Skip to main content
Skip table of contents

Dienstleistungen

In dieser Ansicht werden die Dienstleistungen mit einigen weiteren Informationen angezeigt. Die Dienstleistungen werden gruppiert nach ihrer Klassifizierung gemäß der Klassifizierung angezeigt. Innerhalb der einzelnen Gruppen erfolgt eine Klassifizierung nach Dienstleister. Aus der Ansicht werden außerdem die Verantwortung sowie die Anzahl der Weiterverlagerungen ersichtlich.

Um die jeweiligen Dienstleistungen schneller finden zu können, stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Dank der Gruppierung, welche Sie durch einen Klick auf das - bzw. + Symbol ein- und ausklappen können, lassen sich einzelne Dienstleistungen besser finden.

Durch einen Klick auf das Dreiecksymbol am jeweiligen Dienstleister können Sie die Ansicht aufklappen, und sich genauere Informationen zu den Dienstleistungen des Dienstleisters anzeigen lassen. 

Über das Extras-Menü lässt sich die Übersicht als CSV- oder PDF-Datei exportieren.

Abbildung: Reiter "Diensteistungen", Übersicht der Dienstleistungen

Anlegen einer Dienstleistung

Über die Funktion Dienstleistung anlegen können Sie einen neue Dienstleistung in ForumOSM einfügen. Ebenso finden Sie in diesem Bereich eine Auswahl von Vorschlägen, die über die Schaltfläche Vorschläge anzeigen einzusehen sind. Diese Vorschläge können Sie übernehmen und an Ihre Bedürfnisse anpassen. Das Vorgehen dafür wird Ihnen im Abschnitt Übernehmen von Vorschläge beschrieben.


Bitte prüfen Sie vor dem Anlegen einer neuen Dienstleistung, ob eventuell ein Vorschlag für diese vorhanden ist, um diesen ggf. in den Produktivbereich zu übernehmen.


Allgemein

Bitte vergeben Sie eine aussagekräftige Bezeichnung(1) für die Dienstleistung an sowie eine eindeutige Dienstleistungs-ID(2) , um Ihnen später die Zuordnung bzw. Suche zu erleichtern. Eine Dienstleistung wird üblicherweise mit einer Verantwortung(3) verknüpft. Im Aufgabenbereich(4) können Sie ggf. dafür relevante Informationen einfügen. Mit einem Klick auf das Dreieck im Feld "Art der IKT-Dienstleistung"(5) können Sie diese aus einer Liste auswählen. Die einzelnen Optionen enthalten einen Präfix. Dieser wird auch in den offiziellen Dokumenten zur DORA genutzt.

An der Dienstleistung kann im Feld “Art der IKT-Dienstleistung” eine Angabe gemacht werden, um welche Art einer IKT-Dienstleistung es handelt. Es kann auch "keine IKT-Dienstleistung" ausgewählt werden. Immer wenn es sich um eine IKT-Dienstleistung handelt, wird diese im Kontext von DORA interessant.

Die Angabe in diesem Feld wird außerdem in der Klassifizierung unter Ergebnis im Feld “Klassifizierung nach DORA” ausgegeben.

Bitte achten Sie auf die Verknüpfung mit einem Dienstleister(6), diese Zuordnung ist notwendig.

Der Beginn sowie das Ende(9) der Dienstleistung kann in dieser Übersicht hinterlegt werden.

Abbildung: Dienstleistung, Reiter "Allgemein"


Weiterverlagerungen


Der aktive Reiter - hier im Beispiel der Reiter Allgemein - wird durch einen farbigen Balken hervorgehoben. Beim Einfügen neuer Verknüpfungen wird der zuletzt aktive Reiter wieder geöffnet.


Für eine Dienstleistung kann eine sogenannte Weiterverlagerung erfasst werden(7) sowie aus einer bestehenden Weiterverlagerung gewählt werden(8. Hierbei handelt es sich um Dienstleistungen, Services oder anderweitige Leistungen, die der mit Ihnen in einer Vertragsbeziehung stehende Dienstleister von anderen Unternehmen (Dritten) bezieht, um seine Dienstleistung für Sie zu erbringen. Neben der Verantwortung wird auch das Ergebnis aus der Klassifizierung in einer eigenen Spalte ausgegeben.

