Dienstleistungen
In ForumISM können Sie die Dienstleistungen als IKT-Assets nutzen. Ist ForumOSM als Anwendung aktiv, stehen Ihnen außerdem die Informationen aus ForumOSM sowie ein erweiterter Nutzungsumfang zur Verfügung.
Wurde eine Dienstleistung neu angelegt, sollte eine treffende Bezeichnung(1), die Art der IKT-Dienstleistung(2), der Dienstleister(3) sowie eine Verantwortung(4) und ggf. eine Sortiernummer(6) eingegeben werden.
Im Feld Asset-ID(5) ist zur eindeutigen Zuordnung eine Kennung vorgesehen. Basiert die Dienstleistung auf einem Vorschlag und das Feld Asset-ID ist im Vorschlag befüllt, dann ist dieser Bereich nicht änderbar.
Im Feld Art der IKT-Dienstleistung stehen 20 Werte per Dropdown zur Auswahl. Eine IKT-Dienstleistung kann jeweils nur eine Dienstleistungs-Art haben. Die einzelnen Optionen enthalten einen Präfix. Dieser wird auch in den offiziellen Dokumenten zur DORA genutzt.
In der Einzelansicht einer Dienstleistung werden die Reiter Details, Verknüpfungen, Risikomanagement und Soll-/Soll- & Soll-/Ist-Abgleich angezeigt.
Bezeichnung Bezeichnung englisch Definition Beispiele / Aktuelle Interpretation GFG S01 IKT-Projektmanagement ICT project management Erbringung von Dienstleistungen im Zusammenhang mit dem Projektmanagement Dauerhafte Unterstützung von Projekten mit Schwerpunkt auf Implementierung/Einführung/ Änderungen von IKT-Assets oder -Prozessen über externes Projektmanagement unter Zuhilfenahme digitaler Dienste (Projektmanagementsoftware). Beispiele: Dienstleister übernimmt das IKTProjektmanagement für einen oder mehrere Fachbereiche bzw. Themen unter Zuhilfenahme einer PMO-Plattform. Bereitstellung einer PMO-Plattform für IKT-Projekte. S02 IKT-Entwicklung ICT Development Erbringung von Dienstleistungen im Zusammenhang mit der Unternehmensanalyse, Software-Design und -Entwicklung, Tests Dauerhafte Inanspruchnahme von Entwicklungsleistungen (mit Wartungsvertrag) von Individualsoftware für die Bank und damit im Zusammenhang stehenden Unterstützungsleistungen, Konzeption und Test (inkl. Personalgestellung). Beispiele: IDV-Erstellung No/ Low-Code-Programmierung, RPA-Programmierung Customizing von Standardsoftware Sonstige Individualsoftware S03 IKT-Helpdesk und Unterstützung auf der ersten Ebene ICT help desk and first level support Erbringung von Dienstleistungen im Zusammenhang mit Helpdesk-Support und First-Level-Support bei IKT-Vorfällen Dienstleistung, welche IKT-SystemBenutzer der Bank unterstützen - technischer Support für IT-Infrastruktur und -systeme inkl. Störungsmanagement sowie erste Anlaufstelle für Benutzer, die Support/technische Unterstützung für IKT-Systeme benötigen inkl. Ticketerstellung Beispiele: User-Helpdesk First-Level Support S04 IKT-Sicherheitsmanagementdienste ICT security management services Erbringung von Dienstleistungen im Zusammenhang mit IKTSicherheit (Schutz, Erkennung, Reaktion und Wiederherstellung), einschließlich Umgang mit Sicherheitsvorfällen und Forensik. Dienstleistungen, bei denen Daten, die regelmäßig in bankfachlichen Geschäftsprozessen verwendet werden, extern über digitale Schnittstellen zugeliefert werden Abgrenzung: Nicht umfasst ist Zulieferung von allgemeinen Informationen/ nicht für die operative Verarbeitung gedachte Informationen (redaktionelle Artikel, Rundschreiben, Gremieninformationen, etc.). Beispiele: IKT-Vorfallmanagement CERT-Dienstleistungen Auswertungen in Bezug auf Sicherheitsinformationen und Ereignismanagement (SIEM) Security Operation Center (SOC) Penetrationstests Netzwerk- und Perimetersicherheit Sicherheitspatch-Management Bedrohungs- und Schwachstellenerkennung (Scans) Datenverschlüsselung und -schutz Auswertung von Logfiles (z. B. Forensik) Firewall- und Virenschutz-Management (Konfiguration und Überwachung) Sicherheitsüberprüfung von Anwendungen und Systemen IKT-Notfallbearbeitung / Wiederherstellung inkl. IKT-Notfalltests Alarmverfolgung / Aufschaltung auf Videoüberwachung durch ein Sicherheitsunternehmen Cyberversicherungen werden nicht als IKTDienstleistung betrachtet. S05 Bereitstellung von Daten Provision of data Abonnement der Dienste von Datenanbietern (digitaler Datendienst) Abonnement für die Dienste von Datenanbietern (digitaler Datendienst). Beispiele: Risiko-Kennzahlen Ratingdaten, Bonitätsdaten, SCHUFA Finanzmarktdaten, Kursdaten Immobilienmarktdaten ESG-Daten Marktforschungsdaten Compliancedaten (Sanktionslisten, Geldwäsche-Daten) S06 Datenanalyse Data analysis Erbringung von Dienstleistungen im Zusammenhang mit der Unterstützung der Datenanalyse (digitaler Datendienst) Auf Dauer angelegte Dienstleistungen, bei denen Daten der Bank mit bankfachlichem Bezug über digitale Schnittstellen zur Analyse an den Dienstleister geleitet werden und die Bank digital eine Auswertung zurückerhält. Beispiele: Datenbereinigung und -aufbereitung für Datenqualität Smart Data Analysen / Analysen über KIVerfahren Datenanalysen für Vertrieb / Kampagnenmanagement Datenanalysen für Banksteuerung Fraud Detection Verfahren Regelmäßiges Benchmarking mit Zugrundelegung von Bankdaten S07 IKT, Einrichtungen und Hosting-Dienste (außer Cloud-Dienste) ICT, facilities and hosting services Bereitstellung von IKT-Infrastruktur, Betriebsmitteln und Hosting-Diensten einschl. Versorgungsleistungen (Energie-, Wärme-management...), Telekommunikationszugang und physische Sicherheit (ohne Cloud-Dienste), Zahlungsabwicklungstätigkeiten oder Bereitstellung von Zahlungs-infrastrukturen Basisdienste als Grundlage für IKT-Dienste Ausgenommen hiervon sind technische Infrastrukturen, die die Bank selbst bereitstellt bzw. einzelfallbezogen beauftragt. Die in der Definition des ITS Anhang III aufgeführten Zahlungsabwicklungstätigkeiten und Zahlungsinfrastrukturen sind nur zu berücksichtigen, wenn diese nicht von regulierten Finanzdienstleistern im Zusammenhang mit Finanzdienstleistungen erbracht werden (siehe Ausnahmen). Beispiele: Technische Gebäudeausstattung (Zutrittskontrollen), Stromnetz, Netzkabel, Glasfaser IKT-basierte Infrastrukturbereitstellung zum Betrieb und Überwachung von Rechenzentren und Serverräumen (in Bezug auf Klima, Strom) S08 Rechenleistung Computation Bereitstellung digitaler Verarbeitungskapazitäten (einschließlich Datenrechenleistung) mit Ausnahme der im Rahmen einer Cloud-Umgebung erbrachten Rechendienste Anmietung von Rechenleistung bei Dienstleistern. Beispiele: Bereitstellung von leistungsstarken Clustern für rechenintensive Anwendungen und Datenverarbeitung durch Nicht-Cloud-Dienstleister S09 Datenspeicherung außerhalb der Cloud Non-Cloud Data storage Bereitstellung von Datenspeicherplattformen (ohne Cloud-Dienste) Bereitstellung von Datenspeicherplattformen für die Bank sowie bankindividuelle Anmietung von Datenspeichern in Rechenzentren. Abgrenzung zu Clouddiensten beachten (Kategorisierung unter 17. – 19.) sowie zu Datenberechnung (Kategorisierung unter 8.) Beispiele: Bereitstellung von virtuellem Speicherplatz u.a. Network Attached Storage (NAS)-Geräte Storage Area Networks (SANs) für die Speicherung und Verwaltung großer Datenmengen Speicher-Datensicherung und -wiederherstellungsfunktionen (Backup und Restore) Speicher zur Datenarchivierung für die langfristige Aufbewahrung von Daten S10 Telekommunikationsanbieter Telecom carrier Betrieb von Telekommunikationssystemen und Ablaufmanagement. Traditionelle analoge Telefondienste sind gemäß Artikel 3 Absatz 21 der DORA-Verordnung (EU) 2022/2554 ausdrücklich ausgeschlossen. Carrier, die