Begrifflichkeiten in ForumISM

In den nachfolgenden Abschnitten erläutern wir die in den Anwendungen der ForumSuite verwendeten Begriffe. Die einzelnen Begriffe sind dabei als Links ausgeführt, über welche die jeweiligen Bereiche direkt geöffnet werden.

Begriffe ForumSuite

Begriff	Verwendung	Erläuterung
Verantwortung		Jedes Objekt in der ForumSuite sollte mit einer Verantwortung besetzt werden. Die Vergabe einer Verantwortung ist auch eine Voraussetzung für die Benachrichtigung, zum Beispiel für fällige Wiedervorlagen oder Aufgaben.
Hauptverantwortlicher		Hauptverantwortung - kann als natürliche Person oder auch als Organisation dargestellt werden
Weiterer Verantwortliche		Stellvertretung - kann als natürliche Person oder auch als Organisation dargestellt werden
Ersteller		Ist ein Workflow einmal gespeichert wurden, kommt das Feld Ersteller hinzu. Der angemeldet User wird hier automatisch hinterlegt.
Beobachter		Der Ersteller eines Workflows kann eine natürliche Person oder auch eine Organisationen als Beobachter hinterlegen. Beobachter (Beteiligte) haben keinen Einfluss auf die Bearbeitung, aber können an dem Fortschritt der Bearbeitung teilhaben. Dies geschieht durch das Versenden von Benachrichtigungen, bis zur Fertigstellung der Bearbeitung. Zur Auswahl stehen an dieser Stelle nur bereits angelegte Verantwortungen.
Empfänger		Aus vielen Objekten in der ForumSuite ist das Versenden einer Hinweismail möglich. Um diese E-Mail versenden zu können, bedarf es eines Empfängers. Als Empfänger können nur natürliche Person verwendet werden.

Begriffe ForumBCM

Begriff	Erläuterung
Notfall	Schadensereignis mit großen negativen Auswirkungen auf die Bank.
Notfallbeauftragter	Steuerung aller Aktivitäten rund um die Notfallvorsorge.
Maximal tolerierbare Ausfallzeiten	Für die als zeitkritisch eingestuften Prozesse sind individuelle Zeitfenster in Bezug auf die max. tolerierbare Ausfalldauer definiert.
Katastrophe	Großschadensereignis, das zeitlich und örtlich kaum begrenzbar ist und großflächige Auswirkungen auf die Bevölkerung, Tiere und Sachwerte hat oder haben kann.
Krise	Schadensereignis mit großen bis existenzbedrohlichen negativen Auswirkungen für die Bank, das Leben und die Gesundheit von Personen gefährdet.
Krisenstab	Speziell zusammengesetzte und mit besonderen Befugnissen ausgestattete Personengruppe.
Prozessverantwortlicher	Erstellung der Geschäftsfortführungspläne auf Prozessebene.
Störung / Betriebsunterbrechung	Schadensereignis mit geringen negativen Auswirkungen auf die Bank.

Begriffe ForumCMS

Begriff	Erläuterung
Rechtsgebiete	Die BaFin gibt die MaRisk-Compliance-relevanten Rechtsgebiete vor, die seitens der BVR zweimal jährlich veröffentlicht werden. Die Liste ist nicht fix, sondern verändert sich in unregelmäßigen Abständen. Auch kann es vorkommen, dass die BaFin die Risikoeinstufung oder die MaRisk-Compliance-relevanz zu einzelnen Rechtsgebieten anpasst.
Typologien	Was kann passieren, wenn man die regulatorischen und aufsichtsrechtlichen Vorgaben nicht erfüllt.
Rechtsmonitoring	Jede Bank ist dazu angehalten, ein rechtliches Monitoring zu führen, in dem alle relevanten rechtlichen und aufsichtsrechtlichen Anforderungen aufgeführt sind. Bankintern ist die Umsetzung seitens des Beauftragten MaRisk-Compliance zu überwachen. Bestandteile des Monitorings sind relevante höchstrichterliche Urteile oder Rundschreiben aus den jeweiligen Verbänden.
Sicherungsmaßnahmen	Sicherungsmaßnahmen dienen dazu, ein Risiko einer Typologie zu reduzieren. Hierbei ist es wichtig, dass nicht nur beurteilt wird, ob es eine Sicherungsmaßnahme gibt, sondern auch ob Sie auch angemessen und wirksam sind. Desto wirksamer die Sicherungsmaßnahmen, desto geringer das Risiko.
Jahresüberwachungsplan	Der Jahresüberwachungsplan stellt die Planung der Kontrollhandlungen durch den Compliance-Beauftragten dar. Im Gegensatz zu der Internen Revision ist der Jahresüberwachungsplan des Beauftragten MaRisk-Compliance dynamisch; d.h. er verändert sich im Laufe eines Jahres immer wieder. Der Beauftragte kann zu Jahresbeginn nicht wissen, welche Gesetze in diesem Jahr verabschiedet werden, welche internen wesentlichen Änderungen und Projekte angestoßen werden -und wie diese auf die Risikosituation der Bank auswirken, genauso wenig weiß er, welche compliance-relevanten Ereignisse stattfinden oder welche relevanten Rundschreiben wer veröffentlicht