Beispiel:

Sie nutzen die Webanwendung Reisekosten des Dienstleisters REIKO-Soft GmbH, welche vom Anbieter als Cloud-basierte Lösung angeboten wird.

Der Dienstleister nutzt zur Bereitstellung der Lösung die Infrastruktur (Rechenzentrum, Server, Netzwerke) der Firma CloudServer AG.

Um diesen Sachverhalt in ForumOSM abzubilden, erfassen Sie zunächst den Dienstleister REIKO-Soft GmbH und die zugehörige Dienstleistung Reisekosten. Legen Sie nun auch den Dienstleister CloudServer AG an und erstellen Sie eine Dienstleistung Webhosting (o.ä.). Wählen Sie anschließend in der Dienstleistung Reisekosten im Bereich Weiterverlagerung die zuletzt angelegte Dienstleistung Webhosting der CloudServer AG.

Die Auslagerungssituation wurde damit in ForumOSM abgebildet.


Die Erfassung von Weiterverlagerungen ist optional.


Die Weiterverlagerung kann global in ForumOSM abgeschaltet werden. Weitere Informationen finden Sie zu diesem Thema unter Anpassung der Einstellung.


Die Auswahl der Anwendungen(10), Systeme(10), Infrastrukturbereiche(10) sowie der Geschäftsprozesse(11), welche der Dienstleistung zugeordnet sind, kann jeweils über die Schaltfläche Abhängigkeitsgrad wählen... in Abhängigkeit eines 4stufigen Grades getroffen werden. Die Verknüpfung wird über den Button Verknüpfung löschen wieder gelöst.

Abbildung: Verknüpfung von Assets per Abhängigkeitsgrad


In dem Feld Referenz nach MVP(12) kann die entsprechende Nummer, die zur Meldung an das MVP-Portal genutzt wird, vermerkt werden.

Sie können - nach der globalen Aktivierung in den Einstellungen - an der Dienstleistung (sowie am Dienstleister) relevante Informationen für das Auslagerungsregister (EBA)(13)  einpflegen. Weitere Informationen zum Auslagerungsregister finden Sie im Handbuch Auslagerungsregister (EBA).


Abbildung: Informationen für das Auslagerungsregister (EBA)

Für das Erstellen eines Auslagerungsverzeichnis (EBA) wurde unter dem Reiter Reporting ein separater Bereich geschaffen. Hier ist die Erstellung einer Excel-Datei für das Auslagerungsverzeichnis gemäß EBA-Leitlinien möglich.


Abbildung: Reiter Reporting, Auslagerungsregister

Der Bereich zum Auslagerungsregister (EBA) ist in ForumOSM global über die Einstellungen zu de-/aktivieren.


Abbildung: Einstellungen "Abbildung EBA-Leitlinien" aktiv

Bewertung

Im Reiter Bewertung werden die Checkliste zur Erstbewertung(2), die Checkliste zu den Strategischen Überlegungen zum Outsourcing(3),  die Klassifizierung(1) und die Relevanz(4) der Dienstleistung zur besseren Übersicht in ein-/aufklappbaren Bereichen standardmäßig untereinander dargestellt.


Abbildung: Reiter Klassifizierung an einer Dienstleistung


Eine vorliegende Relevanz
(4) kann über die vorgegebenen Punkte abgefragt und mit entsprechenden Bemerkungen versehen werden. Für eine Erstbewertung einer Dienstleistung steht Ihnen unter der Checkliste zur Erstbewertung(2) ein umfangreicher Fragenkatalog zur betreffenden Dienstleistung zur Verfügung. Zur Erstbewertung gelangen Sie über die Schaltfläche Checkliste übernehmen(3). Im Reiter Bewertung können Sie für diese Dienstleistung eine Klassifizierung(1) durchführen.

Die genauen Arbeitsschritte zum Anlegen und Bearbeiten von Checklisten  erfahren Sie im Handbuch unter dem Menüpunkt Umgang mit Checklisten.

Nachfolgend eine Übersicht der einzelnen Relevanzen und deren Bedeutungen:

RelevanzErläuterung
MaRisk-Relevanz

Ist die Dienstleistung entscheidungs- / steuerungsrelevant entsprechend der MaRisk?

