Geschäftsprozesse
In der Übersicht werden Ihnen neben dem Geschäftsprozess auch die Verantwortung, Kritische oder wichtige Funktion, die Wesentlichkeit, der Schutzbedarf sowie die Anzahl der verknüpften Anwendungen angezeigt.
Übersicht
Geschäftsprozesse stehen in allen Anwendungen der ForumSuite zur Verfügung.
Unterschiede gibt es lediglich in der Art und Weise der Darstellung von Informationen zum Geschäftsprozess.
In ForumISM gibt es, neben der manuellen Erfassung oder der Übernahme der Geschäftsprozesse durch Vorschläge, zusätzlich die Möglichkeit einer Kopierfunktion von Geschäftsprozessen, um diese mehrfach nutzen zu können.
In ForumISM wird die Anzahl der mit dem Prozess verknüpften Anwendungen angezeigt.
Wir empfehlen, Geschäftsprozesse in ForumISM zu erfassen und in den anderen Anwendungen der ForumSuite mit Informationen der jeweiligen Anwendung anzureichern.
In ForumBCM werden Geschäftsprozesse kategorisiert nach Kritikalität dargestellt.
Als zusätzliche Information wird die Anzahl der mit dem Prozess verknüpften Notfallszenarien angezeigt.
In ForumDSM wird die Anzahl der mit dem Prozess verknüpften Verarbeitungstätigkeiten angezeigt.
Die Übersicht wird außerdem um die Information angereichert, ob der Prozess Personenbezogene Daten verarbeitet.
In ForumNSR wird die Anzahl der Verknüpfungen zu gewählten Standards mit angezeigt.
In ForumOSM wird die Anzahl der verknüpften Leistungen angezeigt.
Erfassung und Bearbeitung
Geschäftsprozesse können in jeder Anwendung der ForumSuite erfasst und bearbeitet werden.
Wir empfehlen, Geschäftsprozesse in ForumISM zu erfassen und in den anderen Anwendungen der ForumSuite mit Informationen der jeweiligen Anwendung anzureichern.
Für die Erfassung von Geschäftsprozessen wird mindestens das Recht Bearbeiter innerhalb der jeweiligen Anwendung benötigt.
Für die Bearbeitung von Geschäftsprozessen ist mindestens das Recht Leser + Verantwortung notwendig. Darüber hinaus muss bei dieser Konstellation der Mitarbeiter als Verantwortlicher im Geschäftsprozess hinterlegt sein.
Mitarbeiter mit dem Recht Bearbeiter können den Prozess in jedem Fall bearbeiten.
Erfassung
In Abhängigkeit von der Anwendung, in welcher der Geschäftsprozess erfasst wird, unterscheidet sich der mögliche Inhalt.
Prüfen Sie im Vorschlagsbereich, ob eventuell ein Objekt vorhanden ist, welches Ihren Anforderungen entspricht.
ForumISM sollte als primäre Erfassungsanwendung für Geschäftsprozesse fungieren.
Die Erfassungsmöglichkeiten sind in ForumISM am umfangreichsten.
Um eine Analyse der kritischen oder wichtigen Funktion durchführen zu können, bedarf es eines Freigegebenen Einstellungsdokumentes Kritische oder wichtige Funktion.
Um eine Schutzbedarfs-Analyse durchführen zu können, bedarf es eines Freigegebenen Einstellungsdokumentes Schutzbedarf.
Reiter Grundlagen
Im Reiter Grundlagen besteht die Möglichkeit die Wesentlichkeit(2) (ja, nein), die Begründung der Wesentlichkeit(3) und eine Beschreibung(4) zu hinterlegen.
Die Angabe, ob es sich um eine Kritische oder wichtige Funktion(1) handelt ist hier ebenfalls einzusehen. Der Wert des Feldes wird jedoch im Reiter Kritische oder wichtige Funktion ermittelt.
Reiter Verknüpfungen
Im Reiter Verknüpfungen können Informationsklassen(1), Anwendungen(2) sowie Dienstleistungen(3) verknüpft werden. Informationsklassen werden mit ihrem Schutzbedarf dargestellt, Anwendungen mit ihrem Schutzniveau.
Weitere IKT-Assets (Systeme und Infrastrukturobjekte) können unter Weitere Verknüpfungen(4 ) hinzugefügt werden.
Besteht ein Sicherheitsvorfall, der sich auf den Geschäftsprozess bezieht, dann wird dieser im Bereich Sicherheitsvorfälle(5) angezeigt.
Bei der Verknüpfung der IKT-Assets sowie der Dienstleistungen erfolgt die Ermittlung eines 4-stufigen Abhängigkeitsgrads, anhand dessen die Vererbung der Eigenschaft kritische oder wichtige Funktion festgelegt wird.
