Skip to main content
Skip table of contents

Version 2024-11

Verbesserung in ForumISM

Kopierfunktion für die Umsetzung von Sollmaßnahmen an Dienstleistungen

Für IKT-Dienstleistungen wurde eine Kopierfunktion für die Umsetzung der Sollmaßnahmen implementiert, um eine Erleichterung bei der Bewertung von Sollmaßnahmen zu ermöglichen. 

Wurden Bausteine mit Sollmaßnahmen an einem Asset hinzugefügt, kann per Button "Bewertung übernehmen..." die bereits an anderen Dienstleistungen getroffene Bewertung der Sollmaßnahmen übernommen werden. Dazu öffnet sich ein Auswahldialog, über den die betreffenden Dienstleistungen und deren verknüpften Sollmaßnahmen per Anhaken übernommen werden können. Im Anschluss sollte nochmals eine Bestätigung neuer und entfallener Maßnahmen durchgeführt werden.

Die Kopie ist nur von gleichen Assets (von Dienstleistung zu Dienstleistung) möglich. Die Funktion steht im Bearbeiten-Modus zur Verfügung.

Abbildung: Kopierfunktion von Sollmaßnahmen - Bewertung übernehmen

Erweiterung des Sollmaßnahmen-Cockpits

Neben den bisher bereits angezeigten Sollmaßnahmen der IKT-Assets (Anwendungen, Systeme, Infrastrukturobjekte) werden nun auch die Sollmaßnahmen der Dienstleistungen mit im Cockpit angezeigt und können in die generelle Betrachtung der noch durchzuführenden Maßnahmen einbezogen werden.

Abbildung: Sollmaßnahmen aus Dienstleistungen

Erweiterung der Felder an Bedrohungen

An Bedrohungen wurden einige neue Felder ergänzt.

Unter Bedrohungsart stehen zwei Arten zur Auswahl: 

  • Bedrohung ohne Vorsatz
  • Bedrohung mit Vorsatz

Der Bedrohungsfaktor (1-niedrig, 2-mittel, 3-hoch, 4-sehr hoch) ist nur sichtbar bei einer Bedrohung ohne Vorsatz.

Abbildung: Bedrohung ohne Vorsatz

Bei einer Bedrohung mit Vorsatz erscheinen die Felder Bedrohungsfaktor Fähigkeiten, Bedrohungsfaktor Ressourcen und Bedrohungsfaktor Motivation.

Die Bewertung erfolgt jeweils nach dem Schema 1-niedrig, 2-mittel, 3-hoch, 4-sehr hoch.

Abbildung: Bedrohung mit Vorsatz

Das Bedrohungsergebnis wird bei beiden Bedrohungsarten automatisch aus den Angaben abgeleitet.

Beschreibung der "Art der IKT-Dienstleistung"

Für eine Beschreibung der möglichen Arten von IKT-Dienstleistungen wurden umfangreiche Hilfstexte hinterlegt, die auch mit Beispielen angereichert sind, um eine einfache Zuordnung zu ermöglichen.

Art der IKT-Dienstleistung

Kategorisierung der Dienstleistungen nach "Art der IKT-Dienstleistung"

In der Anwendung ForumISM wurden die Dienstleistungen zusätzlich nach Ihrer Art gruppiert, wodurch die Ansicht übersichtlicher wird. Die Bezeichnung der Art wurde um ein Präfix erweitert.

Abbildung: Kategorisierung der Dienstleistungen nach "Art der IKT-Dienstleistung"

Zuordnung bearbeiteter Sollmaßnahmen aus dem BASI auf die Umsetzung des BaSo an IKT-Assets

Diese Änderung betrifft ausschließlich Kunden des Verfahrenslieferanten aus dem Geno-Umfeld.