GoB-Relevanz

Relevanz für die Buchführung / das Rechnungswesen

AuftragsverarbeitungErfolgt im Rahmen der Dienstleistung eine Auftragsverarbeitung gemäß BDSG?
Zeitkritischer ProzessIst die Dienstleistung mit einem zeitkritischen Geschäftsprozess verbunden?
MiLog-relevant

Relevanz für die Mindestlohn-Einhaltung

IT-AssetHandelt es sich bei der Dienstleistung um ein Software-Verfahren, System oder anderweitiges Schutzobjekt im Sinne des BSI-Standards 100-2?

Verträge

Über den Reiter Verträge werden Ihnen vorhandene Verträge, Leistungsscheine und SLAs angezeigt, die im Bezug zur Dienstleistung stehen. Um einen neuen Leistungsvertrag anzulegen, nutzen Sie im Bearbeiten-Modus die Schaltfläche Vertrag anlegen (1)


Die Schaltfläche Vertrag anlegen (1). wird nur angezeigt, sofern im Reiter Allgemein ein Dienstleister ausgewählt wurde. 


Abbildung: Ansicht Reiter Verträge

Im Bearbeiten-Modus können hinzugefügte Verträge über die Schaltfläche Auswahl bearbeiten(1) und per Klick auf den Mülleimer(2) entfernt werden. Über die Auswahlbox(3) können schnell bereits existierende Verträge mit dem Dienstleister der Dienstleistung hinzugefügt werden.


Abbildung: Ansicht Entfernen von Verträgen

Durch die Aktion "Vertrag entfernen" wird nur die Verknüpfung zwischen dem Vertrag und der aktiven Dienstleistung gelöst, der Vertrag selbst wird hierbei nicht gelöscht und steht weiterhin unter Auslagerungssteuerung > Verträge und Leistungsscheine zur Verfügung.

Möchten Sie den Vertrag selbst löschen, öffnen sie diesen und betätigen Sie die Schaltfläche Löschen unten rechts in der Maske.

Überwachungsplan

Über den Reiter Überwachungsplan wird Ihnen ermöglicht, direkt ein Überwachungsplan anzulegen, bei dem der ausgewählte Prozess automatisch verknüpft wird. Dazu wählen Sie bitte die gewünschte Dienstleistung und den Reiter Überwachungsplan aus und wechseln in den Bearbeiten-Modus. Anschließend betätigen Sie die Schaltfläche Überwachungsplan anlegen(1). Liegt eine abgeschlossene Klassifizierung zur Dienstleistung vor, wird Ihnen in die neue Überwachungsaktivität der Turnus gemäß dem Ergebnis der durchgeführten Risikoanalyse vorgeschlagen(3). Den Turnus der Überwachung können Sie selber im Dropdown Menü(2) auswählen.


Abbildung: Ansicht Reiter Überwachungsplan

Änderungen

Um Veränderungen beim Dienstleister in Bezug zu Auslagerungen (Dienstleistungen) erfassen zu können, steht der Reiter Änderungen zur Verfügung. Dort können die erfassten Änderungen, insofern dies erforderlich ist, im Nachgang auch bewertet werden.

Die angelegten Änderungen werden in einer Übersicht geführt, welche neben dem Erstell-Datum, Bezeichnung, Art der der Änderung, der Verantwortung auch die Wesentlichkeit, den Bearbeitungsstatus sowie den Zeitpunkt der Meldung wiedergibt. 

Abbildung: Leistung - Reiter "Änderungen"

Vorfälle

Für Vorfälle wurde eine eigene Checkliste erstellt, welche per Vorschlag in die Anwendung eingebunden werden kann. Am Ende dieser Checklisten-Analyse erfolgt eine Auswertung, ob es zu einer Meldung kommt oder nicht. Das Ergebnis der Auswertung, d.h. ob ein schwerwiegender Vorfall oder ein nicht schwerwiegender Vorfall vorliegt, wird in das betreffende Feld Ergebnis der Analyse per Checkliste übertragen.

Bei einem schwerwiegendem Vorfall ist eine Meldung erforderlich ist. Das Datum der Meldung kann ebenfalls am Vorfall hinterlegt werden.

Wenn eine Meldung erforderlich ist, wird diese Melde-ID in das Feld Referenz nach MVP an der Dienstleistung im Reiter Allgemein hinterlegt. 

