6.1 bis CC6.3 erfordern logische und physische Zugriffskontrollen, und das NIST CSF PR.AC deckt Identitätsmanagement, Authentifizierung und Zugriffskontrolle über alle Asset-Kategorien hinweg ab.

Trotz der Breite dieser Anforderungen scheitern die meisten Unternehmen an der Umsetzung. Das Entwerfen von Rollenhierarchien, die Automatisierung von Identity-Lifecycle-Events, die Einführung von Multi-Faktor-Authentifizierung, die Verwaltung privilegierter Konten und die Durchführung von Zugriffsprüfungen erfordern sowohl Compliance-Wissen als auch technisches Engineering-Know-how. Dieser Leitfaden zeigt Ihnen, wie Sie KI nutzen können, um diese Lücke zu schließen – indem Sie konforme Designs, Verfahren und Vorlagen erstellen, die Sie an Ihre spezifische Umgebung anpassen können.

Für wen dieser Leitfaden ist

  • Security Engineers, die IAM-Infrastrukturen entwerfen und bereitstellen

  • IT-Manager, die für die Zugriffskontrolle im gesamten Unternehmen verantwortlich sind

  • GRC-Experten, die Framework-Anforderungen in technische Kontrollen übersetzen

  • Berater, die Zugriffskontrollprogramme für mehrere Kunden implementieren

Voraussetzungen

  • Ein aktiver ISMS Copilot Workspace, der für Ihr IAM-Projekt reserviert ist

  • Eine abgeschlossene Risikobewertung, die zugriffsbezogene Risiken identifiziert (oder Zugriff auf Ihr Risikoregister)

  • Ein Verständnis Ihrer aktuellen Identitätsinfrastruktur (Verzeichnisdienste, IdP, SSO-Anbieter)

  • Vertrautheit mit dem Compliance-Scope Ihres Unternehmens (welche Frameworks gelten)

Entwurf von RBAC/ABAC-Modellen

Rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC) sind die beiden dominierenden Modelle zur Durchsetzung des Least-Privilege-Prinzips in großem Maßstab. ISO 27001 A.5.15 verlangt, dass Regeln zur Zugriffskontrolle auf Basis von Geschäfts- und Informationssicherheitsanforderungen festgelegt werden. SOC 2 CC6.1 fordert, dass die logische Zugriffssicherheit nach dem Prinzip der minimalen Rechtevergabe implementiert wird. Ein korrektes Modell in der Entwurfsphase verhindert die schleichende Ausweitung von Berechtigungen (Privilege Creep) und vereinfacht später die Sammlung von Audit-Nachweisen.

KI zur Entwicklung Ihres RBAC-Modells nutzen

Lassen Sie den ISMS Copilot zunächst Ihre Organisationsstruktur analysieren und diese auf Rollen abbilden:

"Wir sind ein [Größe] Unternehmen in der Branche [Branche] und nutzen [Identity Provider]. Unsere Abteilungen umfassen [Abteilungsliste]. Entwirf ein RBAC-Modell, das das Prinzip der minimalen Rechtevergabe (Least Privilege) durchsetzt. Definiere für jede Abteilung: Basisrollen, erweiterte Rollen, Regeln für Rollenhierarchie und Vererbung, Einschränkungen zur Funktionstrennung (inkompatible Rollenkombinationen) und Standard-Verweigerungsberechtigungen (Default-Deny). Ordne das Modell ISO 27001 A.5.15 und SOC 2 CC6.2 zu."

Für Organisationen mit komplexeren Zugriffsanforderungen ergänzt ABAC die Rollen um kontextbezogene Entscheidungsfindung:

"Wir müssen unser RBAC-Modell um eine attributbasierte Zugriffskontrolle für [Anwendungsfall, z. B. Multi-Tenant-Datenzugriff, geografische Beschränkungen, klassifizierungsbasierter Zugriff] erweitern. Definiere: Benutzerattribute (Abteilung, Sicherheitsfreigabe, Standort, Gerätezustand), Ressourcenattribute (Datenklassifizierung, Eigentümer, Vertraulichkeitsstufe), Umgebungsattribute (Tageszeit, Netzwerkzone, Bedrohungsstufe) und die Logik zur Richtlinienauswertung. Ordne dies NIST SP 800-162 und ISO 27001 A.5.15 zu."

