Dienstleistungen

In dieser Ansicht werden die Dienstleistungen mit einigen weiteren Informationen angezeigt. Die Dienstleistungen werden gruppiert nach ihrer Klassifizierung gemäß der Klassifizierung angezeigt. Innerhalb der einzelnen Gruppen erfolgt eine Klassifizierung nach Dienstleister. Aus der Ansicht werden außerdem die Verantwortung sowie die Anzahl der Weiterverlagerungen ersichtlich.

Um die jeweiligen Dienstleistungen schneller finden zu können, stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Dank der Gruppierung, welche Sie durch einen Klick auf das - bzw. + Symbol ein- und ausklappen können, lassen sich einzelne Dienstleistungen besser finden.

Durch einen Klick auf das Dreiecksymbol am jeweiligen Dienstleister können Sie die Ansicht aufklappen, und sich genauere Informationen zu den Dienstleistungen des Dienstleisters anzeigen lassen.

Über das Extras-Menü lässt sich die Übersicht als CSV- oder PDF-Datei exportieren.

Abbildung: Reiter "Diensteistungen", Übersicht der Dienstleistungen

Anlegen einer Dienstleistung

Über die Funktion Dienstleistung anlegen können Sie einen neue Dienstleistung in ForumOSM einfügen. Ebenso finden Sie in diesem Bereich eine Auswahl von Vorschlägen, die über die Schaltfläche Vorschläge anzeigen einzusehen sind. Diese Vorschläge können Sie übernehmen und an Ihre Bedürfnisse anpassen. Das Vorgehen dafür wird Ihnen im Abschnitt Übernehmen von Vorschläge beschrieben.,

Bitte prüfen Sie vor dem Anlegen einer neuen Dienstleistung, ob eventuell ein Vorschlag für diese vorhanden ist, um diesen ggf. in den Produktivbereich zu übernehmen.

Allgemein

Bitte vergeben Sie eine aussagekräftige Bezeichnung⁽¹⁾ für die Dienstleistung an sowie eine eindeutige Dienstleistungs-ID⁽²⁾ , um Ihnen später die Zuordnung bzw. Suche zu erleichtern. Eine Dienstleistung wird üblicherweise mit einer Verantwortung⁽³⁾ verknüpft. Im Aufgabenbereich⁽⁴⁾können Sie ggf. dafür relevante Informationen einfügen. Mit einem Klick auf das Dreieck im Feld "Art der IKT-Dienstleistung"⁽⁵⁾ können Sie diese aus einer Liste auswählen. Die einzelnen Optionen enthalten einen Präfix. Dieser wird auch in den offiziellen Dokumenten zur DORA genutzt.

An der Dienstleistung kann im Feld “Art der IKT-Dienstleistung” eine Angabe gemacht werden, um welche Art einer IKT-Dienstleistung es handelt. Es kann auch "keine IKT-Dienstleistung" ausgewählt werden. Immer wenn es sich um eine IKT-Dienstleistung handelt, wird diese im Kontext von DORA interessant.

Die Angabe in diesem Feld wird außerdem in der Klassifizierung unter Ergebnis im Feld “Klassifizierung nach DORA” ausgegeben.