Abbildung: Leistung - Reiter "Vorfälle"


Berichte 

Über den Reiter Berichte wird Ihnen ermöglicht, direkt einen Risikobericht bzw. einen Bericht anzulegen, bei dem der ausgewählte Prozess und der Dienstleister automatisch verknüpft wird. Dazu wählen Sie bitte die gewünschte Dienstleistung und den Reiter Berichte aus und wechseln in den Bearbeiten-Modus. Anschließend betätigen Sie die Schaltfläche Risikobericht anlegen...(1) bzw. Bericht anlegen... (2) .


Abbildung: Ansicht Reiter Dokumente

Im Bearbeiten-Modus können hinzugefügte Berichte über die Schaltfläche Auswahl bearbeiten(1) und per Klick auf den Mülleimer(2) entfernt werden.


Abbildung: Ansicht Entfernen von Risikoberichten

Durch diese Aktion wird nur die Verknüpfung zwischen dem Risikobericht und der aktiven Dienstleistung gelöst, der Risikobericht selbst wird hierbei nicht gelöscht und steht weiterhin unter Risikomanagement >Risikoberichte zur Verfügung.

Möchten Sie den Risikobericht selbst löschen, öffnen sie diesen und betätigen Sie die Schaltfläche Löschen unten rechts in der Maske.

Risikomanagement

Im Reiter Risikomanagement werden die Exit-Strategie, das Notfallkonzept, Dokumentation der Abstimmung mit dem Dienstleister und die Risiken der Dienstleistung zur besseren Übersicht in ein-/aufklappbaren Bereichen standardmäßig untereinander dargestellt. Darüber hinaus gibt es auch im Bereich Risiken die Möglichkeit, Vorschläge zu übernehmen.(1)


 

Abbildung: Ansicht Reiter Risikomanagement

Im Bearbeiten-Modus können hinzugefügte Exit-Strategien, Notfallkonzepte, Dokumentation der Abstimmung mit dem Dienstleister und Risiken über die Schaltfläche Auswahl bearbeiten(1) und per Klick auf den Mülleimer(2) entfernt werden.

 

Abbildung: Ansicht Entfernen von Notfallkonzepten bzw. Risiken

Durch diese Aktion werden nur die Verknüpfungen zwischen den Objekten und der aktiven Dienstleistung gelöst, die Objekte selbst werden hierbei nicht gelöscht und stehen weiterhin unter dem jeweiligen Menüpunkt zur Verfügung.

Möchten Sie ein Objekt selbst löschen, öffnen sie das betreffende Objekt und betätigen Sie die Schaltfläche Löschen unten rechts in der Maske.

Unter der Dokumentation der Abstimmung mit dem Dienstleister(6) können Termine und dazugehörige Notizen zur jeweiligen Dienstleistung angelegt werden.


Eine Übersicht aller angelegten Exit-Strategien, Notfallkonzepte und Abstimmungen finden Sie in ForumOSMjeweils unterteilt unter dem Menüpunkt Risikomanagement im Untermenüpunkt Risikosteuerung.

Risiken

Im Reiter Risikomanagement Sie haben die Möglichkeit Risiken selbst zu definieren(1), bereits vorbereitete Dokumente aus der Vorschlagsdatenbank mittels Auswahl aus der Listbox(3) zu übernehmen oder auch bereits bestehende Risiken per Auswahl aus der Listbox zu kopieren(2).


Abbildung: Leistung, Reiter "Risikomanagement"

Sofern ein Risiko über den Button Risiken kopieren von...(2) gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.


Nach Anlage des Risikos, kann die Eintrittswahrscheinlichkeit sowohl des Risikos als auch des Restrisikos im Reiter Bewertung nach Auswahl der Bedrohungseinstufung(1) und der Schwachstelleneinstufung(1) berechnet(2) werden.


Abbildung: Risiko, Reiter "Bewertung"

Bei der Risikobewertung wird bei der Berechnung der Eintrittswahrscheinlichkeit aus Bedrohungs- und Schwachstelleneinstufung eine entsprechende Bemerkung hinterlegt.


Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.

Abbildung: Matrix Eintrittswahrscheinlichkeit

Dienstleistung kopieren

Über das Extras-Menü kann von einer bestehenden Dienstleistung eine Kopie erstellt werden. Es werden die Bezeichnung (jedoch gekennzeichnet durch  "Kopie"), die Verantwortung, die verknüpften Schutzobjekte, alle Freitextfelder, Sollmaßnahmenprofile und Risiken kopiert. 