Netz- und Telefondienstleistungen bereitstellen bzw. managen. Beispiele: Telefondienste einschl. Mobilfunk S11 Netzinfrastruktur Network infrastructure Bereitstellung von Netzwerkinfrastruktur Dienstleister im Zusammenhang mit der Bereitstellung und dem Management der physischen Netzwerkinfrastruktur Abgrenzung zu IKT-Sicherheitsmanagement beachten (z.B. Netzwerksicherheitsprüfung Kategorisierung unter 4.). Beispiele: Sekundärnetzdienstleister Bereitstellung und Konfiguration LAN / WLAN-Netze Bereitstellung und Konfiguration von Routern und Switchen Netzinfrastrukturüberwachung und –wartung separate DSL-Leitungen S12 Hardware und physische Geräte Hardware and physical devices Bereitstellung von Arbeitsplätzen, Telefonen, Servern, Datenspeichergeräten, Geräten usw. in Form einer Dienstleistung Hardwaredienstleistungen, bei denen Endbenutzergeräte und spezifische Infrastruktur-Hardware als Service im Institut bereitgestellt wird. Abgrenzung: Beispiele: Bereitstellung und Verwaltung von Arbeitsplatzinfrastruktur (Managed Workplace Services für PC/Laptops) Bereitstellung und Management von Smartphones (Mietvertrag mit Installationsleistungen und Smartphonemanagement) Bereitstellung und Management von Druckern Bereitstellung und Management von Telefonen Bereitstellung und Management von Servern (ohne virtuelle Server) Bereitstellung und Management von SB-Geräten (z.B. GAA, CRS, KAD, SBT) Alarmanlagen mit Wartungsvertrag Tagestresore mit Wartungsvertrag S13 Softwarelizenzierung (außer SaaS) Software licencing (excluding SaaS) Bereitstellung von lokal ausgeführter Software Lizenzierte Software, die von der Bank selbst betrieben wird (insbesondere mit bankfachlichem Bezug / Bezug zur Informationssicherheit) und mit dauerhaften Unterstützungsleistungen verbunden ist insbesondere einem auf Dauer angelegten Wartungsvertrag. Abgrenzung: Beispiele: Risikosteuerungssoftware Buchhaltungssoftware Software für Informationssicherheitsmanagement S14 IKT-Betriebsmanagement (einschließlich Wartung) ICT operation management Erbringung von Dienstleistungen im Zusammenhang mit: Betrieb von IKT-Systemen im klassischen Rechenzentrum einschl. Webanwendungen und Services sowie Infrastruktur-Dienstleistungen im Zusammenhang mit IKT-Systemen in der Bank (inkl. Personalgestellung). Abgrenzung zu Cloudservices beachten (siehe Kategorisierung unter 17- 19.), sowie zu Dienstleistungen, die bereits unter Kategorisierungen 4., 7. oder 8. verortet wurden. Beispiele: Betrieb des Bankverfahrens oder einzelner Bankanwendungen in einem Rechenzentrum einschl. der Anwendungsservices (MSP/ ASP) * Nicht-cloudbasierte Webanwendungen * Sonstige Infrastrukturdienstleistungen z.B. Durchführung von Änderungen an der Infrastruktur in der Bank, Betriebssystem/Softwarebereitstellung für Clients, virtuelle Server, Kapazitätsmanagement zur Überwachung und Optimierung der Ressourcenauslastung. * vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia S15 IKT Beratung ICT Consulting Erbringung von auf Know-how/IKT-Fachwissen beruhenden Dienstleistungen. Dauerhafte Beratung im Kontext IKT im Sinne Weitergabe von KnowHow und Wissen bzw. Coaching von IT-Mitarbeitern, Beratung zu Informationssicherheit etc. Diese Leistungen sind jedoch nur dann IKT-Dienstleistungen, wenn die Leistungen über digitale Dienste/Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software). Beispiele: Digitale Dienste/ Datendienste zur Dauerhaften IKT-Unterstützung des ISB im Informationssicherheitsmanagement Dauerhaften Unterstützung im Rahmen des Notfallmanagements (Überarbeitung BCM-Konzepte und Prozesse, Erstellung von Notfall- und Wiederherstellungsplänen, Notfalltests) Dauerhaften Unterstützung bei der Erstellung von Sicherheitskonzepten und