Laden Sie Ihr aktuelles Organigramm, Stellenbeschreibungen oder eine bestehende Zugriffsmatrix in den ISMS Copilot hoch, bevor Sie Rollen entwerfen. Die KI erstellt weitaus genauere Rollendefinitionen, wenn sie sich auf Ihre tatsächliche Struktur beziehen kann, anstatt mit generischen Annahmen zu arbeiten.

Matrix zur Funktionstrennung (Segregation of Duties)

Ein kritisches Ergebnis des RBAC-Designs ist die Matrix zur Funktionstrennung (SoD), die verhindert, dass eine einzelne Person alle Phasen eines kritischen Prozesses kontrolliert. Fragen Sie den ISMS Copilot:

"Erstelle eine Matrix zur Funktionstrennung für unsere [System/Umgebung]. Identifiziere Rollenpaare, die Konflikte verursachen (z. B. Zahlungsfreigabe und Zahlungsausführung, Benutzerbereitstellung und Zugriffsprüfung, Code-Deployment und Zugriff auf Produktionsdatenbanken). Gib für jedes Konfliktpaar an: das Risiko bei Kombination, die kompensierende Kontrolle, falls eine Trennung nicht möglich ist, und die entsprechende ISO 27001/SOC 2-Kontrollreferenz."

Identity Lifecycle Management

Das Identitätslebenszyklus-Management – der Prozess für Einsteiger, Wechsler und Aussteiger (Joiner/Mover/Leaver) – ist der Punkt, an dem die Zugriffskontrollpolitik auf die betriebliche Realität trifft. ISO 27001 A.5.16 (Identitätsmanagement) und A.5.18 (Zugriffsrechte) erfordern formale Prozesse für die Bereitstellung, Änderung und den Entzug von Zugriffen. SOC 2 CC6.2 verlangt, dass neue logische Zugriffe autorisiert, bestehende Zugriffe bei Rollenwechseln geändert und Zugriffe entfernt werden, wenn sie nicht mehr benötigt werden. NIST PR.AC-1 fordert, dass Identitäten und Anmeldedaten ausgegeben, verwaltet, verifiziert, widerrufen und geprüft werden.

Joiner-Prozess (Eintritt)

Nutzen Sie KI, um automatisierte Onboarding-Workflows zu entwerfen, die in Ihr HR-System integriert sind:

"Entwirf einen automatisierten Joiner-Prozess für unsere Organisation. Wir nutzen [HRIS, z. B. Workday/BambooHR] als 'Source of Truth' und [IdP, z. B. Okta/Azure AD/Google Workspace] für das Identitätsmanagement. Berücksichtige: Trigger-Events aus dem HRIS, Rollen-zu-Zugriffs-Mapping nach Abteilung und Jobtitel, automatisierte Kontoerstellung in [Systemliste], Anforderungen an die MFA-Registrierung, Standard-Sicherheitseinstellungen, Benachrichtigungs- und Verifizierungsschritte für Manager sowie den Audit-Trail, der in jeder Phase erfasst wird. Richte dies an ISO 27001 A.5.16 und SOC 2 CC6.2 aus."

Mover-Prozess (Wechsel)

Rollenwechsel sind das am häufigsten übersehene Lebenszyklus-Ereignis und die Hauptursache für Privilege Creep:

"Entwirf einen Mover-Prozess, der ausgelöst wird, wenn ein Mitarbeiter die Abteilung, den Jobtitel oder den Manager wechselt. Berücksichtige: automatische Erkennung des Änderungsereignisses, Vergleich alter versus neuer erforderlicher Zugriffe, Entzug nicht mehr benötigter Zugriffe, Bereitstellung neuer Zugriffe für die neue Rolle, Genehmigungs-Workflow des Managers für die Netto-Änderung und ein 30-tägiges Übergangsfenster mit Monitoring. Beziehe dich auf ISO 27001 A.5.18 und SOC 2 CC6.2."

Der Mover-Prozess ist die häufigste Lücke, die Auditoren finden. Viele Unternehmen haben solide Joiner- und Leaver-Workflows, aber keinen Prozess, um alte Zugriffe zu widerrufen, wenn jemand intern wechselt. Dies führt zu kumulativem Privilege Creep, was gegen die Least-Privilege-Anforderungen von ISO 27001 A.5.15 und SOC 2 CC6.1 verstößt.

