PERF.3.1.4 — Umfang von Audits
MUSS
Security level: normal-SdT
Effort 0
BSI-Methodik-Grundschutz-plus-plus
Sub-control of PERF.3.1
Statement (Anforderung)
Monitoring-Evaluation MUSS in angemessenem Umfang Audits ausführen.
Guidance (Erläuterung)
Der Umfang eines Audits beschreibt, was, wie und in welchem Rahmen geprüft wird. Dazu gehören der organisatorische und technische Geltungsbereich (z. B. Standorte, Abteilungen, IT-Systeme), der Prüfzeitraum, sowie die eingesetzten Prüfmethoden wie Interviews, Dokumentensichtung oder Systemtests. Der Auditumfang wird vor Beginn des Audits klar definiert, um den Ablauf gezielt zu planen und die Ergebnisse nachvollziehbar zu dokumentieren.
Statement properties
| Name | Value |
|---|---|
| result | in angemessenem Umfang Audits |
| action_word | ausführen |
| modal_verb | MUSS |
Control properties
| Name | Value |
|---|---|
| alt-identifier | dd98f0ad-e27d-44dd-8a44-1fee1657b714 |
| sec_level | normal-SdT |
| effort_level | 0 |
Raw OSCAL JSON (complete control)
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "PERF.3.1.4",
"parts": [
{
"id": "PERF.3.1.4_stm",
"name": "statement",
"props": [
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "in angemessenem Umfang Audits"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "ausführen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Monitoring-Evaluation MUSS in angemessenem Umfang Audits ausführen."
},
{
"id": "PERF.3.1.4_gdn",
"name": "guidance",
"prose": "Der Umfang eines Audits beschreibt, was, wie und in welchem Rahmen geprüft wird. Dazu gehören der organisatorische und technische Geltungsbereich (z. B. Standorte, Abteilungen, IT-Systeme), der Prüfzeitraum, sowie die eingesetzten Prüfmethoden wie Interviews, Dokumentensichtung oder Systemtests. Der Auditumfang wird vor Beginn des Audits klar definiert, um den Ablauf gezielt zu planen und die Ergebnisse nachvollziehbar zu dokumentieren."
}
],
"props": [
{
"name": "alt-identifier",
"value": "dd98f0ad-e27d-44dd-8a44-1fee1657b714"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Umfang von Audits"
}