Artikel über: Compliance
Dieser Artikel ist auch verfügbar in:

Compliance-Anforderungen & Reifegrad-Mapping

📑 Compliance-Frameworks & Reifegrad-Mapping

„Von Standards zur Umsetzung: Anforderungen, Reifegrad und Nachweise an einem Ort verfolgen.“
Verwandeln Sie Compliance-Verpflichtungen in messbaren, prüfbaren Fortschritt.


Die Einhaltung spezifischer Standards oder regulatorischer Anforderungen ist ohne eine strukturierte Möglichkeit zur Organisation, Strukturierung und Nachverfolgung schwer zu erreichen. Brainframe vereinfacht dies durch ein zentrales Dashboard, in dem Sie Ihre Compliance einfach, schnell und nahezu automatisch verwalten können.


📌 Hinweis: Das SoA-Modul ist nur für Administratoren zugänglich und berücksichtigt keine Ordnerhierarchie.


1️⃣ Erstellen eines Compliance-Sets


Gehen Sie zu Compliance → Frameworks und klicken Sie auf Compliance-Framework hinzufügen.


Dies öffnet folgendes Fenster:



Sie können konfigurieren:


  1. Name des Standards/der Regulierung (z. B. ISO/IEC 27001:2022).
  2. Beschreibung — (optional) Informationen zu Zweck und Geltungsbereich.
  3. Öffentliche URL — (optional) Verlinkung zur offiziellen Referenz.
  4. Unterstützende Dokumente — (optional) Upload gekaufter Standards oder Leitfäden.


Wählen Sie anschließend eine Einrichtungsmethode (jede wird unten beschrieben):


  • Selbst konfiguriert — Kategorien und Anforderungen manuell erstellen.
  • Vorlage — Start mit einem vorab geladenen Anforderungssatz.
  • Excel-Import — Anforderungen mithilfe der Vorlage importieren.



2️⃣ Selbst konfigurierter Modus



  1. Wählen Sie den selbst konfigurierten Einrichtungsmodus.
  2. Definieren Sie Anforderungskategorien.
  3. Entfernen Sie Kategorien.
  4. Fügen Sie Kategorien hinzu.


📌 Sobald die Kategorien festgelegt sind, starten Sie mit einem leeren Framework:



Übersichtselemente


  1. Framework-Aktionsmenü:
  • Aktuelles Framework bearbeiten (öffnet einen Bildschirm zur Anpassung von Beschreibung/Leitfaden/Kategorien)
  • Framework löschen (alle Reifegradbewertungen und verknüpften Dokumente gehen verloren, die Dokumente selbst bleiben in den ursprünglichen Ordnern erhalten)
  • Einfaches Compliance-Framework drucken – Druckt eine Liste aller Kategorien und Anforderungen mit Anwendbarkeit, Anforderungs-ID und -Name, verknüpften Kontrollnamen sowie Namen der Nachweisdokumente
  • Detailliertes Compliance-Framework drucken – Druckt dieselben Informationen wie das einfache SoA, ergänzt um Radar-Diagramme und zugehörige Risiken je Anforderung
  • Compliance-Framework exportieren – Exportiert Anforderungs-ID, Name, Beschreibung, Status, verknüpfte Kontrollnamen, Nachweisnamen und zugehörige Risikonamen in Excel (kann über die Option „Excel-Import“ beim Erstellen eines Frameworks wieder importiert werden)


  1. Diese Bereiche sind leer, bis Sie sie konfigurieren:
  • Reifegrad pro Kategorie – Zeigt ein Radar-Diagramm mit den unterschiedlichen Reifegraden je Kategorie



  • Übersicht zur Anwendbarkeit – Zeigt Zählwerte, wie viele Anforderungen anwendbar und implementiert sind


  • Kategorien, Anforderungen und Anwendbarkeit – Hier werden alle Kategorien mit ihren einzelnen Anforderungen aufgelistet (zu Beginn leer). Pro Kategorie sehen Sie ein Radar-Diagramm des Reifegrads der Anforderungen


  1. Durch Klick auf „Anforderung hinzufügen“ können Sie neue Anforderungen aus Ihrem Standard/Ihrer Regulierung manuell zur Kategorie hinzufügen (siehe unten für Details).
  2. Hier können Sie die gesamte Kategorie bearbeiten oder löschen (alle Anforderungen, deren Reifegrad und verknüpfte Dokumente für diese Kategorie gehen verloren; die Dokumente selbst bleiben in den Ordnern erhalten).