Wurden IKT-Assets mit Maßnahmen aus dem "Bankindividuellen SiMaKat" (BASI) verknüpft und am Asset bearbeitet, können diese mit Version 2024-11 der ForumSuite auf die zugehörigen Maßnahmen aus dem Banken Sollmaßnahmenkatalog (BaSo) des Verfahrenslieferanten übertragen werden.

Abbildung: Zuordnung bearbeitete BASI-Maßnahmen auf BaSo

Ausblenden der Spalte "Schutzniveau" im Assetmanagement

Diese Änderung betrifft ausschließlich Kunden des Verfahrenslieferanten aus dem Geno-Umfeld.

Als Vorgriff auf den geplanten Rückbau des Schutzniveaus wird im Reiter "Assetmanagement" die Spalte "Schutzniveau" für folgende IKT-Assets ausgeblendet:

  • Anwendungen
  • Systeme
  • Infrastruktur

Abbildung: Ausblendung Spalte "Schutzniveau"


Umbenennung des Reiters "Schutzniveau" in "Soll-/Ist-Abgleich" 

In den IKT-Assets Anwendungen, Systeme und Infrastruktur wurde im Reiter Schutzbedarf der Bereich "Schutzniveau" in "Soll-/Ist-Abgleich" umbenannt werden.

Abbildung: Umbenennung des Reiters "Schutzniveau" in "Soll-/Ist-Abgleich" 


Übertragung der Relevanzwerte aus verknüpften Informationsklassen und Geschäftsprozessen

Sind IKT-Assets (Anwendungen, Systeme, Infrastrukturobjekte, Dienstleistungen) mit einer hohen Abhängigkeit mit Geschäftsprozessen verknüpft, so werden sowohl die Bewertung für die "kritische oder wichtige Funktion", als auch die Relevanzen der Informationsklassen des Geschäftsprozesses (steuerungsrelevant, datenschutzrelevant, rechnungslegungsrelevant) an das Asset übertragen.

Relevanz an IKT-Assets


Schutzbedarf an Geschäftsprozessen

Sofern noch kein Schutzbedarf festgelegt wurde und ein Vorschlag dafür existiert, kann dieser Vorschlag als Grundlage für eine eigene Bewertung verwendet werden. Veraltete Werte für Vertraulichkeit (C), Integrität (I) und Authentizität (N) können mit der Schaltfläche "veraltete Werte entfernen" gelöscht werden. Dann bleibt nur der Wert für Verfügbarkeit (A) erhalten. Die Werte für Vertraulichkeit (C), Integrität (I) und Authentizität (N) ergeben sich aus dem Schutzbedarf der direkt oder indirekt verknüpften Informationsklassen mit Schutzbedarf nach dem Maximalprinzip.

IKT-Assets Anwendungen

Weitere Verknüpfungen

In diesem Bereich können Sie bei Bedarf der Anwendung manuell weitere Informationsklassen zuordnen.

Sofern die Anwendung für einzelne aus zugeordneten Geschäftsprozessen verknüpften Informationsklassen nicht relevant ist, können diese manuell abgewählt werden. Die Begründung der Abwahl kann in der nächsten Zeile erfasst werden.

Abbildung: Ansicht Informationsklassen in ForumISM

Wegfall Eingabefelder

In ISM wurden die Felder für Anfang und Ende der Dienstleistung entfernt

Abbildung: Entfall der Eingabefelder Beginn und Ende der Dienstleistung

Spezifisches Sollmaßnahmenprofil: Sollmaßahmen für Leistungen

Zur Abbildung eines Soll-/Soll-Abgleiches und eines Soll-/Ist-Abgleiches für Sollmaßnahmen an IKT-Dienstleistungen (Leistungen) gibt es zwei Reifegrade:

"Vertragliche Regelung (Soll/Soll)" und "Operative Umsetzung (Soll/Ist)" (bisherig Reifegrad)

Abbildung: Spezifische Sollmaßnahmen für Dienstleistungen

Die Sollmaßnahmen von IKT-Dienstleistungen werden in das Sollmaßnahmen-Cockpit aufgenommen, dabei wird von den beiden Reifegraden an den einzelnen Sollmaßnahmen jeweils nur ein Wert übernommen.