Leaver-Prozess (Austritt)

Der rechtzeitige Entzug des Zugriffs bei Beendigung des Arbeitsverhältnisses ist eine kritische Kontrolle und ein häufiger Audit-Befund:

"Erstelle einen umfassenden Leaver-Prozess, der sowohl die freiwillige als auch die unfreiwillige Kündigung abdeckt. Berücksichtige: Sofortmaßnahmen innerhalb von [Zeitrahmen] nach Benachrichtigung, Abfolge der Kontodeaktivierung über alle Systeme hinweg (SSO, VPN, Cloud, SaaS, physischer Zugang, E-Mail), Datensicherung und Übergabe an den Manager, Verfahren für die Rückgabe von Geräten und das Löschen von Daten, Rotation gemeinsam genutzter Anmeldedaten, Entfernung aus Verteilerlisten und Gruppenmitgliedschaften, Beendigung des Zugriffs für Auftragnehmer und Dritte sowie Verifizierungsschritte nach dem Entzug. Ordne dies ISO 27001 A.5.10, A.5.18 und SOC 2 CC6.2 zu."

Strategie für Multi-Faktor-Authentifizierung

MFA ist eine der wirkungsvollsten Kontrollen zur Verhinderung unbefugter Zugriffe. ISO 27001 A.8.5 (sichere Authentifizierung) verlangt eine Authentifizierungsstärke, die proportional zur Klassifizierung der aufgerufenen Informationen ist. SOC 2 CC6.1 erfordert Multi-Faktor-Authentifizierung für den Fernzugriff und privilegierte Konten. NIST PR.AC-7 gibt an, dass Authentifizierungsmechanismen dem Risiko angemessen sein sollten.

MFA-Rollout-Planung

Ein schrittweiser Rollout vermeidet die Support-Last und den Benutzerwiderstand eines Big-Bang-Ansatzes:

"Entwirf einen phasenweisen MFA-Rollout-Plan für unsere [Größe] Organisation. Wir nutzen derzeit [aktuelle Authentifizierungsmethode] und unser IdP ist [Anbieter]. Inkludiere: Phase 1 Umfang (privilegierte Konten, IT-Personal), Phase 2 Umfang (gesamter Fernzugriff, Cloud-Anwendungen), Phase 3 Umfang (alle Benutzer, alle Anwendungen), empfohlene MFA-Methoden je Benutzergruppe (Authenticator-App, Hardware-Token, Passkeys), Registrierungs-Workflow und Kommunikationsvorlagen für Benutzer, Eskalationsverfahren für den Helpdesk, Kulanzfrist und Zeitplan für die Durchsetzung pro Phase sowie ein Prozess zur Behandlung von Ausnahmen mit Dokumentation der Risikoakzeptanz. Ordne jede Phase ISO 27001 A.8.5 und SOC 2 CC6.1 zu."

Bewertung der Authentifizierungsmethode

Nicht alle MFA-Methoden bieten die gleiche Sicherheit. Nutzen Sie KI, um Optionen gegen Ihr Risikoprofil abzuwägen:

"Vergleiche MFA-Methoden für unsere Organisation: TOTP-Authenticator-Apps, FIDO2/WebAuthn-Hardware-Keys, Push-Benachrichtigungen, SMS-OTP und zertifikatsbasierte Authentifizierung. Bewerte für jede Methode: Phishing-Resistenz (kritisch für unser Bedrohungsmodell), Benutzerfreundlichkeit und Akzeptanzhürden, Kosten pro Benutzer bei [Skalierung], Geräteanforderungen, Wiederherstellungs- und Fallback-Optionen sowie Compliance-Ausrichtung mit NIST SP 800-63B AAL-Levels. Empfiehl, welche Methode für welche Benutzergruppe verwendet werden sollte."

Umgang mit Ausnahmen

Jeder MFA-Rollout stößt auf Sonderfälle – Service-Accounts, Altsysteme, Barrierefreiheitsanforderungen. Dokumentieren Sie diese, bevor sie zu Audit-Befunden werden:

"Erstelle ein Verfahren zur Behandlung von MFA-Ausnahmen. Definiere: gültige Ausnahmekategorien (Inkompatibilität von Altsystemen, Barrierefreiheitsanforderungen, Service-Accounts, Break-Glass-Zugriff), erforderliche Dokumentation für jeden Ausnahmetyp, kompensierende Kontrollen, wenn MFA nicht angewendet werden kann (IP-Beschränkung, verstärktes Monitoring, Sitzungszeitlimits), Genehmigungsbefugnis und Eskalation, Häufigkeit der Ausnahmeprüfung (vierteljährlich) und Sunset-Kriterien für die Aufhebung von Ausnahmen. Richte dies an ISO 27001 A.5.1 (Richtlinienausnahmen) und SOC 2 CC6.1 aus."