Abbildung: Funktion "Dienstleistung kopieren"

Sollmaßnahmen - Zusammenspiel zwischen ForumOSM und ForumISM


Als Nutzer der Anwendung ForumOSM können Sie nun in ForumISM auf die Dienstleistungen zugreifen. Im Menü Assetmanagement werden die Dienstleistungen angezeigt.
In ForumOSM werden an einer Dienstleistung die verknüpften Sollmaßnahmen im Reiter Sollmaßnahmen angezeigt.

Alle Dienstleistungen aus ForumOSM können nun über den Reiter Assetmanagement und Dienstleistungen  eingesehen werden.


Abbildung: Anzeige Übersicht Dienstleistungen in ForumISM

Dienstleistungen in ForumISM

In der Einzelansicht einer Dienstleistung in ForumISM werden die Reiter Allgemein und Sollmaßnahmen aufgelistet. Im Reiter Allgemein befinden sich die die allgemeinen Information aus der betreffenden Dienstleistung 1:1 wie in ForumOSM, ausgenommen sind die

Informationen für das Auslagerungsregister (EBA).

Im Reiter der Sollmaßnahmen wird der Schutzbedarf einer Dienstleistung von den mit den Dienstleistungen verknüpften Geschäftsprozessen (+ ggf. Datenklassen / Schutzobjekte) nach dem Maximalitätsprinzip angezeigt.

Über den Button In ForumOSM öffnen können Sie jederzeit in die Anwendung ForumOSM wechseln und dort weitere Bearbeitungen an der Dienstleistung vornehmen.


Abbildung: Leistung als Schutzobjekt

Über die Schaltflächen Aus Liste wählen können aus in ForumISM bestehenden Sollmaßnahmenprofilen entsprechende Profile zugeordnet werden. Die Schaltfläche  Bausteine wählen nutzen Sie zur Wahl eines Standards aus der Anwendung ForumNSR für die Zuordnung. Diese Möglichkeit besteht nur, wenn die Anwendung ForumNSR lizenziert wurde und betreffende Standards in der produktiven Bearbeitung in der Anwendung zur Verfügung stehen.


Die Zuordnung zu Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards ist nur möglich, wenn die betreffende Dienstleistung in ForumOSM nicht freigegeben ist.


Wenn die betreffende Dienstleistung freigegeben ist, kann die direkte Zuordnung von Sollmaßnahmenprofilen auch direkt über das betreffende Sollmaßnahmenprofil getroffen werden. Ordnen Sie dem Profil über Dienstleistung verknüpfen ... die gewünschte Dienstleistung zu.

An Dienstleistungen kann ein konkreter Schutzbedarf angelegt werden, dieser wird Ihnen dann auch in der Übersicht der Dienstleistungen in ForumISM in einer separaten Spalte angezeigt. Wenn ein konkreter Schutzbedarf für diese Dienstleistung angelegt werden soll, nutzen Sie bitte im Lesemodus im Reiter Sollmaßnahmen die Schaltfläche Extras in der Titelleiste und legen einen konkreten Schutzbedarf an oder kopieren aus bestehende Objekten einen konkreten Schutzbedarf.

Abbildung: Konkreter Schutzbedarf anlegen

Folgende Voraussetzungen sind zu erfüllen, um einen konkreten Schutzbedarf an Dienstleistungen in ForumISM anzulegen bzw. aus bestehenden Dokumenten zu kopieren:

  • Zur Erfassung eines konkreten Schutzbedarfs für Dienstleistungen müssen zuvor in den Einstellungen von ForumISM die bereits aktiven SBA-Schemata zunächst Überarbeitet und anschließend erneut Freigegeben werden.
  • Anschließend aktualisieren Sie die Anwendung über die Funktionstaste F5.
  • Die betreffende Dienstleistung in ForumOSM darf nicht freigegeben sein.

In ForumOSM ist ein Löschen des konkreten Schutzbedarfs anschließend nicht möglich.


Die Anzeige einer zugeordneten Dienstleistung erfolgt an den Schutzobjekten im Reiter Details und Betrieb und Hersteller bzw. an einem Geschäftsprozess im Reiter Grundlagen.