Begriffe ForumDSM

Begriff	Erläuterung
AV	AuftragsVerarbeitung
Betroffenenrechte	Unter Betroffenenrechten, oder den „Rechten der betroffenen Person“ im Terminus der EU-DSGVO, versteht das Datenschutzrecht die Rechte jedes Einzelnen gegenüber dem für die Verarbeitung Verantwortlichen. In der neuen Fassung des BDSG beschäftigt sich das Kapitel 2 in den §§ 32 bis 37 mit diesen Rechten. In der EU-DSGVO finden sich diese im Kapitel III, Artikel 12 bis 23.
Beweislastumkehr	Stärker als bisher tritt mit der EU-DSGVO eine Beweislastumkehr für die Verarbeitung von Daten in Kraft. Während der § 7 Satz 2 BDSG eine Schadenersatzpflicht gegenüber Betroffenen verneint, wenn "die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat", geht die EU-DSGVO noch deutlich weiter. Hier wird im Art. 5 Abs. 2 der Nachweis der Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten und damit eine ausführliche Dokumentation aller Verarbeitungsvorgänge gefordert.
Datenschutz-Folgenabschätzung	Die Datenschutz-Folgenabschätzung (DSFA) ähnelt der bisher im deutschen Datenschutzrecht schon bekannten Vorabkontrolle (§ 4d Abs. 5 BDSG). Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen wird es notwendig, unter Zuhilfenahme des Datenschutzbeauftragten die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen zu prüfen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abzugeben. Wie die Vorabkontrolle dient die Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.
DSAnpUG-EU	Datenschutz-Anpassungs- und Umsetzungsgesetz–EU (BDSG neue Fassung).
EU-DSGVO	EUropäische Datenschutzgrundverordnung.
Privacy by Default	Datenschutzfreundliche Voreinstellungen/Standardeinstellungen. Per Voreinstellung: Verarbeitung nur von Daten, deren Verarbeitung für den bestimmten Verarbeitungszweck erforderlich sind.
Privacy by Design	Privacy by Design. Ziel ist ein "eingebauter" Datenschutz bereits in den Anwendungen, Systemen und Prozessen.