Privileged Access Management (PAM)

Privilegierte Konten stellen das höchste Risiko in jedem Zugriffskontrollprogramm dar. Ein einziges kompromittiertes Admin-Passwort kann jede andere Sicherheitskontrolle umgehen. ISO 27001 A.8.2 befasst sich spezifisch mit privilegierten Zugriffsrechten, Anforderungen für die eingeschränkte Zuweisung, formale Autorisierung und Protokollierung von Aktivitäten. SOC 2 CC6.3 verlangt, dass der Zugriff auf Systemressourcen über rollenbasierte Zugriffskontrollen verwaltet wird. NIST PR.AC-4 fordert, dass Zugriffsberechtigungen nach dem Prinzip der minimalen Rechtevergabe verwaltet werden.

PAM-Richtliniendesign

Nutzen Sie KI, um eine umfassende PAM-Richtlinie zu erstellen, die auf Ihre Umgebung zugeschnitten ist:

"Entwirf eine Richtlinie für das Management privilegierter Zugriffe (PAM) für unsere Organisation. Wir haben ca. [Anzahl] Admin-Konten über [Systemliste: Cloud, On-Premises, SaaS]. Inkludiere: Definition und Inventar privilegierter Konten (Root, Domain-Admin, Datenbank-Admin, Cloud-IAM-Admin, Service-Accounts mit erweiterten Berechtigungen), Genehmigungs-Workflow für die Gewährung privilegierter Zugriffe, maximale Dauer der Privilegien und automatischer Ablauf, Anforderungen an Sitzungsaufzeichnung und Monitoring, Tresor-Speicherung (Vaulting) von Zugangsdaten und Rotationsplan, Trennung von Admin-Konten von Konten für den täglichen Gebrauch sowie Anforderungen an die Audit-Protokollierung. Ordne dies ISO 27001 A.8.2, SOC 2 CC6.3 und NIST AC-6 zu."

Just-in-Time-Zugriff (JIT)

Dauerhafte Privilegien – Admin-Zugriff, der immer aktiv ist – schaffen unnötige Angriffsfläche. Just-in-Time-Zugriff (JIT) reduziert diese Fläche, indem er erhöhte Privilegien nur bei Bedarf und nur für eine definierte Dauer gewährt:

"Entwirf ein Just-in-Time-Modell für privilegierte Zugriffe für unsere [Umgebung]. Inkludiere: Anfrage- und Begründungs-Workflow (verknüpft mit Change-Ticket oder Incident), automatisierte Genehmigungsregeln (z. B. vorab genehmigt für On-Call-Engineers während eines Incidents), maximale Sitzungsdauer nach Privilegienstufe (z. B. 4 Stunden für Cloud-Admin, 1 Stunde für Datenbank-Admin), automatischer Entzug der Privilegien am Sitzungsende, Aktivitätsprotokollierung während der Sitzung, Integration mit [PAM-Tool oder IdP, z. B. Azure PIM, CyberArk, HashiCorp Boundary] und Metriken für das Reporting (durchschnittliche Sitzungsdauer, Genehmigungszeit, Nutzungshäufigkeit). Beziehe dich auf ISO 27001 A.8.2 und NIST SP 800-53 AC-2(5)."

Break-Glass-Verfahren (Notfallzugriff)

Notfallverfahren müssen existieren, wenn normale Zugriffskanäle nicht verfügbar sind:

"Erstelle Break-Glass-Zugriffsverfahren für [kritische Systeme]. Inkludiere: Inventar der Break-Glass-Konten und sichere Aufbewahrung (versiegelter Umschlag im Tresor, geteilte Zugangsdaten zwischen zwei Personen, Hardware-Token im verschlossenen Schrank), Aktivierungskriterien (Systemausfall, der [Schwellenwert] betrifft, IdP-Ausfall, kritischer Sicherheitsvorfall), Autorisierungsprozess (wer kann die Aktivierung über welchen Kanal genehmigen), Überwachung und Alarmierung (sofortige Benachrichtigung an das Sicherheitsteam bei jeder Verwendung eines Break-Glass-Kontos), Maßnahmen nach der Verwendung (vollständige Überprüfung der Aktivitäten innerhalb von 24 Stunden, Rotation der Zugangsdaten, Incident-Dokumentation), Testplan (jährliche Break-Glass-Übung) und Compliance-Dokumentation. Ordne dies ISO 27001 A.8.2 und SOC 2 A1.2 zu."