3️⃣ Vorlagenmodus


Bei Auswahl dieser Option können Sie vorkonfigurierte Vorlagen aus Kategorien und deren Anforderungen auswählen. Wählen Sie einfach die Vorlage aus und klicken Sie auf Speichern.



4️⃣ Excel-Import


Diese Option öffnet einen Bildschirm ähnlich dem Massen-Dokumentenimport. Sie können eine Vorlage herunterladen und nach Bedarf ausfüllen oder eine Excel-Datei aus einem früheren Export importieren, wie oben in (2) beschrieben.


⚠️ Achtung: Verknüpfte Kontrollen, Nachweise, Risiken und Anforderungsnotizen werden nicht importiert.


5️⃣ Hinzufügen & Bearbeiten von Anforderungen


Beim Hinzufügen/Bearbeiten einer Anforderung:



  1. Kennung (z. B. A.5.1).
  2. Titel (z. B. Richtlinien zur Informationssicherheit).
  3. Beschreibung/Leitfaden (Implementierungshinweise, z. B. ISO 27002).
  4. Reifegradstufe:
  • Nicht anwendbar
  • Anwendbar, aber nicht implementiert
  • Anwendbar & implementiert – Definiert
  • Anwendbar & implementiert – Gemanagt
  • Anwendbar & implementiert – Optimiert
  1. Kontrollen verknüpfen (Richtlinien, Verfahren).
  2. Nachweise verknüpfen (Aufzeichnungen, Logs).
  3. Zugehörige Risiken verknüpfen (Begründung der Anwendbarkeit).
  4. Anforderung in eine andere Kategorie verschieben.
  5. Anforderung mit mehreren Frameworks verknüpfen (z. B. DSGVO + ISO27001).


Beim Entfernen einer Anforderung, die in mehreren Frameworks enthalten ist, wird sie jeweils nur aus einem Framework entfernt; Details gehen nicht verloren.


6️⃣ Verwaltung von Anforderungen


Jede Anforderung ermöglicht das Nachverfolgen des Reifegrads, das Verknüpfen von Kontrollen, Nachweisen und Risiken sowie das Planen von Folgemaßnahmen.



  1. Anforderungs-ID und -Titel (Mouse-over zeigt Beschreibung/Implementierungsleitfaden, falls konfiguriert).
  2. Festlegen der Reifegradbewertung (wird in Diagrammen reflektiert).
  3. Aktionsschaltflächen: Kontrolle verknüpfen, Nachweis verknüpfen, Risiko hinzufügen, Anforderung bearbeiten, Anforderung löschen.
  4. Hinzufügen allgemeiner Aufgaben, die mit der Anforderung verknüpft sind und automatisch in Ihren Aufgaben erscheinen.
  5. Liste der verknüpften Kontrolldokumente (mit Reifegrad-Tracking, falls aktiviert).
  6. Liste der verknüpften Nachweisdokumente.
  7. Liste der zugehörigen Risiken.
  8. Liste der verknüpften Aufgaben, mit denen Sie interagieren können (als erledigt markieren, bearbeiten, Verknüpfung lösen oder vollständig löschen).
  9. Notizfeld — für Auditor-Kommentare oder interne Verbesserungen.



7️⃣ Statement of Applicability (SoA)


Brainframe generiert automatisch ein Statement of Applicability (SoA) basierend darauf, wie Anforderungen in Ihrem Compliance-Framework konfiguriert sind.

Es gibt kein separates SoA, das manuell gepflegt werden muss — die Anwendbarkeit wird direkt aus jeder Anforderung abgeleitet.


7.1 Anwendbarkeit von Anforderungen


Beim Hinzufügen oder Bearbeiten einer Anforderung steht oben im Bearbeitungsformular ein Kontrollkästchen „Anwendbar“ zur Verfügung.



  • Das Kontrollkästchen ist standardmäßig aktiviert für neue Anforderungen.
  • Bestehende Anforderungen gelten standardmäßig als anwendbar.
  • Durch Deaktivieren wird die Anforderung als Nicht anwendbar markiert.


