Dienstleistungen

Im Bereich Dienstleistungen befindet sich eine Übersicht der erfassten Dienstleistungen.
Die Objekte sind in zwei Kategorien unterteilt: IT-relevante Leistungen und Nicht IT-relevante Dienstleistungen. Über das +/- Zeichen am oberen rechten Rand oder mittels eines Klicks auf die jeweilige Kategorie können Sie diese ein- bzw. aufklappen.

Sobald Verknüpfungen zu IKT-Assets oder Geschäftsprozessen bestehen, wird die Dienstleistung in ForumISM als IT-relevant kategorisiert. Die Kategorisierung wird vom System automatisch durchgeführt.

Abbildung: Dienstleistungen

Sie haben die Möglichkeit über den Button Dienstleistungen anlegen⁽¹⁾ eine neue Dienstleistung zu erstellen, oder über Vorschläge anzeigen⁽²⁾ eine Dienstleistung per Vorschlag zu übernehmen.

Abbildung: Ansicht der Dienstleistungen

Die Übersicht zeigt die nach den beiden Kategorien gruppierten Dienstleistungen relevant und nicht relevant, einer Kategorisierung "Art der IKT-Dienstleistung", deren Verantwortung, die Klassifizierung und die verknüpften Sollmaßnahmenprofile an.

In ForumISM können Sie die Dienstleistungen als IKT-Assets nutzen. Ist ForumOSM als Anwendung aktiv, stehen Ihnen außerdem die Informationen aus ForumOSM sowie ein erweiterter Nutzungsumfang zur Verfügung.

Wurde eine Dienstleistung neu angelegt, sollte eine treffende Bezeichnung⁽¹⁾, die Art der IKT-Dienstleistung⁽²⁾, der Dienstleister⁽³⁾ sowie eine Verantwortung⁽⁴⁾und ggf. eine Sortiernummer⁽⁶⁾ eingegeben werden.

Im Feld Asset-ID⁽⁵⁾ ist zur eindeutigen Zuordnung eine Kennung vorgesehen. Basiert die Dienstleistung auf einem Vorschlag und das Feld Asset-ID ist im Vorschlag befüllt, dann ist dieser Bereich nicht änderbar.

Im Feld Art der IKT-Dienstleistung stehen 20 Werte per Dropdown zur Auswahl. Eine IKT-Dienstleistung kann jeweils nur eine Dienstleistungs-Art haben. Die einzelnen Optionen enthalten einen Präfix. Dieser wird auch in den offiziellen Dokumenten zur DORA genutzt.

Abbildung: Dienstleistung - Maske

In der Einzelansicht einer Dienstleistung werden die Reiter Details, Verknüpfungen, Risikomanagement und Soll-/Soll- & Soll-/Ist-Abgleich angezeigt.