Abbildung: Anzeige einer Leistung im Schutzobjekt und einem Geschäftsprozess

In den jeweiligen Ansichten der Geschäftsprozesse und Schutzobjekte können jeweils über die Schaltfläche aus Liste wählen zuzuordnende Dienstleistungen gewählt werden und eine getroffene Auswahl bearbeitet werden.

Anzeige Schutzbedarf am Dienstleister


In ForumISM wird unter > Stammdaten > Dienstleister am betreffenden Dienstleister der kulminierte Schutzbedarf aus allen Dienstleistungen nach dem Maximalitätsprinzip angezeigt. 

Abbildung: Stammdaten > Dienstleiter: Anzeige des maximalen Schutzbedarfs aus Leistungen

ForumOSM: Anzeige Schutzbedarf aus Prozessen und IKT-Assets an der Dienstleistung

An der Dienstleistung wird im Reiter Sollmaßnahmen das Gesamtergebnis zum Schutzbedarf aus den verknüpften Geschäftsprozessen und der verknüpften IKT-Assets angezeigt. 

Falls eine Bewertung zur Schutzbedarfsanalyse aus ForumISM vorliegt, werden diese Werte übernommen. Da der Schutzbedarf an der Dienstleistung aus allen verknüpften Geschäftsprozessen und Schutzobjekten nach dem Maximalprinzip ermittelt wird, hilft dies bei der anschließenden Risikobewertung. 

An der Dienstleistung werden die Schutzbedarfe der verknüpften Geschäftsprozesse und die geerbten bzw. abweichenden Schutzbedarfe der verknüpften Schutzobjekte angezeigt.

Sofern an der Dienstleistung ein konkreter Schutzbedarf vorhanden ist, gewinnt dieser!

Abbildung: Anzeige des Schutzbedarfs aus Prozessen und Schutzobjekten an der Leistung

Bearbeitung der Maßnahmen in ForumOSM

Die Bearbeitung der zugeordneten Profilmaßnahmen und die entsprechende IST-Dokumentation erfolgt in der Anwendung ForumOSM an der betreffenden Dienstleistung im neuen Reiter Sollmaßnahmen.

Abbildung: Bearbeitung der Maßnahmen in ForumOSM

Zur Abbildung eines Soll-/Soll-Abgleiches und eines Soll-/Ist-Abgleiches für Sollmaßnahmen an IKT-Dienstleistungen (Leistungen) gibt es zwei Reifegrade:

"Vertragliche Regelung (Soll/Soll)" und "Operative Umsetzung (Soll/Ist)" (bisherig Reifegrad)

Abbildung: Spezifische Sollmaßnahmen für Dienstleistungen

Die Sollmaßnahmen von IKT-Dienstleistungen werden in das Sollmaßnahmen-Cockpit aufgenommen, dabei wird von den beiden Reifegraden an den einzelnen Sollmaßnahmen jeweils nur ein Wert übernommen.

Über die Dreieckssymbole können Sie auch die Detailansicht des betreffenden Profils öffnen. Hinter den jeweiligen Profilen gelangen Sie über die Schaltfläche

direkt in die Detailansicht des betreffenden Profils in ForumISM oder den gewählten Standard in ForumNSR.

Über den Klick auf den Reifegrad oder das Fragezeichen vor dem Wort Reifegrad gelangen Sie in die Einzelansicht der jeweiligen Sollmaßnahme. Wechseln Sie aus dem Lesemodus in den Bearbeitungsstand werden Ihnen weitere Schaltflächen sichtbar.

SchaltflächeErklärung

Button zur Generierung des Excel-Exports der Sollmaßnahmen


Alle neu zugeordneten Maßnahmen an einer Dienstleistung werden durch Aktivierung an den Sollmaßnahmen aus Standards oder Sollmaßnahmenprofilen bestätigt. Keine einzelne Maßnahmenbestätigung ist mehr notwendig.


Abbildung: Bearbeitungsmodus von Profilen in einer Leistung

Die Aktivierung ist nochmal zu bestätigen.


