Begrifflichkeiten in ForumNMS
In den nachfolgenden Abschnitten erläutern wir die in den Anwendungen der ForumSuite verwendeten Begriffe. Die einzelnen Begriffe sind dabei als Links ausgeführt, über welche die jeweiligen Bereiche direkt geöffnet werden.
Begriff | Verwendung | Erläuterung | |
---|---|---|---|
Verantwortung | Jedes Objekt in der ForumSuite sollte mit einer Verantwortung besetzt werden. Die Vergabe einer Verantwortung ist auch eine Voraussetzung für die Benachrichtigung, zum Beispiel für fällige Wiedervorlagen oder Aufgaben. | ||
Hauptverantwortlicher | Hauptverantwortung - kann als natürliche Person oder auch als Organisation dargestellt werden | ||
Weiterer Verantwortliche | Stellvertretung - kann als natürliche Person oder auch als Organisation dargestellt werden | ||
Ersteller | Ist ein Workflow einmal gespeichert wurden, kommt das Feld Ersteller hinzu. Der angemeldet User wird hier automatisch hinterlegt. | ||
Beobachter | Der Ersteller eines Workflows kann eine natürliche Person oder auch eine Organisationen als Beobachter hinterlegen. Beobachter (Beteiligte) haben keinen Einfluss auf die Bearbeitung, aber können an dem Fortschritt der Bearbeitung teilhaben. Dies geschieht durch das Versenden von Benachrichtigungen, bis zur Fertigstellung der Bearbeitung. Zur Auswahl stehen an dieser Stelle nur bereits angelegte Verantwortungen. | ||
Empfänger | Aus vielen Objekten in der ForumSuite ist das Versenden einer Hinweismail möglich. Um diese E-Mail versenden zu können, bedarf es eines Empfängers. Als Empfänger können nur natürliche Person verwendet werden. |
Begriff | Erläuterung | |
---|---|---|
Notfall | Schadensereignis mit großen negativen Auswirkungen auf die Bank. | |
Notfallbeauftragter | Steuerung aller Aktivitäten rund um die Notfallvorsorge. | |
Maximal tolerierbare Ausfallzeiten | Für die als zeitkritisch eingestuften Prozesse sind individuelle Zeitfenster in Bezug auf die max. tolerierbare Ausfalldauer definiert. | |
Katastrophe | Großschadensereignis, das zeitlich und örtlich kaum begrenzbar ist und großflächige Auswirkungen auf die Bevölkerung, Tiere und Sachwerte hat oder haben kann. | |
Krise | Schadensereignis mit großen bis existenzbedrohlichen negativen Auswirkungen für die Bank, das Leben und die Gesundheit von Personen gefährdet. | |
Krisenstab | Speziell zusammengesetzte und mit besonderen Befugnissen ausgestattete Personengruppe. | |
Prozessverantwortlicher | Erstellung der Geschäftsfortführungspläne auf Prozessebene. | |
Störung / Betriebsunterbrechung | Schadensereignis mit geringen negativen Auswirkungen auf die Bank. |
Begriff | Erläuterung | |
---|---|---|
Rechtsgebiete | Die BaFin gibt die MaRisk-Compliance-relevanten Rechtsgebiete vor, die seitens der BVR zweimal jährlich veröffentlicht werden. Die Liste ist nicht fix, sondern verändert sich in unregelmäßigen Abständen. Auch kann es vorkommen, dass die BaFin die Risikoeinstufung oder die MaRisk-Compliance-relevanz zu einzelnen Rechtsgebieten anpasst. | |
Typologien | Was kann passieren, wenn man die regulatorischen und aufsichtsrechtlichen Vorgaben nicht erfüllt. | |
Rechtsmonitoring | Jede Bank ist dazu angehalten, ein rechtliches Monitoring zu führen, in dem alle relevanten rechtlichen und aufsichtsrechtlichen Anforderungen aufgeführt sind. Bankintern ist die Umsetzung seitens des Beauftragten MaRisk-Compliance zu überwachen. Bestandteile des Monitorings sind relevante höchstrichterliche Urteile oder Rundschreiben aus den jeweiligen Verbänden. | |