Art der Dienstleistung

Bezeichnung	Bezeichnung englisch	Definition	Beispiele / Aktuelle Interpretation GFG
S01 IKT-Projektmanagement	ICT project management	Erbringung von Dienstleistungen im Zusammenhang mit dem Projektmanagement	Dauerhafte Unterstützung von Projekten mit Schwerpunkt auf Implementierung/Einführung/ Änderungen von IKT-Assets oder -Prozessen über externes Projektmanagement unter Zuhilfenahme digitaler Dienste (Projektmanagementsoftware). Beispiele: Dienstleister übernimmt das IKTProjektmanagement für einen oder mehrere Fachbereiche bzw. Themen unter Zuhilfenahme einer PMO-Plattform. Bereitstellung einer PMO-Plattform für IKT-Projekte.
S02 IKT-Entwicklung	ICT Development	Erbringung von Dienstleistungen im Zusammenhang mit der Unternehmensanalyse, Software-Design und -Entwicklung, Tests	Dauerhafte Inanspruchnahme von Entwicklungsleistungen (mit Wartungsvertrag) von Individualsoftware für die Bank und damit im Zusammenhang stehenden Unterstützungsleistungen, Konzeption und Test (inkl. Personalgestellung). Beispiele: IDV-Erstellung No/ Low-Code-Programmierung, RPA-Programmierung Customizing von Standardsoftware Sonstige Individualsoftware
S03 IKT-Helpdesk und Unterstützung auf der ersten Ebene	ICT help desk and first level support	Erbringung von Dienstleistungen im Zusammenhang mit Helpdesk-Support und First-Level-Support bei IKT-Vorfällen	Dienstleistung, welche IKT-SystemBenutzer der Bank unterstützen - technischer Support für IT-Infrastruktur und -systeme inkl. Störungsmanagement sowie erste Anlaufstelle für Benutzer, die Support/technische Unterstützung für IKT-Systeme benötigen inkl. Ticketerstellung Beispiele: User-Helpdesk First-Level Support
S04 IKT-Sicherheitsmanagementdienste	ICT security management services	Erbringung von Dienstleistungen im Zusammenhang mit IKTSicherheit (Schutz, Erkennung, Reaktion und Wiederherstellung), einschließlich Umgang mit Sicherheitsvorfällen und Forensik.	Dienstleistungen, bei denen Daten, die regelmäßig in bankfachlichen Geschäftsprozessen verwendet werden, extern über digitale Schnittstellen zugeliefert werden Abgrenzung: Nicht umfasst ist Zulieferung von allgemeinen Informationen/ nicht für die operative Verarbeitung gedachte Informationen (redaktionelle Artikel, Rundschreiben, Gremieninformationen, etc.). Beispiele: IKT-Vorfallmanagement CERT-Dienstleistungen Auswertungen in Bezug auf Sicherheitsinformationen und Ereignismanagement (SIEM) Security Operation Center (SOC) Penetrationstests Netzwerk- und Perimetersicherheit Sicherheitspatch-Management Bedrohungs- und Schwachstellenerkennung (Scans) Datenverschlüsselung und -schutz Auswertung von Logfiles (z. B. Forensik) Firewall- und Virenschutz-Management (Konfiguration und Überwachung) Sicherheitsüberprüfung von Anwendungen und Systemen IKT-Notfallbearbeitung / Wiederherstellung inkl. IKT-Notfalltests Alarmverfolgung / Aufschaltung auf Videoüberwachung durch ein Sicherheitsunternehmen Cyberversicherungen werden nicht als IKTDienstleistung betrachtet.
S05 Bereitstellung von Daten	Provision of data	Abonnement der Dienste von Datenanbietern (digitaler Datendienst)	Abonnement für die Dienste von Datenanbietern (digitaler Datendienst). Beispiele: Risiko-Kennzahlen Ratingdaten, Bonitätsdaten, SCHUFA Finanzmarktdaten, Kursdaten Immobilienmarktdaten ESG-Daten Marktforschungsdaten Compliancedaten (Sanktionslisten, Geldwäsche-Daten)
S06 Datenanalyse	Data analysis	Erbringung von Dienstleistungen im Zusammenhang mit der Unterstützung der Datenanalyse (digitaler Datendienst)	Auf Dauer angelegte Dienstleistungen, bei denen Daten der Bank mit bankfachlichem Bezug über digitale Schnittstellen zur Analyse an den Dienstleister geleitet werden und die Bank digital eine Auswertung zurückerhält. Beispiele: Datenbereinigung und -aufbereitung für Datenqualität Smart Data Analysen / Analysen über KIVerfahren Datenanalysen für Vertrieb / Kampagnenmanagement Datenanalysen für Banksteuerung Fraud Detection Verfahren Regelmäßiges Benchmarking mit Zugrundelegung von Bankdaten
