Dienstleistungen
Im Bereich Dienstleistungen befindet sich eine Übersicht der erfassten Dienstleistungen.
Die Objekte sind in zwei Kategorien unterteilt: IT-relevante Leistungen und Nicht IT-relevante Dienstleistungen. Über das +/- Zeichen am oberen rechten Rand oder mittels eines Klicks auf die jeweilige Kategorie können Sie diese ein- bzw. aufklappen.
Sie haben die Möglichkeit über den Button Dienstleistungen anlegen(1)
eine neue Dienstleistung zu erstellen, oder über Vorschläge anzeigen(2)
eine Dienstleistung per Vorschlag zu übernehmen.
Die Übersicht zeigt die nach den beiden Kategorien gruppierten Dienstleistungen relevant und nicht relevant, einer Kategorisierung "Art der IKT-Dienstleistung", deren Verantwortung, die Klassifizierung und die verknüpften Sollmaßnahmenprofile an.
In ForumISM können Sie die Dienstleistungen als IKT-Assets nutzen. Ist ForumOSM als Anwendung aktiv, stehen Ihnen außerdem die Informationen aus ForumOSM sowie ein erweiterter Nutzungsumfang zur Verfügung.
Wurde eine Dienstleistung neu angelegt, sollte eine treffende Bezeichnung(1), die Art der IKT-Dienstleistung(2), der Dienstleister(3) sowie eine Verantwortung(4) und ggf. eine Sortiernummer(6) eingegeben werden.
Im Feld Asset-ID(5) ist zur eindeutigen Zuordnung eine Kennung vorgesehen. Basiert die Dienstleistung auf einem Vorschlag und das Feld Asset-ID ist im Vorschlag befüllt, dann ist dieser Bereich nicht änderbar.
Im Feld Art der IKT-Dienstleistung stehen 20 Werte per Dropdown zur Auswahl. Eine IKT-Dienstleistung kann jeweils nur eine Dienstleistungs-Art haben. Die einzelnen Optionen enthalten einen Präfix. Dieser wird auch in den offiziellen Dokumenten zur DORA genutzt.
In der Einzelansicht einer Dienstleistung werden die Reiter Details, Verknüpfungen, Risikomanagement und Soll-/Soll- & Soll-/Ist-Abgleich angezeigt.
Art der Dienstleistung
Bezeichnung | Bezeichnung englisch | Erläuterung | Beispiele / Aktuelle Interpretation aus dem DSGV-Umsetzungsprojekt DORA |
---|---|---|---|
S01 IKT-Projektmanagement | ICT project management | Erbringung von Dienstleistungen im Zusammenhang mit Projektmanagement (PMO). | Jede Dienstleistung oder Aktivität, welche das Projektmanagement und die Projektdurchführung unterstützten:
Die Einführung einer neuen Anwendung über das Anwendungseinsatzverfahren (AEV) ist in der Regel kein IKT-Projekt. |
S02 IKT-Entwicklung | ICT Development | Erbringung von Dienstleistungen in den Bereichen: Geschäftsanalyse, Softwaredesign und -entwicklung, Tests. | Jede Dienstleistung, die zum Software Development Lifecycle gehört, z.B.
Schulungen werden bei S15 verortet. |
S03 IKT-Helpdesk und First-Level-Support | ICT help desk and first level support | Erbringung von Dienstleistungen Zusammenhang mit: Helpdesk-Support und First-Level-Support bei IKT-Problemen | Jede Dienstleistung, welche System-Benutzer unterstützt (inklusive Ticketerstellung und Störungsmanagement):
Helpdesk und First-Level-Support sind häufig nicht scharf getrennt und verzahnt. Der Second Level Support zählt i.d.R. nicht zu S03. IKT-Vorfallsmanagement (Security Incident Management) sollte unter S04 eingeordnet werden. |
S04 IKT-Sicherheitsmanagementdienste | ICT security management services | Erbringung von Dienstleistungen von Dienstleistungen im Zusammenhang mit: IKT-Sicherheit (Schutz, Erkennung, Reaktion und Wiederherstellung), einschließlich Bearbeitung von Sicherheitsvorfällen und Forensik. | Jede Dienstleistung, die die IKT-Sicherheit gewährleistet bzw. verbessert und zwar mittels: Schutz, Erkennung, Reaktion und Wiederherstellung. z.B.
