Skip to main content
Skip table of contents

Begrifflichkeiten in ForumISM

In den nachfolgenden Abschnitten erläutern wir die in den Anwendungen der ForumSuite verwendeten Begriffe. Die einzelnen Begriffe sind dabei als Links ausgeführt, über welche die jeweiligen Bereiche direkt geöffnet werden.

Begriffe ForumSuite


BegriffVerwendungErläuterung
Verantwortung

Jedes Objekt in der ForumSuite sollte mit einer Verantwortung besetzt werden.

Die Vergabe einer Verantwortung ist auch eine Voraussetzung für die Benachrichtigung, zum Beispiel für fällige Wiedervorlagen oder Aufgaben.


Hauptverantwortlicher

Hauptverantwortung - kann als natürliche Person oder auch als Organisation dargestellt werden
Weiterer Verantwortliche

Stellvertretung - kann als natürliche Person oder auch als Organisation dargestellt werden
Ersteller

Ist ein Workflow einmal gespeichert wurden, kommt das Feld Ersteller hinzu. Der angemeldet User wird hier automatisch hinterlegt.
Beobachter

Der Ersteller eines Workflows kann eine natürliche Person oder auch eine Organisationen als Beobachter hinterlegen. Beobachter (Beteiligte) haben keinen Einfluss auf die Bearbeitung, aber können an dem Fortschritt der Bearbeitung teilhaben. Dies geschieht durch das Versenden von Benachrichtigungen, bis zur Fertigstellung der Bearbeitung.

Zur Auswahl stehen an dieser Stelle nur bereits angelegte Verantwortungen.


Empfänger

Aus vielen Objekten in der ForumSuite ist das Versenden einer Hinweismail möglich. Um diese E-Mail versenden zu können, bedarf es eines Empfängers. Als Empfänger können nur natürliche Person verwendet werden.


Begriffe ForumBCM
BegriffErläuterung
NotfallSchadensereignis mit großen negativen Auswirkungen auf die Bank.
NotfallbeauftragterSteuerung aller Aktivitäten rund um die Notfallvorsorge.
Maximal tolerierbare AusfallzeitenFür die als zeitkritisch eingestuften Prozesse sind individuelle Zeitfenster in Bezug auf die max. tolerierbare Ausfalldauer definiert.
KatastropheGroßschadensereignis, das zeitlich und örtlich kaum begrenzbar ist und großflächige Auswirkungen auf die Bevölkerung, Tiere und Sachwerte hat oder haben kann.
KriseSchadensereignis mit großen bis existenzbedrohlichen negativen Auswirkungen für die Bank, das Leben und die Gesundheit von Personen gefährdet.

KrisenstabSpeziell zusammengesetzte und mit besonderen Befugnissen ausgestattete Personengruppe.
ProzessverantwortlicherErstellung der Geschäftsfortführungspläne auf Prozessebene.
Störung / BetriebsunterbrechungSchadensereignis mit geringen negativen Auswirkungen auf die Bank.
Begriffe ForumCMS
BegriffErläuterung
Rechtsgebiete

Die BaFin gibt die MaRisk-Compliance-relevanten Rechtsgebiete vor, die seitens der BVR zweimal jährlich veröffentlicht werden. Die Liste ist nicht fix, sondern verändert sich in unregelmäßigen Abständen. Auch kann es vorkommen, dass die BaFin die Risikoeinstufung oder die MaRisk-Compliance-relevanz zu einzelnen Rechtsgebieten anpasst.


Typologien

Was kann passieren, wenn man die regulatorischen und aufsichtsrechtlichen Vorgaben nicht erfüllt.


Rechtsmonitoring

Jede Bank ist dazu angehalten, ein rechtliches Monitoring zu führen, in dem alle relevanten rechtlichen und aufsichtsrechtlichen Anforderungen aufgeführt sind. Bankintern ist die Umsetzung seitens des Beauftragten MaRisk-Compliance zu überwachen. Bestandteile des Monitorings sind relevante höchstrichterliche Urteile oder Rundschreiben aus den jeweiligen Verbänden.


Sicherungsmaßnahmen

Sicherungsmaßnahmen dienen dazu, ein Risiko einer Typologie zu reduzieren. Hierbei ist es wichtig, dass nicht nur beurteilt wird, ob es eine Sicherungsmaßnahme gibt, sondern auch ob Sie auch angemessen und wirksam sind. Desto wirksamer die  Sicherungsmaßnahmen, desto geringer das Risiko.