Sicherungsmaßnahmen | Sicherungsmaßnahmen dienen dazu, ein Risiko einer Typologie zu reduzieren. Hierbei ist es wichtig, dass nicht nur beurteilt wird, ob es eine Sicherungsmaßnahme gibt, sondern auch ob Sie auch angemessen und wirksam sind. Desto wirksamer die Sicherungsmaßnahmen, desto geringer das Risiko. | |
Jahresüberwachungsplan | Der Jahresüberwachungsplan stellt die Planung der Kontrollhandlungen durch den Compliance-Beauftragten dar. Im Gegensatz zu der Internen Revision ist der Jahresüberwachungsplan des Beauftragten MaRisk-Compliance dynamisch; d.h. er verändert sich im Laufe eines Jahres immer wieder. Der Beauftragte kann zu Jahresbeginn nicht wissen, welche Gesetze in diesem Jahr verabschiedet werden, welche internen wesentlichen Änderungen und Projekte angestoßen werden -und wie diese auf die Risikosituation der Bank auswirken, genauso wenig weiß er, welche compliance-relevanten Ereignisse stattfinden oder welche relevanten Rundschreiben wer veröffentlicht |
Begriff | Erläuterung | |
---|---|---|
AV | AuftragsVerarbeitung | |
Betroffenenrechte | Unter Betroffenenrechten, oder den „Rechten der betroffenen Person“ im Terminus der EU-DSGVO, versteht das Datenschutzrecht die Rechte jedes Einzelnen gegenüber dem für die Verarbeitung Verantwortlichen. In der neuen Fassung des BDSG beschäftigt sich das Kapitel 2 in den §§ 32 bis 37 mit diesen Rechten. In der EU-DSGVO finden sich diese im Kapitel III, Artikel 12 bis 23. | |
Beweislastumkehr | Stärker als bisher tritt mit der EU-DSGVO eine Beweislastumkehr für die Verarbeitung von Daten in Kraft. Während der § 7 Satz 2 BDSG eine Schadenersatzpflicht gegenüber Betroffenen verneint, wenn "die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat", geht die EU-DSGVO noch deutlich weiter. Hier wird im Art. 5 Abs. 2 der Nachweis der Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten und damit eine ausführliche Dokumentation aller Verarbeitungsvorgänge gefordert. | |
Datenschutz-Folgenabschätzung | Die Datenschutz-Folgenabschätzung (DSFA) ähnelt der bisher im deutschen Datenschutzrecht schon bekannten Vorabkontrolle (§ 4d Abs. 5 BDSG). Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen wird es notwendig, unter Zuhilfenahme des Datenschutzbeauftragten die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen zu prüfen und eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abzugeben. Wie die Vorabkontrolle dient die Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. | |
DSAnpUG-EU | Datenschutz-Anpassungs- und Umsetzungsgesetz–EU (BDSG neue Fassung). | |
EU-DSGVO | EUropäische Datenschutzgrundverordnung. | |
Privacy by Default | Datenschutzfreundliche Voreinstellungen/Standardeinstellungen. Per Voreinstellung: Verarbeitung nur von Daten, deren Verarbeitung für den bestimmten Verarbeitungszweck erforderlich sind. | |
Privacy by Design | Privacy by Design. Ziel ist ein "eingebauter" Datenschutz bereits in den Anwendungen, Systemen und Prozessen. |
Begriff | Erläuterung | Begriff | Erläuterung |
---|---|---|---|
Schutzbedarfsanalyse (SBA) | Gibt die Schutzbedürftigkeit eines Geschäftsprozesses oder einer Datenklassen an. Für die Ermittlung der Schutzbedürftigkeit stehen verschiedenen Klassifizierungsmöglichkeiten zur Verfügung. Der ermittelte Schutzbedarf eines Objektes sollte mit dem Schutzniveau der verknüpften Objekte (Anwendungen, Systeme, Infrastruktur) korrelieren. Ist dies nicht der Fall, kann/sollte ein entsprechendes Abweichungsrisiko (GAP-Risiko) erfasst und bewertet werden. | Themengebiete | Die Themengebiete sind WpHG-relevante Bereiche, die bankindividuell identifiziert werden, für die eine Risikoeinstufung vorgenommen werden soll. |