Art der Dienstleistung

Bezeichnung	Bezeichnung englisch	Definition	Beispiele / Aktuelle Interpretation GFG
S01 IKT-Projektmanagement	ICT project management	Erbringung von Dienstleistungen im Zusammenhang mit dem Projektmanagement	Dauerhafte Unterstützung von Projekten mit Schwerpunkt auf Implementierung/Einführung/ Änderungen von IKT-Assets oder -Prozessen über externes Projektmanagement unter Zuhilfenahme digitaler Dienste (Projektmanagementsoftware). Beispiele: Dienstleister übernimmt das IKTProjektmanagement für einen oder mehrere Fachbereiche bzw. Themen unter Zuhilfenahme einer PMO-Plattform. Bereitstellung einer PMO-Plattform für IKT-Projekte.
S02 IKT-Entwicklung	ICT Development	Erbringung von Dienstleistungen im Zusammenhang mit der Unternehmensanalyse, Software-Design und -Entwicklung, Tests	Dauerhafte Inanspruchnahme von Entwicklungsleistungen (mit Wartungsvertrag) von Individualsoftware für die Bank und damit im Zusammenhang stehenden Unterstützungsleistungen, Konzeption und Test (inkl. Personalgestellung). Beispiele: IDV-Erstellung No/ Low-Code-Programmierung, RPA-Programmierung Customizing von Standardsoftware Sonstige Individualsoftware
S03 IKT-Helpdesk und Unterstützung auf der ersten Ebene	ICT help desk and first level support	Erbringung von Dienstleistungen im Zusammenhang mit Helpdesk-Support und First-Level-Support bei IKT-Vorfällen	Dienstleistung, welche IKT-SystemBenutzer der Bank unterstützen - technischer Support für IT-Infrastruktur und -systeme inkl. Störungsmanagement sowie erste Anlaufstelle für Benutzer, die Support/technische Unterstützung für IKT-Systeme benötigen inkl. Ticketerstellung Beispiele: User-Helpdesk First-Level Support
S04 IKT-Sicherheitsmanagementdienste	ICT security management services	Erbringung von Dienstleistungen im Zusammenhang mit IKTSicherheit (Schutz, Erkennung, Reaktion und Wiederherstellung), einschließlich Umgang mit Sicherheitsvorfällen und Forensik.	Dienstleistungen, bei denen Daten, die regelmäßig in bankfachlichen Geschäftsprozessen verwendet werden, extern über digitale Schnittstellen zugeliefert werden Abgrenzung: Nicht umfasst ist Zulieferung von allgemeinen Informationen/ nicht für die operative Verarbeitung gedachte Informationen (redaktionelle Artikel, Rundschreiben, Gremieninformationen, etc.). Beispiele: IKT-Vorfallmanagement CERT-Dienstleistungen Auswertungen in Bezug auf Sicherheitsinformationen und Ereignismanagement (SIEM) Security Operation Center (SOC) Penetrationstests Netzwerk- und Perimetersicherheit Sicherheitspatch-Management Bedrohungs- und Schwachstellenerkennung (Scans) Datenverschlüsselung und -schutz Auswertung von Logfiles (z. B. Forensik) Firewall- und Virenschutz-Management (Konfiguration und Überwachung) Sicherheitsüberprüfung von Anwendungen und Systemen IKT-Notfallbearbeitung / Wiederherstellung inkl. IKT-Notfalltests Alarmverfolgung / Aufschaltung auf Videoüberwachung durch ein Sicherheitsunternehmen Cyberversicherungen werden nicht als IKTDienstleistung betrachtet.
S05 Bereitstellung von Daten	Provision of data	Abonnement der Dienste von Datenanbietern (digitaler Datendienst)	Abonnement für die Dienste von Datenanbietern (digitaler Datendienst). Beispiele: Risiko-Kennzahlen Ratingdaten, Bonitätsdaten, SCHUFA Finanzmarktdaten, Kursdaten Immobilienmarktdaten ESG-Daten Marktforschungsdaten Compliancedaten (Sanktionslisten, Geldwäsche-Daten)
S06 Datenanalyse	Data analysis	Erbringung von Dienstleistungen im Zusammenhang mit der Unterstützung der Datenanalyse (digitaler Datendienst)	Auf Dauer angelegte Dienstleistungen, bei denen Daten der Bank mit bankfachlichem Bezug über digitale Schnittstellen zur Analyse an den Dienstleister geleitet werden und die Bank digital eine Auswertung zurückerhält. Beispiele: Datenbereinigung und -aufbereitung für Datenqualität Smart Data Analysen / Analysen über KIVerfahren Datenanalysen für Vertrieb / Kampagnenmanagement Datenanalysen für Banksteuerung Fraud Detection Verfahren Regelmäßiges Benchmarking mit Zugrundelegung von Bankdaten
S07 IKT, Einrichtungen und Hosting-Dienste (außer Cloud-Dienste)	ICT, facilities and hosting services	Bereitstellung von IKT-Infrastruktur, Betriebsmitteln und Hosting-Diensten einschl. Versorgungsleistungen (Energie-, Wärme-management...), Telekommunikationszugang und physische Sicherheit (ohne Cloud-Dienste), Zahlungsabwicklungstätigkeiten oder Bereitstellung von Zahlungs-infrastrukturen	Basisdienste als Grundlage für IKT-Dienste Ausgenommen hiervon sind technische Infrastrukturen, die die Bank selbst bereitstellt bzw. einzelfallbezogen beauftragt. Die in der Definition des ITS Anhang III aufgeführten Zahlungsabwicklungstätigkeiten und Zahlungsinfrastrukturen sind nur zu berücksichtigen, wenn diese nicht von regulierten Finanzdienstleistern im Zusammenhang mit Finanzdienstleistungen erbracht werden (siehe Ausnahmen). Beispiele: Technische Gebäudeausstattung (Zutrittskontrollen), Stromnetz, Netzkabel, Glasfaser IKT-basierte Infrastrukturbereitstellung zum Betrieb und Überwachung von Rechenzentren und Serverräumen (in Bezug auf Klima, Strom)
S08 Rechenleistung	Computation	Bereitstellung digitaler Verarbeitungskapazitäten (einschließlich Datenrechenleistung) mit Ausnahme der im Rahmen einer Cloud-Umgebung erbrachten Rechendienste	Anmietung von Rechenleistung bei Dienstleistern. Beispiele: Bereitstellung von leistungsstarken Clustern für rechenintensive Anwendungen und Datenverarbeitung durch Nicht-Cloud-Dienstleister
S09 Datenspeicherung außerhalb der Cloud	Non-Cloud Data storage	Bereitstellung von Datenspeicherplattformen (ohne Cloud-Dienste)	Bereitstellung von Datenspeicherplattformen für die Bank sowie bankindividuelle Anmietung von Datenspeichern in Rechenzentren. Abgrenzung zu Clouddiensten beachten (Kategorisierung unter 17. – 19.) sowie zu Datenberechnung (Kategorisierung unter 8.) Beispiele: Bereitstellung von virtuellem Speicherplatz u.a. Network Attached Storage (NAS)-Geräte Storage Area Networks (SANs) für die Speicherung und Verwaltung großer Datenmengen Speicher-Datensicherung und -wiederherstellungsfunktionen (Backup und Restore) Speicher zur Datenarchivierung für die langfristige Aufbewahrung von Daten
S10 Telekommunikationsanbieter	Telecom carrier	Betrieb von Telekommunikationssystemen und Ablaufmanagement. Traditionelle analoge Telefondienste sind gemäß Artikel 3 Absatz 21 der DORA-Verordnung (EU) 2022/2554 ausdrücklich ausgeschlossen.	Carrier, die Netz- und Telefondienstleistungen bereitstellen bzw. managen. Beispiele: Telefondienste einschl. Mobilfunk
S11 Netzinfrastruktur	Network infrastructure	Bereitstellung von Netzwerkinfrastruktur	Dienstleister im Zusammenhang mit der Bereitstellung und dem Management der physischen Netzwerkinfrastruktur Abgrenzung zu IKT-Sicherheitsmanagement beachten (z.B. Netzwerksicherheitsprüfung Kategorisierung unter 4.). Beispiele: Sekundärnetzdienstleister Bereitstellung und Konfiguration LAN / WLAN-Netze Bereitstellung und Konfiguration von Routern und Switchen Netzinfrastrukturüberwachung und –wartung separate DSL-Leitungen
S12 Hardware und physische Geräte	Hardware and physical devices	Bereitstellung von Arbeitsplätzen, Telefonen, Servern, Datenspeichergeräten, Geräten usw. in Form einer Dienstleistung	Hardwaredienstleistungen, bei denen Endbenutzergeräte und spezifische Infrastruktur-Hardware als Service im Institut bereitgestellt wird. Abgrenzung: Der reine Bezug von Hardware ist keine IKT-Dienstleistung, unabhängig davon, ob es sich um Kauf/Miete/Leasing handelt. Abgrenzung zu Clouddiensten beachten (vgl. Kategorisierung unter 17.) sowie zur Bereitstellung und Management von Anlagen in einem externen Rechenzentrum (vgl. Kategorisierung unter 14.) Beispiele: Bereitstellung und Verwaltung von Arbeitsplatzinfrastruktur (Managed Workplace Services für PC/Laptops) Bereitstellung und Management von Smartphones (Mietvertrag mit Installationsleistungen und Smartphonemanagement) Bereitstellung und Management von Druckern Bereitstellung und Management von Telefonen Bereitstellung und Management von Servern (ohne virtuelle Server) Bereitstellung und Management von SB-Geräten (z.B. GAA, CRS, KAD, SBT) Alarmanlagen mit Wartungsvertrag Tagestresore mit Wartungsvertrag
