Anpassung der Einstellung
Das Einstellungsdokument in der jeweiligen Anwendung der ForumSuite ist nur für Nutzer mit Benutzerrecht Zur Übersichtlichkeit ist der Bereich Einstellungen unterteilt in diverse Reiter. Zur Verwendung der Einstellungen innerhalb der Anwendung müssen die Einstellungen immer freigegeben werden. Im Reiter Dokumente deaktivierter Bereiche werden in der jeweiligen Anwendung nicht mehr angezeigt oder zur Verfügung gestellt. Bereits angelegte Dokumente bleiben bei Deaktivierung des Bereiches in der jeweiligen Anwendung bestehen und sind bei späterer Aktivierung wieder sichtbar. Bitte beachten Sie, dass eine Deaktivierung von Wesentlichkeitskriterien keinen Einfluss auf bereits erfolgte Bewertungen hat. Der Reiter Die Einstellungen zu den Wesentlichkeitskriterien können in allen Anwendungen der ForumSuite geändert werden. Wurde ein Wert deaktiviert, steht er bei der initialen Bewertung eines Geschäftsprozesses nicht mehr zur Verfügung. Bereits angelegte Bewertungen bleiben bei Deaktivierung des Kriteriums im jeweiligen Geschäftsprozess bestehen und sichtbar. Im Reiter Die Voreinstellungen der FORUM, welche Sie bei dem ersten Aufruf des Reiters Freigabe sehen, sind Empfehlungen der FORUM. Möchten Sie die Einstellungen bearbeiten, gehen Sie in den Bereich und öffnen über Mausklick links die Bearbeitung. Das Entfernen von Bereichen können Sie komplett(1) oder einzeln(3) über das Die Business Impact Analyse kann über die Funktionsbereiche in ForumISM global angeschaltet werden. Bereits durchgeführte Analysen sind davon jedoch nicht betroffen, sie werden unabhängig von dieser Einstellung noch angezeigt. Sollen auch diese Werte nicht mehr angezeigt werden, müssen Sie diese über die Schaltfläche Dieser Reiter steht Ihnen in den Anwendungen ForumBCM und ForumISM zur Verfügung. Nutzen Sie die Anwendung ForumISM, so sollten die Einstellungen zur Business Impact Analyse auch hier hinterlegt bzw. bearbeitet werden. Diese Definitionen sind global für beide Anwendungen gültig. Über die Schaltflächen In den Einstellungen der Business Impact Analyse wird Ihnen in ForumBCM und ForumISM der Hinweis eingeblendet, dass sich Änderungen der Einstellungen für die Business Impact Analyse auch Auswirkungen in ForumBCM haben. Für die Bewertung des Business Impact sind Bezeichnungen für fünf Kritikalitätsstufen vorgeschlagen. Diese Bezeichnungen können nach Belieben angepasst werden. Ein Druck auf die Schaltfläche Einstufung als zeitkritisch: Die Einstellung legt fest, ab welcher Kritikalitätsstufe und bis zu welchem Zeitraum ein Geschäftsprozess tatsächlich als „zeitkritisch“ eingestuft wird. Anzahl der Bewertungszeiträume: Sie können festlegen, wie viele Zeiträume Sie zur Bewertung nutzen möchten. Der Standardwert liegt bei 4 Zeiträumen, deren Granulierung Sie noch einzeln auf bis zu 8 Zeiträume einrichten können. Hilfstexte: Die eingestellten Texte haben keine technische Bedeutung - sie dienen lediglich der Unterstützung des Nutzers beim Bearbeiten der Business Impact Analyse Es können von mindestens 2 bis zu 8 Zeiträume erfasst werden. Die Einstellungen können an der Business Impact Analyse (BIA) in ForumISM und ForumBCM getroffen werden. Diese getroffenen Einstellungen gelten global in der ForumSuite. Wird die Funktionalität auf 2 Zeiträume reduziert, gehen ggf. vorhandene Informationen aus höheren Zeiträumen verloren. Fügen Sie einen Zeitraum hinzu, welcher kleiner als der vorherig bestimmte Zeitraum ist, bekommen Sie ein Hinweismeldung mit der Bitte zur Änderung angezeigt. Die Kritikalitätsstufe „Beeinträchtigung der persönlichen Unversehrtheit“ steht mit diesem Release zusätzlich in den Einstellungen der Business Impact Analyse (BIA) bereit. Standardmäßig ist die Kritikalitätsstufe „Beeinträchtigung der persönlichen Unversehrtheit“ deaktiviert. Die Bezeichnungen der Kritikalitätsstufen können Sie ändern. Achten Sie bei Änderungen in den Bezeichnungen der Kritikalitätsstufen auf eine klare Abgrenzungen, damit die Bewertungen durch die Anwender eindeutig vollzogen werden kann. Eine Änderung in der Bezeichnung wird nach der Freigabe der Business Impact Analyse (BIA) am Geschäftsprozess in der Business Impact Analyse (BIA) angezeigt. In den Einstellungen bleibt der ursprüngliche Name weiterhin in der linken Spalte unverändert. Werden Änderungen in den Einstellungen zur Business Impact Analyse (BIA) durchgeführt, gilt es anlassbezogen bestehende Business Impact Analysen (BIA) zu überprüfen bzw. zu bearbeiten. Bereits im Lesemodus bekommen Sie im Reiter der Business Impact Analysen (BIA) den Hinweis, dass sich die Parameter in den Einstellungen geändert haben und eine Bearbeitung empfohlen wird. Die Bearbeitung ist über zwei Wege möglich. Die erfasste Business Impact Analyse (BIA) wird über die Schaltfläche Sollten Einstellungen in den Zeiträumen oder/und Kritikalitätsstufen verringert werden, entfallen bereits erfasste Daten ersatzlos. Sie erhalten hierzu einen roten Hinweis angezeigt(3). Legen Sie eine neue Business Impact Analyse (BIA) an und beginnen im höchsten Zeitraum rechts mit der Einstufung, wird die Einstufung automatisch auf die niedrigeren Zeiträume nach links in der betreffenden Kritikalitätsstufe vererbt. Anpassungen können natürlich getroffen werden. Vergeben Sie in einer niedrigeren Zeitstufe einen höheren Wert als in der höheren Zeitstufe, werden Sie über einen roten Hinweis darauf verwiesen. Eine Anpassung wird hier empfohlen. Geltungsbereich: Allgemeine Einstellungen: Sie können entscheiden, ob eine vereinfachte oder eine erweiterte Schutzbedarfsanalyse durchgeführt werden soll. Bezeichnungen der Schutzziele: Die Bezeichnungen der zu betrachtenden Schutzziele kann hier angepasst werden. Ein Kürzel für das jeweilige Schutzziel erleichtert die Bearbeitung. Eine Umbenennung / Anpassung der Bezeichnungen und Kürzel kann durch Sie durchgeführt werden. Achten Sie jedoch unbedingt darauf, dass die Bedeutungen der einzelnen Schutzziele erhalten bleiben (auch mit angepasster Bezeichnung muss es sich beim Schutzziel "C" beispielsweise um die "Vertraulichkeit" handeln), da sich sonst Probleme bei der Anzeige des abgeleiteten Schutzbedarfs ergeben. Bezeichnungen der Schadensklassen: Die Werte der entstehenden Schadensklassen können in vier Stufen konfiguriert werden. Zusätzliche Informationen für den Bearbeiter: Um die Einschätzungen der Schadensklassen für den Bearbeiter zu vereinfachen, kann die Bedeutung der Klassen für das jeweilige Schutzziel hinterlegt werden. Unterschieden wird dabei zwischen den Hilfstexten für die Schutzbedarfsanalyse (Geschäftsprozesse, Datenklassen) und Schutzniveaubestimmung (Anwendungen, Systeme, Infrastruktur). Dieser Bereich steht zur Bearbeitung wie nachfolgend beschrieben nur in ForumISM zur Verfügung. In ForumISM ist darüber hinaus die Option Indirekte Verknüpfung berücksichtigen - Deaktivierung dieser Einstellung bewirkt die Einschränkung der Betrachtung auf direkt am Geschäftsprozess bzw. Schutzobjekt hinterlegte Objekte, während die Aktivierung auch indirekt verknüpfte Schutzobjekte berücksichtigt. Das heißt, es werden im Beispiel