Jahresüberwachungsplan

Der Jahresüberwachungsplan stellt die Planung der Kontrollhandlungen durch den Compliance-Beauftragten dar. Im Gegensatz zu der Internen Revision ist der Jahresüberwachungsplan des Beauftragten MaRisk-Compliance dynamisch; d.h. er verändert sich im Laufe eines Jahres immer wieder. Der Beauftragte kann zu Jahresbeginn nicht wissen, welche Gesetze in diesem Jahr verabschiedet werden, welche internen wesentlichen Änderungen und Projekte angestoßen werden -und wie diese auf die Risikosituation der Bank auswirken, genauso wenig weiß er, welche compliance-relevanten Ereignisse stattfinden oder welche relevanten Rundschreiben wer veröffentlicht


Begriffe ForumDSM


BegriffErläuterung
AVAuftragsVerarbeitung
Betroffenenrechte

Unter Betroffenenrechten, oder den „Rechten der betroffenen Person“ im Terminus der EU-DSGVO, versteht das Datenschutzrecht die Rechte jedes Einzelnen gegenüber dem für die Verarbeitung Verantwortlichen.

In der neuen Fassung des BDSG beschäftigt sich das Kapitel 2 in den §§ 32 bis 37 mit diesen Rechten.

In der EU-DSGVO finden sich diese im Kapitel III, Artikel 12 bis 23.


Beweislastumkehr

Stärker als bisher tritt mit der EU-DSGVO eine Beweislastumkehr für die Verarbeitung von Daten in Kraft.

Während der § 7 Satz 2 BDSG eine Schadenersatzpflicht gegenüber Betroffenen verneint, wenn "die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat", geht die EU-DSGVO noch deutlich weiter.

Hier wird im Art. 5 Abs. 2 der Nachweis der Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten und damit eine ausführliche Dokumentation aller Verarbeitungsvorgänge gefordert.


Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ähnelt der bisher im deutschen Datenschutzrecht schon bekannten Vorabkontrolle (§ 4d Abs. 5 BDSG).

Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten.

In diesen Fällen wird es notwendig, unter Zuhilfenahme des Datenschutzbeauftragten die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen zu prüfen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abzugeben.

Wie die Vorabkontrolle dient die Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.


DSAnpUG-EUDatenschutz-Anpassungs- und Umsetzungsgesetz–EU (BDSG neue Fassung).
EU-DSGVO

EUropäische Datenschutzgrundverordnung.


Privacy by Default

Datenschutzfreundliche Voreinstellungen/Standardeinstellungen.

Per Voreinstellung: Verarbeitung nur von Daten, deren Verarbeitung für den bestimmten Verarbeitungszweck erforderlich sind.


Privacy by Design

Privacy by Design.

Ziel ist ein "eingebauter" Datenschutz bereits in den Anwendungen, Systemen und Prozessen.


Begriffe ForumISM


BegriffErläuterungBegriffErläuterung
Schutzbedarfsanalyse (SBA)Gibt die Schutzbedürftigkeit eines Geschäftsprozesses oder einer Datenklassen an. Für die Ermittlung der Schutzbedürftigkeit stehen verschiedenen Klassifizierungsmöglichkeiten zur Verfügung. Der ermittelte Schutzbedarf eines Objektes sollte mit dem Schutzniveau der verknüpften Objekte (Anwendungen, Systeme, Infrastruktur) korrelieren. Ist dies nicht der Fall, kann/sollte ein entsprechendes Abweichungsrisiko (GAP-Risiko) erfasst und bewertet werden.Themengebiete

Die Themengebiete sind WpHG-relevante Bereiche, die bankindividuell identifiziert werden, für die eine Risikoeinstufung vorgenommen werden soll.

Bewertung der Wesentlichkeit

Die Wesentlichkeit eines Geschäftsprozesses für das Unternehmen kann nach den Kriterien „zeitkritisch“,

„wirtschaftlich“, „rechtlich“ oder „hoher Schutzbedarf“ vorgenommen werden.

Scoring

Das Scoring ergibt sich aus neun Standard-Kriterien, deren Ergebnis jeweils mit einem Scorewert verbunden sind. Der Gesamtscore soll als quantitatives Hilfsmittel zur Risikoeinstufung dienen. Sowohl die Fragen, als auch der vorgegebenen Punkte sind unveränderbar. Der maximal zu erreichende Gesamtscore entspricht 49,5.