Neue Funktionen und Verbesserungen in der ForumSuite 2024-11

Unterscheidung GENO-Kunden mit Nutzung des Verfahrenslieferanten (ITR-Bundle) und Nicht-GENO-Kunden

Verschiedene Funktionen und Einstellungen wurden nur für Nutzer des Genossenschaftlichen Umfelds mit Nutzung der Vorschläge des Verfahrenslieferanten zur Verfügung gestellt. Diese Einstellungen und Sonderfeatures werden entsprechend im Handbuch mit dem Hinweis ITR-BUNDLE markiert. Diese Funktionen unterscheiden sich zum Teil für Nutzer aus dem Nicht-Geno-Umfeld.

Sobald das ITR-Bundle mit den Vorschlägen des Verfahrenslieferanten genutzt wird, werden im Hintergrund die entsprechenden Einstellungen aktiviert.

Für Geno-Kunden mit Nutzung des ITR-Bundles wurde bereits als Vorgriff auf den Rückbau des Schutzniveaus in ForumISM in den folgenden drei Ansichten im Reiter "Assetmanagement" die Spalte "Schutzniveau" ausgeblendet: Anwendungen, Systeme, Infrastruktur.

Abbildung: Entfernung der Spalte Schutzniveau für Geno-Kunden

ITR-BUNDLE Erfassen der Schwachstelleneinstufung an Maßnahmen des BaSo-Katalogs

Die Nutzung des BaSo-Katalogs ist nur im Zusammenhang der Verwendung des ITR-Bundles möglich. Die BaSo-Maßnahmen wurden um Felder und eine Berechnungslogik zur Bewertung möglicher Schwachstellen ergänzt. Die Angaben werden durch die Vorschläge vorgegeben.

Abbildung: BaSo-Maßnahmen - neue Felder

ITR-BUNDLE BASO-ID

Zur eindeutigen Identifikation der BaSo-Maßnahmen wurde außerdem eine BASO-ID vergeben, welche auch in ForumISM an den Sollmaßnahmen angezeigt wird. 

Abbildung: BASO-ID

ITR-BUNDLE  Risikokriterien - Neue Einstellungen zur Ermittlung von Risikoempfehlungen

Der neue Bereich der Risikoempfehlungen ist nur relevant, wenn das ITR-Bundle mit dem BaSo-Katalog im Einsatz ist. Die Funktion gilt also nur für betroffene BaSo-Maßnahmen.

Unter Einstellungen wurde im Bereich der Risikokriterien eine neue Funktion zur Risikoempfehlung implementiert. In diesem Zusammenhang wurde der Bereich in drei Reiter aufgeteilt, um die Übersichtlichkeit zu verbessern.

Der berechnete Gesamtwert der JRE (Jährliche Risiko-Eintrittswahrscheinlichkeit) aus allen Bedrohungen mitsamt der Schwachstelleneinstufungen muss auf eine Stufe der Eintrittswahrscheinlichkeit (EW) gemappt werden.

Hierzu dient die Tabelle in den Einstellungen unter Risikoempfehlung. Die Schwellwerte zur JRE sind bereits vorgegeben, können kundenseitig aber geändert werden. (Die Werte werden als Float-Zahlen gespeichert, und müssen aufsteigend definiert sein sowie größer oder gleich Null sein.)

An den Bedrohungen kann auf Basis ein "Bedrohungsergebnis" ermittelt werden, das Werte von 1-4 annehmen kann (Float). Anhand einer Tabelle wird in 4 Stufen ein Mapping zu einer entsprechenden Auftrittshäufigkeit in Jahren erfasst. Dazu wird das JRE-Verfahren verwendet, wobei für jede Stufe definiert wird, welcher statistische Erwartungswert in Jahren damit verbunden ist.