S13 Softwarelizenzierung (außer SaaS)	Software licencing (excluding SaaS)	Bereitstellung von lokal ausgeführter Software	Lizenzierte Software, die von der Bank selbst betrieben wird (insbesondere mit bankfachlichem Bezug / Bezug zur Informationssicherheit) und mit dauerhaften Unterstützungsleistungen verbunden ist insbesondere einem auf Dauer angelegten Wartungsvertrag. Abgrenzung: Der reine Bezug von Standard-Software (ohne bankfachlichen / ohne Banksteuerungsbezug / ohne Bezug zur Informationssicherheit) ist nicht als IKT-Dienstleistung einzustufen, unabhängig davon, ob es sich um Kauf/Miete/Leasing/Abonnement handelt. Die Bank muss für diese IKT-Assets die DORA-Anforderungen selbst sicherstellen z.B. im Änderungs-, Schwachstellen- und Patchmanagement. Beispiele: Risikosteuerungssoftware Buchhaltungssoftware Software für Informationssicherheitsmanagement
S14 IKT-Betriebsmanagement (einschließlich Wartung)	ICT operation management	Erbringung von Dienstleistungen im Zusammenhang mit: Infrastrukturkonfiguration (Systeme und Hardware mit Ausnahme des Netzwerkes), Wartung, Installation, Kapazitätsmanagement, betriebliches Kontinuitätsmanagement usw. einschließlich Anbieter von verwalteten Dienstleistungen (Managed Service Provider, MSPs).	Betrieb von IKT-Systemen im klassischen Rechenzentrum einschl. Webanwendungen und Services sowie Infrastruktur-Dienstleistungen im Zusammenhang mit IKT-Systemen in der Bank (inkl. Personalgestellung). Abgrenzung zu Cloudservices beachten (siehe Kategorisierung unter 17- 19.), sowie zu Dienstleistungen, die bereits unter Kategorisierungen 4., 7. oder 8. verortet wurden. Beispiele: Betrieb des Bankverfahrens oder einzelner Bankanwendungen in einem Rechenzentrum einschl. der Anwendungsservices (MSP/ ASP) * Nicht-cloudbasierte Webanwendungen * Sonstige Infrastrukturdienstleistungen z.B. Durchführung von Änderungen an der Infrastruktur in der Bank, Betriebssystem/Softwarebereitstellung für Clients, virtuelle Server, Kapazitätsmanagement zur Überwachung und Optimierung der Ressourcenauslastung. * vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia
S15 IKT Beratung	ICT Consulting	Erbringung von auf Know-how/IKT-Fachwissen beruhenden Dienstleistungen.	Dauerhafte Beratung im Kontext IKT im Sinne Weitergabe von KnowHow und Wissen bzw. Coaching von IT-Mitarbeitern, Beratung zu Informationssicherheit etc. Diese Leistungen sind jedoch nur dann IKT-Dienstleistungen, wenn die Leistungen über digitale Dienste/Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software). Beispiele: Digitale Dienste/ Datendienste zur Dauerhaften IKT-Unterstützung des ISB im Informationssicherheitsmanagement Dauerhaften Unterstützung im Rahmen des Notfallmanagements (Überarbeitung BCM-Konzepte und Prozesse, Erstellung von Notfall- und Wiederherstellungsplänen, Notfalltests) Dauerhaften Unterstützung bei der Erstellung von Sicherheitskonzepten und deren Umsetzung
S16 IKT-Risikomanagement	ICT Risk management	Überprüfung der Einhaltung der IKT-Risikomanagement-anforderungen gemäß Artikel 6 Absatz 10 der DORA-Verordnung (EU) 2022/2554	Auf Dauer angelegte Drittdienstleistung, die sich auf das Management von IKT-Risiken der Bank bezieht, wenn die Leistungen über digitale Dienste/ Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software). Beispiele: Digitale Dienste/ Datendienste zur Unterstützung der IKT-Risikokontrollfunktion Überprüfung des IKT-Risikomanagementrahmens Überprüfung der Implementierung von Sicherheitsrichtlinien und -verfahren Überprüfung der Einhaltung von Compliance-Standards und -Vorschriften Unterstützung des IKT-Drittparteienrisikomanagements
S17 Cloud-Dienste: IaaS	Cloud services: IaaS	Infrastruktur-as-a-Service	Bereitstellung von Rechenleistungen und Speicherplatz über Cloud-Dienste d.h. Diensten, die einen ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglichen (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit minimalem Verwaltungsaufwand oder geringer Interaktion des Dienstleisters bereitstellen lassen. (siehe Anlage 5 zum Leitfaden „Methodische Grundlagen der IT-Regulatorik“ zum NIST-Kriterienkatalog). Beispiele: Anbieter stellt dem Kunden Verarbeitung, Speicher, Netzwerke und andere grundlegende Computerressourcen zur Verfügung - der Kunde kann die Software seiner Wahl einsetzen und ausführen. Der Kunde hat Kontrolle über Betriebssysteme, Speicher und Anwendungen – und möglicherweise eine eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z. B. Host-Firewalls) (Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)
S18 Cloud-Dienste: PaaS	Cloud services: PaaS	Plattform-as-a-Service	Bereitstellung von Entwicklerplattformen über Cloud-Dienste (siehe Kategorisierung unter 17.) Beispiele: Anbieter stellt dem Kunden Cloud-Infrastruktur zur Verfügung, auf der der Kunde von ihm erstellte oder erworbene Anwendungen bereitstellen kann Anbieter unterstützt über Bereitstellung von Programmiersprachen, Bibliotheken, Diensten bzw. Tools. Der Kunde hat nur Kontrolle über die bereitgestellten Anwendungen – und möglicherweise über die Konfigurationseinstellungen für die Anwendungshostingumgebung. Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)
S19 Cloud-Dienste: SaaS	Cloud services: SaaS	Software-as-a-Service	Bereitstellung von Anwendungen über Cloud-Dienste (siehe Kategorisierung unter 17.) Abgrenzung vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia. Beispiele: Kunde kann die Anwendungen eines Anbieters nutzen, die auf einer Cloud-Infrastruktur laufen. Die Anwendungen sind von verschiedenen Client-Geräten oder mobilen Endgerätenaus entweder über eine Thin-Client-Schnittstelle (wie einen Webbrowser – z. B. webbasierte E-Mail) oder eine Programmschnittstelle zugänglich. Der Kunde kann lediglich in begrenztem Maß benutzerspezifische Anwendungskonfigurationseinstellungen vornehmen. Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)
keine IKT-Dienstleistung nach DORA	X	keine Erfassung im Informationsregister	Staatliche Behörden, die IKT-bezogene Dienste im Zusammenhang mit Funktionen des Staates bereitstellen, sind keine IKT-Drittdienstleister im Sinne der DORA. (Ausnahme gemäß DORAErwägungsgrund 63) Zentralbanken, die Zahlungs- oder Wertpapierliefer- und Wertpapierabrechnungssysteme betreiben (Ausnahme gemäß DORA Erwägungsgrund 63) IKT-Dienstleistungen, die von einem regulierten Finanzunternehmen erbracht werden und mit einer regulierten Finanzdienstleistung verbunden sind oder von dieser abhängig sind.(Ausnahme gemäß Q&A ESA 2999-DORA030) Auslegung nach dem Grundsatz der Verhältnismäßigkeit, welche IKT-Services keine IKT-Dienstleistung nach DORA darstellen: Für Webportale ist abzuwägen, ob diese als IKT-Dienstleistung nach DORA eingestuft werden (z.B. keine IKTDienstleistung nach DORA bei Portalen zur reinen Informationsbeschaffung in Abgrenzung zu den Kategorien 1.-19.). Hinweis: Sofern Bankmitarbeiter sich an Webportalen anmelden, sind diese u.a. in das Berechtigungsmanagement der Bank einzubeziehen, auch wenn diese nicht als IKT-Dienstleistung eingestuft werden. reiner Bezug von Software oder Hardware auch bei Bereitstellung von Updates und Hotlinesupport, sofern die Bank die Updates eigenverantwortlich einspielt (inkl. Tests) und die Updates nicht spezifisch für die Bank erstellt werden (in Abgrenzung zu 12. und 13.). Versorgungsdienstleister gelten nicht als IKT-Dienstleister (Ausnahme Telekommunikationsanbieter vgl. 10.) Beispiele: Portale der Aufsichtsbehörden, der Behörden der Bundesverwaltung etc. • Zahlungs- oder Wertpapierinfrastrukturen der Deutschen Bundesbank oder EZB Zentralbankfunktionen der DZ BANK (Depotservices, Transaktionsservices, Direkthandel, Sicherheitenverwahrung und Teilnahme am Tenderverfahren (Swift), Abwicklung des SepaZahlungsverkehrs, Clearing) Finanzdienstleistungen von Banken bzw. Finanzdienstleistern untereinander (Onlinebanking, gemeinsamer Betrieb von Geldautomaten) Anwendungen, die Verbundunternehmen den Banken zur Vermittlung oder Stammdatenpflege in Bezug auf ihre eigenen Verbundprodukte bereitstellen Informationsportale (soweit diese keine Datendienste anbieten vgl. auch 5. + 6.) Portale von Schulungsanbietern (insbes. wenn diese nur der Anmeldung von Schulungen dienen, keine Individualisierung von Schulungsinhalten durch die Bank erfolgt etc.) Bestellportale (soweit sie nur zur Übermittlung des Kaufwunsches dienen und keine weiteren Prozesse der Bank beinhalten) Reiner Bezug von Standard-Software (vgl. auch 13.) Reiner Bezug von Standard-Hardware (vgl. auch 12.) Stromanbieter

