Klassifizierung
Im Bereich Klassifizierung werden alle Auslagerungen angezeigt, für die bereits eine strukturierte Risikoanalyse erstellt wurde.
Um die jeweiligen Analysen schneller finden zu können, stehen verschiedene Möglichkeiten zur Verfügung. Dank der Gruppierung, welche Sie ein- und ausklappen können, lassen sich einzelne Risikoanalysen besser finden.
So gibt es eine Unterteilung in wesentliche und nicht wesentliche Auslagerungen, wesentliche und nicht wesentliche Weiterverlagerungen, sonstigen Fremdbezug (nach MaRisk), sonstigen Fremdbezug von IT-Dienstleistungen (BAIT) mit niedrigem oder erhöhtem Risiko, Zentralbankfunktion und einfache Dienstleistungen.
Zusätzlich sind auch die jeweiligen Spalten Bezeichnung, Dienstleister, Scoring, Turnus und Datum einzeln sortierbar.
Die detaillierte Risikoanalyse kann global in ForumOSM abgeschaltet werden. Weitere Informationen finden Sie zu diesem Thema unter Anpassung der Einstellung.
Die Anzeige Kritische IKT-Dienstleistung erfolgt über die Vererbung der verknüpften Prozesse aus ForumISM ab Abhängigkeitsgrad 4 (kritische oder wichtige Funktion > ja) an der Dienstleistung.
Anlegen einer Klassifizierung
Über die Schaltfläche Klassifizierung anlegen können Sie eine neue Klassifizierung anlegen. Beim Erstellen einer neuen Klassifizierung wird das Feld Letzte Bearbeitung(1) automatisch mit dem Tagesdatum versehen. Danach muss das Datumsfeld manuell aktualisiert werden.
Um eine Analyse durchführen zu können, muss eine Dienstleistung(2) ausgewählt und im Feld Bewertung(4) der Wert siehe Checklisten bzw. Risikoanalyse eingetragen werden.
In dieser Auswahl werden Ihnen nur Auslagerungen angezeigt, für die in ForumOSM noch keine Risikoanalyse durchgeführt wurde.
Die Bezeichnung(3) der Analyse wird automatisch berechnet und orientiert sich immer an der Dienstleistung.
Für die eigentliche Bewertung stehen Ihnen zwei verschiedenen Detailstufen zur Verfügung - direkte Bewertung(1) oder siehe Checkliste bzw. Risikoanalyse(2).
Nehmen Sie auf Basis Ihrer Bewertung die Klassifizierung nach MaRisk(5) vor (Auswahlliste).
Hinweis: Der Eintrag Klassifizierung nach DORA(6) wird aus den Angaben in der Dienstleistung übernommen und ist nicht editierbar.
Sofern die IKT-Dienstleistung mindestens eine kritische oder wichtige Funktion innerhalb eines Prozesses unterstützt, wird sie als "kritische IKT-Dienstleistung"(7) gekennzeichnet. Die Anzeige Kritische IKT-Dienstleistung → "ja" erfolgt über die Vererbung der verknüpften Prozesse aus ForumISM ab Abhängigkeitsgrad 4 (kritische oder wichtige Funktion > ja) an der Dienstleistung.
Über die Auswahl(3) entscheiden Sie sich für die Einfache Risikoanalyse oder die Detaillierte Risikoanalyse. Bei Neuanlage einer Risikoanalyse sind diese Fragen noch nicht im Dokument hinterlegt.
Wählen Sie die Bewertung siehe Checkliste bzw. Risikoanalyse(2) werden Ihnen weitere Reiter mit Checklisten(4) bzw. die eigentliche Risikoanalyse(4) angeboten. Für die direkte Bewertung befüllen Sie die nachfolgenden Felder ohne Vorlage einer Checkliste.
Sie stehen als Vorschläge zur Verfügung und können mittels Risikoanalyse durchführen(2) in das Dokument eingefügt werden.
Wenn Sie in ForumOSM in der Einstellungen die detaillierte Risikoanalyse aktiviert haben, wird bei Auswahl der Bewertung siehe Checklisten bzw. Risikoanalyse in der Analyse die detaillierte Risikoanalyse voreingestellt. Die einfache Risikoanalyse bleibt in der Auswahl(3) erhalten.
Die Fragen der Checkliste sind standardmäßig im zugeklappten Zustand dargestellt. Die Checkliste kann zusätzlich über die Schaltflächen + und - auf- und eingeklappt(3) werden bzw. kann zusätzlich über das Dreieckssymbol der jeweiligen Bereiche(2) einzeln geschlossen oder geöffnet werden. Soll eine übernommene Checkliste wieder entfernt werden, weil Sie sich doch für eine andere Art entscheiden wollen, können Sie diese im Bearbeiten-Modus über das Mülleimer-Symbol(1) wieder entfernen und anschließend eine neue Checkliste einfügen.