Bitten Sie den ISMS Copilot, eine Vorlage für ein Inventar privilegierter Konten zu erstellen, bevor Sie Ihre PAM-Richtlinie entwerfen. Das Verständnis des vollen Umfangs von Admin-Konten – einschließlich Service-Accounts und API-Keys mit erweiterten Berechtigungen – ist für ein vollständiges PAM-Programm unerlässlich. Viele Unternehmen entdecken zwei- bis dreimal mehr privilegierte Konten als erwartet.

Zugriffsprüfung und Rezertifizierung

Regelmäßige Zugriffsprüfungen verifizieren, dass Zugriffsrechte im Laufe der Zeit angemessen bleiben. ISO 27001 A.5.18 verlangt, dass Zugriffsrechte in definierten Intervallen überprüft werden. SOC 2 CC6.2 fordert, dass der Zugriff regelmäßig überprüft und validiert wird. Ohne regelmäßige Prüfungen sammeln sich Privilege Creep, verwaiste Konten und veraltete Berechtigungen an, was sowohl Compliance-Lücken als auch Sicherheitsrisiken schafft.

Gestaltung Ihres Zugriffsprüfungsprogramms

Nutzen Sie KI, um ein Prüfungsprogramm zu erstellen, das auf die Sensibilität der geprüften Zugriffe abgestimmt ist:

"Entwirf ein Programm zur regelmäßigen Zugriffsprüfung für unsere Organisation. Wir haben [Anzahl] Mitarbeiter in [Anzahl] Systemen. Inkludiere: Prüfungshäufigkeit nach Zugriffstyp (vierteljährlich für privilegierte und sensible Datenzugriffe, halbjährlich für Standardzugriffe, monatlich für Zugriffe durch Dritte/Anbieter), Logik für die Zuweisung von Prüfern (direkter Vorgesetzter prüft Standardzugriff, Ressourcenbesitzer prüft anwendungsspezifischen Zugriff, Sicherheitsteam prüft privilegierten Zugriff), Review-Workflow mit Eskalation bei Nichtreaktion, Umfang pro Prüfzyklus (alle Benutzer und Berechtigungen vs. Stichprobenansatz) und Integration mit [IGA-Tool oder manueller Prozess]. Ordne dies ISO 27001 A.5.18 und SOC 2 CC6.2 zu."

Review-Vorlagen und Nachweise

Auditoren müssen sehen, dass Prüfungen durchgeführt wurden, welche Entscheidungen getroffen wurden und dass die Behebung (Remediation) abgeschlossen wurde:

"Erstelle eine Vorlage für die Zugriffsprüfung, die erfasst: Benutzername und ID, System oder Anwendung, aktuelle Berechtigungen und Rollen, geschäftliche Begründung für jede Berechtigung, Entscheidung des Prüfers (Bestätigen, Ändern, Entziehen), Name des Prüfers und Datum sowie Nachverfolgung der Behebung bei entzogenen Zugriffen. Erstelle auch eine Vorlage für einen Review-Zusammenfassungsbericht, der zeigt: Gesamtzahl der geprüften Konten, Prozentsatz Bestätigt vs. Geändert vs. Entzogen, durchschnittliche Zeit bis zum Abschluss des Reviews, offene Korrekturmaßnahmen und Trenddaten im Vergleich zu vorherigen Prüfzyklen."

Remediation-Workflows (Behebung)

Die Prüfung selbst ist nur die halbe Miete. Entzogene Zugriffe müssen tatsächlich entfernt werden, und diese Entfernung muss verifiziert werden:

"Entwirf einen Workflow zur Behebung von Befunden aus der Zugriffsprüfung. Inkludiere: automatische Ticket-Erstellung für jede Entzugsentscheidung, Zuweisung an das entsprechende Provisioning-Team, SLA für die Behebung (z. B. 5 Arbeitstage für Standard, 24 Stunden für privilegiert), Verifizierungsschritt, der bestätigt, dass der Zugriff tatsächlich entfernt wurde, Eskalationspfad für verpasste SLAs, Ausnahmeprozess für Zugriffe, die nicht sofort entzogen werden können (mit kompensierenden Kontrollen) und Abschlussdokumentation für Audit-Nachweise. Beziehe dich auf ISO 27001 A.5.18 und SOC 2 CC6.2."