deren Umsetzung S16 IKT-Risikomanagement ICT Risk management Überprüfung der Einhaltung der IKT-Risikomanagement-anforderungen gemäß Artikel 6 Absatz 10 der DORA-Verordnung (EU) 2022/2554 Auf Dauer angelegte Drittdienstleistung, die sich auf das Management von IKT-Risiken der Bank bezieht, wenn die Leistungen über digitale Dienste/ Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software). Beispiele: Digitale Dienste/ Datendienste zur Unterstützung der IKT-Risikokontrollfunktion Überprüfung des IKT-Risikomanagementrahmens Überprüfung der Implementierung von Sicherheitsrichtlinien und -verfahren Überprüfung der Einhaltung von Compliance-Standards und -Vorschriften Unterstützung des IKT-Drittparteienrisikomanagements S17 Cloud-Dienste: IaaS Cloud services: IaaS Infrastruktur-as-a-Service Bereitstellung von Rechenleistungen und Speicherplatz über Cloud-Dienste d.h. Diensten, die einen ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglichen (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit minimalem Verwaltungsaufwand oder geringer Interaktion des Dienstleisters bereitstellen lassen. (siehe Anlage 5 zum Leitfaden „Methodische Grundlagen der IT-Regulatorik“ zum NIST-Kriterienkatalog). Beispiele: Anbieter stellt dem Kunden Verarbeitung, Speicher, Netzwerke und andere grundlegende Computerressourcen zur Verfügung - der Kunde kann die Software seiner Wahl einsetzen und ausführen. Der Kunde hat Kontrolle über Betriebssysteme, Speicher und Anwendungen – und möglicherweise eine eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z. B. Host-Firewalls) (Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”) S18 Cloud-Dienste: PaaS Cloud services: PaaS Plattform-as-a-Service Bereitstellung von Entwicklerplattformen über Cloud-Dienste (siehe Kategorisierung unter 17.) Beispiele: Anbieter stellt dem Kunden Cloud-Infrastruktur zur Verfügung, auf der der Kunde von ihm erstellte oder erworbene Anwendungen bereitstellen kann Anbieter unterstützt über Bereitstellung von Programmiersprachen, Bibliotheken, Diensten bzw. Tools. Der Kunde hat nur Kontrolle über die bereitgestellten Anwendungen – und möglicherweise über die Konfigurationseinstellungen für die Anwendungshostingumgebung. Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”) S19 Cloud-Dienste: SaaS Cloud services: SaaS Software-as-a-Service Bereitstellung von Anwendungen über Cloud-Dienste (siehe Kategorisierung unter 17.) Abgrenzung vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia. Beispiele: Kunde kann die Anwendungen eines Anbieters nutzen, die auf einer Cloud-Infrastruktur laufen. Die Anwendungen sind von verschiedenen Client-Geräten oder mobilen Endgerätenaus entweder über eine Thin-Client-Schnittstelle (wie einen Webbrowser – z. B. webbasierte E-Mail) oder eine Programmschnittstelle zugänglich. Der Kunde kann lediglich in begrenztem Maß benutzerspezifische Anwendungskonfigurationseinstellungen vornehmen. Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”) keine IKT-Dienstleistung nach DORA X keine Erfassung im Staatliche Behörden, die IKT-bezogene Dienste im Zusammenhang mit Funktionen des Staates bereitstellen, sind keine IKT-Drittdienstleister im Sinne der DORA. (Ausnahme gemäß DORAErwägungsgrund 63) Zentralbanken, die Zahlungs- oder Wertpapierliefer- und Wertpapierabrechnungssysteme betreiben (Ausnahme gemäß DORA Erwägungsgrund 63) IKT-Dienstleistungen, die von einem regulierten Finanzunternehmen erbracht werden und mit einer regulierten Finanzdienstleistung verbunden sind oder von dieser abhängig sind.(Ausnahme gemäß Q&A ESA 2999-DORA030) Auslegung nach dem Grundsatz der Verhältnismäßigkeit, welche IKT-Services keine IKT-Dienstleistung nach DORA darstellen: Für Webportale ist abzuwägen, ob diese als IKT-Dienstleistung nach DORA eingestuft werden (z.B. keine IKTDienstleistung nach DORA bei Portalen zur reinen Informationsbeschaffung in Abgrenzung zu den Kategorien 1.