Business Impact Analyse

Für die Bewertung des Business Impact sind Bezeichnungen für vier Kritikalitätsstufen vorgeschlagen. Diese Bezeichnungen

können nach Belieben angepasst werden.

Themengebietsspezifische Fragen

Die Themengebietsspezifischen Fragen dienen als qualitative Unterstützung der Risikoeinstufung. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden.

Schutzbedarf

Die geschäftsprozessorientierte Arbeitsweise stellt das Tätigkeitsfeld der Unternehmen in den Vordergrund.

Die Fragestellungen sind dabei:

  • Was tut das Unternehmen? (Geschäftsprozesse).
  • Wie wichtig ist der Geschäftsprozess? (Schutzbedarf).
  • Welche Daten werden verarbeitet? (Datenklassen).
  • Was benötigt das Unternehmen dafür? (Schutzobjekte).

Der Geschäftsprozess wird damit zum eigentlich schützenswerten Element und hat daher einen Schutzbedarf.

Die Anforderungen zur Verfügbarkeit des Geschäftsprozesses richten sich dabei nach der Zeitspanne, die der Prozess maximal ausfallen darf. Anforderungen an Vertraulichkeit, Integrität und Authentizität richten sich nach den verarbeiteten Daten. Zur Erreichung dieses Schutzbedarfes müssen die verwendeten Objekte ein entsprechendes Schutzniveau bieten.

Übergreifende Überwachungsaktivitäten

Die Übergreifende Überwachungsaktivität bildet den Rahmen einer bestimmten Überwachung. Sie ist einem Themengebiet und einer bestimmten Risikoanalyse zugeordnet. Einer Übergreifenden Überwachungsaktivität können mehrere Detaillierte Überwachungshandlungen und Erforderliche Maßnahmen zugeordnet werden.

Schutzniveau

Für viele Objekte werden die Werte zum Schutzniveau bereits in den Vorschlägen zu ForumISM mitgeliefert. Im Optimalfall bietet der Hersteller der Anwendung / des Systems ein Sicherheitskonzept, in dem das Objekt bereits hinsichtlich seiner einzelnen Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) bewertet ist. Steht ein solches Sicherheitskonzept nicht zur Verfügung, muss eine eigene Bewertung durchgeführt werden.

Aspekte für Übergreifende Überwachungsaktivitäten

Die Aspekte sind Fragestellungen, die zur vollumfänglichen Überwachung eines Themengebiets herangezogen werden können. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden.

GAP-Risiko

Im Falle einer Abweichung des vorhandenen Schutzniveaus zum Schutzbedarf des Prozesses kann ein sogenanntes GAP-Risiko (engl. Lücke, Abstand) erstellt werden. In diesem Risiko kann die jeweilige Abweichung behandelt und eingestuft werden.

Detaillierte Überwachungshandlungen

Die Detaillierten Überwachungshandlungen dienen zur Dokumentation der Durchführung einzelner Überwachungshandlungen. Die Überwachungshandlungen können einer oder mehreren Übergreifenden Überwachungsaktivitäten zugeordnet werden.

Sicherheitsvorfälle

Ein Sicherheitsvorfall ist ein negatives Ereignis, welches die Informations­sicherheit (Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) von Daten, Informationen, Geschäftsprozessen, IT-Services, IT-Systemen, IT-Anwendungen und der IT-Infrastruktur beeinträchtigt. Es handelt sich insbesondere dann um einen Sicherheitsvorfall, wenn:

  • personenbezogene Daten oder Unternehmensdaten betroffen sind.
  • Daten oder Informationen unrechtmäßig manipuliert, gelöscht oder offengelegt wurden.
  • Systeme, Anwendungen oder Infrastruktur unrechtmäßig manipuliert, gelöscht, zerstört, offengelegt oder eingeschränkt wurden.


Change-Management

Zur Abbildung von Test- und Freigabeverfahren gemäß MaRisk AT 7.2 sowie betrieblicher Anpassungsprozesse gemäß MaRisk AT 8.2 steht in ForumISM der Bereich Change-Management zur Verfügung.



Begriffe ForumNMS
BegriffErläuterung
Handlungsfelder

Die sechs Handlungsfelder mit ihren jeweiligen Unterkategorien beziehen sich auf die sechs Themenbereiche, welche vom BVR vorgegeben sind. 


Anforderungen

Durch regelmäßige Rundschreiben werden gesetzliche Anforderungen definiert, welche von den Häusern zu berücksichtigen sind.


