Skip to main content
Skip table of contents

Beschreibung Schutzobjekte

Für die Erfassung von Schutzobjekten stehen in ForumISM verschiedene Möglichkeiten zur Verfügung:

  • die Übernahme von Schutzobjekten aus den Vorschlägen
  • das manuelle Erfassen
  • das Kopieren von bereits bestehenden Schutzobjekten

Übernahme der Schutzobjekten aus den Vorschlägen

Die mit ForumISM ausgelieferten Schutzobjekte aus den Vorschlägen können unter Umgang mit Vorschlägen beschrieben in den Produktivbereich übernommen werden und stehen dann zur Bearbeitung zur Verfügung.

Erfassen von Schutzobjekten

Schutzobjekte können manuell erfasst werden. Gehen Sie dazu wie folgt vor (Felder mit einem roten Sternchen sind Pflichtfelder):

  1. Klicken Sie in der Ansicht Strukturanalyse → Schutzobjekte → <Schutzobejekttyp>  auf <Schutzobjekt> anlegen.

  2. Geben Sie den Namen des neuen Schutzobjektes ein.

  3. Ordnen Sie das neue Schutzobjekte einer vorhandenen oder neuen Kategorie zu: Beim Klick auf die List-Box öffnet sich eine Auswahlliste. Wählen Sie hier eine vorhandene Kategorie aus oder erstellen Sie durch Klick auf das Dokumentensymbol rechts in der List-Box eine neue Kategorie ein und bestätigen Sie danach mit Speichern und schließen.

  4. Hinterlegen Sie entsprechend Verantwortliche für die Technische und/oder die Fachliche Zuständigkeit durch Auswahl aus der jeweiligen List-Box.
    Neue Verantwortungen können durch Klick auf das Dokumentensymbol rechts in der List-Box erstellt werden.
    Durch Speichern und schließen wird die neu erstelle Verantwortung in das jeweiligen Schutzobjektedokumentes übernommen.

  5. Geben Sie optional einen Sortierschlüssel ein (empfohlen dreistellige Zahl)

  6. Bestätigen Sie Ihre Eingaben mit Speichern und schließen .

  7. Nach vollständiger Bearbeitung empfiehlt sich eine Freigabe mit Wiedervorlage für die regelmäßige Überprüfung des Objektes.

Details

Alle Schutzobjekte, unabhängig ob aus Vorschlägen übernommen oder manuell erfasst, werden anhand des Feldes Bezeichnung unter der Registerkarte Details näher beschrieben.
Felder mit einem roten Sternchen sind Pflichtfelder.

Betrieb und Hersteller

Zusätzliche Informationen

Beschreiben Sie die „Betriebsart“ des Schutzobjektes und die sich daraus ergebende Aufgabenverteilung.
Bei Wahl der Betriebsart „Teilweise ausgelagerter Betrieb“ erscheinen zwei zusätzliche Auswahlboxen, in welchen die Verteilung hinterlegt werden kann.

Bedeutung der einzelnen Betriebsarten für Anwendungen und Systeme

Vollständig eigener Betrieb

Das Schutzobjekt wird ausschließlich vom Unternehmen selbst betrieben.

Teilweise ausgelagerter Betrieb an einen Dienstleister

Ist der Betrieb des Schutzobjektes nur teilweise ausgelagert, wählen Sie Punkt 3. Hier ist zunächst analog zu Vollständig ausgelagerter Betrieb der Dienstleister zu wählen.

Für den Unternehmensnamen steht die gleiche Auswahlliste wie oben beschrieben zur Verfügung.

Zusätzlich erscheint eine Übersicht für die Aufgabenverteilung.

Dahinter verbirgt sich eine Auswahlliste, in der die Aufgabenverteilung zwischen Unternehmen und Dienstleister dargestellt wird.

Es müssen nicht alle aufgeführten Punkte ausgefüllt werden.

Sollte in einigen Punkten Aufgabenteilung bestehen, so sind auch Doppelnennungen möglich.

Sollten Sie Aufgabenbereiche weder dem Unternehmen noch dem Dienstleister zuordnen können, da diese evtl. für das Schutzobjekt nicht zutreffend sind, lassen Sie die Auswahl an den betreffenden Stellen einfach leer.
Nicht zugeordnete Aufgaben werden unterhalb der Box zur Aufgabenverteilung aufgeführt.

Vollständig ausgelagerter Betrieb

Der Betrieb ist vollständig ausgelagert.
ForumISM gibt dem Anwender die Möglichkeit, den entsprechenden Dienstleister zu wählen. An oberster Stelle in der Auswahlmöglichkeit erscheint, falls zugeordnet, immer die Rechenzentrale.