Bewertung der Wesentlichkeit | Die Wesentlichkeit eines Geschäftsprozesses für das Unternehmen kann nach den Kriterien „zeitkritisch“, „wirtschaftlich“, „rechtlich“ oder „hoher Schutzbedarf“ vorgenommen werden. | Scoring | Das Scoring ergibt sich aus neun Standard-Kriterien, deren Ergebnis jeweils mit einem Scorewert verbunden sind. Der Gesamtscore soll als quantitatives Hilfsmittel zur Risikoeinstufung dienen. Sowohl die Fragen, als auch der vorgegebenen Punkte sind unveränderbar. Der maximal zu erreichende Gesamtscore entspricht 49,5. |
Business Impact Analyse | Für die Bewertung des Business Impact sind Bezeichnungen für vier Kritikalitätsstufen vorgeschlagen. Diese Bezeichnungen können nach Belieben angepasst werden. | Themengebietsspezifische Fragen | Die Themengebietsspezifischen Fragen dienen als qualitative Unterstützung der Risikoeinstufung. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden. |
Schutzbedarf | Die geschäftsprozessorientierte Arbeitsweise stellt das Tätigkeitsfeld der Unternehmen in den Vordergrund. Die Fragestellungen sind dabei:
Der Geschäftsprozess wird damit zum eigentlich schützenswerten Element und hat daher einen Schutzbedarf. Die Anforderungen zur Verfügbarkeit des Geschäftsprozesses richten sich dabei nach der Zeitspanne, die der Prozess maximal ausfallen darf. Anforderungen an Vertraulichkeit, Integrität und Authentizität richten sich nach den verarbeiteten Daten. Zur Erreichung dieses Schutzbedarfes müssen die verwendeten Objekte ein entsprechendes Schutzniveau bieten. | Übergreifende Überwachungsaktivitäten | Die Übergreifende Überwachungsaktivität bildet den Rahmen einer bestimmten Überwachung. Sie ist einem Themengebiet und einer bestimmten Risikoanalyse zugeordnet. Einer Übergreifenden Überwachungsaktivität können mehrere Detaillierte Überwachungshandlungen und Erforderliche Maßnahmen zugeordnet werden. |
Schutzniveau | Für viele Objekte werden die Werte zum Schutzniveau bereits in den Vorschlägen zu ForumISM mitgeliefert. Im Optimalfall bietet der Hersteller der Anwendung / des Systems ein Sicherheitskonzept, in dem das Objekt bereits hinsichtlich seiner einzelnen Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) bewertet ist. Steht ein solches Sicherheitskonzept nicht zur Verfügung, muss eine eigene Bewertung durchgeführt werden. | Aspekte für Übergreifende Überwachungsaktivitäten | Die Aspekte sind Fragestellungen, die zur vollumfänglichen Überwachung eines Themengebiets herangezogen werden können. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden. |
GAP-Risiko | Im Falle einer Abweichung des vorhandenen Schutzniveaus zum Schutzbedarf des Prozesses kann ein sogenanntes GAP-Risiko (engl. Lücke, Abstand) erstellt werden. In diesem Risiko kann die jeweilige Abweichung behandelt und eingestuft werden. | Detaillierte Überwachungshandlungen | Die Detaillierten Überwachungshandlungen dienen zur Dokumentation der Durchführung einzelner Überwachungshandlungen. Die Überwachungshandlungen können einer oder mehreren Übergreifenden Überwachungsaktivitäten zugeordnet werden. |
Sicherheitsvorfälle | Ein Sicherheitsvorfall ist ein negatives Ereignis, welches die Informationssicherheit (Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) von Daten, Informationen, Geschäftsprozessen, IT-Services, IT-Systemen, IT-Anwendungen und der IT-Infrastruktur beeinträchtigt. Es handelt sich insbesondere dann um einen Sicherheitsvorfall, wenn:
| ||
Change-Management | Zur Abbildung von Test- und Freigabeverfahren gemäß MaRisk AT 7.2 sowie betrieblicher Anpassungsprozesse gemäß MaRisk AT 8.2 steht in ForumISM der Bereich Change-Management zur Verfügung. |
Begriff | Erläuterung | |
---|---|---|