AktivitätenHausinterne Aktivitäten, z. Bsp. Projekte, Besprechungen u.a., welche Nachhaltigkeitsthemen betreffen, können als Aktivitäten definiert und dokumentiert werden.
Maßnahmen

Zu den Handlungsfeldern können zielführende Maßnahmen erstellt werden, anhand derer der Umsetzungsstatus überprüft werden kann.


KontrolleKontrollhandlungen dienen der Überprüfung der Nachhaltigkeits-Strategie. Kontrollen helfen dabei, systemseitig die einzelnen Handlungsfelder zu auditieren und dies auch durch entsprechende Kontrollen zu dokumentieren.
ReifegradstufeDie Reifegradstufe zeigt den aktuellen Umsetzungsstand bis hin zur Zielerreichung an.
Zielerreichungsgrad

Der Zielerreichungsgrad wird aus dem Umsetzungsstatus der zu den einzelnen Handlungsfeldern definierten Maßnahmen abgeleitet. 


Jahresüberwachungsplan

Der Jahresüberwachungsplan stellt die Planung der Kontrollhandlungen durch den Nachhaltigkeits-Beauftragten dar. 


Begriffe ForumNSR


BegriffErläuterung
GrundlagenIm Bereich Grundlagen findet sich eine Vielzahl von Grundsatzdokumenten für die Bearbeitung der Standards in Ihrem Unternehmen.
RisikoanalyseIst eine systematische Analyse zur Identifikation und Bewertung von Risiken, unterteilt in eine einfache und detaillierte Analyse.
ZuständigkeitDie Kompetenz einer Organisationseinheit bzw. eines Verantwortlichen.
Risiko-CockpitEine Übersicht, welche Prozess- oder Projektrisiken abgebildet.

Standards

Gemäß den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den bankaufsichtlichen Anforderungen an die IT (BAIT) ist die Umsetzung des in der IT-Strategie gewählten Standards nachvollziehbar zu dokumentieren.

Folgende Standards stehen für die Modellierung zur Verfügung:

  • BSI-Grundschutzkompendium.
  • ISO 27001 / 27002 (zusätzliche Lizenzierung beim Beuth-Verlag GmbH erforderlich).
  • Standard für die Ordnungsmäßigkeit der IT-Verfahren (SOIT).
  • Sicherheitsmaßnahmenkatalog der Fiducia & GAD IT AG (SiMaKat).
  • BSI-Checklisten für ehemalige GAD-Banken.
  • Versicherungstechnische Anforderungen an die IT (VAIT).
  • Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT).

Reifegrad

Unter Reifegrad versteht man im Kontext des IT-Servicemanagments den Grad der Prozessbeherrschung bzw. Verbesserung.

  • teilweise: Die Soll-Anforderungen aus dem gewählten Standard sind im Unternehmen teilweise umgesetzt und entsprechen nicht vollständig den Anforderungen.
  • vollständig: Die Soll-Anforderungen aus dem gewählten Standard sind im Unternehmen vollständig umgesetzt bzw. erfüllen die Anforderungen. 
  • nicht umgesetzt : Die Soll-Anforderungen des gewählten Standards sind im Unternehmen nicht umgesetzt und entsprechen nicht den Anforderungen.

Abweichungen

Die Soll-Anforderungen aus dem gewählten Standard sind im Unternehmen teilweise umgesetzt oder nicht umgesetzt und entsprechen nicht vollständig den Anforderungen. In diesem Fall wird das Delta zur Sollanforderung beschrieben.

Umsetzungsstatus (von Aufgaben)Nach Übernahme einer Aufgabe durch einen Bearbeiter ist die Realisierung des Aufgabeninhalts sicherzustellen und kann durch die Vergabe des Status offen, in Bearbeitung, und erledigt entsprechend dokumentiert werden.
Soll-Ist-AbgleichIn der Folge muss ein detaillierter Soll-Ist-Abgleich zwischen den Referenzmaßnahmen und der umgesetzten Maßnahmen vorgenommen und ein Reifegrad ermittelt werden. Die Soll-Anforderungen aus dem gewählten Standard werden mit im Unternehmen vorhanden IST-Umsetzung abgeglichen.
RealisierungsplanungZur Hilfestellungen bei der Lösung von Zielkonflikten (z. B. Wirtschaftlichkeit kontra Informationssicherheit) ist eine Realisierungsplanung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen. Dies umfasst das Festlegen von Zuständigkeiten, Terminen, und einem Status der zu erledigenden  Aufgaben. 
Relevanz

Die in ForumNSR angebotenen Standards beinhalten Kapitel, Bausteine und Maßnahmen. Diese müssen auf Relevanz für das Unternehmen geprüft und ausgewählt werden. Ausschließlich die als "relevant" markierten Kapitel, Bausteine und Maßnahmen werden bei der Bestimmung des Reifegrads berücksichtigt.