Begriffe ForumISM

Begriff	Erläuterung	Begriff	Erläuterung
Schutzbedarfsanalyse (SBA)	Gibt die Schutzbedürftigkeit eines Geschäftsprozesses oder einer Datenklassen an. Für die Ermittlung der Schutzbedürftigkeit stehen verschiedenen Klassifizierungsmöglichkeiten zur Verfügung. Der ermittelte Schutzbedarf eines Objektes sollte mit dem Schutzniveau der verknüpften Objekte (Anwendungen, Systeme, Infrastruktur) korrelieren. Ist dies nicht der Fall, kann/sollte ein entsprechendes Abweichungsrisiko (GAP-Risiko) erfasst und bewertet werden.	Themengebiete	Die Themengebiete sind WpHG-relevante Bereiche, die bankindividuell identifiziert werden, für die eine Risikoeinstufung vorgenommen werden soll.
Bewertung der Wesentlichkeit	Die Wesentlichkeit eines Geschäftsprozesses für das Unternehmen kann nach den Kriterien „zeitkritisch“, „wirtschaftlich“, „rechtlich“ oder „hoher Schutzbedarf“ vorgenommen werden.	Scoring	Das Scoring ergibt sich aus neun Standard-Kriterien, deren Ergebnis jeweils mit einem Scorewert verbunden sind. Der Gesamtscore soll als quantitatives Hilfsmittel zur Risikoeinstufung dienen. Sowohl die Fragen, als auch der vorgegebenen Punkte sind unveränderbar. Der maximal zu erreichende Gesamtscore entspricht 49,5.
Business Impact Analyse	Für die Bewertung des Business Impact sind Bezeichnungen für vier Kritikalitätsstufen vorgeschlagen. Diese Bezeichnungen können nach Belieben angepasst werden.	Themengebietsspezifische Fragen	Die Themengebietsspezifischen Fragen dienen als qualitative Unterstützung der Risikoeinstufung. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden.
Schutzbedarf	Die geschäftsprozessorientierte Arbeitsweise stellt das Tätigkeitsfeld der Unternehmen in den Vordergrund. Die Fragestellungen sind dabei: Was tut das Unternehmen? (Geschäftsprozesse). Wie wichtig ist der Geschäftsprozess? (Schutzbedarf). Welche Daten werden verarbeitet? (Datenklassen). Was benötigt das Unternehmen dafür? (Schutzobjekte). Der Geschäftsprozess wird damit zum eigentlich schützenswerten Element und hat daher einen Schutzbedarf. Die Anforderungen zur Verfügbarkeit des Geschäftsprozesses richten sich dabei nach der Zeitspanne, die der Prozess maximal ausfallen darf. Anforderungen an Vertraulichkeit, Integrität und Authentizität richten sich nach den verarbeiteten Daten. Zur Erreichung dieses Schutzbedarfes müssen die verwendeten Objekte ein entsprechendes Schutzniveau bieten.	Übergreifende Überwachungsaktivitäten	Die Übergreifende Überwachungsaktivität bildet den Rahmen einer bestimmten Überwachung. Sie ist einem Themengebiet und einer bestimmten Risikoanalyse zugeordnet. Einer Übergreifenden Überwachungsaktivität können mehrere Detaillierte Überwachungshandlungen und Erforderliche Maßnahmen zugeordnet werden.
Schutzniveau	Für viele Objekte werden die Werte zum Schutzniveau bereits in den Vorschlägen zu ForumISM mitgeliefert. Im Optimalfall bietet der Hersteller der Anwendung / des Systems ein Sicherheitskonzept, in dem das Objekt bereits hinsichtlich seiner einzelnen Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) bewertet ist. Steht ein solches Sicherheitskonzept nicht zur Verfügung, muss eine eigene Bewertung durchgeführt werden.	Aspekte für Übergreifende Überwachungsaktivitäten	Die Aspekte sind Fragestellungen, die zur vollumfänglichen Überwachung eines Themengebiets herangezogen werden können. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden.
GAP-Risiko	Im Falle einer Abweichung des vorhandenen Schutzniveaus zum Schutzbedarf des Prozesses kann ein sogenanntes GAP-Risiko (engl. Lücke, Abstand) erstellt werden. In diesem Risiko kann die jeweilige Abweichung behandelt und eingestuft werden.	Detaillierte Überwachungshandlungen	Die Detaillierten Überwachungshandlungen dienen zur Dokumentation der Durchführung einzelner Überwachungshandlungen. Die Überwachungshandlungen können einer oder mehreren Übergreifenden Überwachungsaktivitäten zugeordnet werden.
Sicherheitsvorfälle	Ein Sicherheitsvorfall ist ein negatives Ereignis, welches die Informationssicherheit (Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) von Daten, Informationen, Geschäftsprozessen, IT-Services, IT-Systemen, IT-Anwendungen und der IT-Infrastruktur beeinträchtigt. Es handelt sich insbesondere dann um einen Sicherheitsvorfall, wenn: personenbezogene Daten oder Unternehmensdaten betroffen sind. Daten oder Informationen unrechtmäßig manipuliert, gelöscht oder offengelegt wurden. Systeme, Anwendungen oder Infrastruktur unrechtmäßig manipuliert, gelöscht, zerstört, offengelegt oder eingeschränkt wurden.
Change-Management	Zur Abbildung von Test- und Freigabeverfahren gemäß MaRisk AT 7.2 sowie betrieblicher Anpassungsprozesse gemäß MaRisk AT 8.2 steht in ForumISM der Bereich Change-Management zur Verfügung.