Abbildung: Bestätigung der Aktivierung


Sind in dem gewählten Standard Umsetzungen und Reifegrade in der Anwendung ForumNSR dokumentiert, können diese über diese Schaltfläche in die Umsetzung nach ForumOSM migriert werden, folgender Hinweis erscheint als Popup:

Abbildung: Hinweismeldung bei Massen Vorbelegung

Werden in einem Sollmaßnahmenprofil verknüpfte Profilmaßnahmen verwendet, werden diese ebenso über die Massen Vorbelegung mit übernommen. Werden in der Bearbeitungszeit am Sollmaßnahmenprofil Änderungen an den Profilmaßnahmen vollzogen, wird Ihnen dies im blauen Rahmen angezeigt. Die Umsetzung der Maßnahme bezieht sich also auf eine frühere Version der Maßnahme. Sie können über entsprechende Schaltflächen Änderungen bestätigen oder Änderungen prüfen.

Die vorab beschrieben Aktion kann über diese Schaltfläche rückgängig gemacht werden, folgender Hinweis erscheint als Popup:

Abbildung: Hinweismeldung bei Umsetzung zurücksetzen

Maßnahmen, deren Umsetzung durch einen Verweis auf eine andere Maßnahme referenzieren, können nicht bearbeitet werden und über die Auswahl entsprechend eingeblendet werden.

Über das Fragezeichen vor dem Reifegrad erhalten sie bei aktiver Checkbox folgenden Hinweis:

Es kann zu Differenzen in der Anzahl der Maßnahmen kommen, da Maßnahmen, welche nicht bearbeitbar sind, nicht in der Zählung einbezogen werden.

Abbildung: Checkbox nicht bearbeitbare Maßnahmen

Die Funktion "nicht bearbeitbare Maßnahmen einblenden" erscheint nur, wenn in ForumISM in den Einstellungen der Schalter unter Schutzbedarf/Schutzniveau "Ausblendung nicht bearbeitbarer Sollmaßnahmen" aus ist, sowie am Schutzobjekt (welche die Bank selbst betreibt) Sollmaßnahmen aus dem Standard BASI (aus ForumNSR) verknüpft sind.

Abbildung: Ausblenden nicht bearbeitbarer Sollmaßnahmen


Eine einzelne neue Maßnahme im Profil wird über die Schaltfläche bestätigt und kann bearbeitet werden.

Abbildung: Bestätigung einer neuen Maßnahme

Wird die Umsetzung von NSR-Maßnahmen, die in ForumISM verknüpft sind, in ForumNSR überarbeitet, so können diese Änderungen in ForumISM übernommen werden. Damit bei gleichzeitiger Arbeit in ForumISM und ForumNSR solche Änderungen in ForumISM sichtbar werden. Diese Schaltfläche ist von Bedeutung bei der ersten Bearbeitung von Sollmaßnahmen.


Im nachfolgendem Beispiel wurden Maßnahmen aus dem bankenindividuellen SiMaKat aus dem Cluster 13 IT-Anwendungen mit einem Schutzobjekt verknüpft. Alle Maßnahmen sind unbearbeitet (Teilbild 1). Bevor die Massen Vorbelegung aktiviert wird, kann eine Aktualisierung gestartet werden. Im Teilbild 1 ist zu erkennen, dass an den Maßnahmen A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie und A.6.1.4-1 Kontakt mit speziellen Interessensgruppen keine Bearbeitung in ForumNSR erfolgte. An der Maßnahme A.6.2.1-1 Richtlinie zu Mobilgeräten ist über die Schaltfläche >> zu erkennen, dass eine Bearbeitung in ForumNSR erfolgte.

Damit die Inhalte von Maßnahmen des Clusters 13 IT-Anwendungen aus ForumNSR für die Bearbeitung an weiteren Schutzobjekten zur Verfügen stehen, lohnt sich an dieser Stelle die direkte Bearbeitung der Maßnahmen in ForumNSR.

Der Wechsel zu ForumNSR kann über das Anklicken der Bezeichnung A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie erfolgen und die Bearbeitung im neuen Tab in ForumNSR starten.

Im Teilbild 2 wird nun nach Aktivierung der Schaltfläche Aktualisieren ersichtlich, dass eine Bearbeitung an der Maßnahme A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie in ForumNSRgetätigt wurde.

Abbildung: Bearbeitung durch Aktualisieren

Alle entfallenen zugeordneten Maßnahmen an einer Leistung werden durch Aktivierung an den Sollmaßnahmen aus Standards oder Sollmaßnahmenprofilen entfernt. Keine einzelne Maßnahmenbestätigung ist mehr notwendig.