Bitte achten Sie auf die Verknüpfung mit einem Dienstleister⁽⁶⁾, diese Zuordnung ist notwendig.

Der Beginn sowie das Ende⁽⁹⁾ der Dienstleistung kann in dieser Übersicht hinterlegt werden.

Abbildung: Dienstleistung, Reiter "Allgemein"

Weiterverlagerungen

Der aktive Reiter - hier im Beispiel der Reiter Allgemein - wird durch einen farbigen Balken hervorgehoben. Beim Einfügen neuer Verknüpfungen wird der zuletzt aktive Reiter wieder geöffnet.

Für eine Dienstleistung kann eine sogenannte Weiterverlagerung erfasst werden⁽⁷⁾ sowie aus einer bestehenden Weiterverlagerung gewählt werden⁽⁸. Hierbei handelt es sich um Dienstleistungen, Services oder anderweitige Leistungen, die der mit Ihnen in einer Vertragsbeziehung stehende Dienstleister von anderen Unternehmen (Dritten) bezieht, um seine Dienstleistung für Sie zu erbringen. Neben der Verantwortung wird auch das Ergebnis aus der Klassifizierung in einer eigenen Spalte ausgegeben.

Beispiel:

Sie nutzen die Webanwendung Reisekosten des Dienstleisters REIKO-Soft GmbH, welche vom Anbieter als Cloud-basierte Lösung angeboten wird.

Der Dienstleister nutzt zur Bereitstellung der Lösung die Infrastruktur (Rechenzentrum, Server, Netzwerke) der Firma CloudServer AG.

Um diesen Sachverhalt in ForumOSM abzubilden, erfassen Sie zunächst den Dienstleister REIKO-Soft GmbH und die zugehörige Dienstleistung Reisekosten. Legen Sie nun auch den Dienstleister CloudServer AG an und erstellen Sie eine Dienstleistung Webhosting (o.ä.). Wählen Sie anschließend in der Dienstleistung Reisekosten im Bereich Weiterverlagerung die zuletzt angelegte Dienstleistung Webhosting der CloudServer AG.

Die Auslagerungssituation wurde damit in ForumOSM abgebildet.

Die Erfassung von Weiterverlagerungen ist optional.

Die Weiterverlagerung kann global in ForumOSM abgeschaltet werden. Weitere Informationen finden Sie zu diesem Thema unter Anpassung der Einstellung.

Die Auswahl der Anwendungen^(10), Systeme⁽¹⁰⁾, Infrastrukturbereiche⁽¹⁰⁾ sowie der Geschäftsprozesse⁽¹¹⁾, welche der Dienstleistung zugeordnet sind, kann jeweils über die Schaltfläche Abhängigkeitsgrad wählen... in Abhängigkeit eines 4stufigen Grades getroffen werden. Die Verknüpfung wird über den Button Verknüpfung löschen wieder gelöst.

Abbildung: Verknüpfung von Assets per Abhängigkeitsgrad

In dem Feld Referenz nach MVP⁽¹²⁾ kann die entsprechende Nummer, die zur Meldung an das MVP-Portal genutzt wird, vermerkt werden.

Sie können - nach der globalen Aktivierung in den Einstellungen - an der Dienstleistung (sowie am Dienstleister) relevante Informationen für das Auslagerungsregister (EBA)⁽¹³⁾ einpflegen. Weitere Informationen zum Auslagerungsregister finden Sie im Handbuch Auslagerungsregister (EBA).

Abbildung: Informationen für das Auslagerungsregister (EBA)

Für das Erstellen eines Auslagerungsverzeichnis (EBA) wurde unter dem Reiter Reporting ein separater Bereich geschaffen. Hier ist die Erstellung einer Excel-Datei für das Auslagerungsverzeichnis gemäß EBA-Leitlinien möglich.

Abbildung: Reiter Reporting, Auslagerungsregister

Der Bereich zum Auslagerungsregister (EBA) ist in ForumOSM global über die Einstellungen zu de-/aktivieren.

Abbildung: Einstellungen "Abbildung EBA-Leitlinien" aktiv

Bewertung

Im Reiter Bewertung werden die Checkliste zur Erstbewertung⁽²⁾, die Checkliste zu den Strategischen Überlegungen zum Outsourcing⁽³⁾, die Klassifizierung⁽¹⁾ und die Relevanz⁽⁴⁾ der Dienstleistung zur besseren Übersicht in ein-/aufklappbaren Bereichen standardmäßig untereinander dargestellt.

Abbildung: Reiter Klassifizierung an einer Dienstleistung

Eine vorliegende Relevanz⁽⁴⁾kann über die vorgegebenen Punkte abgefragt und mit entsprechenden Bemerkungen versehen werden.