Cyberversicherungen werden nicht als IKT-Dienstleistung betrachtet. |
S05 Bereitstellung von Daten | Provision of data | Abonnement für die Dienste von Datenanbietern (digitaler Datendienst). | Jede Dienstleistung, bei denen Daten seitens eines Anbieters bereitgestellt werden, die die operationelle Resilienz in maßgeblicher Weise prozessunterstützend tangiert: z.B. Bereitstellung von
|
S06 Datenanalyse | Data analysis | Erbringung von Dienstleistungen im Zusammenhang mit der Unterstützung der Datenanalyse (Digitaler Datenservice). | Jede individuell beauftragte Dienstleistung zur Durchführung von Datenanalysen: z.B.
Die reine Bereitstellung von Daten wird unter S05 verortet. |
S07 IKT, Einrichtungen und Hosting-Dienste (außer Cloud-Dienste) | ICT, facilities and hosting services | Bereitstellung von IKT-Infrastruktur, Einrichtungen und Hosting-Diensten. Dies umfasst die Bereitstellung von Versorgungsleistungen (Energie, Wärmemanagement usw.), Telekommunikationszugang und physische Sicherheit. (ausgenommen Cloud-Dienste) | Jede Dienstleistung oder Aktivität, welche im Zusammenhang mit dem Rechenzentrum und weiteren Räumlichkeiten der Organisations (z.B. das Gebäude, Strom, physische Netzwerkgeräte) und/oder der lokalen Telekommunikation (u.a. Telekommunikationsinfrastruktur) sowie den Sicherheitsdiensten (u.a. Zutrittskontrollen des Rechenzentrums) stehen.
Ausgenommen hiervon sind technische Infrastrukturen, die die Sparkassen selbst bereitgestellt/betreibt (dies ist der Regelfall). Dies gilt auch für technische Infrastrukturen in angemieteten Räumlichkeiten. |
S08 Verarbeitungskapazitäten / Berechnung (Rechenleistung) | Computation | Bereitstellung digitaler Verarbeitungskapazitäten bzw. Rechenleistung (einschließlich Datenberechnungen). Dies schließt die im Rahmen einer Cloud-Umgebung erbrachten Berechnungsdienste aus. | Jede Dienstleistung zur Bereitstellung technischer Rechenkapazitäten, mit Ausnahme derer, die in einer Cloud-Umgebung angeboten werden: z.B.
Es ist davon auszugehen, dass diese Kategorie nur in Ausnahmefällen zutrifft. In der Regel wird in diesen Fällen S17 greifen. |
S09 Nicht-Cloud-Datenspeicherung | Non-Cloud Data storage | Bereitstellung einer Datenspeicherplattform (ohne Cloud-Dienste). | Jede Dienstleistung in Bezug auf die Bereitstellung von Datenspeicherplattformen (außer Cloud-Diensten):
Da diese Dienste häufig als Cloud-Computing angeboten werden, ist in diesen Fällen eher S19 anzuwenden. |
S10 Telekommunikationsunternehmen | Telecom carrier | Operationen für Telekommunikationssysteme (Traditionelle analoge Telefondienste sind gemäß Artikel 3 Absatz 21 der Verordnung (EU) 2022/2554 ausdrücklich ausgeschlossen). | Jede Dienstleistung im Bereich der Telekommunikation und des VoIP-Netzwerks, die die Verbindung zwischen dem Finanzunternehmen und externen Teilnehmern ermöglicht.
|
S11 Netzinfrastruktur | Network infrastructure | Bereitstellung der Netzinfrastruktur inklusive zugehöriger Ausrüstung für die Einrichtung des IKT-Netzes. | Jede Dienstleistung, die sich auf die physische Netzwerkinfrastruktur bezieht: z.B.