Komplexe Outsourcing-Situation

Existiert für das Schutzobjekt eine Betriebsart, die durch die ersten drei Punkte nicht beschrieben werden kann (z.B. ein System, dessen Betrieb an mehrere Dienstleister ausgelagert ist), so ist Punkt 4 auszuwählen.
Die bestehende Outsourcing-Situation kann dann in einem Textfeld Beschreibung der Situation beschrieben werden.


Hersteller

Geben Sie an, ob es sich bei dem Schutzobjekt um eine Eigenentwicklung oder die eines Fremdherstellers handelt.
Der Name des Entwicklers bzw. Fremdherstellers kann optional angegeben werden.
Darüber hinaus haben Sie die Möglichkeit, den Einsatzstatus und das Einsatzdatum (Beginn der produktiven Nutzung) zu hinterlegen.

Das Setzen des Einsatzstatus hat Einfluss auf die Sichtbarkeit des Objektes bzw. damit verknüpfter Risiken in verschiedenen Auswertungen.

Bedeutung der Einsatzstatus

nicht festgelegt
in Einführungdas Objekt wird für den produktiven Einsatz vorbereitet
produktivdas Objekt wird im täglichen Betrieb genutzt
außer Betriebdas Objekt wird nicht mehr im täglichen Betrieb, steht aber aus Revisionsgründen noch zur Verfügung
liquidiertdas Objekt wurde gelöscht/entsorgt

Schutzobjekte, die als „in Einführung“, „außer Betrieb“ bzw. „liquidiert“ gekennzeichnet sind sowie deren Schutzobjektmaßnahmen und Risiken werden in Auswertungen nicht berücksichtigt.

Auswirkung der Einsatzstatus auf die Berücksichtigung in Auswertungen

Status

Auswertung

nicht festgelegtin Einführungproduktivaußer Betriebliquidiert
Filterung im Widget auf der Startseitex

-

x--
Risiko-Cockpitx-x--
Risiko Auswertungenx-x--
GAP-Risikenx-x--
Meldung der Restrisikenx-x--

Leistungen

Nutzen Sie die Anwendungen ForumISM und ForumOSM werden Ihnen hier zum betreffenden Schutzobjekt zugeordnete Leistungen angezeigt. Über die Schaltfläche Aus Liste wählen.. können im Bearbeitungsmodus weitere Leistungen hinzugefügt werden bzw. auch abgewählt werden. Weitere Informationen zur Bearbeitung und Auswirkungen finden Sie im Handbuch von ForumISM im Bereich der Sollmaßnahmenprofile.


Abbildung: Ansicht Leistungen in ForumISM

Erweitert (nur Schutzobjekte vom Typ System)

Die Ansicht öffnen Sie bitte über das Dreieckssymbol. Hier können zusätzliche Informationen zum System hinterlegt werden.



Abbildung: Weitere Informationen unter Erweitert

Weitere Dokumentationen (nur Schutzobjekte vom Typ Anwendungen)

Für die Dokumentation von Anwendungen stehen noch weitere Bereiche zur Verfügung.

Reiter "Dokumentation"

In diesem Bereich können Sie umfangreiche zusätzliche Daten zu Ihren Anwendungen hinterlegen.

Stark relevant ist das vor allem, wenn es sich um selbsterstellte Anwendungen handelt.

Hier hinterlegen Sie Beschreibungen, Trägersysteme der Anwendung und weitere Informationen.

Anwendung Reiter "Dokumentation"

Reiter "Daten"

Anwendung Reiter "Daten"

Hier dokumentieren Sie die Eigenschaften der Daten, die von der Anwendung verarbeitet werden.

Mögliche Werte sind hier (Mehrfachauswahl möglich):

  • personenbezogen
    Wählen Sie dieses Kriterium, wenn in der Anwendung Daten verarbeitet werden, die nach den Kriterien von DSGVO und BDSG gesondert zu betrachten sind.
  • rechnungslegungsrelevant
    Daten mit diesem Kriterium werden für die Rechnungslegung im Unternehmen eingesetzt und können damit ebenfalls sensibel sein.
  • steuerungsrelevant
    Führen bestimmte Daten dazu, dass möglicherweise im Unternehmen Prozesse angepasst werden oder ein Wechsel der Unternehmensausrichtung erfolgt, sind diese als "steuerungsrelevant" zu markieren.
  • einsehbar für bestimmte externe Dritte
    Dieses Merkmal zeigt an, dass es (z.B. über integrierte Fernwartungsprozesse) externen Dritten möglich ist, auf die Daten (oder Teile davon) zuzugreifen. Dies ermöglicht die Betrachtung der Daten unter diesem Gesichtspunkt.

Über die Anzeige der "Eigenschaften der mit dieser Anwendung verknüpften Datenklassen" kann ein Abgleich erfolgen, ob die gesetzten Kriterien plausibel erscheinen.

Reiter "Relevanz"

Anwendung Reiter "Relevanz"

In diesem Reiter kann dokumentiert werden, ob die Anwendung MaRisk, GoB oder eine spezielle Patch-Relevanz hat.