Die Anzeige Kritische IKT-Dienstleistung mit ja erfolgt über die Vererbung der direkt oder indirekt mit der Dienstleistung verknüpften Geschäftsprozesse unter Berücksichtigung des in den Einstellungen hinterlegten Abhängigkeitsgrads.

Abbildung: Kritische IKT-Dienstleistung

Für eine Erstbewertung einer Dienstleistung steht Ihnen unter der Checkliste zur Erstbewertung⁽²⁾ein umfangreicher Fragenkatalog zur betreffenden Dienstleistung zur Verfügung. Zur Erstbewertung gelangen Sie über die Schaltfläche Checkliste übernehmen. Im Reiter Bewertung können Sie für diese Dienstleistung eine Klassifizierung⁽¹⁾ durchführen.

Die genauen Arbeitsschritte zum Anlegen und Bearbeiten von Checklisten erfahren Sie im Handbuch unter dem Menüpunkt Umgang mit Checklisten.

Nachfolgend eine Übersicht der einzelnen Relevanzen und deren Bedeutungen:

Relevanz	Erläuterung
Kritische IKT-Dienstleistung	Unterstützt die IKT-Dienstleistung mindestens eine kritische oder wichtige Funktion?
MaRisk-Relevanz	Ist die Dienstleistung entscheidungs- / steuerungsrelevant entsprechend der MaRisk?
GoB-Relevanz	Relevanz für die Buchführung / das Rechnungswesen
Auftragsverarbeitung	Erfolgt im Rahmen der Dienstleistung eine Auftragsverarbeitung gemäß BDSG?
Zeitkritischer Prozess	Ist die Dienstleistung mit einem zeitkritischen Geschäftsprozess verbunden?
MiLog-relevant	Relevanz für die Mindestlohn-Einhaltung
IT-Asset	Handelt es sich bei der Dienstleistung um ein Software-Verfahren, System oder anderweitiges Schutzobjekt im Sinne des BSI-Standards 100-2?

Verträge

Über den Reiter Verträge werden Ihnen vorhandene Verträge, Leistungsscheine und SLAs angezeigt, die im Bezug zur Dienstleistung stehen. Um einen neuen Leistungsvertrag anzulegen, nutzen Sie im Bearbeiten-Modus die Schaltfläche Vertrag anlegen ⁽¹⁾.

Die Schaltfläche Vertrag anlegen ⁽¹⁾. wird nur angezeigt, sofern im Reiter Allgemein ein Dienstleister ausgewählt wurde.

Abbildung: Ansicht Reiter Verträge

Im Bearbeiten-Modus können hinzugefügte Verträge über die Schaltfläche Auswahl bearbeiten⁽¹⁾ und per Klick auf den Mülleimer⁽²⁾ entfernt werden. Über die Auswahlbox⁽³⁾ können schnell bereits existierende Verträge mit dem Dienstleister der Dienstleistung hinzugefügt werden.

Abbildung: Ansicht Entfernen von Verträgen

Durch die Aktion "Vertrag entfernen" wird nur die Verknüpfung zwischen dem Vertrag und der aktiven Dienstleistung gelöst, der Vertrag selbst wird hierbei nicht gelöscht und steht weiterhin unter Auslagerungssteuerung > Verträge und Leistungsscheine zur Verfügung.

Möchten Sie den Vertrag selbst löschen, öffnen sie diesen und betätigen Sie die Schaltfläche Löschen unten rechts in der Maske.

Überwachungsplan

Über den Reiter Überwachungsplan wird Ihnen ermöglicht, direkt ein Überwachungsplan anzulegen, bei dem der ausgewählte Prozess automatisch verknüpft wird. Dazu wählen Sie bitte die gewünschte Dienstleistung und den Reiter Überwachungsplan aus und wechseln in den Bearbeiten-Modus. Anschließend betätigen Sie die Schaltfläche Überwachungsplan anlegen⁽¹⁾. Liegt eine abgeschlossene Klassifizierung zur Dienstleistung vor, wird Ihnen in die neue Überwachungsaktivität der Turnus gemäß dem Ergebnis der durchgeführten Risikoanalyse vorgeschlagen⁽³⁾. Den Turnus der Überwachung können Sie selber im Dropdown Menü⁽²⁾ auswählen.

Abbildung: Ansicht Reiter Überwachungsplan

Änderungen

Um Veränderungen beim Dienstleister in Bezug zu Auslagerungen (Dienstleistungen) erfassen zu können, steht der Reiter Änderungen zur Verfügung. Dort können die erfassten Änderungen, insofern dies erforderlich ist, im Nachgang auch bewertet werden.

Die angelegten Änderungen werden in einer Übersicht geführt, welche neben dem Erstell-Datum, Bezeichnung, Art der der Änderung, der Verantwortung auch die Wesentlichkeit, den Bearbeitungsstatus sowie den Zeitpunkt der Meldung wiedergibt.

Abbildung: Leistung - Reiter "Änderungen"

Vorfälle

Für Vorfälle wurde eine eigene Checkliste erstellt, welche per Vorschlag in die Anwendung eingebunden werden kann. Am Ende dieser Checklisten-Analyse erfolgt eine Auswertung, ob es zu einer Meldung kommt oder nicht. Das Ergebnis der Auswertung, d.h. ob ein schwerwiegender Vorfall oder ein nicht schwerwiegender Vorfall vorliegt, wird in das betreffende Feld Ergebnis der Analyse per Checkliste übertragen.

Bei einem schwerwiegendem Vorfall ist eine Meldung erforderlich ist. Das Datum der Meldung kann ebenfalls am Vorfall hinterlegt werden.

Wenn eine Meldung erforderlich ist, wird diese Melde-ID in das Feld Referenz nach MVP an der Dienstleistung im Reiter Allgemein hinterlegt.

Abbildung: Leistung - Reiter "Vorfälle"

Berichte

Über den Reiter Berichte wird Ihnen ermöglicht, direkt einen Risikobericht bzw. einen Bericht anzulegen, bei dem der ausgewählte Prozess und der Dienstleister automatisch verknüpft wird. Dazu wählen Sie bitte die gewünschte Dienstleistung und den Reiter Berichte aus und wechseln in den Bearbeiten-Modus. Anschließend betätigen Sie die Schaltfläche Risikobericht anlegen...⁽¹⁾ bzw. Bericht anlegen... ⁽²⁾ .

Abbildung: Ansicht Reiter Dokumente

Im Bearbeiten-Modus können hinzugefügte Berichte über die Schaltfläche Auswahl bearbeiten⁽¹⁾ und per Klick auf den Mülleimer⁽²⁾ entfernt werden.

Abbildung: Ansicht Entfernen von Risikoberichten

Durch diese Aktion wird nur die Verknüpfung zwischen dem Risikobericht und der aktiven Dienstleistung gelöst, der Risikobericht selbst wird hierbei nicht gelöscht und steht weiterhin unter Risikomanagement >Risikoberichte zur Verfügung.