-19.). reiner Bezug von Software oder Hardware auch bei Bereitstellung von Updates und Hotlinesupport, sofern die Bank die Updates eigenverantwortlich einspielt (inkl. Tests) und die Updates nicht spezifisch für die Bank erstellt werden (in Abgrenzung zu 12. und 13.). Versorgungsdienstleister gelten nicht als IKT-Dienstleister (Ausnahme Telekommunikationsanbieter vgl. 10.) Beispiele: Portale der Aufsichtsbehörden, der Behörden der Bundesverwaltung etc. • Zahlungs- oder Wertpapierinfrastrukturen der Deutschen Bundesbank oder EZB Zentralbankfunktionen der DZ BANK (Depotservices, Transaktionsservices, Direkthandel, Sicherheitenverwahrung und Teilnahme am Tenderverfahren (Swift), Abwicklung des SepaZahlungsverkehrs, Clearing) Finanzdienstleistungen von Banken bzw. Finanzdienstleistern untereinander (Onlinebanking, gemeinsamer Betrieb von Anwendungen, die Verbundunternehmen den Banken zur Vermittlung oder Stammdatenpflege in Bezug auf ihre eigenen Verbundprodukte bereitstellen Informationsportale (soweit diese keine Datendienste anbieten vgl. auch 5. + 6.) Portale von Schulungsanbietern (insbes. wenn diese nur der Anmeldung von Schulungen dienen, keine Individualisierung von Schulungsinhalten durch die Bank erfolgt etc.) Bestellportale (soweit sie nur zur Übermittlung des Kaufwunsches dienen und keine weiteren Prozesse der Bank beinhalten) Reiner Bezug von Standard-Software (vgl. auch 13.) Reiner Bezug von Standard-Hardware (vgl. auch 12.) StromanbieterArt der Dienstleistung
Der reine Bezug von Hardware ist keine IKT-Dienstleistung, unabhängig davon, ob es sich um Kauf/Miete/Leasing handelt. Abgrenzung zu Clouddiensten beachten (vgl. Kategorisierung unter 17.) sowie zur Bereitstellung und Management von Anlagen in einem externen Rechenzentrum (vgl. Kategorisierung unter 14.)
Der reine Bezug von Standard-Software (ohne bankfachlichen / ohne Banksteuerungsbezug / ohne Bezug zur Informationssicherheit) ist nicht als IKT-Dienstleistung einzustufen, unabhängig davon, ob es sich um Kauf/Miete/Leasing/Abonnement handelt. Die Bank muss für diese IKT-Assets die DORA-Anforderungen selbst sicherstellen z.B. im Änderungs-, Schwachstellen- und Patchmanagement.
Infrastrukturkonfiguration (Systeme und Hardware mit Ausnahme des Netzwerkes), Wartung, Installation, Kapazitätsmanagement, betriebliches Kontinuitätsmanagement usw. einschließlich Anbieter von verwalteten Dienstleistungen (Managed Service Provider, MSPs).
Informationsregister
Hinweis: Sofern Bankmitarbeiter sich an Webportalen anmelden, sind diese u.a. in das Berechtigungsmanagement der Bank einzubeziehen, auch wenn diese nicht als IKT-Dienstleistung eingestuft werden.
Geldautomaten)
CSV-Import von Dienstleistungen
Die Importmöglichkeit betrifft zunächst Kunden, welche die Anwendung ZAM AR der ZAM eG nutzen und die Vorschläge des Verfahrenslieferanten in der ForumSuite nutzen. Die Menüpunkte sind nur für diesen Kundenkreis sichtbar.
Mit Version 2025.1 wurde die Möglichkeit zum Import von Dienstleistungen aus der Anwendung ZAM AR der ZAM eG geschaffen. Sie finden die Möglichkeit zum Import in der Übersicht der Dienstleistungen im Menü Extras.
Für die Reihenfolge des Imports wird empfohlen, mit dem Import der Dienstleistungen zu beginnen und mit dem Risikoimport fortzusetzen.
Vor der Übernahme der Importdateien, kann ein Testlauf über die Schaltfläche Testlauf durchführen aktiviert werden. Sie haben dadurch die Möglichkeit, die Daten im Protokoll vor dem Import zu überprüfen. Den Import schließen Sie über die Schaltfläche CSV Import durchführen ab.