In den jeweiligen Bemerkungsfeldern können die gewählten Relevanzen näher beschrieben bzw. begründet werden.

Verknüpfungen

Ordnen Sie dem Schutzobjekt die durch sie benötigten und unterstützen Geschäftsprozesse sowie die von ihr benötigten und unterstützenden Schutzobjekte zu.
Klicken Sie dazu auf Aus Liste wählen... und markieren Sie Schutzobjekte in der Auswahlliste (Mehrfachauswahl ist möglich).

Schutzniveau

Um das IT-Risikoprofil des Unternehmens ermitteln und daraus abgeleitet angemessene IT-Sicherheitsmaßnahmen modellieren zu können, muss das Schutzniveau der einzelnen IT-Schutzobjekte mit dem Schutzbedarf der Geschäftsprozesse abgeglichen werden.

Schutzbedarf

An dieser Stelle wird der maximale Schutzbedarf der wesentlichen Geschäftsprozesse, die dieses Schutzobjekt direkt oder indirekt benötigen angezeigt.


Die Verfügbarkeitskennwerte RTO (Geforderte Wiederanlaufzeit), RPO (Maximal zulässiger Datenverlust), RTA (Tatsächliche Wiederanlaufzeit) und RPA (Tatsächlicher Datenverlust) können am Schutzbedarf erfasst werden.

Die vom Geschäftsprozess geerbten RTO und RPO Kennwerte werden nach Minimalitätsprinzip angezeigt und es werden die jeweiligen Minimalwerte errechnet und angezeigt .

Abbildung: Anzeige geerbter Werke RTO/RPO

Diese Werte können als Basis für die tatsächlichen Werte RTA und RPA in der Ansicht des Schutzniveaus im neuen Reiter Tatsächlicher Wert herangezogen werden. Hier wird es in einer weiteren Ausbaustufe auch eine Vererbung aus dem Minimalitätsprinzip geben.

Abbildung: Neuer Reiter Tatsächliche Werte

Anzeige der Sicherheitsrelevanz am Schutzniveau

Wird ein Schutzobjekt als nicht sicherheitsrelevant eingestuft, kann kein Schutzniveau angelegt werden. Wurde ein Schutzniveau angelegt, kann das Schutzobjekt nicht mehr als nicht sicherheitsrelevant markiert werden.


Abbildung: Sicherheitsrelevanz eines Schutzobjektes

Möchten Sie ein sicherheitsrelevantes Schutzobjekt mit Schutzniveau in ein nicht sicherheitsrelevantes Schutzobjekt wandeln, muss dass das bereits erfasste Schutzniveau gelöscht werden bzw. als sicherheitsrelevant markiert werden. Sie erhalten gegebenenfalls den nachfolgenden Hinweis eingeblendet.

Sollmaßnahmenprofile

An dieser Stelle werden verknüpfte Sollmaßnahmenprofile angezeigt.
Die Erfassung und Zuordnung dieser Profile erfolgt unter Schutzbedarf → spezifische Sollmaßnahmenprofile.

Schutzniveau anlegen

Die Erfassung eines Schutzniveaus bei Anwendungen ist nur möglich, wenn das Objekt als sicherheitsrelevant eingestuft wurde.

Bitte wählen Sie ein entsprechendes Schema für die Bewertung der Schutzziele (AACIN: Trennung von Service- und Datenverfügbarkeit)

Abbildung: Auswahl des Schema zur Bewertung

Bitte füllen Sie die entsprechenden Bemerkungsfelder, um zu einem späteren Zeitpunkt die Nachvollziehbarkeit zu gewährleisten. Das Ergebnis des CIN Wertes können Sie durch das Sätzen des Hackens zusammengefasst anzeigen lassen.

Abbildung: Zusammenfassung CIN

Schutzniveauvorschlag übernehmen

Es ist möglich, dass für ein aus den Vorschlägen übernommenes Schutzobjekt bereits ein Vorschlag für ein Schutzniveau hinterlegt wurde. Ist ein solcher vorhanden, so wird er Ihnen von ForumISM angezeigt.

Abbildung: Schutzniveau-Vorschlag übernhemen

Diesen Vorschlag können Sie als Grundlage für Ihre eigene Analyse nutzen.

Die mitgelieferten Vorschläge sollten nicht einfach 1:1 von den Nutzern übernommen werden, sondern lediglich als Basis für eine eigene Einschätzung im Unternehmen dienen. Möglicherweise kann sich die Einschätzung in Ihrem Unternehmen von den Vorschlägen unterscheiden.

