Skip to main content
Skip table of contents

Dienstleistungen

In ForumISM können Sie die Dienstleistungen als IKT-Assets nutzen. Ist ForumOSM als Anwendung aktiv, stehen Ihnen außerdem die Informationen aus ForumOSM sowie ein erweiterter Nutzungsumfang zur Verfügung.

Wurde eine Dienstleistung neu angelegt, sollte eine treffende Bezeichnung(1), die Art der IKT-Dienstleistung(2), der Dienstleister(3)  sowie eine Verantwortung(4) und ggf. eine Sortiernummer(6) eingegeben werden.

Im Feld Asset-ID(5) ist zur eindeutigen Zuordnung eine Kennung vorgesehen. Basiert die Dienstleistung auf einem Vorschlag und das Feld Asset-ID ist im Vorschlag befüllt, dann ist dieser Bereich nicht änderbar.

Im Feld Art der IKT-Dienstleistung stehen 20 Werte per Dropdown zur Auswahl. Eine IKT-Dienstleistung kann jeweils nur eine Dienstleistungs-Art haben. Die einzelnen Optionen enthalten einen Präfix. Dieser wird auch in den offiziellen Dokumenten zur DORA genutzt.


Abbildung: Dienstleistung - Maske

In der Einzelansicht einer Dienstleistung werden die Reiter Details, Verknüpfungen, Risikomanagement und Soll-/Soll- & Soll-/Ist-Abgleich angezeigt. 


Art der Dienstleistung

Bezeichnung

Bezeichnung englisch

Definition

Beispiele / Aktuelle Interpretation GFG

S01 IKT-Projektmanagement

ICT project management

Erbringung von Dienstleistungen im Zusammenhang mit dem Projektmanagement

Dauerhafte Unterstützung von Projekten mit Schwerpunkt auf Implementierung/Einführung/ Änderungen von IKT-Assets oder -Prozessen über externes Projektmanagement unter Zuhilfenahme digitaler Dienste (Projektmanagementsoftware).

Beispiele:

  • Dienstleister übernimmt das IKTProjektmanagement für einen oder mehrere Fachbereiche bzw. Themen unter Zuhilfenahme einer PMO-Plattform.

  • Bereitstellung einer PMO-Plattform für IKT-Projekte.

S02 IKT-Entwicklung

ICT Development

Erbringung von Dienstleistungen im Zusammenhang mit der Unternehmensanalyse, Software-Design und -Entwicklung, Tests

Dauerhafte Inanspruchnahme von Entwicklungsleistungen (mit Wartungsvertrag) von Individualsoftware für die Bank und damit im Zusammenhang stehenden Unterstützungsleistungen, Konzeption und Test (inkl. Personalgestellung).

Beispiele:

  • IDV-Erstellung

  • No/ Low-Code-Programmierung,

  • RPA-Programmierung

  • Customizing von Standardsoftware

  • Sonstige Individualsoftware

S03 IKT-Helpdesk und Unterstützung auf der ersten Ebene

ICT help desk and first level support

Erbringung von Dienstleistungen im Zusammenhang mit Helpdesk-Support und First-Level-Support bei IKT-Vorfällen

Dienstleistung, welche IKT-SystemBenutzer der Bank unterstützen - technischer Support für IT-Infrastruktur und -systeme inkl. Störungsmanagement sowie erste Anlaufstelle für Benutzer, die Support/technische Unterstützung für IKT-Systeme benötigen inkl. Ticketerstellung

Beispiele:

  • User-Helpdesk

  • First-Level Support

S04 IKT-Sicherheitsmanagementdienste

ICT security management services

Erbringung von Dienstleistungen im Zusammenhang mit IKTSicherheit (Schutz, Erkennung, Reaktion und Wiederherstellung), einschließlich Umgang mit Sicherheitsvorfällen und Forensik.

Dienstleistungen, bei denen Daten, die regelmäßig in bankfachlichen Geschäftsprozessen verwendet werden, extern über digitale Schnittstellen zugeliefert werden Abgrenzung: Nicht umfasst ist Zulieferung von allgemeinen Informationen/ nicht für die operative Verarbeitung gedachte Informationen (redaktionelle Artikel, Rundschreiben, Gremieninformationen, etc.).