Die Netzwerksicherheitsprüfung und -optimierung ist unter S04 zu verorten. |
S12 Hardware und physische Geräte | Hardware and physical devices | Bereitstellung von Arbeitsplätzen, Telefonen, Servern, Datenspeichern, Geräten usw. in Form einer Dienstleistung. | Jede Dienstleistung, die Endbenutzergeräte und spezifische Infrastruktur-Hardware als Service im Institut bereitstellt: z.B
Aber: Hosting-Services (Bereitstellung und Management von Anlagen in einem externen Rechenzentrum (Infrastruktur-as-a-Service und Plattform-as-a-Service) wären bei S17 oder S18 zu verorten. Abgrenzung |
S13 Software-Lizenzen (außer SaaS) | Software licencing (excluding SaaS) | Bereitstellung von Software, die innerhalb der Räumlichkeiten ausgeführt wird. | Bei einer IKT-Dienstleistung steht die Tätigkeit des Dienstleisters im Vordergrund: z. B. individuelle Konfiguration oder Härtung durch den IKT-Dienstleister. Abgrenzung |
S14 IKT-Betriebsmanagement | ICT operation management | Erbringung von Dienstleistungen im Zusammenhang mit: Konfiguration, Wartung, Installation, Kapazitätsmanagement, Geschäftskontinuitätsmanagement usw. von Infrastrukturen durch einen Anbieter. Einschließlich Managed Service Providers (MSP). | Jede Dienstleistung oder Aktivität im Bereich des IT-Infrastruktur-Betriebs Zum Beispiel erbringt ein Dienstleister Teil- oder Gesamt-Tätigkeiten zum IKT-Betriebsmanagement im Auftrag einer Bank. z.B.
Hierunter fallen alle Dienstleistungen, die nicht bereits in S04, S07 und S08 verortet wurden. |
S15 IKT Beratung | ICT Consulting | Bereitstellung von intellektuellen Dienstleistungen / IKT-Fachwissen. | Jede Dienstleistung im Bereich der Beauftragung von IT-Beratern mit Fachwissen im Bereich Informations- und Kommunikationstechnologie (IKT), jedoch nicht im Bereich der Entwicklung und Wartung von IT-Systemen:
|
S16 IKT-Risikomanagement | ICT Risk management | Überprüfung der Einhaltung der IKT- Risikomanagementanforderungen gemäß Artikel 6 Absatz 10 der Verordnung (EU) 2022/2554. | Jede Dienstleistung, die sich auf das Management von IKT-Risiken innerhalb des Finanzunternehmens bezieht: z.B.
|
S17 Cloud-Dienste: IaaS | Cloud services: IaaS | Infrastruktur-as-a-Service | Ein Cloud-Computing-Modell, bei dem ein IaaS-Anbieter dem Kunden Verarbeitung, Speicher, Netzwerke und andere grundlegende Computerressourcen zur Verfügung stellt und der Kunde die Software seiner Wahl, einschließlich Betriebssysteme und Anwendungen, einsetzen und ausführen kann. Der Kunde verwaltet oder kontrolliert die zugrunde liegende Cloud-Infrastruktur nicht, hat aber Kontrolle über Betriebssysteme, Speicher und Anwendungen – und möglicherweise eine eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z. B. Host-Firewalls) (Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”) |
S18 Cloud-Dienste: PaaS | Cloud services: PaaS | Plattform-as-a-Service | Ein Cloud-Computing-Modell, bei dem ein Kunde in der Lage ist, auf der Cloud-Infrastruktur vom Kunden erstellte oder erworbene Anwendungen bereitzustellen, die mit vom Anbieter unterstützten Programmiersprachen, Bibliotheken, Diensten und Tools entwickelt wurden. Der Kunde verwaltet oder kontrolliert nicht die zugrunde liegende Cloud-Infrastruktur (einschließlich Netzwerk, Server, Betriebssysteme und Speicher), hat aber Kontrolle über die bereitgestellten Anwendungen – und möglicherweise über die Konfigurationseinstellungen für die Anwendungshostingumgebung. (Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”) |
S19 Cloud-Dienste: SaaS | Cloud services: SaaS | Software-as-a-Service | Ein Geschäftsmodell, bei dem ein Kunde die Anwendungen eines Anbieters nutzen kann, die auf einer Cloud-Infrastruktur laufen. Die Anwendungen sind von verschiedenen Client-Geräten aus entweder über eine Thin-Client-Schnittstelle (wie einen Webbrowser – z. B. webbasierte E-Mail) oder eine Programmschnittstelle zugänglich. Der Verbraucher verwaltet oder kontrolliert die zugrunde liegende Cloud-Infrastruktur (einschließlich Netzwerk, Server, Betriebssysteme und Speicher – und sogar einzelne Anwendungsfunktionen) nicht, mit Ausnahme möglicher begrenzter benutzerspezifischer Anwendungskonfigurationseinstellungen. (Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”) |
Reiter Details
Im Reiter Details
unter Allgemein befinden sich die die allgemeinen Information aus der betreffenden Dienstleistung.