Durchführung einer Schutzniveaubestimmung

Führen Sie eine Schutzniveaubestimmung für ein Schutzobjekt wie folgt durch:

  • Öffnen Sie das Objekt im Bearbeiten-Modus.
  • Aktivieren Sie die Registerkarte „Schutzniveau“.
  • Betätigen Sie die Schaltfläche „Schutzniveau erfassen…“

Die Erfassung der für die Schutzniveaubestimmung benötigten Informationen erfolgt über einen Dialog. Die Analyse kann jederzeit über Abbrechen  nach Bestätigung einer Sicherheitsabfrage abgebrochen werden.
Die Eingaben sind unterteilt nach den jeweils erreichbaren Stufen der Sicherheitsziele.

Abbildung: Schutzniveaubestimmung

In der Zusammenfassung des Schutzniveaus wirkt das Minimalitätsprinzip – der geringste Wert bestimmt das angebotene Schutzniveau. Bei unterschiedlichen Werten empfiehlt es sich daher, die Zusammenfassung nicht zu nutzen, um Abweichungen vom geforderten Schutzbedarf möglichst gering zu halten.

Bei nachträglicher Änderung des Bewertungsschemas auf AACIN

Meine entsprechende hinterelgete bemerkung der Verfügbarkeit wird bei Umschaltung auf AACIN in die Datenverfügbarkeit dupliziert, da diese Werte eher ähnlich sind und somit ihre Bearbeitung erleichtert. Anpassungen erfolgen individuell.

Kopieren des Schutzniveaus eines anderen Objektes

Soll das Schutzniveau von einem anderen Schutzobjekt als Basis für die Bearbeitung übernommen werden, wechseln Sie im Schutzobjekt in den Bearbeiten-Modus und nutzen dann die Schaltfläche  Schutzniveau kopieren von....

Schutzobjekte - Schutzniveau Detailanzeige

An den Schutzobjekte wird unter dem Reiter Schutzniveau in den Details der Abgleich zum Schutzbedarf angezeigt. Bestehende Daten zur Verfügbarkeit aus der Bemerkungen werden aus ForumISM 3.6.5 durch Migration in die Serviceverfügbarkeit übertragen. Die fehlende Bearbeitung der Datenverfügbarkeit und ein nachträglicher Abgleich zwischen Schutzbedarf und Schutzniveau wird durch ein fehlendes Schutzziel neutral dargestellt - wie im nachfolgenden Screenshot zu sehen.

Abweichungen

Abweichungen werden nur für Schutzobjekte mit Einsatzstatus produktiv angezeigt.

An dieser Stelle wird die Abweichung zwischen dem maximale Schutzbedarf der wesentlichen Geschäftsprozesse und dem ermittelten Schutzniveau des Schutzobjektes angezeigt.

Abbildung: Delta Schutzbedarf <> Schutzniveau

Service- und Datenverfügbarkeit nach Migration in ForumISM

  • Bestehende Daten werden aus ForumISM 3.6.X in die Serviceverfügbarkeit übertragen.
  • Die Bearbeitung der Datenverfügbarkeit und ein nachträglicher Abgleich zwischen Schutzbedarf und Schutzniveau wird durch ein fehlendes Schutzziel neutral dargestellt – kein GAP

Abbildung: Service- und Datenverfügbarkeit nach Migration

GAP-Risiko

Das GAP-Risiko dient der Bewertung des Risikos aus der Abweichung zwischen Schutzbedarf und Schutzniveau.

Schnittstellen

Für alle Schutzobjekte wurden im Reiter Schnittstellen die Möglichkeit zur Modellierung von ein- und ausgehenden Datenströmen geschaffen. Angelehnt an die Datenstromanalyse aus der Notes-Version von ForumISM Version 3.6.X  wird somit die Möglichkeit zur Dokumentation von Datenflüssen geschaffen werden.

Abbildung: Schnittstelle an der Anwendung ForumSuite

Im Bearbeitungsmodus kann eine Schnittstelle an dem betreffenden Schutzobjekt angelegt bzw. aus einem bestehenden Objekt kopiert werden. Die Art der Schnittstelle kann in

  • Hardwareschnittstelle
  • Softwareschnittstelle
  • Netzwerkschnittstelle
  • Datenschnittstelle
  • Benutzerschnittstelle

eingeteilt werden. Für eine Schnittstelle kann neben dem Sortierschlüssel und der Bemerkung auch die Richtung eingehend oder ausgehend definiert werden. Nach definierter Richtung sollten im betreffenden Bereich Eingehende Daten oder Ausgehende Daten die gewünschten Schutzobjekte verknüpft werden. Werden Daten aus externen Daten importiert oder an externe Ziele exportiert, besteht hier die Möglichkeit zur Dokumentation.

Abbildung: Schnittstelle Detailansicht

Risikomanagement

Im Reiter Risikomanagement haben Sie die Möglichkeit, Risiken und Maßnahmen anzulegen und zu kopieren. Hierfür stehen Ihnen die entsprechenden Schaltflächen Risiko anlegen, Risiko kopieren von, Maßnahme anlegen und Maßnahme kopieren von zur Verfügung.