S07 IKT, Einrichtungen und Hosting-Dienste (außer Cloud-Dienste)	ICT, facilities and hosting services	Bereitstellung von IKT-Infrastruktur, Betriebsmitteln und Hosting-Diensten einschl. Versorgungsleistungen (Energie-, Wärme-management...), Telekommunikationszugang und physische Sicherheit (ohne Cloud-Dienste), Zahlungsabwicklungstätigkeiten oder Bereitstellung von Zahlungs-infrastrukturen	Basisdienste als Grundlage für IKT-Dienste Ausgenommen hiervon sind technische Infrastrukturen, die die Bank selbst bereitstellt bzw. einzelfallbezogen beauftragt. Die in der Definition des ITS Anhang III aufgeführten Zahlungsabwicklungstätigkeiten und Zahlungsinfrastrukturen sind nur zu berücksichtigen, wenn diese nicht von regulierten Finanzdienstleistern im Zusammenhang mit Finanzdienstleistungen erbracht werden (siehe Ausnahmen). Beispiele: Technische Gebäudeausstattung (Zutrittskontrollen), Stromnetz, Netzkabel, Glasfaser IKT-basierte Infrastrukturbereitstellung zum Betrieb und Überwachung von Rechenzentren und Serverräumen (in Bezug auf Klima, Strom)
S08 Rechenleistung	Computation	Bereitstellung digitaler Verarbeitungskapazitäten (einschließlich Datenrechenleistung) mit Ausnahme der im Rahmen einer Cloud-Umgebung erbrachten Rechendienste	Anmietung von Rechenleistung bei Dienstleistern. Beispiele: Bereitstellung von leistungsstarken Clustern für rechenintensive Anwendungen und Datenverarbeitung durch Nicht-Cloud-Dienstleister
S09 Datenspeicherung außerhalb der Cloud	Non-Cloud Data storage	Bereitstellung von Datenspeicherplattformen (ohne Cloud-Dienste)	Bereitstellung von Datenspeicherplattformen für die Bank sowie bankindividuelle Anmietung von Datenspeichern in Rechenzentren. Abgrenzung zu Clouddiensten beachten (Kategorisierung unter 17. – 19.) sowie zu Datenberechnung (Kategorisierung unter 8.) Beispiele: Bereitstellung von virtuellem Speicherplatz u.a. Network Attached Storage (NAS)-Geräte Storage Area Networks (SANs) für die Speicherung und Verwaltung großer Datenmengen Speicher-Datensicherung und -wiederherstellungsfunktionen (Backup und Restore) Speicher zur Datenarchivierung für die langfristige Aufbewahrung von Daten
S10 Telekommunikationsanbieter	Telecom carrier	Betrieb von Telekommunikationssystemen und Ablaufmanagement. Traditionelle analoge Telefondienste sind gemäß Artikel 3 Absatz 21 der DORA-Verordnung (EU) 2022/2554 ausdrücklich ausgeschlossen.	Carrier, die Netz- und Telefondienstleistungen bereitstellen bzw. managen. Beispiele: Telefondienste einschl. Mobilfunk
S11 Netzinfrastruktur	Network infrastructure	Bereitstellung von Netzwerkinfrastruktur	Dienstleister im Zusammenhang mit der Bereitstellung und dem Management der physischen Netzwerkinfrastruktur Abgrenzung zu IKT-Sicherheitsmanagement beachten (z.B. Netzwerksicherheitsprüfung Kategorisierung unter 4.). Beispiele: Sekundärnetzdienstleister Bereitstellung und Konfiguration LAN / WLAN-Netze Bereitstellung und Konfiguration von Routern und Switchen Netzinfrastrukturüberwachung und –wartung separate DSL-Leitungen
S12 Hardware und physische Geräte	Hardware and physical devices	Bereitstellung von Arbeitsplätzen, Telefonen, Servern, Datenspeichergeräten, Geräten usw. in Form einer Dienstleistung	Hardwaredienstleistungen, bei denen Endbenutzergeräte und spezifische Infrastruktur-Hardware als Service im Institut bereitgestellt wird. Abgrenzung: Der reine Bezug von Hardware ist keine IKT-Dienstleistung, unabhängig davon, ob es sich um Kauf/Miete/Leasing handelt. Abgrenzung zu Clouddiensten beachten (vgl. Kategorisierung unter 17.) sowie zur Bereitstellung und Management von Anlagen in einem externen Rechenzentrum (vgl. Kategorisierung unter 14.) Beispiele: Bereitstellung und Verwaltung von Arbeitsplatzinfrastruktur (Managed Workplace Services für PC/Laptops) Bereitstellung und Management von Smartphones (Mietvertrag mit Installationsleistungen und Smartphonemanagement) Bereitstellung und Management von Druckern Bereitstellung und Management von Telefonen Bereitstellung und Management von Servern (ohne virtuelle Server) Bereitstellung und Management von SB-Geräten (z.B. GAA, CRS, KAD, SBT) Alarmanlagen mit Wartungsvertrag Tagestresore mit Wartungsvertrag