Ist ForumOSM aktiv, wird zusätzlich der Bereich Klassifizierung angezeigt.
Auf dem Reiter "Relevanz" werden die durch die über die Geschäftsprozesse mit der Dienstleistung verbundenen Relevanzen angezeigt. Ist eine Dienstleistung mit einer hohen Abhängigkeitsstufe mit einem Prozess verknüpft, der eine "kritische oder wichtige Funktion" darstellt, wird dies hier dargestellt. Auch die mit den jeweiligen Prozessen verknüpften Informationsklassen geben ihrerseits die Relevanzen an die Dienstleistung weiter.
Reiter Verknüpfungen
Im Reiter Verknüpfungen
werden die verknüpften IKT-Assets (Anwendungen, Systeme und Infrastruktur-Objekte) sowie die Geschäftsprozesse dargestellt.
Ebenfalls kann abgebildet werden, ob die Dienstleistung weiterverlagert wurde und ob Weiterverlagerungen bestehen. Ist ForumOSM aktiv, wird im Inline-Grid der Bereich Klassifizierung angezeigt.
Die jeweilige Dienstleistung zeigt die getroffenen Zuordnungen aus ForumOSM an bzw. kann über den Button Aus Liste wählen...
mit einer Anwendung, einem System, einer Infrastruktur und/oder einem Geschäftsprozess sowie Weiterverlagerungen verknüpft werden.
Der jeweilige Abhängigkeitsgrad kann aus einer Liste gewählt werden.
Im Reiter Risikomanagement werden Risiken mit der Dienstleistung verknüpft. Sie können neue Risiken anlegen oder bereits vorhandene Risiken kopieren.
Sollmaßnahmen: Soll/Soll & Soll-/Ist-Abgleich
Im Reiter der Soll/Soll & Soll-/Ist-Abgleich wird der Schutzbedarf einer Dienstleistung von den mit den Dienstleistungen verknüpften Geschäftsprozessen (+ ggf. Datenklassen / Schutzobjekte) nach dem Maximalitätsprinzip angezeigt. Die Erfassung eines Schutzniveaus ist für Dienstleistungen nicht relevant.
Über die Schaltflächen Aus Liste wählen(1)
können aus in ForumISM bestehenden Sollmaßnahmenprofilen entsprechende Profile zugeordnet werden. Die Schaltfläche Bausteine wählen(2)
nutzen Sie zur Wahl eines Standards aus der Anwendung ForumNSR für die Zuordnung. Diese Möglichkeit besteht nur, wenn die Anwendung ForumNSR lizenziert wurde und betreffende Standards in der produktiven Bearbeitung in der Anwendung zur Verfügung stehen.
Für IKT-Dienstleistungen steht mit dem Button Bewertung übernehmen...(3)
eine Kopierfunktion für die Umsetzung der Sollmaßnahmen bereit, um eine Erleichterung bei der Bewertung von Sollmaßnahmen zu ermöglichen.
Wurden Bausteine mit Sollmaßnahmen an einem Asset hinzugefügt, kann über diesen Button Bewertung übernehmen...
die bereits an anderen Dienstleistungen getroffene Bewertung der Sollmaßnahmen übernommen werden. Dazu öffnet sich ein Auswahldialog, über den die betreffende Dienstleistung und deren verknüpften Sollmaßnahmen per Anhaken übernommen werden können. Im Anschluss sollte nochmals eine Bestätigung neuer und entfallener Maßnahmen durchgeführt werden.