Informationsklassen sind nicht von dieser Logik betroffen und hier gibt es keine Unterscheidung nach Abhängigkeitsgrad.
Die Anzeige der Verknüpfungen in der Maske erfolgt gruppiert nach dem Abhängigkeitsgrad 1-4:
| Abhängigkeitsgrad | Hilfstext |
|---|---|
| 1 | Im Falle einer Unterbrechung der Dienste werden die unterstützten Funktionen nicht beeinträchtigt. |
| 2 | Im Falle einer Unterbrechung der Dienste werden die unterstützten Funktionen nicht wesentlich beeinträchtigt (keine Unterbrechung, kein größerer Schaden) oder die Unterbrechung kann schnell und mit minimalen Auswirkungen auf die unterstützte(n) Funktion(en) behoben werden. |
| 3 | Im Falle einer Unterbrechung der Dienste würden die unterstützten Funktionen erheblich beeinträchtigt, wenn die Unterbrechung länger als ein paar Minuten/ein paar Stunden dauert, und die Unterbrechung kann zu Schäden führen, die aber noch überschaubar sind. |
| 4 | Im Falle einer Unterbrechung der Dienste würden die unterstützten Funktionen sofort und für einen langen Zeitraum stark unterbrochen/beschädigt. |
Reiter Schutzbedarf
Im Reiter Schutzbedarf ist der Schutzbedarf einzusehen sowie die Schutzbedarfe der verknüpften Informationsklassen(3). Ist noch kein Schutzbedarf vorhanden, so kann ein neuer Schutzbedarf angelegt(1) oder ein bereits bestehender kopiert(2) werden. An Geschäftsprozessen werden die Schutzziele Verfügbarkeit (A), Vertraulichkeit (C), Integrität (I) und Authentizität (N) erfasst.
Reiter Kritische oder wichtige Funktion
Im Reiter Kritische oder wichtige Funktion kann für den Geschäftsprozess eine Analyse der kritischen oder wichtigen Funktion durchgeführt und hinterlegt werden. Nach Betätigen der Schaltfläche(1) stehen die entsprechenden Auswahlmöglichkeiten(2) zur Verfügung.
Ob es sich um eine kritische oder wichtige Funktion handelt, wird aufgrund der vordefinierten Stufen im Einstellungsbereich definiert.
Ergab die Analyse, dass es sich um eine kritische oder wichtige Funktion handelt, sollte die Zeitkritikalität im Bereich Wesentlichkeit angepasst werden.
Falls dies noch nicht geschehen ist, erscheint ein entsprechender Hinweis, dass der Prozess wesentlich ist. Über den Button Zeitkritikalität übertragen(3) kann die Anpassung automatisch vorgenommen werden.
Sowohl die Anzahl der zu betrachtenden Zeiträume als auch ihre Zeitwerte sowie die Bezeichnung der jeweiligen Kritikalitätsstufen können in den Einstellungen verändert werden. Eine nachträgliche Änderung der Anzahl der zu betrachtenden Zeiträume erfordert eine Überarbeitung des Bereichs Kritische oder wichtige Funktion.
Für die Eingabe wurden verschiedene Vereinfachungen implementiert, die genutzt werden können:
- farbliche Hinterlegung der entsprechenden Kritikalitätsstufen für bessere Erkennbarkeit
- Nutzung der Tabulatortaste zum Weiterschalten zwischen den einzelnen Feldern und Wahl der Kritikalitätsstufen mit ihren Anfangsbuchstaben (h=„hoch kritisch“, u=„unkritisch“, …)
Bearbeitung des Bereichs Kritische oder wichtige Funktion
Legen Sie im Bearbeiten-Modus eine neue Analyse an. Beginnen Sie im höchsten Zeitraum rechts mit der Einstufung, wird die Einstufung automatisch auf die niedrigeren Zeiträume nach links in der betreffenden Kritikalitätsstufe vererbt. Anpassungen können natürlich getroffen werden.
Vergeben Sie eine nachvollziehbare Begründung der getroffenen Einstellungen im Feld Bemerkung.
Vergeben Sie in einer niedrigeren Zeitstufe einen höheren Wert als in der höheren Zeitstufe, werden Sie über einen roten Hinweis darauf verwiesen. Eine Anpassung wird hier empfohlen.
Bearbeitung an einer bestehenden Analyse
Werden Änderungen in den Einstellungen zur Analyse der kritischen oder wichtigen Funktion durchgeführt, gilt es anlassbezogen bestehende Analysen zu überprüfen bzw. zu bearbeiten. Bereits im Lesemodus bekommen Sie im Reiter der Analysen den Hinweis, dass sich die Parameter in den Einstellungen geändert haben und eine Bearbeitung empfohlen wird.