Die Stufe der Eintrittswahrscheinlichkeit ist vorgegeben und kann nicht geändert werden.

Bei nicht vollständig umgesetzten Sollmaßnahmen wird damit aus Bedrohung, Schwachstelle und Schadenspotential automatisch ein Risikovorschlag ermittelt, der dem User die weitere Bearbeitung erleichtern soll.

Abbidlung: Erweiterter Umfang der Risikokriterien

Automatische Risikoermittlung bei Abweichungen von Sollmaßnahmen

Bei BaSo-Sollmaßnahmen, deren Umsetzungsstatus "teilweise umgesetzt" oder "nicht umgesetzt" ist, wird bei Erstellung eines GAP-Risikos nach Auswahl einer Bedrohung (+Speichern) in der Bewertung des Risikos eine automatische Risikoermittlung angezeigt.

Abbildung: BaSo-Sollmaßnahmen - automatische Risikoermittlung


Abbildung: automatische Risikoempfehlung an GAP-Risiken

Massenaktualisierung von abweichenden Risiken

Die Risiken mit abweichendem Bewertungsschema werden im Risiko-Cockpit in einem eigenen Bereich angezeigt.

Es kann für die geänderten Risiken eine Massen-Aktualisierung durchgeführt werden.

Abbildung: Risiken mit abweichendem Bewertungsschema


Export von Sollmaßnahmen auch ohne Nutzung ForumOSM

Die Sollmaßnahmen an IKT-Dienstleistungen können nun auch als Export zur Verfügung gestellt werden, auch wenn der Kunde kein ForumOSM aktiviert hat.

Erweiterung der möglichen Vorschlagswerte für die Einstellungen

Im Bereich der Einstellungen wurden weitere Bereiche für die Hinterlegung von Vorschlagstexten vorbereitet, die in weiteren Vorschlagsupdates dann übermittelt werden können.

Sofern es für die Einstellungen Analyse kritische oder wichtige Funktion (ForumISM) bzw. Business Impact Analyse (ForumBCM) einen Vorschlag gibt, erscheinen Hinweistexte und Button zur Übernahme des Vorschlages.

HCL Domino Plattform

Neue und geänderte Funktionen, welche nur die HCL Domino Plattform betreffen.

  • keine

Java Plattform

Neue und geänderte Funktionen, die nur die Java Plattform betreffen.

  • keine








Fehlerbehebungen in ForumISM

  • Nach Umbau der Vererbung des Schutzbedarfs wurde dessen Anzeige in den Geschäftsprozess-Grid-Spalten nicht berücksichtigt (z.B. Maske IKT-Dienstleistung). Diese fehlerhafte Anzeige des Schutzbedarfs wurde in den betreffenden Ansichten bereinigt. 

Fehlerbehebungen in der ForumSuite 2024-11

  • Ein Problem bei der PDF-Ausgabe von Aufgaben wurde behoben. Wurde eine Aufgabe, die im edit ist, als PDF ausgegeben, wurde das Feld "Fälligkeitsdatum" geleert. Nun müssen Aufgaben erstmalig gespeichert werden, damit ein PDF ausgegeben werden kann. Somit wird die Leerung des Feldes umgangen.
  • Beim Abgleich mit Vorschlag unter "Inhalte aktualisieren" im Abschnitt "Anhänge" funktioniert keine der drei Auswahlmöglichkeiten "Alle, Keine, Invertieren". Dieses Problem wurde behoben.
  • Ein Problem beim Autofokus von Input-Feldern wurde behoben. 
  • Im Zuge von Anpassungsmaßnahmen wurde die Funktion zur Benachrichtigung geänderter Vorschläge deaktiviert. 
  • Das Löschen von IKT-Assets bzw. Geschäftsprozessen ist nun auch bei Verknüpfungen zu NSR-Bausteinen möglich.



JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.