Zugriffsprüfungen führen zu Audit-Befunden, wenn der Behebungszyklus nicht geschlossen wird. Ein Auditor prüft nicht nur, ob Prüfungen stattgefunden haben, sondern auch, ob Entzugsentscheidungen innerhalb eines angemessenen Zeitrahmens ausgeführt wurden. Bauen Sie Behebungs-SLAs und Verifizierungsschritte von Anfang an in Ihren Review-Prozess ein.

Beispiel-Prompts

Die folgenden Prompts sind bereit zur Verwendung im ISMS Copilot. Ersetzen Sie die Platzhalter in Klammern durch Ihre spezifischen Details.

RBAC-Modell für eine Cloud-native Organisation

Design an RBAC model for a cloud-native SaaS company with 200 employees across engineering, product, sales, customer success, and finance departments. We use Google Workspace for identity, AWS for infrastructure, and Okta for SSO. For each department, define: standard role, elevated role, admin role, permitted resources in AWS (using IAM policy patterns), and segregation of duties constraints. Ensure the model satisfies ISO 27001 A.5.15, SOC 2 CC6.1-CC6.2, and NIST PR.AC-4. Output as a role matrix with permission details.

Vollständiges Joiner/Mover/Leaver-Verfahren

Create a complete identity lifecycle management procedure covering joiner, mover, and leaver events. Our HRIS is BambooHR, IdP is Azure AD, and we use SCIM for automated provisioning to [list SaaS apps]. For each lifecycle event, define: trigger, automated actions, manual steps, approval requirements, SLA, audit trail captured, and compliance mapping to ISO 27001 A.5.16, A.5.18, SOC 2 CC6.2, and NIST PR.AC-1. Include a RACI matrix for each process.

MFA-Rollout-Plan mit Ausnahmebehandlung

Create a three-phase MFA rollout plan for a 500-person organization currently using password-only authentication. Phase 1: IT and privileged users (month 1-2). Phase 2: all remote and cloud access (month 3-4). Phase 3: all users and applications (month 5-6). For each phase, include: scope, recommended MFA methods, enrollment process, communication plan, support procedures, and success metrics. Also create an exception handling procedure with compensating controls for legacy systems that cannot support MFA. Map to ISO 27001 A.8.5 and NIST SP 800-63B.

Just-in-Time-Modell für privilegierte Zugriffe

Design a just-in-time privileged access model for our AWS and Azure environments. We have 15 infrastructure engineers who currently have standing admin access. Define: JIT request workflow integrated with ServiceNow, automated approval rules for common scenarios (on-call incident response, scheduled maintenance), maximum session durations by privilege level, session recording requirements, automatic revocation process, and monthly reporting metrics. Include a comparison of current state (standing access) versus target state (JIT) risk levels. Map to ISO 27001 A.8.2, SOC 2 CC6.3, and NIST AC-2(5).

Vierteljährliches Programm zur Zugriffsprüfung

Design a quarterly access review program for an organization with 300 users across 25 SaaS applications, 3 cloud environments, and 2 on-premises systems. Define: review scope and scheduling, reviewer assignment by system type, review workflow with automated reminders and escalation, decision criteria (confirm, modify, revoke), remediation process with 5-day SLA, evidence collection for audit, and KPIs to track program effectiveness over time. Include templates for the review form and summary report. Map to ISO 27001 A.5.18 and SOC 2 CC6.2.

Governance für den Zugriff durch Anbieter und Dritte

Create a third-party access governance framework for managing vendor, contractor, and partner access. We have approximately 40 vendors with system access. Include: access request and risk assessment process, dedicated account requirements (no shared credentials), network segmentation for vendor access, MFA enforcement, time-limited access with automatic expiry, activity monitoring and logging, monthly access reviews, termination procedures at contract end, and annual vendor access audit process. Map to ISO 27001 A.5.19-A.5.22, SOC 2 CC6.2-CC6.3, and NIST PR.AC-3.

Verwandte Ressourcen

  • Zugriffskontrolle und Identitätsmanagement Prompts – gebrauchsfertige Vorlagen für IAM-Engineering-Aufgaben

  • Übersicht der GRC-Engineering Prompt-Bibliothek – vollständiger Index der Prompt-Sammlungen für Compliance-Engineering

  • Infrastruktur- und Cloud-Sicherheits-Prompts – Cloud-IAM-Baselines und Netzwerksicherheits-Prompts

  • Übersicht der ISO 27001 Prompt-Bibliothek – umfassendere Anleitungen zur Implementierung der ISO 27001

  • Überblick zum Prompt Engineering – Techniken für bessere Ergebnisse mit dem ISMS Copilot

War das hilfreich?