Begriffe ForumNMS

Begriff	Erläuterung
Handlungsfelder	Die sechs Handlungsfelder mit ihren jeweiligen Unterkategorien beziehen sich auf die sechs Themenbereiche, welche vom BVR vorgegeben sind.
Anforderungen	Durch regelmäßige Rundschreiben werden gesetzliche Anforderungen definiert, welche von den Häusern zu berücksichtigen sind.
Aktivitäten	Hausinterne Aktivitäten, z. Bsp. Projekte, Besprechungen u.a., welche Nachhaltigkeitsthemen betreffen, können als Aktivitäten definiert und dokumentiert werden.
Maßnahmen	Zu den Handlungsfeldern können zielführende Maßnahmen erstellt werden, anhand derer der Umsetzungsstatus überprüft werden kann.
Kontrolle	Kontrollhandlungen dienen der Überprüfung der Nachhaltigkeits-Strategie. Kontrollen helfen dabei, systemseitig die einzelnen Handlungsfelder zu auditieren und dies auch durch entsprechende Kontrollen zu dokumentieren.
Reifegradstufe	Die Reifegradstufe zeigt den aktuellen Umsetzungsstand bis hin zur Zielerreichung an.
Zielerreichungsgrad	Der Zielerreichungsgrad wird aus dem Umsetzungsstatus der zu den einzelnen Handlungsfeldern definierten Maßnahmen abgeleitet.
Jahresüberwachungsplan	Der Jahresüberwachungsplan stellt die Planung der Kontrollhandlungen durch den Nachhaltigkeits-Beauftragten dar.

Begriffe ForumNSR

Begriff	Erläuterung
Grundlagen	Im Bereich Grundlagen findet sich eine Vielzahl von Grundsatzdokumenten für die Bearbeitung der Standards in Ihrem Unternehmen.
Risikoanalyse	Ist eine systematische Analyse zur Identifikation und Bewertung von Risiken, unterteilt in eine einfache und detaillierte Analyse.
Zuständigkeit	Die Kompetenz einer Organisationseinheit bzw. eines Verantwortlichen.
Risiko-Cockpit	Eine Übersicht, welche Prozess- oder Projektrisiken abgebildet.
Standards	Gemäß den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den bankaufsichtlichen Anforderungen an die IT (BAIT) ist die Umsetzung des in der IT-Strategie gewählten Standards nachvollziehbar zu dokumentieren. Folgende Standards stehen für die Modellierung zur Verfügung: BSI-Grundschutzkompendium. ISO 27001 / 27002 (zusätzliche Lizenzierung beim Beuth-Verlag GmbH erforderlich). Standard für die Ordnungsmäßigkeit der IT-Verfahren (SOIT). Sicherheitsmaßnahmenkatalog der Fiducia & GAD IT AG (SiMaKat). BSI-Checklisten für ehemalige GAD-Banken. Versicherungstechnische Anforderungen an die IT (VAIT). Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT).
Reifegrad	Unter Reifegrad versteht man im Kontext des IT-Servicemanagments den Grad der Prozessbeherrschung bzw. Verbesserung. teilweise: Die Soll-Anforderungen aus dem gewählten Standard sind im Unternehmen teilweise umgesetzt und entsprechen nicht vollständig den Anforderungen. vollständig: Die Soll-Anforderungen aus dem gewählten Standard sind im Unternehmen vollständig umgesetzt bzw. erfüllen die Anforderungen. nicht umgesetzt : Die Soll-Anforderungen des gewählten Standards sind im Unternehmen nicht umgesetzt und entsprechen nicht den Anforderungen.
Abweichungen	Die Soll-Anforderungen aus dem gewählten Standard sind im Unternehmen teilweise umgesetzt oder nicht umgesetzt und entsprechen nicht vollständig den Anforderungen. In diesem Fall wird das Delta zur Sollanforderung beschrieben.
Umsetzungsstatus (von Aufgaben)	Nach Übernahme einer Aufgabe durch einen Bearbeiter ist die Realisierung des Aufgabeninhalts sicherzustellen und kann durch die Vergabe des Status offen, in Bearbeitung, und erledigt entsprechend dokumentiert werden.
Soll-Ist-Abgleich	In der Folge muss ein detaillierter Soll-Ist-Abgleich zwischen den Referenzmaßnahmen und der umgesetzten Maßnahmen vorgenommen und ein Reifegrad ermittelt werden. Die Soll-Anforderungen aus dem gewählten Standard werden mit im Unternehmen vorhanden IST-Umsetzung abgeglichen.
Realisierungsplanung	Zur Hilfestellungen bei der Lösung von Zielkonflikten (z. B. Wirtschaftlichkeit kontra Informationssicherheit) ist eine Realisierungsplanung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen. Dies umfasst das Festlegen von Zuständigkeiten, Terminen, und einem Status der zu erledigenden Aufgaben.
Relevanz	Die in ForumNSR angebotenen Standards beinhalten Kapitel, Bausteine und Maßnahmen. Diese müssen auf Relevanz für das Unternehmen geprüft und ausgewählt werden. Ausschließlich die als "relevant" markierten Kapitel, Bausteine und Maßnahmen werden bei der Bestimmung des Reifegrads berücksichtigt.