Beispiele:

  • IKT-Vorfallmanagement

  • CERT-Dienstleistungen

  • Auswertungen in Bezug auf Sicherheitsinformationen und Ereignismanagement (SIEM)

  • Security Operation Center (SOC)

  • Penetrationstests

  • Netzwerk- und Perimetersicherheit

  • Sicherheitspatch-Management

  • Bedrohungs- und Schwachstellenerkennung (Scans)

  • Datenverschlüsselung und -schutz

  • Auswertung von Logfiles (z. B. Forensik)

  • Firewall- und Virenschutz-Management (Konfiguration und Überwachung)

  • Sicherheitsüberprüfung von Anwendungen und Systemen

  • IKT-Notfallbearbeitung / Wiederherstellung inkl. IKT-Notfalltests

  • Alarmverfolgung / Aufschaltung auf Videoüberwachung durch ein Sicherheitsunternehmen

Cyberversicherungen werden nicht als IKTDienstleistung betrachtet.

S05 Bereitstellung von Daten

Provision of data

Abonnement der Dienste von Datenanbietern (digitaler Datendienst)

Abonnement für die Dienste von Datenanbietern (digitaler Datendienst).

Beispiele:

  • Risiko-Kennzahlen

  • Ratingdaten, Bonitätsdaten, SCHUFA

  • Finanzmarktdaten, Kursdaten

  • Immobilienmarktdaten

  • ESG-Daten

  • Marktforschungsdaten

  • Compliancedaten (Sanktionslisten, Geldwäsche-Daten)

S06 Datenanalyse

Data analysis

Erbringung von Dienstleistungen im Zusammenhang mit der Unterstützung der Datenanalyse (digitaler Datendienst)

Auf Dauer angelegte Dienstleistungen, bei denen Daten der Bank mit bankfachlichem Bezug über digitale Schnittstellen zur Analyse an den Dienstleister geleitet werden und die Bank digital eine Auswertung zurückerhält.

Beispiele:

  • Datenbereinigung und -aufbereitung für Datenqualität

  • Smart Data Analysen / Analysen über KIVerfahren

  • Datenanalysen für Vertrieb / Kampagnenmanagement

  • Datenanalysen für Banksteuerung

  • Fraud Detection Verfahren

  • Regelmäßiges Benchmarking mit Zugrundelegung von Bankdaten

S07 IKT, Einrichtungen und Hosting-Dienste (außer Cloud-Dienste)

ICT, facilities and hosting services

Bereitstellung von IKT-Infrastruktur, Betriebsmitteln und Hosting-Diensten einschl. Versorgungsleistungen (Energie-, Wärme-management...), Telekommunikationszugang und physische Sicherheit (ohne Cloud-Dienste), Zahlungsabwicklungstätigkeiten oder Bereitstellung von Zahlungs-infrastrukturen

Basisdienste als Grundlage für IKT-Dienste

Ausgenommen hiervon sind technische Infrastrukturen, die die Bank selbst bereitstellt bzw. einzelfallbezogen beauftragt.

Die in der Definition des ITS Anhang III aufgeführten Zahlungsabwicklungstätigkeiten und Zahlungsinfrastrukturen sind nur zu berücksichtigen, wenn diese nicht von regulierten Finanzdienstleistern im Zusammenhang mit Finanzdienstleistungen erbracht werden (siehe Ausnahmen).

Beispiele:

  • Technische Gebäudeausstattung (Zutrittskontrollen), Stromnetz, Netzkabel, Glasfaser

  • IKT-basierte Infrastrukturbereitstellung zum Betrieb und Überwachung von Rechenzentren und Serverräumen (in Bezug auf Klima, Strom)

S08 Rechenleistung

Computation

Bereitstellung digitaler Verarbeitungskapazitäten (einschließlich Datenrechenleistung) mit Ausnahme der im Rahmen einer Cloud-Umgebung erbrachten Rechendienste

Anmietung von Rechenleistung bei Dienstleistern.