S13 Softwarelizenzierung (außer SaaS)	Software licencing (excluding SaaS)	Bereitstellung von lokal ausgeführter Software	Lizenzierte Software, die von der Bank selbst betrieben wird (insbesondere mit bankfachlichem Bezug / Bezug zur Informationssicherheit) und mit dauerhaften Unterstützungsleistungen verbunden ist insbesondere einem auf Dauer angelegten Wartungsvertrag. Abgrenzung: Der reine Bezug von Standard-Software (ohne bankfachlichen / ohne Banksteuerungsbezug / ohne Bezug zur Informationssicherheit) ist nicht als IKT-Dienstleistung einzustufen, unabhängig davon, ob es sich um Kauf/Miete/Leasing/Abonnement handelt. Die Bank muss für diese IKT-Assets die DORA-Anforderungen selbst sicherstellen z.B. im Änderungs-, Schwachstellen- und Patchmanagement. Beispiele: Risikosteuerungssoftware Buchhaltungssoftware Software für Informationssicherheitsmanagement
S14 IKT-Betriebsmanagement (einschließlich Wartung)	ICT operation management	Erbringung von Dienstleistungen im Zusammenhang mit: Infrastrukturkonfiguration (Systeme und Hardware mit Ausnahme des Netzwerkes), Wartung, Installation, Kapazitätsmanagement, betriebliches Kontinuitätsmanagement usw. einschließlich Anbieter von verwalteten Dienstleistungen (Managed Service Provider, MSPs).	Betrieb von IKT-Systemen im klassischen Rechenzentrum einschl. Webanwendungen und Services sowie Infrastruktur-Dienstleistungen im Zusammenhang mit IKT-Systemen in der Bank (inkl. Personalgestellung). Abgrenzung zu Cloudservices beachten (siehe Kategorisierung unter 17- 19.), sowie zu Dienstleistungen, die bereits unter Kategorisierungen 4., 7. oder 8. verortet wurden. Beispiele: Betrieb des Bankverfahrens oder einzelner Bankanwendungen in einem Rechenzentrum einschl. der Anwendungsservices (MSP/ ASP) * Nicht-cloudbasierte Webanwendungen * Sonstige Infrastrukturdienstleistungen z.B. Durchführung von Änderungen an der Infrastruktur in der Bank, Betriebssystem/Softwarebereitstellung für Clients, virtuelle Server, Kapazitätsmanagement zur Überwachung und Optimierung der Ressourcenauslastung. * vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia
S15 IKT Beratung	ICT Consulting	Erbringung von auf Know-how/IKT-Fachwissen beruhenden Dienstleistungen.	Dauerhafte Beratung im Kontext IKT im Sinne Weitergabe von KnowHow und Wissen bzw. Coaching von IT-Mitarbeitern, Beratung zu Informationssicherheit etc. Diese Leistungen sind jedoch nur dann IKT-Dienstleistungen, wenn die Leistungen über digitale Dienste/Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software). Beispiele: Digitale Dienste/ Datendienste zur Dauerhaften IKT-Unterstützung des ISB im Informationssicherheitsmanagement Dauerhaften Unterstützung im Rahmen des Notfallmanagements (Überarbeitung BCM-Konzepte und Prozesse, Erstellung von Notfall- und Wiederherstellungsplänen, Notfalltests) Dauerhaften Unterstützung bei der Erstellung von Sicherheitskonzepten und deren Umsetzung
S16 IKT-Risikomanagement	ICT Risk management	Überprüfung der Einhaltung der IKT-Risikomanagement-anforderungen gemäß Artikel 6 Absatz 10 der DORA-Verordnung (EU) 2022/2554	Auf Dauer angelegte Drittdienstleistung, die sich auf das Management von IKT-Risiken der Bank bezieht, wenn die Leistungen über digitale Dienste/ Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software). Beispiele: Digitale Dienste/ Datendienste zur Unterstützung der IKT-Risikokontrollfunktion Überprüfung des IKT-Risikomanagementrahmens Überprüfung der Implementierung von Sicherheitsrichtlinien und -verfahren Überprüfung der Einhaltung von Compliance-Standards und -Vorschriften Unterstützung des IKT-Drittparteienrisikomanagements
S17 Cloud-Dienste: IaaS	Cloud services: IaaS	Infrastruktur-as-a-Service	Bereitstellung von Rechenleistungen und Speicherplatz über Cloud-Dienste d.h. Diensten, die einen ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglichen (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit minimalem Verwaltungsaufwand oder geringer Interaktion des Dienstleisters bereitstellen lassen. (siehe Anlage 5 zum Leitfaden „Methodische Grundlagen der IT-Regulatorik“ zum NIST-Kriterienkatalog). Beispiele: Anbieter stellt dem Kunden Verarbeitung, Speicher, Netzwerke und andere grundlegende Computerressourcen zur Verfügung - der Kunde kann die Software seiner Wahl einsetzen und ausführen. Der Kunde hat Kontrolle über Betriebssysteme, Speicher und Anwendungen – und möglicherweise eine eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z. B. Host-Firewalls) (Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)