einer Anwendung auch Systeme berücksichtigt, die mit der Anwendung verknüpft sind sowie Infrastrukturobjekte, die mit diesen Systemen verknüpft sind. In den Einstellungen der Anwendung kann festgelegt werden, ob der Schutzbedarf des Objektes sich aus dem Geschäftsprozess und/oder der Datenklasse ergibt. Standardmäßig ist die Einstellung zur Vererbung des Schutzbedarfs aus Datenklassen inaktiv. Den Bereich "Schutzbedarfsvererbung aus Datenklassen" sollten Sie bitte nur nach Rücksprache mit einem Berater der FORUM oder dem Supportaktivieren. Schutzbedarfsvererbung aus Datenklassen - Ist diese Funktion aktiv, muss die Vererbungseinstellung entsprechend konfiguriert werden. Für die jeweiligen Schutzziele können nun der Geschäftsprozess und / oder die Datenklasse zur Vererbung hinzugefügt werden. Das Hinzufügen wird durch die Aktivierung auf der betreffenden Schaltfläche bestätigt. Bei gleichzeitiger Aktivierung der beiden Optionen Indirekte Verknüpfung berücksichtigen und Schutzbedarfsvererbung aus Datenklassen erfolgt die Bewertung nach dem Maximalitätsprinzip. Aus jedem Bereich sollte mindestens eine Quelle aktiviert (blau) sein, da sonst das entsprechende Schutzziel gar nicht in der Vererbung beachtet wird. Ebenso kann die Aktivierung der Indirekten Vererbung von verknüpften Systemen oder Anwendungen erfolgen. Standardmäßig ist die Einstellung inaktiv. Für die Verwendung der Funktion innerhalb der Anwendung müssen diese Einstellungen noch freigegeben werden. Auch wenn der Schalter Indirekte Vererbung aktiv ist, muss eine direkte Verknüpfung von Schutzobjekt und Datenklasse vorliegen. Die Werte der mit dem Geschäftsprozess verknüpften Datenklasse werden nicht automatisch an das mit dem Geschäftsprozess verknüpfte Schutzobjekt vererbt. In diese Verknüpfungstiefe schaut das System nicht. In den Einstellungen gibt es die Möglichkeit über den Reiter Sollmaßnahmen unter Schutzbedarf/Schutzniveau die Berücksichtigung des Schutzbedarfs bei der Ermittlung von Sollmaßnahmen(1) zu aktivieren. Es werden nur diejenigen Sollmaßnahmen angeboten, die zur Abdeckung des Schutzbedarfs erforderlich sind. Ein Anwendungsadministrator kann dies in den Einstellungen aktivieren. Bei Aktivierung des Schalters Ausblendung nicht bearbeitbarer Sollmaßnahmen(2) werden die organisationsrelevanten (nicht bearbeitbaren) Maßnahmen (aus ForumNSR) global ausgeblendet. D.h. diese Ausblendung erstreckt sich auf das Sollmaßnahmen-Cockpit, die Statistik zum Reifegrad am Schutzobjekt sowie den Lesen-Modus bei Anzeige der Sollmaßnahmen am Schutzniveau. Sowohl am Schutzobjekt im Reiter Schutzniveau auch im Sollmaßnahmen-Cockpit erscheint dann ein betreffender Hinweis, dass die nicht bearbeitbaren Sollmaßnahmen gemäß Einstellungen ausgeblendet sind. Geltungsbereich: | ForumDSM | ForumISM | ForumNSR | ForumOSM| ForumBCM |ForumTCM Hinterlegte Hilfstexte werden in Daher ist es sinnvoll Texte zu hinterlegen, welche klar definieren, was innerhalb des Unternehmens unter den einzelnen Stufen verstanden wird. Nutzen Sie die Anwendung ForumISM, so sollten die Einstellungen zu den Risikokriterien auch hier hinterlegt bzw. bearbeitet werden. Diese Definitionen sind global für alle Anwendungen gültig. Über die Schaltflächen Steuerung der Risiken - Risikoklassen: In der Anwendung wird nach 6 Risikoklassen unterschieden, die fest in einer Matrix zugeordnet sind. Steuerung der Risiken - Risikokategorien: Sie können konfigurieren, ab welcher Stufe ein Risiko einer von zwei erweiterten Risikoklassen zugeordnet wird, für die möglicherweise weitergehender