Beispiele:

  • Bereitstellung von leistungsstarken Clustern für rechenintensive Anwendungen und Datenverarbeitung durch Nicht-Cloud-Dienstleister

S09 Datenspeicherung außerhalb der Cloud

Non-Cloud Data storage

Bereitstellung von Datenspeicherplattformen (ohne Cloud-Dienste)

Bereitstellung von Datenspeicherplattformen für die Bank sowie bankindividuelle Anmietung von Datenspeichern in Rechenzentren.

Abgrenzung zu Clouddiensten beachten (Kategorisierung unter 17. – 19.) sowie zu Datenberechnung (Kategorisierung unter 8.)

Beispiele:

  • Bereitstellung von virtuellem Speicherplatz u.a. Network Attached Storage (NAS)-Geräte

  • Storage Area Networks (SANs) für die Speicherung und Verwaltung großer Datenmengen

  • Speicher-Datensicherung und -wiederherstellungsfunktionen (Backup und Restore)

  • Speicher zur Datenarchivierung für die langfristige Aufbewahrung von Daten

S10 Telekommunikationsanbieter

Telecom carrier

Betrieb von Telekommunikationssystemen und Ablaufmanagement. Traditionelle analoge Telefondienste sind gemäß Artikel 3 Absatz 21 der DORA-Verordnung (EU) 2022/2554 ausdrücklich ausgeschlossen.

Carrier, die Netz- und Telefondienstleistungen bereitstellen bzw. managen.

Beispiele:

  • Telefondienste einschl. Mobilfunk

S11 Netzinfrastruktur

Network infrastructure

Bereitstellung von Netzwerkinfrastruktur

Dienstleister im Zusammenhang mit der Bereitstellung und dem Management der physischen Netzwerkinfrastruktur Abgrenzung zu IKT-Sicherheitsmanagement beachten (z.B. Netzwerksicherheitsprüfung Kategorisierung unter 4.).

Beispiele:

  • Sekundärnetzdienstleister

  • Bereitstellung und Konfiguration LAN / WLAN-Netze

  • Bereitstellung und Konfiguration von Routern und Switchen

  • Netzinfrastrukturüberwachung und –wartung

  • separate DSL-Leitungen

S12 Hardware und physische Geräte

Hardware and physical devices

Bereitstellung von Arbeitsplätzen, Telefonen, Servern, Datenspeichergeräten, Geräten usw. in Form einer Dienstleistung

Hardwaredienstleistungen, bei denen Endbenutzergeräte und spezifische Infrastruktur-Hardware als Service im Institut bereitgestellt wird.

Abgrenzung:
Der reine Bezug von Hardware ist keine IKT-Dienstleistung, unabhängig davon, ob es sich um Kauf/Miete/Leasing handelt. Abgrenzung zu Clouddiensten beachten (vgl. Kategorisierung unter 17.) sowie zur Bereitstellung und Management von Anlagen in einem externen Rechenzentrum (vgl. Kategorisierung unter 14.)

Beispiele:

  • Bereitstellung und Verwaltung von Arbeitsplatzinfrastruktur (Managed Workplace Services für PC/Laptops)

  • Bereitstellung und Management von Smartphones (Mietvertrag mit Installationsleistungen und Smartphonemanagement)

  • Bereitstellung und Management von Druckern

  • Bereitstellung und Management von Telefonen

  • Bereitstellung und Management von Servern (ohne virtuelle Server)

  • Bereitstellung und Management von SB-Geräten (z.B. GAA, CRS, KAD, SBT)

  • Alarmanlagen mit Wartungsvertrag

  • Tagestresore mit Wartungsvertrag

S13 Softwarelizenzierung (außer SaaS)

Software licencing (excluding SaaS)

Bereitstellung von lokal ausgeführter Software

Lizenzierte Software, die von der Bank selbst betrieben wird (insbesondere mit bankfachlichem Bezug / Bezug zur Informationssicherheit) und mit dauerhaften Unterstützungsleistungen verbunden ist insbesondere einem auf Dauer angelegten Wartungsvertrag.