Abbildung: Reiter Risikomanagement

Anlegen eines Risikos

Allgemein

Zum Anlegen eines Risikos nutzen Sie bitte die Schaltfläche Risiko anlegen.

Abbildung: Schaltflächen Risikomanagement

Bei der Erstellung bzw. der Bearbeitung eines Risikos können verschiedene Verknüpfungen vorgenommen werden. Ein Risiko wird üblicherweise mit der Verantwortung(2) und der Bedrohung(3) verknüpft, auf welchen es aufbaut. Bitte geben Sie eine aussagekräftige Bezeichnung(1)  für das Risiko an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Unter Bezieht sich auf(4) ist das Schutzobjekt ersichtlich, an welchem Sie gerade das Risiko anlegen.

Die übrigen Felder sind zur besseren Übersicht in Reitern(5) zusammengefasst. In der Abbildung ist der Reiter Allgemein aufgeklappt. Der aktive Reiter wird durch einen farbigen Balken hervorgehoben.

Abbildung: Anlegen eines neuen Risikos

Bewertung

Zu jedem Risiko kann eine Bewertung hinterlegt werden. Die Bewertung bietet die Möglichkeit, verschiedene Kenngrößen des Risikos zu klassifizieren. Beim Erstellen einer Bewertung können Sie verschiedene Einstufungen vergeben.
Die Eintrittswahrscheinlichkeit sowohl des Risikos als auch des Restrisikos kann im Reiter Bewertung nach Auswahl der Bedrohungseinstufung(1) und der Schwachstelleneinstufung(1) berechnet(2) werden.

Abbildung: Risiko und das Berrechnen der Eintrittswahrscheinlichkeit

Die Einstufung kann in 4 verschiedenen Stufen(1) gesetzt werden (sehr gering, gering, hoch und sehr hoch).

Die Werte für Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß sollten dabei als Kern-Indikatoren dienen.


Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.

Abbildung: Matrix Eintrittswahrscheinlichkeit

Für die Einstufungen des Schadenpotentials bei Risikobewertungen stehen folgende Einstufung zur Verfügung:

    1 - niedrig (Die Schadenswirkung ist minimal)

    2 - mittel (Die Schadenswirkung ist gering)

    3 - hoch (Die Schadenswirkung ist beträchtlich)

    4 - sehr hoch (Die Schadenswirkung ist geschäftskritisch)

Maßnahme am Risiko

Maßnahmen, welche zur Minderung des Risikos führen, können aus dem Sicherheitskonzept des Auslagerungsnehmers stammen oder vom Bearbeiter festgelegt werden. Es können Maßnahmen in beliebiger Anzahl angelegt werden. Welche oder wie viele Maßnahmen empfohlen werden, hängt von den Anforderungen des Objekts ab.

Zum Anlegen einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahme anlegen(1).

Abbildung: Schaltfläche Maßnahme anlegen

Beim Erstellen einer Maßnahme aus einem Risiko, wird das betreffende Risiko sofort in diese Maßnahme mit übernommen(1). Die Verknüpfung mit einem Risiko ist bei Anlage einer Maßnahme erforderlich. Bitte geben Sie eine aussagekräftige Bezeichnung(2)  für die Maßnahme an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern.

Abbildung: Anlegen einer Maßnahme

Möchten Sie die die Auswahl der Risiken bearbeiten, nutzen Sie bitte die Schaltfläche Auswahl bearbeiten(3), um ein Risiko über das Symbol des Mülleimers(4) zu entfernen. Über die Schaltfläche Risiko anlegen(5) können Sie weitere Risiken an der Maßnahme anlegen.

Achten Sie auch auf die Vergabe einer Verantwortung.

Status

Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status stehen Ihnen folgende Status zur Verfügung:

StatusBedeutung
vorgesehenDie verfahrensspezifische Maßnahme ist vorgesehen.
in BearbeitungDie verfahrensspezifische Maßnahme ist in Bearbeitung.
in PrüfungDie verfahrensspezifische Maßnahme ist in Prüfung.
implementiertDie verfahrensspezifische Maßnahme ist fertig bearbeitet.
verworfenDie verfahrensspezifische Maßnahme wurde verworfen.

Die neue Maßnahme können Sie zum Abschluss freigeben und es wird automatisch eine Wiedervorlage erstellt.

Kopierfunktion von Risiken

Über die Schaltfläche Risiken kopieren von kann eine Kopie eines bereits bestehenden Risikos angelegt werden.

Abbildung: Reiter Risikomanagement

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Risiken zu treffen, welche Sie kopieren möchten.