Handlungsbedarf besteht. Bezeichnung der Bedrohungs- und Schwachstelleneinstufung: Für die vier wählbaren Stufen können eigene Bezeichnungen frei vergeben werden. Bezeichnung der Eintrittswahrscheinlichkeiten: Auch für die Bezeichnung der Eintrittswahrscheinlichkeiten ist es möglich, eigene Namen und Stufen zu vergeben. Schadenspotentiale: Die Bezeichnungen und Stufen der Schadenspotentiale können angepasst und ein zusätzlicher Hilfstext zu deren jeweiliger Bedeutung hinterlegt werden, um den Bearbeitern die Einschätzung zu erleichtern. Eine erweiterte Bewertung des Schadenspotentials ist im Bereich der Risikokriterien aktivierbar. Nach Aktivierung und expliziter Freigabe des Bereichs ist eine erweiterte Bewertung des Schadenspotentials in der Risikoanalyse möglich. Diesen Bereich sollten Sie bitte nur nach Rücksprache mit einem Berater der FORUM oder dem Supportaktivieren. In den Einstellungen wurde der Hinweis auf die Konsequenzen von Änderungen der Parameter zur Risikobewertung deutlicher hervorgehoben, da Änderungen in diesem Bereich alle Anwendungen der ForumSuite betreffen und zudem eine Neubewertung sämtlicher bereits erfasster Risiken zur Folge hat. Sofern hier trotzdem Änderungen vorgenommen werden, müssen diese individuell für jedes einzelne, bereits erfasst Risiko bestätigt und übernommen werden. In der Risiko-Maske wird ein entsprechender Hinweis auf geänderte Parameter nun gut sichtbar im oberen Bereich angezeigt und kann dadurch nicht mehr übersehen werden. Wechseln Sie in den Bearbeitungsmodus, müssen die aktualisierten Schwellwerte über die Schaltfläche Werden in den Einstellungen für die Risikobewertung Änderungen an der Matrix durchgeführt und diese Änderungen nicht an den einzelnen erfassten Änderungen aktualisiert, werden diese im Risiko-Cockpit gesondert tabellarisch dargestellt. So ist nach einer Änderung in den Einstellungen die Anzahl der zu bearbeitenden Objekte schnell ersichtlich. Änderungen in den Einstellungen der Risikokriterien wirken sich auf alle aktiven Anwendungen der ForumSuite aus. Bereits erfasste Risiken müssen nach Anpassungen an der Risikomatrix erneut bearbeitet werden. Risiken mit abweichendem Schema können zu falschen Darstellungen in den Risikomatrizen führen. Bitte aktualisieren Sie die angezeigten Risiken entsprechend. Geltungsbereich: ForumISM Risikoreduktion: Die verschiedenen Stufen der Risikoreduktion, die eine spezielle Maßnahme voraussichtlich bewirkt, können frei bezeichnet und zusätzliche Definitionen hinterlegt werden, um die Zuordnung für den Bearbeiter zu vereinfachen. Kostenstufen: Die Kostenstufen, die den Maßnahmen zugeordnet werden, können einzeln bezeichnet und mit zusätzlichen Texten zur Definition der jeweiligen Stufen versehen werden. In den Einstellungen einer freigeschalteten Anwendung der ForumSuite können Bearbeitungshinweise hinterlegt werden. Die Hinweise werden vom Administrator zentral für die gesamte ForumSuite definiert und / oder anwendungsspezifisch festgelegt. Hinweise können während der Bearbeitung der unterschiedlichen Objekte helfen, beispielsweise unternehmensweite Vorgaben in der Bearbeitung einzuhalten. Im Bearbeitungsmodus stehen Ihnen fest definierten Objektarten zur Auswahl zur Verfügung. Jene Objektarten, die Sie mit Bearbeitungshinweisen versehen möchten, selektieren Sie bitte über das Dropdown-Menü (1). Eine nachträgliche Bearbeitung sowie ein Löschen ist durch das Mülleimersymbol möglich. Nach Auswahl der Objektart kann über die Schaltfläche Wurde ein Objekt gewählt, besteht im RichText-Feld (3) die