Abgrenzung:
Der reine Bezug von Standard-Software (ohne bankfachlichen / ohne Banksteuerungsbezug / ohne Bezug zur Informationssicherheit) ist nicht als IKT-Dienstleistung einzustufen, unabhängig davon, ob es sich um Kauf/Miete/Leasing/Abonnement handelt. Die Bank muss für diese IKT-Assets die DORA-Anforderungen selbst sicherstellen z.B. im Änderungs-, Schwachstellen- und Patchmanagement.

Beispiele:

  • Risikosteuerungssoftware

  • Buchhaltungssoftware

  • Software für Informationssicherheitsmanagement

S14 IKT-Betriebsmanagement (einschließlich Wartung)

ICT operation management

Erbringung von Dienstleistungen im Zusammenhang mit:
Infrastrukturkonfiguration (Systeme und Hardware mit Ausnahme des Netzwerkes), Wartung, Installation, Kapazitätsmanagement, betriebliches Kontinuitätsmanagement usw. einschließlich Anbieter von verwalteten Dienstleistungen (Managed Service Provider, MSPs).

Betrieb von IKT-Systemen im klassischen Rechenzentrum einschl. Webanwendungen und Services sowie Infrastruktur-Dienstleistungen im Zusammenhang mit IKT-Systemen in der Bank (inkl. Personalgestellung).

Abgrenzung zu Cloudservices beachten (siehe Kategorisierung unter 17- 19.), sowie zu Dienstleistungen, die bereits unter Kategorisierungen 4., 7. oder 8. verortet wurden.

Beispiele:

  • Betrieb des Bankverfahrens oder einzelner Bankanwendungen in einem Rechenzentrum einschl. der Anwendungsservices (MSP/ ASP) *

  • Nicht-cloudbasierte Webanwendungen *

  • Sonstige Infrastrukturdienstleistungen z.B. Durchführung von Änderungen an der Infrastruktur in der Bank, Betriebssystem/Softwarebereitstellung für Clients, virtuelle Server, Kapazitätsmanagement zur Überwachung und Optimierung der Ressourcenauslastung.

* vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia

S15 IKT Beratung

ICT Consulting

Erbringung von auf Know-how/IKT-Fachwissen beruhenden Dienstleistungen.

Dauerhafte Beratung im Kontext IKT im Sinne Weitergabe von KnowHow und Wissen bzw. Coaching von IT-Mitarbeitern, Beratung zu Informationssicherheit etc. Diese Leistungen sind jedoch nur dann IKT-Dienstleistungen, wenn die Leistungen über digitale Dienste/Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software).

Beispiele:

Digitale Dienste/ Datendienste zur

  • Dauerhaften IKT-Unterstützung des ISB im Informationssicherheitsmanagement

  • Dauerhaften Unterstützung im Rahmen des Notfallmanagements (Überarbeitung BCM-Konzepte und Prozesse, Erstellung von Notfall- und Wiederherstellungsplänen, Notfalltests)

  • Dauerhaften Unterstützung bei der Erstellung von Sicherheitskonzepten und deren Umsetzung

S16 IKT-Risikomanagement

ICT Risk management

Überprüfung der Einhaltung der IKT-Risikomanagement-anforderungen gemäß Artikel 6 Absatz 10 der DORA-Verordnung (EU) 2022/2554

Auf Dauer angelegte Drittdienstleistung, die sich auf das Management von IKT-Risiken der Bank bezieht, wenn die Leistungen über digitale Dienste/ Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software).

Beispiele:

Digitale Dienste/ Datendienste zur

  • Unterstützung der IKT-Risikokontrollfunktion

  • Überprüfung des IKT-Risikomanagementrahmens

  • Überprüfung der Implementierung von Sicherheitsrichtlinien und -verfahren

  • Überprüfung der Einhaltung von Compliance-Standards und -Vorschriften

  • Unterstützung des IKT-Drittparteienrisikomanagements

S17 Cloud-Dienste: IaaS

Cloud services: IaaS

Infrastruktur-as-a-Service

Bereitstellung von Rechenleistungen und Speicherplatz über Cloud-Dienste d.h. Diensten, die einen ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglichen (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit minimalem Verwaltungsaufwand oder geringer Interaktion des Dienstleisters bereitstellen lassen. (siehe Anlage 5 zum Leitfaden „Methodische Grundlagen der IT-Regulatorik“ zum NIST-Kriterienkatalog).