Sie können über die Auswahl ein Risiko oder auch mehrere Risiken auswählen, welche Sie über die Schaltfläche Übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Risiken auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Dialog Risiken kopieren

Sofern ein Risiko gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Wählen Sie mehrere Risiken aus, werden diese direkt an das entsprechende Objekt eingefügt, befinden sich aber noch im ungespeicherten Zustand (erkennbar an der kursiven Schriftart(1) und dem Stift-Icon(2)).

Es ist notwendig die einzelnen Risiken aufzurufen (alle Textelemente in der Tabelle sind Verlinkungen zum jeweiligen Risiko) und zu speichern. Natürlich können Sie im Risiko selbst auch noch Änderungen vornehmen. Oder Sie speichern das gesamte Schutzobjekt, an welchem die Risiken verknüpft wurden, dann werden diese mit gespeichert.

Abbildung: Reiter Risikomanagement

Unter den Risiken werden automatisch die am Risiko verknüpften Maßnahmen mit übernommen(3). Im Beispiel handelt es sich um die Maßnahme am ersten Risiko(4).

Abbildung: Reiter Risikomanagement

Anlegen einer Maßnahme

Allgemein

Zum Anlegen einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahme anlegen.

Abbildung: Maßnahmen Schaltflächen

Bei der Erstellung bzw. der Bearbeitung einer Maßnahme können verschiedene Verknüpfungen vorgenommen werden. Eine Maßnahme wird üblicherweise mit der Verantwortung(2) verknüpft, welche für diese Maßnahme zuständig ist. Unter Risiken können Sie ein neues Risiko anlegen(3) oder bereits vorhandene Risiken(4) (an diesem Schutzobjekt) verknüpfen. Bitte geben Sie eine aussagekräftige Bezeichnung(1)  für das Risiko an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Unter Schutzobjekt(5) ist das entsprechende Schutzobjekt ersichtlich, an welchem Sie gerade die Maßnahme anlegen.

Abbildung: Maßnahme anlegen

Eine Übersicht aller Maßnahmen befindet sich im Menü unter Risikomanagement → Schutzobjektmaßnahmen.

Übergreifende Maßnahmen

An der neuen Maßnahme haben Sie außerdem die Möglichkeit Übergreifende Maßnahmen(6) zu verknüpfen, dies macht die Schaltfläche Aus Liste wählen möglich. 

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Übergreifenden Maßnahmen zu treffen, welche Sie verknüpfen möchten. Sie können über die Auswahl eine Übergreifende Maßnahme oder auch mehrere Übergreifende Maßnahmen auswählen, welche Sie über die Schaltfläche Übernehmen der betreffenden Maßnahme zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Übergreifenden Maßnahmen auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Übergreifende Maßnahmen Dialog

Es handelt sich hierbei um eine Verknüpfung zu den bereits bestehenden Übergreifenden Maßnahmen, nicht um Kopien.

Abbildung: Übergreifende Maßnahmen

Möchten Sie die Verknüpfung der Übergreifenden Maßnahmen an der Maßnahme wieder aufheben, ist dies erneut über die Schaltfläche Aus Liste wählen(1) möglich. Das Dialog-Fenster zur Auswahl öffnet sich erneut und Sie können die Übergreifenden Maßnahmen einfach wieder abwählen.

Eine Übersicht aller Übergreifenden Maßnahmen befindet sich im Menü unter Risikomanagement - Übergreifende Maßnahmen. Hier besteht auch die Möglichkeit Übergreifende Maßnahmen anzulegen.

Kopierfunktion von Maßnahmen

Zum Kopieren einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahmen kopieren von.

Abbildung: Maßnahmen Schaltflächen

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Maßnahmen zu treffen, welche Sie kopieren möchten.

Sie können über die Auswahl eine Maßnahme oder auch mehrere Maßnahmen auswählen, welche Sie über die Schaltfläche Übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Maßnahmen auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Maßnahmen kopieren Dialog

Der Dialog stellt alle Maßnahmen vom jeweiligen Schutzobjekt zum Kopieren zur Verfügung.

Sofern eine Maßnahme gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Wählen Sie mehrere Maßnahmen aus, werden diese direkt an das entsprechende Objekt eingefügt, befinden sich aber noch im ungespeicherten Zustand (erkennbar an der kursiven Schriftart(1) und dem Stift-Icon(2)).

Abbildung: kopierte Maßnahmen

Bitte beachten Sie, dass hier die Kopien der Maßnahmen keinen Status mehr haben. Ersichtlich ist dies in der Tabelle als (nicht festgelegt)(3), in der Spalte des Status. Diesen können Sie aber manuell ganz einfach nachtragen.

Es ist notwendig die einzelnen Maßnahmen aufzurufen (alle Textelemente in der Tabelle sind Verlinkungen zum jeweiligen Maßnahme) und zu speichern. Natürlich können Sie in der Maßnahmen selbst auch noch Änderungen vornehmen. Oder Sie speichern das gesamte Schutzobjekt, an welchem die Maßnahmen verknüpft wurden, dann werden diese mit gespeichert.