Handlungsfelder | Die sechs Handlungsfelder mit ihren jeweiligen Unterkategorien beziehen sich auf die sechs Themenbereiche, welche vom BVR vorgegeben sind. | |
Anforderungen | Durch regelmäßige Rundschreiben werden gesetzliche Anforderungen definiert, welche von den Häusern zu berücksichtigen sind. | |
Aktivitäten | Hausinterne Aktivitäten, z. Bsp. Projekte, Besprechungen u.a., welche Nachhaltigkeitsthemen betreffen, können als Aktivitäten definiert und dokumentiert werden. | |
Maßnahmen | Zu den Handlungsfeldern können zielführende Maßnahmen erstellt werden, anhand derer der Umsetzungsstatus überprüft werden kann. | |
Kontrolle | Kontrollhandlungen dienen der Überprüfung der Nachhaltigkeits-Strategie. Kontrollen helfen dabei, systemseitig die einzelnen Handlungsfelder zu auditieren und dies auch durch entsprechende Kontrollen zu dokumentieren. | |
Reifegradstufe | Die Reifegradstufe zeigt den aktuellen Umsetzungsstand bis hin zur Zielerreichung an. | |
Zielerreichungsgrad | Der Zielerreichungsgrad wird aus dem Umsetzungsstatus der zu den einzelnen Handlungsfeldern definierten Maßnahmen abgeleitet. | |
Jahresüberwachungsplan | Der Jahresüberwachungsplan stellt die Planung der Kontrollhandlungen durch den Nachhaltigkeits-Beauftragten dar. |
Begriff | Erläuterung | |
---|---|---|
Grundlagen | Im Bereich Grundlagen findet sich eine Vielzahl von Grundsatzdokumenten für die Bearbeitung der Standards in Ihrem Unternehmen. | |
Risikoanalyse | Ist eine systematische Analyse zur Identifikation und Bewertung von Risiken, unterteilt in eine einfache und detaillierte Analyse. | |
Zuständigkeit | Die Kompetenz einer Organisationseinheit bzw. eines Verantwortlichen. | |
Risiko-Cockpit | Eine Übersicht, welche Prozess- oder Projektrisiken abgebildet. | |
Standards | Gemäß den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den bankaufsichtlichen Anforderungen an die IT (BAIT) ist die Umsetzung des in der IT-Strategie gewählten Standards nachvollziehbar zu dokumentieren. Folgende Standards stehen für die Modellierung zur Verfügung:
| |
Reifegrad | Unter Reifegrad versteht man im Kontext des IT-Servicemanagments den Grad der Prozessbeherrschung bzw. Verbesserung.
| |
Abweichungen | Die Soll-Anforderungen aus dem gewählten Standard sind im Unternehmen teilweise umgesetzt oder nicht umgesetzt und entsprechen nicht vollständig den Anforderungen. In diesem Fall wird das Delta zur Sollanforderung beschrieben. | |
Umsetzungsstatus (von Aufgaben) | Nach Übernahme einer Aufgabe durch einen Bearbeiter ist die Realisierung des Aufgabeninhalts sicherzustellen und kann durch die Vergabe des Status offen, in Bearbeitung, und erledigt entsprechend dokumentiert werden. | |
Soll-Ist-Abgleich | In der Folge muss ein detaillierter Soll-Ist-Abgleich zwischen den Referenzmaßnahmen und der umgesetzten Maßnahmen vorgenommen und ein Reifegrad ermittelt werden. Die Soll-Anforderungen aus dem gewählten Standard werden mit im Unternehmen vorhanden IST-Umsetzung abgeglichen. | |
Realisierungsplanung | Zur Hilfestellungen bei der Lösung von Zielkonflikten (z. B. Wirtschaftlichkeit kontra Informationssicherheit) ist eine Realisierungsplanung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen. Dies umfasst das Festlegen von Zuständigkeiten, Terminen, und einem Status der zu erledigenden Aufgaben. | |
Relevanz | Die in ForumNSR angebotenen Standards beinhalten Kapitel, Bausteine und Maßnahmen. Diese müssen auf Relevanz für das Unternehmen geprüft und ausgewählt werden. Ausschließlich die als "relevant" markierten Kapitel, Bausteine und Maßnahmen werden bei der Bestimmung des Reifegrads berücksichtigt. |
Begriff | Erläuterung | |
---|---|---|
Dienstleister | Erbringt Leistungen für den Auftraggeber. | |
