IKT-Asset-Maßnahmen
In dieser Übersicht werden alle IKT-Asset-Maßnahmen, deren Verantwortung, der Status und die Anzahl der verknüpften Risiken angezeigt.
Für eine bessere Übersichtlichkeit besteht die Gruppierung nach den IKT-Assets und eine Kategorisierung nach deren Bezeichnung.
Durch Öffnen eines Untermenüs Offene Maßnahmen, Bearbeitete Maßnahmen oder Erledigte Maßnahmen können die IKT-Asset-Maßnahmen entsprechend gefiltert angezeigt werden.
IKT-Asset-Maßnahmen sind eigene Unterdokumente zu einem IKT-Asset. Sie beschreiben jeweils die Maßnahmen zu einem oder mehreren sicherheitskritischen Bereichen.
Erstellung und Beschreibung von Schutzmaßnahmen
Maßnahmen zur Reduktion von Risiken können auf verschiedenen Wegen angelegt werden.
1) Maßnahmenerstellung aus dem Risiko heraus
Sie können direkt vom Risiko aus (im Unterreiter "Bewertung" über den Button Maßnahme anlegen)
eine neue Maßnahme erstellen. Dabei wird die Maßnahme automatisch dem Risiko zugewiesen.
Der Maßnahme können weitere Risiken, sicherheitskritische Bereiche sowie übergreifende Maßnahmen zugeordnet werden. Bei der Maßnahme können Bewertungen für eine Risikoreduktion und entstehende Kosten hinterlegt werden. Dies führt jedoch nicht zu einer automatischen Reduktion der Risikoklasse.
Die Einstufung der Risikoeigenschaften nach Anwendung der angelegten Maßnahmen (Restrisiko) muss vom Nutzer nach Anlage der Maßnahmen von Hand durchgeführt werden, da eine automatische Anpassung nicht möglich ist.
2) Maßnahmenerstellung aus dem IKT-Asset heraus
Alternativ können Sie aus dem IKT-Asset heraus über den Button Maßnahme anlegen...
IKT-Asset-Maßnahmen anlegen.
Neue Maßnahme anlegen
Üblicherweise wird eine Schutzmaßnahme aus dem Prozess der Risikomodellierung angelegt.
Zur Erstellung und Beschreibung einer Schutzmaßnahme gehen Sie wie folgt vor:
- Öffnen Sie das betreffende IKT-Asset im Bearbeitungsmodus.
- Wechseln Sie zur Registerkarte „Risikomanagement“ und klicken Sie auf
Maßnahme anlegen
. - Wählen Sie eine aussagekräftige Bezeichnung für die neue Maßnahme.
Definieren Sie optional einen Sortierschlüssel für eine übersichtliche Anzeige der einzelnen Maßnahmendokumente des IKT-Assets.
Soll die Maßnahme nicht sofort implementiert werden, wählen Sie bitte einen abweichenden Status.
Angelegte Schutzmaßnahmen können mit einem Status versehen werden, um auch Maßnahmen berücksichtigen zu können, die noch nicht vollständig implementiert bzw. nur vorgeschlagen sind. Damit wird es möglich, sowohl entsprechende Maßnahmen zu empfehlen als auch die Ablehnung von Maßnahmen zu dokumentieren.
- Geben Sie dem Objekt eine Verantwortung.
Wählen Sie mit dem Objekt verbundene Risiken aus der Dropdown-Liste aus, die in dieser Maßnahme behandelt werden sollen. Nach Auswahl eines Risikos können Sie dieses über die Schaltfläche
Auswahl bearbeiten
bearbeiten bzw. die Verknüpfung wieder lösen.- Bestimmen Sie die Risikoreduktion der Maßnahme („unwesentlich“, „niedrig“, „mittel“ oder „wesentlich“).
- Bestimmen Sie die Kosten („keine“, „gering“, „mittel“ oder „hoch“).
Bestimmen Sie die Prioritätsstufe der Maßnahme („niedrig“, „mittel“ oder „hoch“).
Die angegebene Prioritätsstufe dient dazu, zeitlich wichtige Aufgaben für die Bearbeiter besser erkennbar zu machen.
