Skip to main content
Skip table of contents

Klassifizierung

Im Bereich Klassifizierung werden alle Auslagerungen angezeigt, für die bereits eine strukturierte Risikoanalyse erstellt wurde.

Um die jeweiligen Analysen schneller finden zu können, stehen verschiedene Möglichkeiten zur Verfügung. Dank der Gruppierung, welche Sie ein- und ausklappen können, lassen sich einzelne Risikoanalysen besser finden.

So gibt es eine Unterteilung in wesentliche und nicht wesentliche Auslagerungen, wesentliche Weiterverlagerungen, sonstigen Fremdbezug, Zentralbankfunktion und einfache Dienstleistungen.

Zusätzlich sind auch die jeweiligen Spalten Bezeichnung, Dienstleister, Scoring, Turnus und Datum einzeln sortierbar.

Die detaillierte Risikoanalyse kann global in ForumOSM abgeschaltet werden. Weitere Informationen finden Sie zu diesem Thema unter Anpassung der Einstellung.

Abbildung: Übersicht Klassifizierung

Anlegen einer Klassifizierung

Über die Schaltfläche Klassifizierung anlegen können Sie eine neue Klassifizierung anlegen. Beim Erstellen einer neuen Klassifizierung wird das Feld Letzte Bearbeitung(1) automatisch mit dem Tagesdatum versehen. Danach muss das Datumsfeld manuell aktualisiert werden.
Um eine Analyse durchführen zu können, muss eine Leistung(2) ausgewählt und im Feld Bewertung(4) der Wert siehe Checklisten bzw. Risikoanalyse eingetragen werden.


In dieser Auswahl werden Ihnen nur Auslagerungen angezeigt, für die in ForumOSM noch keine Risikoanalyse durchgeführt wurde.


Die Bezeichnung(3) der Analyse wird automatisch berechnet und orientiert sich immer an der Leistung.


Abbildung: Risikoanalyse anlegen

Für die eigentliche Bewertung stehen Ihnen zwei verschiedenen Detailstufen zur Verfügung - direkte Bewertung(1) oder siehe Checkliste bzw. Risikoanalyse(2).


Abbildung: Bewertung

Über die Auswahl(3) entscheiden Sie sich für die Einfache Risikoanalyse oder die Detaillierte Risikoanalyse. Bei Neuanlage einer Risikoanalyse sind diese Fragen noch nicht im Dokument hinterlegt.

Wählen Sie die Bewertung siehe Checkliste bzw. Risikoanalyse(2) werden Ihnen weitere Reiter mit Checklisten(4) bzw. die eigentliche Risikoanalyse(4) angeboten. Für die direkte Bewertung befüllen Sie die nachfolgenden Felder ohne Vorlage einer Checkliste.

Sie stehen als Vorschläge zur Verfügung und können mittels Risikoanalyse durchführen(2) in das Dokument eingefügt werden.


Abbildung: Bewertung siehe Risikoanalyse

Wenn Sie in ForumOSM in der Einstellungen die detaillierte Risikoanalyse aktiviert haben, wird bei Auswahl der Bewertung siehe Checklisten bzw. Risikoanalyse in der Analyse die detaillierte Risikoanalyse voreingestellt. Die einfache Risikoanalyse bleibt in der Auswahl(3) erhalten.


Abbildung: Aktivierung detaillierte Risikoanalyse in den Einstellungen

Die Fragen der Checkliste sind standardmäßig im zugeklappten Zustand dargestellt. Die Checkliste kann zusätzlich über die Schaltflächen + und - auf- und eingeklappt(3) werden bzw. kann zusätzlich über das Dreieckssymbol der jeweiligen Bereiche(2) einzeln geschlossen oder geöffnet werden. Soll eine übernommene Checkliste wieder entfernt werden, weil Sie sich doch für eine andere Art entscheiden wollen, können Sie diese im Bearbeiten-Modus über das Mülleimer-Symbol(1) wieder entfernen und anschließend eine neue Checkliste einfügen.

Abbildung: Einfache Risikoanalyse


Detaillierte Risikoanalyse

Die Fragen der Checkliste sind in beiden Fällen identisch, lediglich die Möglichkeiten der Antwortmöglichkeiten weichen ab.

Bei der detaillierten Analyse können Sie Werte für Eintrittswahrscheinlichkeit, Schadenspotential und Gewichtung des einzelnen Risikos hinterlegen.

Abbildung: Detaillierte Risikoanalyse

Die genauen Werte der Punktzahlen und Multiplikatoren finden Sie im Grundlagendokument "Kriterien zur Risikoanalyse",  welches in den Vorschlägen zur Anwendung im Bereich "Grundlagen > Risikomanagement" zur Verfügung steht.