Verhalten, wenn eine Anforderung nicht anwendbar ist:


  • Die Anforderung wird vom Reifegrad-Tracking ausgeschlossen.
  • Reifegradstufen und Fortschrittsindikatoren werden ausgeblendet.
  • Die Zeile der Anforderung kann nicht erweitert werden.
  • Verknüpfte Kontrollen, Risiken, Nachweise und Notizen werden nicht gelöscht — sie werden lediglich ausgeblendet.
  • Die Anforderung erscheint im Statement of Applicability als Nicht anwendbar.


📌 Wichtig
Das Markieren einer Anforderung als Nicht anwendbar entfernt keine Daten. Alle Verknüpfungen und Inhalte bleiben erhalten und können durch erneutes Aktivieren der Anwendbarkeit wiederhergestellt werden.


Visuelle Indikatoren in der Framework-Ansicht:


  • 🟢 Anwendbar — Anforderung ist im SoA enthalten
  • 🔴 Nicht anwendbar — Anforderung ist vom Geltungsbereich ausgeschlossen


Ein Klick auf das Label Nicht anwendbar öffnet die Bearbeitungsansicht der Anforderung.



7.2 Zugriff auf das Statement of Applicability


Wählen Sie unter Compliance → Frameworks ein Framework aus.


Neben dem Framework-Namen erscheint die Schaltfläche „Statement of Applicability anzeigen“.


Ein Klick darauf öffnet die Statement-of-Applicability-Ansicht (SoA).



Die Navigation aktualisiert sich zu:


7.3 SoA-Ansicht


Die SoA-Ansicht ersetzt die Framework-Diagramme und die Anforderungsliste durch eine strukturierte, auditfähige Tabelle. Alle Daten in dieser Ansicht sind schreibgeschützt.


Die SoA-Tabelle enthält folgende Spalten:


  • Anforderungs-ID: Eindeutige Kennung der Anforderung
  • Anforderungsname: Titel der Anforderung
  • Anforderungsbeschreibung: Beschreibungs- oder Leitfaden-Text
  • Anwendbarkeitsstatus: Gibt an, ob die Anforderung anwendbar ist
  • Begründung der Anwendbarkeit: Begründungsnotizen zur Anwendbarkeit
  • Implementierungsstatus: Berechneter Status basierend auf verknüpften Kontrollen
  • Referenzen: Alphabetisch sortierte Liste der IDs aller verknüpften Kontrollen und Risiken


Verwenden Sie dies zur Dokumentation von:

  • Geltungsbereichsausschlüssen
  • Regulatorischer Auslegung
  • Kontextuellen oder organisatorischen Einschränkungen


Export des SoA


Das SoA kann für Audit- und Berichtszwecke exportiert werden:


  • 📄 Als PDF drucken — formatiert für Auditoren und Management
  • 📊 Als Excel exportieren — strukturierte Daten zur Analyse oder Weiterverwendung


8️⃣ Bewährte Praktiken


  • 📘 Vorlagen nutzen, wenn möglich — spart Zeit durch vorab geladene Kategorien & Anforderungen.
  • 🔄 Anforderungen verknüpft halten — Kontrollen, Nachweise und Risiken sollten immer mit SoA-Elementen verbunden sein.
  • 📊 Reifegrad regelmäßig aktualisieren — Diagramme spiegeln Ihre tatsächliche Compliance-Lage wider.
  • ⚠️ Vorsicht beim Löschen — Reifegrad, Notizen und Verknüpfungen von Anforderungen gehen verloren.
  • 🗂 Mehrere SoAs nutzen — eine Anforderung kann in mehreren Standards verwendet werden (z. B. DSGVO + ISO27001).



🎯 Visuelle Checkliste


  • [x] Compliance-Framework erstellt (SoA hinzugefügt).
  • [x] Kategorien und Anforderungen definiert/importiert.
  • [ ] Dokumente als Kontrollen und Nachweise verknüpft.
  • [ ] Reifegrad bewertet und Radar-Diagramme aktualisiert.
  • [ ] Aufgaben für Lücken oder Verbesserungen zugewiesen.


Aktualisiert am: 29/12/2025

War dieser Beitrag hilfreich?

Teilen Sie Ihr Feedback mit

Stornieren

Danke!