Beispiele:

  • Anbieter stellt dem Kunden Verarbeitung, Speicher, Netzwerke und andere grundlegende Computerressourcen zur Verfügung - der Kunde kann die Software seiner Wahl einsetzen und ausführen.

  • Der Kunde hat Kontrolle über Betriebssysteme, Speicher und Anwendungen – und möglicherweise eine eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z. B. Host-Firewalls)

(Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)

S18 Cloud-Dienste: PaaS

Cloud services: PaaS

Plattform-as-a-Service

Bereitstellung von Entwicklerplattformen über Cloud-Dienste (siehe Kategorisierung unter 17.)

Beispiele:

  • Anbieter stellt dem Kunden Cloud-Infrastruktur zur Verfügung, auf der der Kunde von ihm erstellte oder erworbene Anwendungen bereitstellen kann

  • Anbieter unterstützt über Bereitstellung von Programmiersprachen, Bibliotheken, Diensten bzw. Tools.

  • Der Kunde hat nur Kontrolle über die bereitgestellten Anwendungen – und möglicherweise über die Konfigurationseinstellungen für die Anwendungshostingumgebung.

Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)

S19 Cloud-Dienste: SaaS

Cloud services: SaaS

Software-as-a-Service

Bereitstellung von Anwendungen über Cloud-Dienste (siehe Kategorisierung unter 17.)

Abgrenzung vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia.

Beispiele:

  • Kunde kann die Anwendungen eines Anbieters nutzen, die auf einer Cloud-Infrastruktur laufen.

  • Die Anwendungen sind von verschiedenen Client-Geräten oder mobilen Endgerätenaus entweder über eine Thin-Client-Schnittstelle (wie einen Webbrowser – z. B. webbasierte E-Mail) oder eine Programmschnittstelle zugänglich.

  • Der Kunde kann lediglich in begrenztem Maß benutzerspezifische Anwendungskonfigurationseinstellungen vornehmen.

Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)

keine IKT-Dienstleistung nach DORA

X

keine Erfassung im
Informationsregister

Staatliche Behörden, die IKT-bezogene Dienste im Zusammenhang mit Funktionen des Staates bereitstellen, sind keine IKT-Drittdienstleister im Sinne der DORA. (Ausnahme gemäß DORAErwägungsgrund 63)

  • Zentralbanken, die Zahlungs- oder Wertpapierliefer- und Wertpapierabrechnungssysteme betreiben (Ausnahme gemäß DORA Erwägungsgrund 63)

  • IKT-Dienstleistungen, die von einem regulierten Finanzunternehmen erbracht werden und mit einer regulierten Finanzdienstleistung verbunden sind oder von dieser abhängig sind.(Ausnahme gemäß Q&A ESA 2999-DORA030)

Auslegung nach dem Grundsatz der Verhältnismäßigkeit, welche IKT-Services keine IKT-Dienstleistung nach DORA darstellen:

  • Für Webportale ist abzuwägen, ob diese als IKT-Dienstleistung nach DORA eingestuft werden (z.B. keine IKTDienstleistung nach DORA bei Portalen zur reinen Informationsbeschaffung in Abgrenzung zu den Kategorien 1.-19.).
    Hinweis: Sofern Bankmitarbeiter sich an Webportalen anmelden, sind diese u.a. in das Berechtigungsmanagement der Bank einzubeziehen, auch wenn diese nicht als IKT-Dienstleistung eingestuft werden.

  • reiner Bezug von Software oder Hardware auch bei Bereitstellung von Updates und Hotlinesupport, sofern die Bank die Updates eigenverantwortlich einspielt (inkl. Tests) und die Updates nicht spezifisch für die Bank erstellt werden (in Abgrenzung zu 12. und 13.).