Begriffe ForumOSM

Begriff	Erläuterung
Dienstleister	Erbringt Leistungen für den Auftraggeber.
Leistung	Unter einer Leistung in ForumOSM versteht man sämtliche Dienstleistungen, die ein Dienstleister anbietet.
Überwachungsplan	Bietet eine Übersicht über die Überwachungsaktivitäten in ForumOSM.
SLA-Monitoring	SLA = Service Level Agreement (deutsch: Dienstgütevereinbarung). Im SLA-Monitoring können Sie Ihre mit den Dienstleistern geschlossenen Service-Level-Agreements prüfen und überwachen.
Zuständigkeiten	Die Kompetenz einer Organisationseinheit bzw. eines Verantwortlichen.
Klassifizierung	Ist eine systematische Analyse zur Identifikation und Bewertung von Risiken, unterteilt in eine einfache und detaillierte Analyse.
Risiko-Cockpit	Eine Übersicht, welche Prozess- oder Projektrisiken abgebildet.
Grundlagen	Im Bereich Grundlagen findet sich eine Vielzahl von Grundsatzdokumenten für das Auslagerungsmanagement in Ihrem Unternehmen.
Eingehende Berichte	Eine umfangreiche Übersicht der Berichte und weiteren dazugehörigen Informationen, unterteilt in die Bereiche `Risikoberichte`, `Berichte zur Weiterverlagerung`, `Revisionsberichte`, `externe Revisionsberichte` und `eigene Berichte`.
Reporting	Berichtswesen zu Informationen und Auswertungen in Ihrem Unternehmen.

Begriffe ForumTCM

Begriff	Erläuterung
Steuergebiete	Die Steuergebiete sind steuerrelevante Bereiche, die bankindividuell identifiziert werden und für die eine Risikoeinstufung vorgenommen werden soll.
Anforderungen	Durch regelmäßige Rundschreiben werden gesetzliche Anforderungen definiert, welche von den Häusern zu berücksichtigen sind.
Aktivitäten	Hausinterne Aktivitäten, z. Bsp. Projekte, Besprechungen u.a., welche steuerrelevante Themen betreffen, können als Aktivitäten definiert und dokumentiert werden.
Kontrollen	Kontrollen helfen dabei, systemseitig die einzelnen Steuergebiete zu auditieren und dies auch durch entsprechende Kontrollen zu dokumentieren.
Maßnahmen	An Risiken können zielführende Maßnahmen erstellt werden, an denen der Umsetzungsstatus überprüft werden kann.

Begriffe ForumWPC

Begriff	Erläuterung
Themengebiete	Die Themengebiete sind WpHG-relevante Bereiche, die bankindividuell identifiziert werden, für die eine Risikoeinstufung vorgenommen werden soll.
Scoring	Das Scoring ergibt sich aus neun Standard-Kriterien, deren Ergebnis jeweils mit einem Scorewert verbunden sind. Der Gesamtscore soll als quantitatives Hilfsmittel zur Risikoeinstufung dienen. Sowohl die Fragen, als auch der vorgegebenen Punkte sind unveränderbar. Der maximal zu erreichende Gesamtscore entspricht 49,5.
Themengebietsspezifische Fragen	Die Themengebietsspezifischen Fragen dienen als qualitative Unterstützung der Risikoeinstufung. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden.
Übergreifende Überwachungsaktivitäten	Die Übergreifende Überwachungsaktivität bildet den Rahmen einer bestimmten Überwachung. Sie ist einem Themengebiet und einer bestimmten Risikoanalyse zugeordnet. Einer Übergreifenden Überwachungsaktivität können mehrere Detaillierte Überwachungshandlungen und Erforderliche Maßnahmen zugeordnet werden.
Aspekte für Übergreifende Überwachungsaktivitäten	Die Aspekte sind Fragestellungen, die zur vollumfänglichen Überwachung eines Themengebiets herangezogen werden können. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden.
Detaillierte Überwachungshandlungen	Die Detaillierten Überwachungshandlungen dienen zur Dokumentation der Durchführung einzelner Überwachungshandlungen. Die Überwachungshandlungen können einer oder mehreren Übergreifenden Überwachungsaktivitäten zugeordnet werden.