Leistung | Unter einer Leistung in ForumOSM versteht man sämtliche Dienstleistungen, die ein Dienstleister anbietet. | |
Überwachungsplan | Bietet eine Übersicht über die Überwachungsaktivitäten in ForumOSM. | |
SLA-Monitoring | SLA = Service Level Agreement (deutsch: Dienstgütevereinbarung). Im SLA-Monitoring können Sie Ihre mit den Dienstleistern geschlossenen Service-Level-Agreements prüfen und überwachen. | |
Zuständigkeiten | Die Kompetenz einer Organisationseinheit bzw. eines Verantwortlichen. | |
Klassifizierung | Ist eine systematische Analyse zur Identifikation und Bewertung von Risiken, unterteilt in eine einfache und detaillierte Analyse. | |
Risiko-Cockpit | Eine Übersicht, welche Prozess- oder Projektrisiken abgebildet. | |
Grundlagen | Im Bereich Grundlagen findet sich eine Vielzahl von Grundsatzdokumenten für das Auslagerungsmanagement in Ihrem Unternehmen. | |
Eingehende Berichte | Eine umfangreiche Übersicht der Berichte und weiteren dazugehörigen Informationen, unterteilt in die Bereiche Risikoberichte , Berichte zur Weiterverlagerung , Revisionsberichte , externe Revisionsberichte und eigene Berichte . | |
Reporting | Berichtswesen zu Informationen und Auswertungen in Ihrem Unternehmen. |
Begriff | Erläuterung | |
---|---|---|
Steuergebiete | Die Steuergebiete sind steuerrelevante Bereiche, die bankindividuell identifiziert werden und für die eine Risikoeinstufung vorgenommen werden soll. | |
Anforderungen | Durch regelmäßige Rundschreiben werden gesetzliche Anforderungen definiert, welche von den Häusern zu berücksichtigen sind. | |
Aktivitäten | Hausinterne Aktivitäten, z. Bsp. Projekte, Besprechungen u.a., welche steuerrelevante Themen betreffen, können als Aktivitäten definiert und dokumentiert werden. | |
Kontrollen | Kontrollen helfen dabei, systemseitig die einzelnen Steuergebiete zu auditieren und dies auch durch entsprechende Kontrollen zu dokumentieren. | |
Maßnahmen | An Risiken können zielführende Maßnahmen erstellt werden, an denen der Umsetzungsstatus überprüft werden kann. |
Begriff | Erläuterung | |
---|---|---|
Themengebiete | Die Themengebiete sind WpHG-relevante Bereiche, die bankindividuell identifiziert werden, für die eine Risikoeinstufung vorgenommen werden soll. | |
Scoring | Das Scoring ergibt sich aus neun Standard-Kriterien, deren Ergebnis jeweils mit einem Scorewert verbunden sind. Der Gesamtscore soll als quantitatives Hilfsmittel zur Risikoeinstufung dienen. Sowohl die Fragen, als auch der vorgegebenen Punkte sind unveränderbar. Der maximal zu erreichende Gesamtscore entspricht 49,5. | |
Themengebietsspezifische Fragen | Die Themengebietsspezifischen Fragen dienen als qualitative Unterstützung der Risikoeinstufung. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden. | |
Übergreifende Überwachungsaktivitäten | Die Übergreifende Überwachungsaktivität bildet den Rahmen einer bestimmten Überwachung. Sie ist einem Themengebiet und einer bestimmten Risikoanalyse zugeordnet. Einer Übergreifenden Überwachungsaktivität können mehrere Detaillierte Überwachungshandlungen und Erforderliche Maßnahmen zugeordnet werden. | |
Aspekte für Übergreifende Überwachungsaktivitäten | Die Aspekte sind Fragestellungen, die zur vollumfänglichen Überwachung eines Themengebiets herangezogen werden können. Die Fragen können bankindividuell ergänzt, geändert oder gelöscht werden. | |
Detaillierte Überwachungshandlungen | Die Detaillierten Überwachungshandlungen dienen zur Dokumentation der Durchführung einzelner Überwachungshandlungen. Die Überwachungshandlungen können einer oder mehreren Übergreifenden Überwachungsaktivitäten zugeordnet werden. |