  • Versorgungsdienstleister gelten nicht als IKT-Dienstleister (Ausnahme Telekommunikationsanbieter vgl. 10.)

Beispiele:

Portale der Aufsichtsbehörden, der Behörden der Bundesverwaltung etc. • Zahlungs- oder Wertpapierinfrastrukturen der Deutschen Bundesbank oder EZB

  • Zentralbankfunktionen der DZ BANK (Depotservices, Transaktionsservices, Direkthandel, Sicherheitenverwahrung und Teilnahme am Tenderverfahren (Swift), Abwicklung des SepaZahlungsverkehrs, Clearing)

  • Finanzdienstleistungen von Banken bzw. Finanzdienstleistern untereinander (Onlinebanking, gemeinsamer Betrieb von
    Geldautomaten)

  • Anwendungen, die Verbundunternehmen den Banken zur Vermittlung oder Stammdatenpflege in Bezug auf ihre eigenen Verbundprodukte bereitstellen

  • Informationsportale (soweit diese keine Datendienste anbieten vgl. auch 5. + 6.)

  • Portale von Schulungsanbietern (insbes. wenn diese nur der Anmeldung von Schulungen dienen, keine Individualisierung von Schulungsinhalten durch die Bank erfolgt etc.)

  • Bestellportale (soweit sie nur zur Übermittlung des Kaufwunsches dienen und keine weiteren Prozesse der Bank beinhalten)

  • Reiner Bezug von Standard-Software (vgl. auch 13.)

  • Reiner Bezug von Standard-Hardware (vgl. auch 12.)

  • Stromanbieter

CSV-Import von Dienstleistungen


Die Importmöglichkeit betrifft zunächst Kunden, welche die Anwendung ZAM AR der ZAM eG nutzen und die Vorschläge des Verfahrenslieferanten in der ForumSuite nutzen. Die Menüpunkte sind nur für diesen Kundenkreis sichtbar.

Mit Version 2025.1 wurde die Möglichkeit zum Import von Dienstleistungen aus der Anwendung ZAM AR der ZAM eG geschaffen. Sie finden die Möglichkeit zum Import in der Übersicht der Dienstleistungen im Menü Extras.

Abbildung: CSV-Import aus ZAM AR für Dienstleistungen

Für die Reihenfolge des Imports wird empfohlen, mit dem Import der Dienstleistungen zu beginnen und mit dem Risikoimport fortzusetzen. 

Vor der Übernahme der Importdateien, kann ein Testlauf über die Schaltfläche Testlauf durchführen aktiviert werden. Sie haben dadurch die Möglichkeit, die Daten im Protokoll vor dem Import zu überprüfen. Den Import schließen Sie über die Schaltfläche CSV Import durchführen ab.


Abbildung: Beispiel für Testlauf zum CSV Import durchführen

Beim Dienstleisterimport werden Verknüpfungen zwischen Geschäftsprozessen und Dienstleistungen vorgenommen. Sind Geschäftsprozessen und/oder Dienstleistungen nicht vorhanden, werden die betreffenden Objekte in ForumISM neu angelegt. 

Reiter Details

Im Reiter Details unter Allgemein befinden sich die die allgemeinen Information aus der betreffenden Dienstleistung.

Ist ForumOSM aktiv, wird zusätzlich der Bereich Klassifizierung angezeigt. 

Abbildung: Dienstleistung - Reiter Details "Allgemein"


Auf dem Reiter "Relevanz" werden die durch die über die Geschäftsprozesse mit der Dienstleistung verbundenen Relevanzen angezeigt. Ist eine Dienstleistung mit einer hohen Abhängigkeitsstufe mit einem Prozess verknüpft, der eine "kritische oder wichtige Funktion" darstellt, wird dies hier dargestellt. Auch die mit den jeweiligen Prozessen verknüpften Informationsklassen geben ihrerseits die Relevanzen an die Dienstleistung weiter.