Möchten Sie den Risikobericht selbst löschen, öffnen sie diesen und betätigen Sie die Schaltfläche Löschen unten rechts in der Maske.

Risikomanagement

Im Reiter Risikomanagement werden die Exit-Strategie, das Notfallkonzept, Dokumentation der Abstimmung mit dem Dienstleister und die Risiken der Dienstleistung zur besseren Übersicht in ein-/aufklappbaren Bereichen standardmäßig untereinander dargestellt. Darüber hinaus gibt es auch im Bereich Risiken die Möglichkeit, Vorschläge zu übernehmen.⁽¹⁾

Abbildung: Ansicht Reiter Risikomanagement

Im Bearbeiten-Modus können hinzugefügte Exit-Strategien, Notfallkonzepte, Dokumentation der Abstimmung mit dem Dienstleister und Risiken über die Schaltfläche Auswahl bearbeiten⁽¹⁾ und per Klick auf den Mülleimer⁽²⁾ entfernt werden.

Abbildung: Ansicht Entfernen von Notfallkonzepten bzw. Risiken

Durch diese Aktion werden nur die Verknüpfungen zwischen den Objekten und der aktiven Dienstleistung gelöst, die Objekte selbst werden hierbei nicht gelöscht und stehen weiterhin unter dem jeweiligen Menüpunkt zur Verfügung.

Möchten Sie ein Objekt selbst löschen, öffnen sie das betreffende Objekt und betätigen Sie die Schaltfläche Löschen unten rechts in der Maske.

Unter der Dokumentation der Abstimmung mit dem Dienstleister⁽⁶⁾ können Termine und dazugehörige Notizen zur jeweiligen Dienstleistung angelegt werden.

Eine Übersicht aller angelegten Exit-Strategien, Notfallkonzepte und Abstimmungen finden Sie in ForumOSMjeweils unterteilt unter dem Menüpunkt Risikomanagement im Untermenüpunkt Risikosteuerung.

Risiken

Im Reiter Risikomanagement Sie haben die Möglichkeit Risiken selbst zu definieren⁽¹⁾, bereits vorbereitete Dokumente aus der Vorschlagsdatenbank mittels Auswahl aus der Listbox⁽³⁾ zu übernehmen oder auch bereits bestehende Risiken per Auswahl aus der Listbox zu kopieren⁽²⁾.

Abbildung: Leistung, Reiter "Risikomanagement"

Sofern ein Risiko über den Button Risiken kopieren von...⁽²⁾ gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.

Nach Anlage des Risikos, kann die Eintrittswahrscheinlichkeit sowohl des Risikos als auch des Restrisikos im Reiter Bewertung nach Auswahl der Bedrohungseinstufung⁽¹⁾ und der Schwachstelleneinstufung⁽¹⁾ berechnet⁽²⁾ werden.

Abbildung: Risiko, Reiter "Bewertung"

Bei der Risikobewertung wird bei der Berechnung der Eintrittswahrscheinlichkeit aus Bedrohungs- und Schwachstelleneinstufung eine entsprechende Bemerkung hinterlegt.

Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.

Abbildung: Matrix Eintrittswahrscheinlichkeit

Weitere Informationen zum Umgang mit Risiken finden Sie unter dem Risiko-Cockpit.

Dienstleistung kopieren

Über das Extras-Menü kann von einer bestehenden Dienstleistung eine Kopie erstellt werden. Es werden die Bezeichnung (jedoch gekennzeichnet durch "Kopie"), die Verantwortung, die verknüpften Schutzobjekte, alle Freitextfelder, Sollmaßnahmenprofile und Risiken kopiert.

Abbildung: Funktion "Dienstleistung kopieren"

Sollmaßnahmen - Zusammenspiel zwischen ForumOSM und ForumISM

Als Nutzer der Anwendung ForumOSM können Sie nun in ForumISM auf die Dienstleistungen zugreifen. Im Menü Assetmanagement werden die Dienstleistungen angezeigt.
In ForumOSM werden an einer Dienstleistung die verknüpften Sollmaßnahmen im Reiter Sollmaßnahmen angezeigt.

Alle Dienstleistungen aus ForumOSM können nun über den Reiter Assetmanagement und Dienstleistungen eingesehen werden.

Abbildung: Anzeige Übersicht Dienstleistungen in ForumISM

Dienstleistungen in ForumISM

In der Einzelansicht einer Dienstleistung in ForumISM werden die Reiter Allgemein und Sollmaßnahmen aufgelistet. Im Reiter Allgemein befinden sich die die allgemeinen Information aus der betreffenden Dienstleistung 1:1 wie in ForumOSM, ausgenommen sind die

Informationen für das Auslagerungsregister (EBA).

Im Reiter der Sollmaßnahmen wird der Schutzbedarf einer Dienstleistung von den mit den Dienstleistungen verknüpften Geschäftsprozessen (+ ggf. Datenklassen / Schutzobjekte) nach dem Maximalitätsprinzip angezeigt.

Über den Button In ForumOSM öffnen können Sie jederzeit in die Anwendung ForumOSM wechseln und dort weitere Bearbeitungen an der Dienstleistung vornehmen.

Abbildung: Leistung als Schutzobjekt

Über die Schaltflächen Aus Liste wählen können aus in ForumISM bestehenden Sollmaßnahmenprofilen entsprechende Profile zugeordnet werden. Die Schaltfläche Bausteine wählen nutzen Sie zur Wahl eines Standards aus der Anwendung ForumNSR für die Zuordnung. Diese Möglichkeit besteht nur, wenn die Anwendung ForumNSR lizenziert wurde und betreffende Standards in der produktiven Bearbeitung in der Anwendung zur Verfügung stehen.

Die Zuordnung zu Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards ist nur möglich, wenn die betreffende Dienstleistung in ForumOSM nicht freigegeben ist.

Wenn die betreffende Dienstleistung freigegeben ist, kann die direkte Zuordnung von Sollmaßnahmenprofilen auch direkt über das betreffende Sollmaßnahmenprofil getroffen werden. Ordnen Sie dem Profil über Dienstleistung verknüpfen ... die gewünschte Dienstleistung zu.

An Dienstleistungen kann ein konkreter Schutzbedarf angelegt werden, dieser wird Ihnen dann auch in der Übersicht der Dienstleistungen in ForumISM in einer separaten Spalte angezeigt. Wenn ein konkreter Schutzbedarf für diese Dienstleistung angelegt werden soll, nutzen Sie bitte im Lesemodus im Reiter Sollmaßnahmen die Schaltfläche Extras in der Titelleiste und legen einen konkreten Schutzbedarf an oder kopieren aus bestehende Objekten einen konkreten Schutzbedarf.