Bestimmen Sie, ob die Maßnahme zur Notfallvorsorge für dieses IKT-Asset herangezogen werden soll.
Beschreiben Sie die Maßnahme.
- Dokumentieren Sie die Maßnahmenumsetzung: Welche der beschriebenen Maßnahmen sind abgearbeitet? (Nutzen Sie ggf. das Anlegen von Aufgaben oder Workflows).
- Ordnen Sie ggf. übergreifende Maßnahmen über die Schaltfläche
Aus der Liste wählen...
zu, die zur Umsetzung dieser Maßnahme beitragen. - Bestätigen Sie Ihre Eingaben mit
Speichern und Schließen
.
Maßnahme kopieren
IKT-Asset-Maßnahmen können auch von anderen IKT-Assets des gleichen Typs (Anwendung / System / Infrastruktur) über den Button Maßnahme kopieren von...
kopiert werden. Somit ist es möglich, ähnliche Maßnahmen für mehrere IKT-Assets anzulegen, ohne jeweils die komplette Maßnahme nochmals bearbeiten zu müssen.
- Öffnen Sie das betreffende IKT-Asset im Bearbeitungsmodus.
- Wechseln Sie zur Registerkarte „Risikomanagement“ und klicken Sie auf
Maßnahme kopieren von...
. - Die Maßnahme wird mit dem Wort "Kopie" als solche gekennzeichnet. Wählen Sie eine aussagekräftige Bezeichnung für die neue Maßnahme.
Definieren Sie optional einen Sortierschlüssel für eine übersichtliche Anzeige der einzelnen Maßnahmendokumente des IKT-Assets.
Soll die Maßnahme nicht sofort implementiert werden, wählen Sie bitte einen abweichenden Status.
- Die Verantwortung ist aus der kopierten Maßnahme vorbelegt. Sie können die Verantwortung auf Wunsch ändern.
Ordnen Sie ein Risiko aus der Dropdown-Liste der kopierten Maßnahme zu. Es stehen hierbei nur Risiken zur Auswahl, die bereits mit dem IKT-Asset verbunden sind. Nach Auswahl eines Risikos können Sie dieses über die Schaltfläche
Auswahl bearbeiten
bearbeiten bzw. die Verknüpfung wieder lösen.Bitte beachten Sie beim Kopieren einer Maßnahme, dass im Nachgang das Risiko zu bearbeiten ist. Wie beim Anlegen einer neuen Maßnahme stehen Ihnen nur die mit dem IKT-Asset bereits verbundenen Risiken zur Auswahl, die Sie in der Dropdown-Liste aufrufen können.
- Bestimmen Sie die Risikoreduktion der Maßnahme („unwesentlich“, „niedrig“, „mittel“ oder „wesentlich“).
- Bestimmen Sie die Kosten („keine“, „gering“, „mittel“ oder „hoch“).
- Bestimmen Sie die Prioritätsstufe der Maßnahme („niedrig“, „mittel“ oder „hoch“).
- Bestimmen Sie, ob die Maßnahme zur Notfallvorsorge für dieses IKT-Asset herangezogen werden soll.
- Beschreiben Sie die Maßnahme.
- Dokumentieren Sie die Maßnahmenumsetzung: Welche der beschriebenen Maßnahmen sind abgearbeitet? (Nutzen Sie ggf. das Anlegen von Aufgaben oder Workflows).
- Ordnen Sie ggf. übergreifende Maßnahmen über die Schaltfläche
Aus der Liste wählen...
zu, die zur Umsetzung dieser Maßnahme beitragen. - Bestätigen Sie Ihre Eingaben mit
Speichern und Schließen
.
Bearbeitung von Schutzmaßnahmen
Solange die Maßnahmen für ein IKT-Asset insgesamt noch nicht als freigegeben markiert sind, können die einzelnen Maßnahmendokumente jederzeit in den Modus „Bearbeiten“ gebracht und danach Ergänzungen bzw. Änderungen vorgenommen werden.
Überarbeiten Sie das übergeordnete IKT-Asset, um Änderungen an der Maßnahme durchführen zu können.