Abbildung: Dienstleistung - Reiter Details "Relevanz"

Reiter Verknüpfungen

Im Reiter Verknüpfungen werden die verknüpften IKT-Assets (Anwendungen, Systeme und Infrastruktur-Objekte) sowie die Geschäftsprozesse dargestellt.

Ebenfalls kann abgebildet werden, ob die Dienstleistung weiterverlagert wurde und ob Weiterverlagerungen bestehen. Ist ForumOSM aktiv, wird im Inline-Grid der Bereich Klassifizierung angezeigt.


Abbildung: Dienstleistung als Schutzobjekt

Die jeweilige Dienstleistung zeigt die getroffenen Zuordnungen aus ForumOSM an bzw. kann über den Button Aus Liste wählen... mit einer Anwendung, einem System, einer Infrastruktur und/oder einem Geschäftsprozess sowie Weiterverlagerungen verknüpft werden.


Abbildung: Dienstleistung als Schutzobjekt

Der jeweilige Abhängigkeitsgrad kann aus einer Liste gewählt werden.

Im Reiter Risikomanagement werden Risiken mit der Dienstleistung verknüpft. Sie können neue Risiken anlegen oder bereits vorhandene Risiken kopieren.

Sollmaßnahmen: Soll/Soll & Soll-/Ist-Abgleich

Im Reiter der Soll/Soll & Soll-/Ist-Abgleich wird der Schutzbedarf einer Dienstleistung von den mit den Dienstleistungen verknüpften Geschäftsprozessen (+ ggf. Datenklassen / Schutzobjekte) nach dem Maximalitätsprinzip angezeigt. Die Erfassung eines Schutzniveaus ist für Dienstleistungen nicht relevant.

Über die Schaltflächen Aus Liste wählen(1) können aus in ForumISM bestehenden Sollmaßnahmenprofilen entsprechende Profile zugeordnet werden. Die Schaltfläche  Bausteine wählen(2) nutzen Sie zur Wahl eines Standards aus der Anwendung ForumNSR für die Zuordnung. Diese Möglichkeit besteht nur, wenn die Anwendung ForumNSR lizenziert wurde und betreffende Standards in der produktiven Bearbeitung in der Anwendung zur Verfügung stehen.

Für IKT-Dienstleistungen steht mit dem Button Bewertung übernehmen...(3) eine Kopierfunktion für die Umsetzung der Sollmaßnahmen bereit, um eine Erleichterung bei der Bewertung von Sollmaßnahmen zu ermöglichen. 

Wurden Bausteine mit Sollmaßnahmen an einem Asset hinzugefügt, kann über diesen Button Bewertung übernehmen... die bereits an anderen Dienstleistungen getroffene Bewertung der Sollmaßnahmen übernommen werden. Dazu öffnet sich ein Auswahldialog, über den die betreffende Dienstleistung und deren verknüpften Sollmaßnahmen per Anhaken übernommen werden können. Im Anschluss sollte nochmals eine Bestätigung neuer und entfallener Maßnahmen durchgeführt werden.

Die Kopie ist nur von gleichen Assets (von Dienstleistung zu Dienstleistung) möglich. Die Funktion steht im Bearbeiten-Modus zur Verfügung.

Abbildung: Dienstleistung - Sollmaßnahmen

Für ausgelagerten Dienstleistungen (IKT-Dienstleistungen) wird die Vorbelegung der bearbeiteten BaSo-Sollmaßnahmen nur für die nicht relevanten Dienstleistungen angeboten. Die Bewertung muss durch den Dienstleister ausgefüllt werden.  Ein Vorbelegung ist in diesem Bereich fachlich nicht sinnvoll.

Für IKT-Dienstleistungen ist die Vorbelegung daher nur für die nicht-relevanten Sollmaßnahmen möglich.

Über den Button Excel-Export(4) kann ein Export der Sollmaßnahmen als Excel-Datei generiert werden. Dieser Export steht in ForumISM als auch an den Dienstleistungen in ForumOSM zur Verfügung.