Die Kopie ist nur von gleichen Assets (von Dienstleistung zu Dienstleistung) möglich. Die Funktion steht im Bearbeiten-Modus zur Verfügung.
Über den Button Excel-Export(4)
kann ein Export der Sollmaßnahmen als Excel-Datei generiert werden. Dieser Export steht in ForumISM als auch an den Dienstleistungen in ForumOSM zur Verfügung.
Die Ausblendung der nicht relevanten Maßnahmen(5)
zeigt nur dann Wirkung, wenn sowohl für die "Vertragliche Regelung (Soll/Soll)" als auch für die "Operative Umsetzung (Soll/Ist)" der Reifegrad der jeweiligen Soll-Maßnahme auf "nicht relevant" gestellt wurde. Bei Anhaken dieser Funktion werden die nicht relevanten Maßnahmen nicht weiter aufgeführt und aus dem Reifegrad-Diagramm ausgeblendet.
Abweichungen zu Vorbelegungen aus ForumNSR und Profilmaßnahmen(6)
können durch Anhaken der entsprechenden Funktion angezeigt werden.
(7)
Zur Abbildung eines Soll-/Soll-Abgleiches und eines Soll-/Ist-Abgleiches für Sollmaßnahmen an IKT-Dienstleistungen (Leistungen) gibt es zwei Reifegrade:
"Vertragliche Regelung (Soll/Soll)" und "Operative Umsetzung (Soll/Ist)" (bisherig Reifegrad)
Die Sollmaßnahmen von IKT-Dienstleistungen werden in das Sollmaßnahmen-Cockpit aufgenommen, dabei wird von den beiden Reifegraden an den einzelnen Sollmaßnahmen jeweils nur ein Wert übernommen.
Wenn die betreffende Dienstleistung freigegeben ist, kann die direkte Zuordnung von Sollmaßnahmenprofilen auch direkt über das betreffende Sollmaßnahmenprofil getroffen werden. Ordnen Sie dem Profil über Dienstleistung verknüpfen ...
die gewünschte Dienstleistung zu.
An Dienstleistungen kann ein konkreter Schutzbedarf angelegt werden, dieser wird Ihnen dann auch in der Übersicht der Dienstleistungen in ForumISM in einer separaten Spalte angezeigt. Wenn ein konkreter Schutzbedarf für diese Dienstleistung angelegt werden soll, nutzen Sie bitte im Lesemodus im Reiter Sollmaßnahmen die Schaltfläche Extras
in der Titelleiste und legen einen konkreten Schutzbedarf an oder kopieren aus bestehende Objekten einen konkreten Schutzbedarf.
Folgende Voraussetzungen sind zu erfüllen, um einen konkreten Schutzbedarf an Dienstleistungen in ForumISM anzulegen bzw. aus bestehenden Dokumenten zu kopieren:
- Zur Erfassung eines konkreten Schutzbedarfs für Dienstleistungen müssen zuvor in den Einstellungen von ForumISM die bereits aktiven SBA-Schemata zunächst Überarbeitet und anschließend erneut Freigegeben werden.
- Anschließend aktualisieren Sie die Anwendung über die Funktionstaste F5.
- Die betreffende Dienstleistung in ForumOSM darf nicht freigegeben sein.
In ForumOSM ist ein Löschen des konkreten Schutzbedarfs anschließend nicht möglich.
Die Anzeige einer zugeordneten Dienstleistung erfolgt an den Schutzobjekten im Reiter Details und Betrieb und Hersteller bzw. an einem Geschäftsprozess im Reiter Grundlagen.
In den jeweiligen Ansichten der Geschäftsprozesse und Schutzobjekte können jeweils über die Schaltfläche aus Liste wählen
zuzuordnende Dienstleistungen gewählt werden und eine getroffene Auswahl bearbeitet werden.
Anzeige Schutzbedarf am Dienstleister
In ForumISM wird unter > Stammdaten > Dienstleister am betreffenden Dienstleister der kulminierte Schutzbedarf aus allen Dienstleistungen nach dem Maximalitätsprinzip angezeigt.
Bearbeitung der Maßnahmen in ForumOSM
Die Bearbeitung der Maßnahmen zeigen wir im Handbuch von ForumOSM an den Dienstleistungen auf.