S18 Cloud-Dienste: PaaS	Cloud services: PaaS	Plattform-as-a-Service	Bereitstellung von Entwicklerplattformen über Cloud-Dienste (siehe Kategorisierung unter 17.) Beispiele: Anbieter stellt dem Kunden Cloud-Infrastruktur zur Verfügung, auf der der Kunde von ihm erstellte oder erworbene Anwendungen bereitstellen kann Anbieter unterstützt über Bereitstellung von Programmiersprachen, Bibliotheken, Diensten bzw. Tools. Der Kunde hat nur Kontrolle über die bereitgestellten Anwendungen – und möglicherweise über die Konfigurationseinstellungen für die Anwendungshostingumgebung. Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)
S19 Cloud-Dienste: SaaS	Cloud services: SaaS	Software-as-a-Service	Bereitstellung von Anwendungen über Cloud-Dienste (siehe Kategorisierung unter 17.) Abgrenzung vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia. Beispiele: Kunde kann die Anwendungen eines Anbieters nutzen, die auf einer Cloud-Infrastruktur laufen. Die Anwendungen sind von verschiedenen Client-Geräten oder mobilen Endgerätenaus entweder über eine Thin-Client-Schnittstelle (wie einen Webbrowser – z. B. webbasierte E-Mail) oder eine Programmschnittstelle zugänglich. Der Kunde kann lediglich in begrenztem Maß benutzerspezifische Anwendungskonfigurationseinstellungen vornehmen. Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)
keine IKT-Dienstleistung nach DORA	X	keine Erfassung im Informationsregister	Staatliche Behörden, die IKT-bezogene Dienste im Zusammenhang mit Funktionen des Staates bereitstellen, sind keine IKT-Drittdienstleister im Sinne der DORA. (Ausnahme gemäß DORAErwägungsgrund 63) Zentralbanken, die Zahlungs- oder Wertpapierliefer- und Wertpapierabrechnungssysteme betreiben (Ausnahme gemäß DORA Erwägungsgrund 63) IKT-Dienstleistungen, die von einem regulierten Finanzunternehmen erbracht werden und mit einer regulierten Finanzdienstleistung verbunden sind oder von dieser abhängig sind.(Ausnahme gemäß Q&A ESA 2999-DORA030) Auslegung nach dem Grundsatz der Verhältnismäßigkeit, welche IKT-Services keine IKT-Dienstleistung nach DORA darstellen: Für Webportale ist abzuwägen, ob diese als IKT-Dienstleistung nach DORA eingestuft werden (z.B. keine IKTDienstleistung nach DORA bei Portalen zur reinen Informationsbeschaffung in Abgrenzung zu den Kategorien 1.-19.). Hinweis: Sofern Bankmitarbeiter sich an Webportalen anmelden, sind diese u.a. in das Berechtigungsmanagement der Bank einzubeziehen, auch wenn diese nicht als IKT-Dienstleistung eingestuft werden. reiner Bezug von Software oder Hardware auch bei Bereitstellung von Updates und Hotlinesupport, sofern die Bank die Updates eigenverantwortlich einspielt (inkl. Tests) und die Updates nicht spezifisch für die Bank erstellt werden (in Abgrenzung zu 12. und 13.). Versorgungsdienstleister gelten nicht als IKT-Dienstleister (Ausnahme Telekommunikationsanbieter vgl. 10.) Beispiele: Portale der Aufsichtsbehörden, der Behörden der Bundesverwaltung etc. • Zahlungs- oder Wertpapierinfrastrukturen der Deutschen Bundesbank oder EZB Zentralbankfunktionen der DZ BANK (Depotservices, Transaktionsservices, Direkthandel, Sicherheitenverwahrung und Teilnahme am Tenderverfahren (Swift), Abwicklung des SepaZahlungsverkehrs, Clearing) Finanzdienstleistungen von Banken bzw. Finanzdienstleistern untereinander (Onlinebanking, gemeinsamer Betrieb von Geldautomaten) Anwendungen, die Verbundunternehmen den Banken zur Vermittlung oder Stammdatenpflege in Bezug auf ihre eigenen Verbundprodukte bereitstellen Informationsportale (soweit diese keine Datendienste anbieten vgl. auch 5. + 6.) Portale von Schulungsanbietern (insbes. wenn diese nur der Anmeldung von Schulungen dienen, keine Individualisierung von Schulungsinhalten durch die Bank erfolgt etc.) Bestellportale (soweit sie nur zur Übermittlung des Kaufwunsches dienen und keine weiteren Prozesse der Bank beinhalten) Reiner Bezug von Standard-Software (vgl. auch 13.) Reiner Bezug von Standard-Hardware (vgl. auch 12.) Stromanbieter