Die Ausblendung der nicht relevanten Maßnahmen(5) zeigt nur dann Wirkung, wenn sowohl für die "Vertragliche Regelung (Soll/Soll)" als auch für die "Operative Umsetzung (Soll/Ist)" der Reifegrad der jeweiligen Soll-Maßnahme auf "nicht relevant" gestellt wurde. Bei Anhaken dieser Funktion werden die nicht relevanten Maßnahmen nicht weiter aufgeführt und aus dem Reifegrad-Diagramm ausgeblendet.

Abweichungen zu Vorbelegungen aus ForumNSR und Profilmaßnahmen(6) können durch Anhaken der entsprechenden Funktion angezeigt werden.

(7)Zur Abbildung eines Soll-/Soll-Abgleiches und eines Soll-/Ist-Abgleiches für Sollmaßnahmen an IKT-Dienstleistungen (Leistungen) gibt es zwei Reifegrade:

"Vertragliche Regelung (Soll/Soll)" und "Operative Umsetzung (Soll/Ist)" (bisherig Reifegrad)

Abbildung: Spezifische Sollmaßnahmen für Dienstleistungen

Die Sollmaßnahmen von IKT-Dienstleistungen werden in das Sollmaßnahmen-Cockpit aufgenommen, dabei wird von den beiden Reifegraden an den einzelnen Sollmaßnahmen jeweils nur ein Wert übernommen.


Wenn die betreffende Dienstleistung freigegeben ist, kann die direkte Zuordnung von Sollmaßnahmenprofilen auch direkt über das betreffende Sollmaßnahmenprofil getroffen werden. Ordnen Sie dem Profil über Dienstleistung verknüpfen ... die gewünschte Dienstleistung zu.

An Dienstleistungen kann ein konkreter Schutzbedarf angelegt werden, dieser wird Ihnen dann auch in der Übersicht der Dienstleistungen in ForumISM in einer separaten Spalte angezeigt. Wenn ein konkreter Schutzbedarf für diese Dienstleistung angelegt werden soll, nutzen Sie bitte im Lesemodus im Reiter Sollmaßnahmen die Schaltfläche Extras in der Titelleiste und legen einen konkreten Schutzbedarf an oder kopieren aus bestehende Objekten einen konkreten Schutzbedarf.

Abbildung: Konkreter Schutzbedarf anlegen

Folgende Voraussetzungen sind zu erfüllen, um einen konkreten Schutzbedarf an Dienstleistungen in ForumISM anzulegen bzw. aus bestehenden Dokumenten zu kopieren:

  • Zur Erfassung eines konkreten Schutzbedarfs für Dienstleistungen müssen zuvor in den Einstellungen von ForumISM die bereits aktiven SBA-Schemata zunächst Überarbeitet und anschließend erneut Freigegeben werden.
  • Anschließend aktualisieren Sie die Anwendung über die Funktionstaste F5.
  • Die betreffende Dienstleistung in ForumOSM darf nicht freigegeben sein.

In ForumOSM ist ein Löschen des konkreten Schutzbedarfs anschließend nicht möglich.

Die Anzeige einer zugeordneten Dienstleistung erfolgt an den Schutzobjekten im Reiter Details und Betrieb und Hersteller bzw. an einem Geschäftsprozess im Reiter Grundlagen.

Abbildung: Anzeige einer Dienstleistung im Schutzobjekt und einem Geschäftsprozess

In den jeweiligen Ansichten der Geschäftsprozesse und Schutzobjekte können jeweils über die Schaltfläche aus Liste wählen zuzuordnende Dienstleistungen gewählt werden und eine getroffene Auswahl bearbeitet werden.

Anzeige Schutzbedarf am Dienstleister

In ForumISM wird unter > Stammdaten > Dienstleister am betreffenden Dienstleister der kulminierte Schutzbedarf aus allen Dienstleistungen nach dem Maximalitätsprinzip angezeigt. 

Abbildung: Stammdaten > Dienstleiter: Anzeige des maximalen Schutzbedarfs aus Dienstleistungen

Bearbeitung der Maßnahmen in ForumOSM


Die Bearbeitung der Maßnahmen zeigen wir im Handbuch von ForumOSM an den Dienstleistungen auf.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.