Das Feld für die Gewichtung wirkt dabei als zusätzlicher Multiplikator, um bestimmte Risiken stärker oder schwächer in die Betrachtung einbeziehen zu können.

Einfache Risikoanalyse

Für die einfache Analyse beschränkt sich die Einschätzung der jeweiligen Risiken auf ein einzelnes Feld - die Einstufung des Risikos. Der Wert für die Gewichtung ist in diesem Fall intern immer auf "mittel" (Faktor 1) gesetzt.


 

Abbildung: Einfache Risikoanalyse

Weiterführung der Analyse

Die einzelnen Fragenbereiche können zur Erhöhung der Übersichtlichkeit zugeklappt werden. Die Anzahl der bereits bearbeiteten Checkfragen bleibt trotzdem sichtbar, komplett abgearbeitete Frageblöcke werden zusätzlich mit einem Häkchen markiert.

Die Checkliste kann über die Schaltflächen + und - auf- /eingeklappt werden bzw. kann zusätzlich über das Dreieckssymbol der jeweiligen Bereiche einzeln geschlossen oder geöffnet werden.


Abbildung: Bereiche einklappen

Sind in der Risikoanalyse alle Fragen bearbeitet, wird dies durch den Gleichstand der Zahlen in den Fragen/Antworten und einem farblichen Haken angezeigt.


Abbildung: Risikoanalyse zusammengeklappt

Auswertung der Risikoanalyse

Die sich während der Bearbeitung der Checklisten ergebenden Werte für Scoring(1) bzw. Kritikalität(2) können als Richtwerte für die Klassifizierung der entsprechenden Leistung genutzt werden.

Abbildung: Weiterbearbeitung der Risikoanalyse

Anhand Ihrer Ergebnisse kann im Feld Klassifizierung(1) definiert werden, ob die Leistung als wesentlich, nicht wesentlich, sonstigen Fremdbezug von IT-Dienstleistungen, sonstigen Fremdbezug von IT-Dienstleistungen (BAIT) mit niedrigem Risiko, sonstigen Fremdbezug von IT-Dienstleistungen (BAIT) mit erhöhtem Risiko, sonstigen Fremdbezug, Zentralbankfunktion oder als einfache Dienstleistung klassifiziert werden kann.

Abbildung: Weiterbearbeitung der Risikoanalyse

Auch der Überwachungsturnus der Leistung kann unter Zuhilfenahme der Scoringwerte und der damit einhergehenden Kritikalität der Leistung bestimmt werden.


Abbildung: Konfiguration des Überwachungsturnus

Ist eine Überwachungsaktivität als nicht erforderlich eingestuft, entfernt das System das Feld Überwachungsturnus.


Quick Check

Quick-Checks an der Klassifizierung einer Leistung können aus verknüpften Verträgen kopiert werden oder unabhängig davon über die Schaltfläche Quick-Check durchführen... durchgeführt werden.. Die Kpierfunktion steht in der Klassifizierung über die Schaltfläche Quick-Check kopieren von... zur Verfügung.

Abbildung: Kopieren einer Klassifizierung im Reiter Quick-Check

Im nachfolgenden Arbeitsschritt bekommen Sie alle verknüpften Verträge angezeigt und bestätigen Ihre Wahl mit dem Setzen des Hakens in der Checkbox(2) und schließen den Vorgang mit der Schaltfläche Übernehmen(3) ab. Falls viele Verträge zur Auswahl stehen, besteht über das Suchfeld(1) die Möglichkeit durch die Eingabe des Vertragsnamens die Suche zu vereinfachen.


Abbildung: Wahl des verknüpften Vertrages

Zulässigkeit

Folgen Sie hier bitte den Fragen zur Zulässigkeit der Auslagerung gemäß MaRisk. Das Ergebnis wird Ihnen automatisch durch die von Ihnen gegeben Antworten festgelegt.


Abbildung: Klassifizierung Reiter Zulässigkeit

Sonstiger IT- Fremdbezug

Nutzen Sie die Checkliste über die Schaltfläche Bewertung durchführen... , um zu ermitteln, ob es sich bei der Dienstleistung um einen sonstigen Fremdbezug von IT-Dienstleistungen gemäß BAIT Ziffer 8 handelt. Ebenso können Sie die Checkliste zur Risikobewertung nutzen , um die die Anforderungen der BAIT 8, Tz. 53 zur Risikobewertung von sonstigen Fremdbezügen von IT-Dienstleistungen zu erfüllen.


Abbildung: Klassifizierung - Reiter Sonstiger IT-Fremdbezug
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close