CSV-Import von Dienstleistungen

Die Importmöglichkeit betrifft zunächst Kunden, welche die Anwendung ZAM AR der ZAM eG nutzen und die Vorschläge des Verfahrenslieferanten in der ForumSuite nutzen. Die Menüpunkte sind nur für diesen Kundenkreis sichtbar.

Mit Version 2025.1 wurde die Möglichkeit zum Import von Dienstleistungen aus der Anwendung ZAM AR der ZAM eG geschaffen. Sie finden die Möglichkeit zum Import in der Übersicht der Dienstleistungen im Menü Extras.

Abbildung: CSV-Import aus ZAM AR für Dienstleistungen

Für die Reihenfolge des Imports wird empfohlen, mit dem Import der Dienstleistungen zu beginnen und mit dem Risikoimport fortzusetzen.

Vor der Übernahme der Importdateien, kann ein Testlauf über die Schaltfläche Testlauf durchführen aktiviert werden. Sie haben dadurch die Möglichkeit, die Daten im Protokoll vor dem Import zu überprüfen. Den Import schließen Sie über die Schaltfläche CSV Import durchführen ab.

Abbildung: Beispiel für Testlauf zum CSV Import durchführen

Beim Dienstleisterimport werden Verknüpfungen zwischen Geschäftsprozessen und Dienstleistungen vorgenommen. Sind Geschäftsprozessen und/oder Dienstleistungen nicht vorhanden, werden die betreffenden Objekte in ForumISM neu angelegt.

Reiter Details

Im Reiter Details unter Allgemein befinden sich die die allgemeinen Information aus der betreffenden Dienstleistung.

Ist ForumOSM aktiv, wird zusätzlich der Bereich Klassifizierung angezeigt.

Abbildung: Dienstleistung - Reiter Details "Allgemein"

Auf dem Reiter "Relevanz" werden die durch die über die Geschäftsprozesse mit der Dienstleistung verbundenen Relevanzen angezeigt. Ist eine Dienstleistung mit einer hohen Abhängigkeitsstufe mit einem Prozess verknüpft, der eine "kritische oder wichtige Funktion" darstellt, wird dies hier dargestellt. Auch die mit den jeweiligen Prozessen verknüpften Informationsklassen geben ihrerseits die Relevanzen an die Dienstleistung weiter.