Abbildung: Konkreter Schutzbedarf anlegen

Folgende Voraussetzungen sind zu erfüllen, um einen konkreten Schutzbedarf an Dienstleistungen in ForumISM anzulegen bzw. aus bestehenden Dokumenten zu kopieren:

Zur Erfassung eines konkreten Schutzbedarfs für Dienstleistungen müssen zuvor in den Einstellungen von ForumISM die bereits aktiven SBA-Schemata zunächst Überarbeitet und anschließend erneut Freigegeben werden.
Anschließend aktualisieren Sie die Anwendung über die Funktionstaste F5.
Die betreffende Dienstleistung in ForumOSM darf nicht freigegeben sein.

In ForumOSM ist ein Löschen des konkreten Schutzbedarfs anschließend nicht möglich.

Die Anzeige einer zugeordneten Dienstleistung erfolgt an den Schutzobjekten im Reiter Details und Betrieb und Hersteller bzw. an einem Geschäftsprozess im Reiter Grundlagen.

Abbildung: Anzeige einer Leistung im Schutzobjekt und einem Geschäftsprozess

In den jeweiligen Ansichten der Geschäftsprozesse und Schutzobjekte können jeweils über die Schaltfläche aus Liste wählen zuzuordnende Dienstleistungen gewählt werden und eine getroffene Auswahl bearbeitet werden.

Anzeige Schutzbedarf am Dienstleister

In ForumISM wird unter > Stammdaten > Dienstleister am betreffenden Dienstleister der kulminierte Schutzbedarf aus allen Dienstleistungen nach dem Maximalitätsprinzip angezeigt.

Abbildung: Stammdaten > Dienstleiter: Anzeige des maximalen Schutzbedarfs aus Leistungen

ForumOSM: Anzeige Schutzbedarf aus Prozessen und IKT-Assets an der Dienstleistung

An der Dienstleistung wird im Reiter Sollmaßnahmen das Gesamtergebnis zum Schutzbedarf aus den verknüpften Geschäftsprozessen und der verknüpften IKT-Assets angezeigt.

Falls eine Bewertung zur Schutzbedarfsanalyse aus ForumISM vorliegt, werden diese Werte übernommen. Da der Schutzbedarf an der Dienstleistung aus allen verknüpften Geschäftsprozessen und Schutzobjekten nach dem Maximalprinzip ermittelt wird, hilft dies bei der anschließenden Risikobewertung.

An der Dienstleistung werden die Schutzbedarfe der verknüpften Geschäftsprozesse und die geerbten bzw. abweichenden Schutzbedarfe der verknüpften Schutzobjekte angezeigt.

Sofern an der Dienstleistung ein konkreter Schutzbedarf vorhanden ist, gewinnt dieser!

Abbildung: Anzeige des Schutzbedarfs aus Prozessen und Schutzobjekten an der Leistung

Bearbeitung der Maßnahmen in ForumOSM

Die Bearbeitung der zugeordneten Profilmaßnahmen und die entsprechende IST-Dokumentation erfolgt in der Anwendung ForumOSM an der betreffenden Dienstleistung im neuen Reiter Sollmaßnahmen.

Abbildung: Bearbeitung der Maßnahmen in ForumOSM

Zur Abbildung eines Soll-/Soll-Abgleiches und eines Soll-/Ist-Abgleiches für Sollmaßnahmen an IKT-Dienstleistungen (Leistungen) gibt es zwei Reifegrade:

"Vertragliche Regelung (Soll/Soll)" und "Operative Umsetzung (Soll/Ist)" (bisherig Reifegrad)

Abbildung: Spezifische Sollmaßnahmen für Dienstleistungen

Die Sollmaßnahmen von IKT-Dienstleistungen werden in das Sollmaßnahmen-Cockpit aufgenommen, dabei wird von den beiden Reifegraden an den einzelnen Sollmaßnahmen jeweils nur ein Wert übernommen.

Über die Dreieckssymbole können Sie auch die Detailansicht des betreffenden Profils öffnen. Hinter den jeweiligen Profilen gelangen Sie über die Schaltfläche

direkt in die Detailansicht des betreffenden Profils in ForumISM oder den gewählten Standard in ForumNSR.

Über den Klick auf den Reifegrad oder das Fragezeichen vor dem Wort Reifegrad gelangen Sie in die Einzelansicht der jeweiligen Sollmaßnahme. Wechseln Sie aus dem Lesemodus in den Bearbeitungsstand werden Ihnen weitere Schaltflächen sichtbar.