Abbildung: Bearbeitungsmodus von Profilen in einer Leistung

Die Aktivierung ist nochmal zu bestätigen.


Abbildung: Bestätigung der Aktivierung

An einer einzelnen Maßnahme bekomme ich hier die Möglichkeit, eine bestehende Dokumentation aus ForumNSR in der Anwendung ForumOSManzeigen zu lassen. Durch die >>Massen Vorbelegung ist dies aber eher selten anzuwenden.

Abbildung: einzelelne Übernahme von Inhalten

 Abwahl eines Sollmaßnahmenprofils in ForumOSM

Die Abwahl der Sollmaßnahmenprofile erfolgt bequem über die Schaltfläche Auswahl bearbeiten und dem Mülleimersymbol zum Lösen der Verknüpfung.

Abbildung: Abwahl eines Sollmaßnahmenprofils

Zuordnung von Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards in ForumOSM

Die Zuordnung von Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards kann auch in ForumOSM erfolgen.


Nachdem ein Sollmaßnahmenprofil mit einer Leistung auf diesem Weg verknüpft wurde, muss die Leistung mindestens einmal gespeichert werden, damit die Verknüpfung für eine weitere Bearbeitung wirksam ist.

Reifegrad zugeordneter Sollmaßnahmen in ForumOSM

Im Reiter des Sollmaßnahmen an Leistungen wird für den Nutzer sofort erkenntlich dargestellt, welchen Stand die im Rahmen der Leistungen gewählten Sollmaßnahmen aufweisen. Im Reifegrad der Zusammenfassung werden Ihnen je nach gesetzter Filteroption die Summen der entsprechenden Reifegrade aufgezeigt (vollständig umgesetzt, teilweise umgesetzt, nicht umgesetzt und unbearbeitet).e

Abbildung: Anzeige des Reifegrades

Schutzziele am Sollmaßnahmenprofil in ForumOSM

In Sollmaßnahmenprofilen kann die Zuordnung von Schutzzielen (Verfügbarkeit (Service- und Datenverfügbarkeit), Vertraulichkeit, Integrität und Authentizität) getroffen werden, welche in der Ansicht der Sollmaßnahmenprofilen entsprechend angezeigt wird. Die Zuordnung der Schutzziele kann im Sollmaßnahmenprofil in ForumISM vorgenommen werden.

Abbildung: Anzeige der Zuordnung von Schutzzielen

GAP-Risiken in Sollmaßnahmenprofilen in ForumOSM

Werden Maßnahmen nicht vollständig umgesetzt, kann ein entsprechendes GAP-Risiko angelegt werden und die Abweichung dokumentiert werden. Diese Felder stehen erst zur Bearbeitung, wenn der Reifegrad mit nicht umgesetzt oder teilweise umgesetzt festgelegt wird. Über das kleine Dreieckssymbol kann die Abweichung und die Risikoerfassung geöffnet werden und erfolgen.


Abbildung: GAP-Risiken erfassen und Abweichungen dokumentieren

Dokumentieren Sie die Abweichung im vorgesehenen Ritchtextfeld.

Abbildung: Abweichung aufnehmen

Risiken können Sie aus bestehenden Objekten über die Schaltfläche Risiken kopieren.. kopieren oder neu anlegen über Risiko erfassen.

Abbildung: Risiko kopieren oder neu erfassen

Sollmaßnahmen-Cockpit

Für die Bearbeitung der Sollmaßnahmenprofile wird mit diesem Release auch ein entsprechendes Sollmaßnahmen-Cockpit zur Verfügung gestellt, welches Ihnen über diverse Filtermöglichkeiten übersichtlich gewünschte Ergebnisse zur Qualitätssicherung der Sollmaßnahmen aufzeigen kann.

Weiter Informationen finden Sie unter Sollmaßnahmen-Cockpit.


Dokumentation für das Informations-Register

An Dienstleistungen wurde ein neuer Reiter für die Dokumentation der Werte des Informationsregisters (DORA) implementiert. Hier können die einzelnen Felder mit den DORA-relevanten Informationen befüllt werden.

Die zugehörige Excel-Ausgabe des kompletten Registers wird mit dem Winter-Release nachgezogen.

Abbildung: Dienstleistungen > Reiter Informationsregister
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.