Abbildung: Dienstleistung - Reiter Details "Relevanz"

Reiter Verknüpfungen

Im Reiter Verknüpfungen werden die verknüpften IKT-Assets (Anwendungen, Systeme und Infrastruktur-Objekte) sowie die Geschäftsprozesse dargestellt.

Ebenfalls kann abgebildet werden, ob die Dienstleistung weiterverlagert wurde und ob Weiterverlagerungen bestehen. Ist ForumOSM aktiv, wird im Inline-Grid der Bereich Klassifizierung angezeigt.

Abbildung: Dienstleistung als Schutzobjekt

Die jeweilige Dienstleistung zeigt die getroffenen Zuordnungen aus ForumOSM an bzw. kann über den Button Aus Liste wählen... mit einer Anwendung, einem System, einer Infrastruktur und/oder einem Geschäftsprozess sowie Weiterverlagerungen verknüpft werden.

Abbildung: Dienstleistung als Schutzobjekt

Der jeweilige Abhängigkeitsgrad kann aus einer Liste gewählt werden.

Im Reiter Risikomanagement werden Risiken mit der Dienstleistung verknüpft. Sie können neue Risiken anlegen oder bereits vorhandene Risiken kopieren.

Sollmaßnahmen: Soll/Soll & Soll-/Ist-Abgleich

Im Reiter der Soll/Soll & Soll-/Ist-Abgleich wird der Schutzbedarf einer Dienstleistung von den mit den Dienstleistungen verknüpften Geschäftsprozessen (+ ggf. Datenklassen / Schutzobjekte) nach dem Maximalitätsprinzip angezeigt. Die Erfassung eines Schutzniveaus ist für Dienstleistungen nicht relevant.

Über die Schaltflächen Aus Liste wählen⁽¹⁾ können aus in ForumISM bestehenden Sollmaßnahmenprofilen entsprechende Profile zugeordnet werden. Die Schaltfläche Bausteine wählen⁽²⁾ nutzen Sie zur Wahl eines Standards aus der Anwendung ForumNSR für die Zuordnung. Diese Möglichkeit besteht nur, wenn die Anwendung ForumNSR lizenziert wurde und betreffende Standards in der produktiven Bearbeitung in der Anwendung zur Verfügung stehen.

Für IKT-Dienstleistungen steht mit dem Button Bewertung übernehmen...⁽³⁾ eine Kopierfunktion für die Umsetzung der Sollmaßnahmen bereit, um eine Erleichterung bei der Bewertung von Sollmaßnahmen zu ermöglichen.

Wurden Bausteine mit Sollmaßnahmen an einem Asset hinzugefügt, kann über diesen Button Bewertung übernehmen... die bereits an anderen Dienstleistungen getroffene Bewertung der Sollmaßnahmen übernommen werden. Dazu öffnet sich ein Auswahldialog, über den die betreffende Dienstleistung und deren verknüpften Sollmaßnahmen per Anhaken übernommen werden können. Im Anschluss sollte nochmals eine Bestätigung neuer und entfallener Maßnahmen durchgeführt werden.

Die Kopie ist nur von gleichen Assets (von Dienstleistung zu Dienstleistung) möglich. Die Funktion steht im Bearbeiten-Modus zur Verfügung.

Abbildung: Dienstleistung - Sollmaßnahmen

Für ausgelagerten Dienstleistungen (IKT-Dienstleistungen) wird die Vorbelegung der bearbeiteten BaSo-Sollmaßnahmen nur für die nicht relevanten Dienstleistungen angeboten. Die Bewertung muss durch den Dienstleister ausgefüllt werden. Ein Vorbelegung ist in diesem Bereich fachlich nicht sinnvoll.

Für IKT-Dienstleistungen ist die Vorbelegung daher nur für die nicht-relevanten Sollmaßnahmen möglich.

Über den Button Excel-Export⁽⁴⁾ kann ein Export der Sollmaßnahmen als Excel-Datei generiert werden. Dieser Export steht in ForumISM als auch an den Dienstleistungen in ForumOSM zur Verfügung.