Detaillierte Risikoanalyse
Die Fragen der Checkliste sind in beiden Fällen identisch, lediglich die Möglichkeiten der Antwortmöglichkeiten weichen ab.
Bei der detaillierten Analyse können Sie Werte für Eintrittswahrscheinlichkeit, Schadenspotential und Gewichtung des einzelnen Risikos hinterlegen.
Die genauen Werte der Punktzahlen und Multiplikatoren finden Sie im Grundlagendokument "Kriterien zur Risikoanalyse", welches in den Vorschlägen zur Anwendung im Bereich "Grundlagen > Risikomanagement" zur Verfügung steht.
Das Feld für die Gewichtung wirkt dabei als zusätzlicher Multiplikator, um bestimmte Risiken stärker oder schwächer in die Betrachtung einbeziehen zu können.
Einfache Risikoanalyse
Für die einfache Analyse beschränkt sich die Einschätzung der jeweiligen Risiken auf ein einzelnes Feld - die Einstufung des Risikos. Der Wert für die Gewichtung ist in diesem Fall intern immer auf "mittel" (Faktor 1) gesetzt.
Weiterführung der Analyse
Die einzelnen Fragenbereiche können zur Erhöhung der Übersichtlichkeit zugeklappt werden. Die Anzahl der bereits bearbeiteten Checkfragen bleibt trotzdem sichtbar, komplett abgearbeitete Frageblöcke werden zusätzlich mit einem Häkchen markiert.
Die Checkliste kann über die Schaltflächen + und - auf- /eingeklappt werden bzw. kann zusätzlich über das Dreieckssymbol der jeweiligen Bereiche einzeln geschlossen oder geöffnet werden.
Sind in der Risikoanalyse alle Fragen bearbeitet, wird dies durch den Gleichstand der Zahlen in den Fragen/Antworten und einem farblichen Haken angezeigt.
Auswertung der Risikoanalyse
Die sich während der Bearbeitung der Checklisten ergebenden Werte für Scoring(1) bzw. Kritikalität(2) können als Richtwerte für die Klassifizierung der entsprechenden Dienstleistung genutzt werden.
Anhand Ihrer Ergebnisse kann im Feld Klassifizierung(1) definiert werden, ob die Dienstleistung als wesentlich, nicht wesentlich, sonstigen Fremdbezug von IT-Dienstleistungen, sonstigen Fremdbezug von IT-Dienstleistungen (BAIT) mit niedrigem Risiko, sonstigen Fremdbezug von IT-Dienstleistungen (BAIT) mit erhöhtem Risiko, sonstigen Fremdbezug, Zentralbankfunktion oder als einfache Dienstleistung klassifiziert werden kann.
Auch der Überwachungsturnus der Dienstleistung kann unter Zuhilfenahme der Scoringwerte und der damit einhergehenden Kritikalität der Dienstleistung bestimmt werden.
Ist eine Überwachungsaktivität als nicht erforderlich eingestuft, entfernt das System das Feld Überwachungsturnus.
Quick Check
Quick-Checks an der Klassifizierung einer Dienstleistung können aus verknüpften Verträgen kopiert werden oder unabhängig davon über die Schaltfläche Quick-Check durchführen... durchgeführt werden.. Die Kpierfunktion steht in der Klassifizierung über die Schaltfläche Quick-Check kopieren von... zur Verfügung.
Im nachfolgenden Arbeitsschritt bekommen Sie alle verknüpften Verträge angezeigt und bestätigen Ihre Wahl mit dem Setzen des Hakens in der Checkbox(2) und schließen den Vorgang mit der Schaltfläche Übernehmen(3) ab. Falls viele Verträge zur Auswahl stehen, besteht über das Suchfeld(1) die Möglichkeit durch die Eingabe des Vertragsnamens die Suche zu vereinfachen.
Zulässigkeit
Folgen Sie hier bitte den Fragen zur Zulässigkeit der Auslagerung gemäß MaRisk. Das Ergebnis wird Ihnen automatisch durch die von Ihnen gegeben Antworten festgelegt.
Sonstiger Fremdbezug von IT-Dienstleistungen
Nutzen Sie die Checkliste über die Schaltfläche Bewertung durchführen... , um zu ermitteln, ob es sich bei der Dienstleistung um einen sonstigen Fremdbezug von IT-Dienstleistungen gemäß BAIT Ziffer 8 handelt.
Mit der Checkliste zur Risikobewertung nicht kritischer IKT-Dienstleistungen können Sie über die Schaltfläche Risikobewertung durchführen... eine Risikobewertungen für nicht kritische IKT-Dienstleistungen gemäß DORA durchführen.