Beim Dienstleisterimport werden Verknüpfungen zwischen Geschäftsprozessen und Dienstleistungen vorgenommen. Sind Geschäftsprozessen und/oder Dienstleistungen nicht vorhanden, werden die betreffenden Objekte in ForumISM neu angelegt.
Reiter Details
Im Reiter Details unter Allgemein befinden sich die die allgemeinen Information aus der betreffenden Dienstleistung.
Ist ForumOSM aktiv, wird zusätzlich der Bereich Klassifizierung angezeigt.
Auf dem Reiter "Relevanz" werden die durch die über die Geschäftsprozesse mit der Dienstleistung verbundenen Relevanzen angezeigt. Ist eine Dienstleistung mit einer hohen Abhängigkeitsstufe mit einem Prozess verknüpft, der eine "kritische oder wichtige Funktion" darstellt, wird dies hier dargestellt. Auch die mit den jeweiligen Prozessen verknüpften Informationsklassen geben ihrerseits die Relevanzen an die Dienstleistung weiter.
Reiter Verknüpfungen
Im Reiter Verknüpfungen werden die verknüpften IKT-Assets (Anwendungen, Systeme und Infrastruktur-Objekte) sowie die Geschäftsprozesse dargestellt.
Ebenfalls kann abgebildet werden, ob die Dienstleistung weiterverlagert wurde und ob Weiterverlagerungen bestehen. Ist ForumOSM aktiv, wird im Inline-Grid der Bereich Klassifizierung angezeigt.
Die jeweilige Dienstleistung zeigt die getroffenen Zuordnungen aus ForumOSM an bzw. kann über den Button Aus Liste wählen... mit einer Anwendung, einem System, einer Infrastruktur und/oder einem Geschäftsprozess sowie Weiterverlagerungen verknüpft werden.
Der jeweilige Abhängigkeitsgrad kann aus einer Liste gewählt werden.
Im Reiter Risikomanagement werden Risiken mit der Dienstleistung verknüpft. Sie können neue Risiken anlegen oder bereits vorhandene Risiken kopieren.
Sollmaßnahmen: Soll/Soll & Soll-/Ist-Abgleich
Im Reiter der Soll/Soll & Soll-/Ist-Abgleich wird der Schutzbedarf einer Dienstleistung von den mit den Dienstleistungen verknüpften Geschäftsprozessen (+ ggf. Datenklassen / Schutzobjekte) nach dem Maximalitätsprinzip angezeigt. Die Erfassung eines Schutzniveaus ist für Dienstleistungen nicht relevant.
Über die Schaltflächen Aus Liste wählen(1) können aus in ForumISM bestehenden Sollmaßnahmenprofilen entsprechende Profile zugeordnet werden. Die Schaltfläche Bausteine wählen(2) nutzen Sie zur Wahl eines Standards aus der Anwendung ForumNSR für die Zuordnung. Diese Möglichkeit besteht nur, wenn die Anwendung ForumNSR lizenziert wurde und betreffende Standards in der produktiven Bearbeitung in der Anwendung zur Verfügung stehen.
Für IKT-Dienstleistungen steht mit dem Button Bewertung übernehmen...(3) eine Kopierfunktion für die Umsetzung der Sollmaßnahmen bereit, um eine Erleichterung bei der Bewertung von Sollmaßnahmen zu ermöglichen.
Wurden Bausteine mit Sollmaßnahmen an einem Asset hinzugefügt, kann über diesen Button Bewertung übernehmen... die bereits an anderen Dienstleistungen getroffene Bewertung der Sollmaßnahmen übernommen werden. Dazu öffnet sich ein Auswahldialog, über den die betreffende Dienstleistung und deren verknüpften Sollmaßnahmen per Anhaken übernommen werden können. Im Anschluss sollte nochmals eine Bestätigung neuer und entfallener Maßnahmen durchgeführt werden.
Die Kopie ist nur von gleichen Assets (von Dienstleistung zu Dienstleistung) möglich. Die Funktion steht im Bearbeiten-Modus zur Verfügung.
Für ausgelagerten Dienstleistungen (IKT-Dienstleistungen) wird die Vorbelegung der bearbeiteten BaSo-Sollmaßnahmen nur für die nicht relevanten Dienstleistungen angeboten. Die Bewertung muss durch den Dienstleister ausgefüllt werden. Ein Vorbelegung ist in diesem Bereich fachlich nicht sinnvoll.