Möglichkeit zum Hinterlegen des Textes. Die Auswahl des Objektes oder auch die Eingabe des Hinweises kann über das Mülleimersymbols widerrufen werden. Durch das Betätigen der Schaltfläche Die Bearbeitungshinweise können nur von einem Nutzer mit Administratorrechten hinterlegt werden. Wenn die Freigaben über die Schaltfläche Die Anzeige der Bearbeitungshinweise erfolgt an der betreffenden Objektart in der Titelleiste durch ein Lampensymbol (1). Durch Anklicken des Lampensymbols Es gibt für den Systemadministrator in ForumBCM die Möglichkeit, die Startseite für Nutzer mit ausschließlichen Leserechten individuell einzustellen. Dazu gehen Sie bitte in die Einstellungen in den Reiter Leser Startseite und deaktivieren bzw. aktivieren die gewünschten Bereiche.Administrator
sichtbar und bearbeitbar.Funktionsbereiche
Funktionsbereiche
können für jede Anwendung der ForumSuite Bereiche aktiviert oder deaktiviert werden. Deaktivierte Bereiche werden auf der Startseite der jeweiligen Anwendung grau
dargestellt.Geschäftsprozesse
Geschäftsprozesse
steht Ihnen in allen Anwendungen der ForumSuite zur Verfügung. Nutzen Sie die Anwendung ForumISM, so sollten die Definitionen zu den Wesentlichkeitskriterien auch hier hinterlegt oder bearbeitet werden. Diese Definitionen sind global für alle Anwendungen gültig. Über die Schaltflächen Überarbeiten
bzw. Freigeben
kann die gewünschte Aktivität gestartet werden.Freigabe
Freigabe
kann festgelegt werden, welche Objekttypen in der ForumSuite die Erzeugung einer Wiedervorlage bei Freigabe
angeboten bekommen.X
durchführen. Über das Dropdown-Menü(2) ist die Auswahl neuer Bereiche möglich. Die Bearbeitung ist über das grüne Häkchen(4) zu beenden oder über das rote Kreuz(4) abzubrechen.Business Impact Analyse
Business Impact Analyse entfernen
entfernt werden.Überarbeiten
bzw. Freigeben
kann die gewünschte Aktivität gestartet werden.Standardwerte übernehmen
setzt die Werte wieder auf den Auslieferungszustand zurück.Zeiträume
Kritikalitätsstufen
Bearbeitung an bestehenden Business Impact Analysen (BIA)
Business Impact Analyse entfernen
(1)gelöscht bzw. über die Schaltfläche Parameter aktualisieren
(3)auf den Stand der Einstellungen gebracht.Bearbeitung an neuen Business Impact Analysen (BIA)
Schutzbedarf/Schutzniveau
Klassifizierung
Vf-V-I
→ ForumDSM | ACIN
& AACIN
→ ForumISMVererbung
Indirekte Verknüpfungen berücksichtigen
verfügbar, welche die Prüfungstiefe von Verknüpfungen zwischen Geschäftsprozessen und Schutzobjekten sowie die Überprüfungstiefe für Schutzniveaus in Bezug auf Geschäftsprozesse regelt.Sollmaßnahmen
Risikokriterien
Risiken
über das ? aufgerufen. Die Texte sollen den Bearbeiter bei der korrekten Einstufung unterstützen.Überarbeiten
bzw. Freigeben
kann die gewünschte Aktivität gestartet werden.Erweiterte Risikoanalyse
Deutlicher Hinweis auf Auswirkungen bei Änderungen
aktualisieren
aktualisiert werden, bevor am Objekt weiter gearbeitet werden kann.Anzeige von Abweichungen
Maßnahmen
Bearbeitungshinweise in den Einstellungen
Bearbeiten
mit der Hinterlegung des Bearbeitungshinweises gestartet werden. Eventuell muss vor einer Bearbeitung der betreffende Bereich über das jeweilige Dreieckssymbole geöffnet werden (2).Speichern
beenden Sie die Bearbeitung in diesem Bereich und über die Schaltfläche Freigeben
werden die hinterlegten Hinweise in der Anwendung an der betreffenden Objektart der ForumSuite aktiviert. Freigeben
erfolgten, stehen die eingegebenen Bearbeitungshinweise in den Anwendungen zur Verfügung.X
(2) jederzeit ausblendbar.Leser Startseitenbereich