Schaltfläche	Erklärung
	Button zur Generierung des Excel-Exports der Sollmaßnahmen
	Alle neu zugeordneten Maßnahmen an einer Dienstleistung werden durch Aktivierung an den Sollmaßnahmen aus Standards oder Sollmaßnahmenprofilen bestätigt. Keine einzelne Maßnahmenbestätigung ist mehr notwendig. Abbildung: Bearbeitungsmodus von Profilen in einer Leistung Die Aktivierung ist nochmal zu bestätigen. Abbildung: Bestätigung der Aktivierung
	Sind in dem gewählten Standard Umsetzungen und Reifegrade in der Anwendung ForumNSR dokumentiert, können diese über diese Schaltfläche in die Umsetzung nach ForumOSM migriert werden, folgender Hinweis erscheint als Popup: Abbildung: Hinweismeldung bei Massen Vorbelegung Werden in einem Sollmaßnahmenprofil verknüpfte Profilmaßnahmen verwendet, werden diese ebenso über die `Massen Vorbelegung` mit übernommen. Werden in der Bearbeitungszeit am Sollmaßnahmenprofil Änderungen an den Profilmaßnahmen vollzogen, wird Ihnen dies im blauen Rahmen angezeigt. Die Umsetzung der Maßnahme bezieht sich also auf eine frühere Version der Maßnahme. Sie können über entsprechende Schaltflächen `Änderungen bestätigen` oder `Änderungen prüfen`.
	Die vorab beschrieben Aktion kann über diese Schaltfläche rückgängig gemacht werden, folgender Hinweis erscheint als Popup: Abbildung: Hinweismeldung bei Umsetzung zurücksetzen
	Maßnahmen, deren Umsetzung durch einen Verweis auf eine andere Maßnahme referenzieren, können nicht bearbeitet werden und über die Auswahl entsprechend eingeblendet werden. Über das Fragezeichen vor dem Reifegrad erhalten sie bei aktiver Checkbox folgenden Hinweis: Es kann zu Differenzen in der Anzahl der Maßnahmen kommen, da Maßnahmen, welche nicht bearbeitbar sind, nicht in der Zählung einbezogen werden. Abbildung: Checkbox nicht bearbeitbare Maßnahmen Die Funktion "nicht bearbeitbare Maßnahmen einblenden" erscheint nur, wenn in ForumISM in den Einstellungen der Schalter unter Schutzbedarf/Schutzniveau "Ausblendung nicht bearbeitbarer Sollmaßnahmen" aus ist, sowie am Schutzobjekt (welche die Bank selbst betreibt) Sollmaßnahmen aus dem Standard BASI (aus ForumNSR) verknüpft sind. Abbildung: Ausblenden nicht bearbeitbarer Sollmaßnahmen
	Eine einzelne neue Maßnahme im Profil wird über die Schaltfläche bestätigt und kann bearbeitet werden. Abbildung: Bestätigung einer neuen Maßnahme
	Wird die Umsetzung von NSR-Maßnahmen, die in ForumISM verknüpft sind, in ForumNSR überarbeitet, so können diese Änderungen in ForumISM übernommen werden. Damit bei gleichzeitiger Arbeit in ForumISM und ForumNSR solche Änderungen in ForumISM sichtbar werden. Diese Schaltfläche ist von Bedeutung bei der ersten Bearbeitung von Sollmaßnahmen. Im nachfolgendem Beispiel wurden Maßnahmen aus dem bankenindividuellen SiMaKat aus dem Cluster 13 IT-Anwendungen mit einem Schutzobjekt verknüpft. Alle Maßnahmen sind unbearbeitet (Teilbild 1). Bevor die Massen Vorbelegung aktiviert wird, kann eine Aktualisierung gestartet werden. Im Teilbild 1 ist zu erkennen, dass an den Maßnahmen A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie und A.6.1.4-1 Kontakt mit speziellen Interessensgruppen keine Bearbeitung in ForumNSR erfolgte. An der Maßnahme A.6.2.1-1 Richtlinie zu Mobilgeräten ist über die Schaltfläche >> zu erkennen, dass eine Bearbeitung in ForumNSR erfolgte. Damit die Inhalte von Maßnahmen des Clusters 13 IT-Anwendungen aus ForumNSR für die Bearbeitung an weiteren Schutzobjekten zur Verfügen stehen, lohnt sich an dieser Stelle die direkte Bearbeitung der Maßnahmen in ForumNSR. Der Wechsel zu ForumNSR kann über das Anklicken der Bezeichnung A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie erfolgen und die Bearbeitung im neuen Tab in ForumNSR starten. Im Teilbild 2 wird nun nach Aktivierung der Schaltfläche `Aktualisieren` ersichtlich, dass eine Bearbeitung an der Maßnahme A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie in ForumNSRgetätigt wurde. Abbildung: Bearbeitung durch Aktualisieren
	Alle entfallenen zugeordneten Maßnahmen an einer Leistung werden durch Aktivierung an den Sollmaßnahmen aus Standards oder Sollmaßnahmenprofilen entfernt. Keine einzelne Maßnahmenbestätigung ist mehr notwendig. Abbildung: Bearbeitungsmodus von Profilen in einer Leistung Die Aktivierung ist nochmal zu bestätigen. Abbildung: Bestätigung der Aktivierung
	An einer einzelnen Maßnahme bekomme ich hier die Möglichkeit, eine bestehende Dokumentation aus ForumNSR in der Anwendung ForumOSManzeigen zu lassen. Durch die `>>Massen Vorbelegung` ist dies aber eher selten anzuwenden. Abbildung: einzelelne Übernahme von Inhalten

Abwahl eines Sollmaßnahmenprofils in ForumOSM

Die Abwahl der Sollmaßnahmenprofile erfolgt bequem über die Schaltfläche Auswahl bearbeiten und dem Mülleimersymbol zum Lösen der Verknüpfung.

Abbildung: Abwahl eines Sollmaßnahmenprofils

Zuordnung von Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards in ForumOSM

Die Zuordnung von Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards kann auch in ForumOSM erfolgen.

Nachdem ein Sollmaßnahmenprofil mit einer Leistung auf diesem Weg verknüpft wurde, muss die Leistung mindestens einmal gespeichert werden, damit die Verknüpfung für eine weitere Bearbeitung wirksam ist.

Reifegrad zugeordneter Sollmaßnahmen in ForumOSM

Im Reiter des Sollmaßnahmen an Leistungen wird für den Nutzer sofort erkenntlich dargestellt, welchen Stand die im Rahmen der Leistungen gewählten Sollmaßnahmen aufweisen. Im Reifegrad der Zusammenfassung werden Ihnen je nach gesetzter Filteroption die Summen der entsprechenden Reifegrade aufgezeigt (vollständig umgesetzt, teilweise umgesetzt, nicht umgesetzt und unbearbeitet).e

Abbildung: Anzeige des Reifegrades

Schutzziele am Sollmaßnahmenprofil in ForumOSM

In Sollmaßnahmenprofilen kann die Zuordnung von Schutzzielen (Verfügbarkeit (Service- und Datenverfügbarkeit), Vertraulichkeit, Integrität und Authentizität) getroffen werden, welche in der Ansicht der Sollmaßnahmenprofilen entsprechend angezeigt wird. Die Zuordnung der Schutzziele kann im Sollmaßnahmenprofil in ForumISM vorgenommen werden.

Abbildung: Anzeige der Zuordnung von Schutzzielen

GAP-Risiken in Sollmaßnahmenprofilen in ForumOSM

Werden Maßnahmen nicht vollständig umgesetzt, kann ein entsprechendes GAP-Risiko angelegt werden und die Abweichung dokumentiert werden. Diese Felder stehen erst zur Bearbeitung, wenn der Reifegrad mit nicht umgesetzt oder teilweise umgesetzt festgelegt wird. Über das kleine Dreieckssymbol kann die Abweichung und die Risikoerfassung geöffnet werden und erfolgen.

Abbildung: GAP-Risiken erfassen und Abweichungen dokumentieren

Dokumentieren Sie die Abweichung im vorgesehenen Ritchtextfeld.

Abbildung: Abweichung aufnehmen

Risiken können Sie aus bestehenden Objekten über die Schaltfläche Risiken kopieren.. kopieren oder neu anlegen über Risiko erfassen.

Abbildung: Risiko kopieren oder neu erfassen

Sollmaßnahmen-Cockpit

Für die Bearbeitung der Sollmaßnahmenprofile wird mit diesem Release auch ein entsprechendes Sollmaßnahmen-Cockpit zur Verfügung gestellt, welches Ihnen über diverse Filtermöglichkeiten übersichtlich gewünschte Ergebnisse zur Qualitätssicherung der Sollmaßnahmen aufzeigen kann.

Weiter Informationen finden Sie unter Sollmaßnahmen-Cockpit.

Dokumentation für das Informations-Register

An Dienstleistungen wurde ein neuer Reiter für die Dokumentation der Werte des Informationsregisters (DORA) implementiert. Hier können die einzelnen Felder mit den DORA-relevanten Informationen befüllt werden.

Die zugehörige Excel-Ausgabe des kompletten Registers wird mit dem nächsten Release nachgezogen.

Abbildung: Dienstleistungen > Reiter Informationsregister