Für IKT-Dienstleistungen ist die Vorbelegung daher nur für die nicht-relevanten Sollmaßnahmen möglich.
Über den Button Excel-Export(4) kann ein Export der Sollmaßnahmen als Excel-Datei generiert werden. Dieser Export steht in ForumISM als auch an den Dienstleistungen in ForumOSM zur Verfügung.
Die Ausblendung der nicht relevanten Maßnahmen(5) zeigt nur dann Wirkung, wenn sowohl für die "Vertragliche Regelung (Soll/Soll)" als auch für die "Operative Umsetzung (Soll/Ist)" der Reifegrad der jeweiligen Soll-Maßnahme auf "nicht relevant" gestellt wurde. Bei Anhaken dieser Funktion werden die nicht relevanten Maßnahmen nicht weiter aufgeführt und aus dem Reifegrad-Diagramm ausgeblendet.
Abweichungen zu Vorbelegungen aus ForumNSR und Profilmaßnahmen(6) können durch Anhaken der entsprechenden Funktion angezeigt werden.
(7)Zur Abbildung eines Soll-/Soll-Abgleiches und eines Soll-/Ist-Abgleiches für Sollmaßnahmen an IKT-Dienstleistungen (Leistungen) gibt es zwei Reifegrade:
"Vertragliche Regelung (Soll/Soll)" und "Operative Umsetzung (Soll/Ist)" (bisherig Reifegrad)
Die Sollmaßnahmen von IKT-Dienstleistungen werden in das Sollmaßnahmen-Cockpit aufgenommen, dabei wird von den beiden Reifegraden an den einzelnen Sollmaßnahmen jeweils nur ein Wert übernommen.
Wenn die betreffende Dienstleistung freigegeben ist, kann die direkte Zuordnung von Sollmaßnahmenprofilen auch direkt über das betreffende Sollmaßnahmenprofil getroffen werden. Ordnen Sie dem Profil über Dienstleistung verknüpfen ... die gewünschte Dienstleistung zu.
An Dienstleistungen kann ein konkreter Schutzbedarf angelegt werden, dieser wird Ihnen dann auch in der Übersicht der Dienstleistungen in ForumISM in einer separaten Spalte angezeigt. Wenn ein konkreter Schutzbedarf für diese Dienstleistung angelegt werden soll, nutzen Sie bitte im Lesemodus im Reiter Sollmaßnahmen die Schaltfläche Extras in der Titelleiste und legen einen konkreten Schutzbedarf an oder kopieren aus bestehende Objekten einen konkreten Schutzbedarf.
Folgende Voraussetzungen sind zu erfüllen, um einen konkreten Schutzbedarf an Dienstleistungen in ForumISM anzulegen bzw. aus bestehenden Dokumenten zu kopieren:
- Zur Erfassung eines konkreten Schutzbedarfs für Dienstleistungen müssen zuvor in den Einstellungen von ForumISM die bereits aktiven SBA-Schemata zunächst Überarbeitet und anschließend erneut Freigegeben werden.
- Anschließend aktualisieren Sie die Anwendung über die Funktionstaste F5.
- Die betreffende Dienstleistung in ForumOSM darf nicht freigegeben sein.
In ForumOSM ist ein Löschen des konkreten Schutzbedarfs anschließend nicht möglich.
Die Anzeige einer zugeordneten Dienstleistung erfolgt an den Schutzobjekten im Reiter Details und Betrieb und Hersteller bzw. an einem Geschäftsprozess im Reiter Grundlagen.
In den jeweiligen Ansichten der Geschäftsprozesse und Schutzobjekte können jeweils über die Schaltfläche aus Liste wählen zuzuordnende Dienstleistungen gewählt werden und eine getroffene Auswahl bearbeitet werden.
Anzeige Schutzbedarf am Dienstleister
In ForumISM wird unter > Stammdaten > Dienstleister am betreffenden Dienstleister der kulminierte Schutzbedarf aus allen Dienstleistungen nach dem Maximalitätsprinzip angezeigt.
Bearbeitung der Maßnahmen in ForumOSM
Die Bearbeitung der Maßnahmen zeigen wir im Handbuch von ForumOSM an den Dienstleistungen auf.