Change-Management

Ein Änderungsdokument wird direkt aus einem Schutzobjekt unter dem Reiter Change-Management heraus angelegt. Sie haben die Möglichkeit ein neues Dokument anzulegen oder die Inhalte aus einem bestehenden Dokument zu kopieren.

Mit der Schaltfläche kopieren... ist es möglich, Änderungsdokumente nur aus dem aktuellen Objekt zu duplizieren. Hierdurch werden Aufrufzeiten der zur Auswahl stehenden Objekte deutlich verringert. Über die Schaltfläche aus Allen kopieren... werden Ihnen alle Änderungsdokumente zur Auswahl für das Kopieren aufgerufen. Dieser Vorgang kann bei einer großen Anzahl von Änderungsdokumenten Wartezeiten verursachen.


Abbildung: Reiter Change-Management

Anlegen eines Änderungsdokuments

Zum Anlegen eines Änderungsdokuments nutzen Sie bitte die Schaltfläche Änderungsdokument anlegen.

Grundlagen

Bei der Erstellung bzw. der Bearbeitung eines Änderungsdokuments können verschiedene Verknüpfungen vorgenommen werden. Ein Änderungsdokument wird üblicherweise mit der Verantwortung(2) verknüpft, welche für dieses Änderungsdokument zuständig ist. Bitte geben Sie eine aussagekräftige Bezeichnung(1)  für das Änderungsdokument an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Unter Bezieht sich auf(3) ist das entsprechende Schutzobjekt ersichtlich, an welchem Sie gerade das Änderungsdokument anlegen.

Abbildung: Änderungsdokument anlegen

Unter Sicherheitstechnische Freigabe durch Rechenzentrale und Softwarebescheinigung nach IDW PS880 können Sie entsprechende Angaben machen. Ändern Sie die Drop-Down Option auf liegt vor, kommen automatisch zwei weitere Felder hinzu, welche entsprechend auszufüllen sind.

Auswirkungsanalyse

Im Reiter Auswirkungsanalyse können Angaben zur Vorabbewertung gemacht werden, als auch zur Wesentlichkeitsprüfung. Im Bereich der Wesentlichkeitsprüfung besteht die Möglichkeit Checklisten einzubinden, dies ermöglicht die Schaltfläche Checkliste übernehmen(1).

Abbildung: Änderungsdokument anlegen - Auswirkungsanalyse

Um Checklisten einbinden zu können, müssen entsprechende Vorschläge eingespielt sein. Dies können Sie im Menü unter Verwaltung - Vorschläge vornehmen.

Binden Sie Checklisten an Ihrem Änderungsdokument ein, haben Sie diverse Möglichkeiten für Ihre Eingaben. Die Checklisten lassen sich jederzeit über die Schaltfläche Checkliste entfernen(1) (mit Papierkorb Icon) wieder entfernen. Unter dieser Schaltfläche befindet sich eine Zählung(2) der einzelnen Checklisten-Inhalte, um einen Überblick zu geben welche Schritte bereits ausgefüllt wurden. Unter den Checklisten befinden sich Zählungen der Anzahl der gewählten Optionen, unter Einschätzungen, in Form von farblich hervorgehobenen Leisten(3). Die Zahlen in der Leiste verdeutlichen die Anzahl, während die Aufteilung der Farben wie folgt dargestellt wird:

FarbeEinschätzung
rothoch
orangemittel
grünniedrig

Abbildung: Wesentlichkeitsprüfung am Änderungsdokument

Test- und Freigabeverfahren

Im Reiter Test- und Freigabeverfahren besteht die Möglichkeit fachliche und technische Tests, als auch fachliche und technische Abnahmen am Änderungsdokument einzupflegen. 

Bestätigen Sie, dass eine oder mehrere dieser Optionen erforderlich sind, erscheint eine zusätzliche Schaltfläche, die es ermöglicht, einen Test oder eine Abnahme hinzuzufügen.

Abbildung: Fachliche Abnahme am Änderungsdokument

Maßnahmen am Änderungsdokument

Im Reiter Maßnahmen besteht die Möglichkeit Maßnahmen anzulegen und zu kopieren. Dafür stehen die Schaltflächen Maßnahmen anlegen und Maßnahmen kopieren von zur Verfügung.

Abbildung: Maßnahmen am Änderungsdokument
Anlegen von Maßnahmen am Änderungsdokument

Zum Anlegen einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahme anlegen.

Bei der Erstellung bzw. der Bearbeitung einer Maßnahme können verschiedene Verknüpfungen vorgenommen werden. Eine Maßnahme wird üblicherweise mit der Verantwortung(2) verknüpft, welche für diese Maßnahme zuständig ist. Bitte geben Sie eine aussagekräftige Bezeichnung(1)  für die Maßnahme an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Unter Änderungsdokument(3) ist das entsprechende Änderungsdokument ersichtlich, an welchem Sie gerade die Maßnahme anlegen.