Die Bearbeitung ist über zwei Wege möglich.
Die erfasste Analyse wird über die Schaltfläche Analyse entfernen(1)gelöscht und anschließend neu erstellt, oder über die Schaltfläche Parameter aktualisieren(2)auf den Stand der Einstellungen gebracht.
Reiter Risiken
Im Reiter Risiken werden die Risiken verknüpfter Anwendungen am Geschäftsprozess dargestellt. Dieser Reiter dient ausschließlich der Darstellung.
Reiter Change-Management
Ein Änderungsdokument wird direkt aus einem Geschäftsprozess oder einem Schutzobjekt unter dem Reiter Change-Management heraus angelegt. Sie haben die Möglichkeit ein neues Dokument anzulegen(1) oder die Inhalte aus einem bestehenden Dokument zu kopieren(2)(3).
Mit der Schaltfläche kopieren...(2) ist es möglich, Änderungsdokumente nur aus dem aktuellen Objekt zu duplizieren. Hierdurch werden Aufrufzeiten der zur Auswahl stehenden Objekte deutlich verringert. Über die Schaltfläche aus Allen kopieren...(3) werden Ihnen alle Änderungsdokumente zur Auswahl für das Kopieren aufgerufen. Dieser Vorgang kann bei einer großen Anzahl von Änderungsdokumenten Wartezeiten verursachen.
In ForumBCM können Grundinformationen zum Prozess erfasst werden.
Als weitere Anreicherung können Notfallszenarien zugeordnet und eine Business Impact Analyse durchgeführt werden.
Letzteres ist wichtig für die Einordnung des Prozesses innerhalb des Notfall-Managements und den daraus weiter resultierenden Schritten (z. Bsp. Erstellung eines Notfallszenarios + Notfallplan)
Um eine Business Impact Analyse durchführen zu können, bedarf es eines Freigegebenen Einstellungsdokumentes Business Impact Analyse .
In ForumDSM können Grundinformationen zum Prozess erfasst werden.
Als weitere Anreicherung können Verarbeitungstätigkeiten angelegt bzw. verknüpft sowie Datenklassen zugeordnet werden.
In ForumNSR können Grundinformationen zum Prozess erfasst werden.
Die Zuordnung zu Kapiteln eines Kataloges erfolgt aus dem jeweiligen Kapitel heraus.
In ForumOSM können Grundinformationen zum Prozess erfasst werden.
Als weitere Anreicherung können Leistungen verknüpft werden.
Kopierfunktion für Geschäftsprozesse
Möchte man einen bestehenden Geschäftsprozess samt der verknüpften Modelle einfach kopieren, so steht dafür in ForumISM im Extras-Menü rechts oben die entsprechende Funktion Geschäftsprozesse kopieren... zur Verfügung.
Das duplizierte Objekt wird in der Bezeichnung durch das vorangestellte Wort "Kopie" kenntlich gemacht, was aber anschließend beliebig geändert werden kann.
Verknüpfen von produktiven Dokumenten mit Vorschlägen
Erfasste Objekte ohne Bezug zu einem Vorschlag können nachträglich mit einem Vorschlagsdokument verknüpft werden.
Hierzu gehen Sie bitte wie folgt vor.
Verknüpfen von Vorschlägen mit selbsterstellten Objekten im Produktivbereich
Dargestellt wird die Herstellung einer Verknüpfung exemplarisch am Beispiel eines Geschäftsprozesses.
Drücken Sie einer beliebigen Ansicht die Schaltfläche
Vorschläge anzeigen(1).
Abbildung: Schaltfläche "Vorschläge anzeigen"Ist diese Schaltfläche nicht vorhanden, existieren keine Vorschläge für diesen Bereich.
Wählen Sie das zu verknüpfende Vorschlagsdokument aus.
Eine Auswahl ist nur möglich, wenn noch keine Verknüpfung mit einem Dokument im produktiven Bereich vorhanden ist.
Öffnen Sie das Dokument durch Klick auf die Bezeichnung(1).
Abbildung: Übersicht VorschlagsdokumenteDrücken Sie die Schaltfläche
Vorschlag verknüpfen(1).
Abbildung: Schaltfläche "Vorschlag verknüpfen"Wählen Sie aus dem Produktbereich das zu verknüpfende Dokument(1) aus und drücken Sie die Schaltfläche
Verknüpfen(2).
Arbeiten Sie mit der Suche.
Abbildung: Dokument verknüpfenDas Dokument kann derzeit nur mit dem Vorschlagsdokument verknüpft werden. Inhalte können Sie erst bei einem zukünftigen Vorschlagsupdate übernehmen.