Begriffe ForumOSM


BegriffErläuterung
DienstleisterErbringt Leistungen für den Auftraggeber.
LeistungUnter einer Leistung in ForumOSM versteht man sämtliche Dienstleistungen, die ein Dienstleister anbietet.
ÜberwachungsplanBietet eine Übersicht über die Überwachungsaktivitäten in ForumOSM.
SLA-Monitoring

SLA = Service Level Agreement (deutsch: Dienstgütevereinbarung).

Im SLA-Monitoring können Sie Ihre mit den Dienstleistern geschlossenen Service-Level-Agreements prüfen und überwachen.


ZuständigkeitenDie Kompetenz einer Organisationseinheit bzw. eines Verantwortlichen.
KlassifizierungIst eine systematische Analyse zur Identifikation und Bewertung von Risiken, unterteilt in eine einfache und detaillierte Analyse.
Risiko-CockpitEine Übersicht, welche Prozess- oder Projektrisiken abgebildet.
GrundlagenIm Bereich Grundlagen findet sich eine Vielzahl von Grundsatzdokumenten für das Auslagerungsmanagement in Ihrem Unternehmen.
Eingehende BerichteEine umfangreiche Übersicht der Berichte und weiteren dazugehörigen Informationen, unterteilt in die Bereiche Risikoberichte, Berichte zur Weiterverlagerung, Revisionsberichte, externe Revisionsberichte und eigene Berichte.
ReportingBerichtswesen zu Informationen und Auswertungen in Ihrem Unternehmen.
Begriffe ForumTCM


BegriffErläuterung
Steuergebiete

Die Steuergebiete sind steuerrelevante Bereiche, die bankindividuell identifiziert werden und für die eine Risikoeinstufung vorgenommen werden soll.


Anforderungen

Durch regelmäßige Rundschreiben werden gesetzliche Anforderungen definiert, welche von den Häusern zu berücksichtigen sind.


Aktivitäten

Hausinterne Aktivitäten, z. Bsp. Projekte, Besprechungen u.a., welche steuerrelevante Themen betreffen, können als Aktivitäten definiert und dokumentiert werden.


Kontrollen

Kontrollen helfen dabei, systemseitig die einzelnen Steuergebiete zu auditieren und dies auch durch entsprechende Kontrollen zu dokumentieren.


Maßnahmen

An Risiken können zielführende Maßnahmen erstellt werden, an denen der Umsetzungsstatus überprüft werden kann.


Begriffe ForumWPC


BegriffErläuterung
Themengebiete

Die Themengebiete sind WpHG-relevante Bereiche, die bankindividuell identifiziert werden, für die eine Risikoeinstufung vorgenommen werden soll.


Scoring

Das Scoring ergibt sich aus neun Standard-Kriterien, deren Ergebnis jeweils mit einem Scorewert verbunden sind. Der Gesamtscore soll als quantitatives Hilfsmittel zur Risikoeinstufung dienen. Sowohl die Fragen, als auch der vorgegebenen Punkte sind unveränderbar. Der maximal zu erreichende Gesamtscore entspricht 49,5.


Themengebietsspezifische Fragen

Die Themengebietsspezifischen Fragen dienen als qualitative Unterstützung der Risikoeinstufung. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden.


Übergreifende Überwachungsaktivitäten

Die Übergreifende Überwachungsaktivität bildet den Rahmen einer bestimmten Überwachung. Sie ist einem Themengebiet und einer bestimmten Risikoanalyse zugeordnet. Einer Übergreifenden Überwachungsaktivität können mehrere Detaillierte Überwachungshandlungen und Erforderliche Maßnahmen zugeordnet werden.


Aspekte für Übergreifende Überwachungsaktivitäten

Die Aspekte sind Fragestellungen, die zur vollumfänglichen Überwachung eines Themengebiets herangezogen werden können. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden.


Detaillierte Überwachungshandlungen

Die Detaillierten Überwachungshandlungen dienen zur Dokumentation der Durchführung einzelner Überwachungshandlungen. Die Überwachungshandlungen können einer oder mehreren Übergreifenden Überwachungsaktivitäten zugeordnet werden.


JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.