Die Ausblendung der nicht relevanten Maßnahmen⁽⁵⁾ zeigt nur dann Wirkung, wenn sowohl für die "Vertragliche Regelung (Soll/Soll)" als auch für die "Operative Umsetzung (Soll/Ist)" der Reifegrad der jeweiligen Soll-Maßnahme auf "nicht relevant" gestellt wurde. Bei Anhaken dieser Funktion werden die nicht relevanten Maßnahmen nicht weiter aufgeführt und aus dem Reifegrad-Diagramm ausgeblendet.

Abweichungen zu Vorbelegungen aus ForumNSR und Profilmaßnahmen⁽⁶⁾ können durch Anhaken der entsprechenden Funktion angezeigt werden.

⁽⁷⁾Zur Abbildung eines Soll-/Soll-Abgleiches und eines Soll-/Ist-Abgleiches für Sollmaßnahmen an IKT-Dienstleistungen (Leistungen) gibt es zwei Reifegrade:

"Vertragliche Regelung (Soll/Soll)" und "Operative Umsetzung (Soll/Ist)" (bisherig Reifegrad)

Abbildung: Spezifische Sollmaßnahmen für Dienstleistungen

Die Sollmaßnahmen von IKT-Dienstleistungen werden in das Sollmaßnahmen-Cockpit aufgenommen, dabei wird von den beiden Reifegraden an den einzelnen Sollmaßnahmen jeweils nur ein Wert übernommen.

Wenn die betreffende Dienstleistung freigegeben ist, kann die direkte Zuordnung von Sollmaßnahmenprofilen auch direkt über das betreffende Sollmaßnahmenprofil getroffen werden. Ordnen Sie dem Profil über Dienstleistung verknüpfen ... die gewünschte Dienstleistung zu.

An Dienstleistungen kann ein konkreter Schutzbedarf angelegt werden, dieser wird Ihnen dann auch in der Übersicht der Dienstleistungen in ForumISM in einer separaten Spalte angezeigt. Wenn ein konkreter Schutzbedarf für diese Dienstleistung angelegt werden soll, nutzen Sie bitte im Lesemodus im Reiter Sollmaßnahmen die Schaltfläche Extras in der Titelleiste und legen einen konkreten Schutzbedarf an oder kopieren aus bestehende Objekten einen konkreten Schutzbedarf.

Abbildung: Konkreter Schutzbedarf anlegen

Folgende Voraussetzungen sind zu erfüllen, um einen konkreten Schutzbedarf an Dienstleistungen in ForumISM anzulegen bzw. aus bestehenden Dokumenten zu kopieren:

Zur Erfassung eines konkreten Schutzbedarfs für Dienstleistungen müssen zuvor in den Einstellungen von ForumISM die bereits aktiven SBA-Schemata zunächst Überarbeitet und anschließend erneut Freigegeben werden.
Anschließend aktualisieren Sie die Anwendung über die Funktionstaste F5.
Die betreffende Dienstleistung in ForumOSM darf nicht freigegeben sein.

In ForumOSM ist ein Löschen des konkreten Schutzbedarfs anschließend nicht möglich.

Die Anzeige einer zugeordneten Dienstleistung erfolgt an den Schutzobjekten im Reiter Details und Betrieb und Hersteller bzw. an einem Geschäftsprozess im Reiter Grundlagen.

Abbildung: Anzeige einer Dienstleistung im Schutzobjekt und einem Geschäftsprozess

In den jeweiligen Ansichten der Geschäftsprozesse und Schutzobjekte können jeweils über die Schaltfläche aus Liste wählen zuzuordnende Dienstleistungen gewählt werden und eine getroffene Auswahl bearbeitet werden.

Anzeige Schutzbedarf am Dienstleister

In ForumISM wird unter > Stammdaten > Dienstleister am betreffenden Dienstleister der kulminierte Schutzbedarf aus allen Dienstleistungen nach dem Maximalitätsprinzip angezeigt.

Abbildung: Stammdaten > Dienstleiter: Anzeige des maximalen Schutzbedarfs aus Dienstleistungen

Bearbeitung der Maßnahmen in ForumOSM

Die Bearbeitung der Maßnahmen zeigen wir im Handbuch von ForumOSM an den Dienstleistungen auf.