Abbildung: Neue Maßnahme am Änderungsdokument

Jede Maßnahme kann verschiedene Status-Zustände annehmen. Für den Status(4) stehen Ihnen folgende Status zur Verfügung:

StatusBedeutung
vorgesehenDie verfahrensspezifische Maßnahme ist vorgesehen.
in BearbeitungDie verfahrensspezifische Maßnahme ist in Bearbeitung.
in PrüfungDie verfahrensspezifische Maßnahme ist in Prüfung.
implementiertDie verfahrensspezifische Maßnahme ist fertig bearbeitet.
verworfenDie verfahrensspezifische Maßnahme wurde verworfen.
Kopierfunktion von Maßnahmen am Änderungsdokument

Zum Kopieren einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahmen kopieren von.

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Maßnahmen zu treffen, welche Sie kopieren möchten.

Sie können über die Auswahl eine Maßnahme oder auch mehrere Maßnahmen auswählen, welche Sie über die Schaltfläche Übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Maßnahmen auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Kopieren von Maßnahmen am Änderungsdokument

Der Dialog stellt alle Maßnahmen an Änderungsdokumenten von allen Schutzobjekten und den Geschäftsprozessen zum Kopieren zur Verfügung.

Sofern eine Maßnahme gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Wählen Sie mehrere Maßnahmen aus, werden diese direkt an das entsprechende Objekt eingefügt, befinden sich aber noch im ungespeicherten Zustand (erkennbar an der kursiven Schriftart(1) und dem Stift-Icon(2)).

Abbildung: kopierte Maßnahmen am Änderungsdokument

Bitte beachten Sie, dass hier die Kopien der Maßnahmen den Status(3) der Original-Maßnahmen übernehmen. Diesen können Sie aber manuell ganz einfach ändern.

Es ist notwendig die einzelnen Maßnahmen aufzurufen (alle Textelemente in der Tabelle sind Verlinkungen zum jeweiligen Maßnahme) und zu speichern. Natürlich können Sie in der Maßnahmen selbst auch noch Änderungen vornehmen. Oder Sie speichern das gesamte Schutzobjekt, an welchem die Maßnahmen verknüpft wurden, dann werden diese mit gespeichert.

Kopierfunktion eines Änderungsdokuments

Zum Kopieren eines Änderungsdokuments nutzen Sie bitte die Schaltfläche Änderungsdokumente kopieren von.

Abbildung: Änderungsdokument kopieren Schaltfläche

Ein Dialog-Fenster öffnet sich, in welchem Sie die Möglichkeit haben, eine Mehrfachauswahl an Änderungsdokumenten zu treffen, welche Sie kopieren möchten.

Sie können über die Auswahl ein Änderungsdokument oder auch mehrere Änderungsdokumente auswählen, welche Sie über die Schaltfläche Übernehmen dem betreffenden Objekt zuordnen. Über die Schaltfläche Auswählen(1) können Sie zum Beispiel alle Änderungsdokumente auswählen. Ebenfalls steht Ihnen ein Suchfeld(2) zur Verfügung. Klassisch ist die Auswahl über die Checkbox(3) zu treffen.

Abbildung: Änderungsdokument kopieren Dialog

Der Dialog stellt alle Änderungsdokumente vom jeweiligen Schutzobjekt zum Kopieren zur Verfügung.

Sofern ein Änderungsdokument gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Wählen Sie mehrere Änderungsdokumente aus, werden diese direkt an das entsprechende Objekt eingefügt, befinden sich aber noch im ungespeicherten Zustand (erkennbar an der kursiven Schriftart(1) und dem Stift-Icon(2)).

Abbildung: kopierte Änderungsdokumente

Bitte beachten Sie, dass hier die Kopien der Änderungsdokumente den Status in Planung(3). Diesen können Sie aber manuell ganz einfach ändern.

Es ist notwendig die einzelnen Änderungsdokumente aufzurufen (alle Textelemente in der Tabelle sind Verlinkungen zum jeweiligen Änderungsdokument) und zu speichern. Natürlich können Sie im Änderungsdokument selbst auch noch Änderungen vornehmen. Oder Sie speichern das gesamte Schutzobjekt, an welchem die Änderungsdokumente verknüpft wurden, dann werden diese mit gespeichert.

Kopierfunktion für Schutzobjekte

Schutzobjekte (Anwendungen, Systeme und Infrastruktur-Objekte) können inklusive der verknüpften Modelle dupliziert werden. Die Funktion kann am jeweiligen Objekt über das Extras-Menü rechts oben aufgerufen werden.

Wir hier beispielhaft an einer Anwendung dargestellt:


Abbildung: Kopierfunktion für Schutzobjekte
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.