Skip to main content
Skip table of contents

Version 2022-09

Versionsnummer2022-09
Releasedatum

 

In den nachfolgenden Abschnitten werden die wichtigsten Neuerungen und Anpassungen in ForumOSM Version 2022-09 beschrieben.

Wie Sie an ein Update zu ForumOSM gelangen.

Der verantwortliche Ansprechpartner in Ihrem Unternehmen wird per E-Mail informiert. In dieser E-Mail stellen wir das Update per Link zum Download zur Verfügung.

Falls Ihnen das Update nicht zur Verfügung steht, wenden Sie sich bitte an unseren technischen Support

Verbesserung in ForumOSM

Ergebnis für Berichte

Mit der Version 2022-09 wurde eine Verbesserung zur Berichtsauswertung geschaffen. Es ist nun möglich, Berichte mit einem klar definierten Ergebnis und dem daraus resultierenden Handlungsbedarf zu versehen. Dafür wurden zwei auswertbare Felder Ergebnis und Handlungsbedarf in der Berichts-Maske hinzugefügt. 

Das Ergebnis kann lauten:

  • Dienstleistung wird nicht ordnungsgemäß erbracht (rot)

  • Dienstleistung wird teilweise ordnungsgemäß erbracht (gelb)

  • Dienstleistung wird ordnungsgemäß erbracht (grün)

Der daraus resultierende Handlungsbedarf kann ja (grün) oder nein (rot) sein. 

In der Übersicht der Berichtsauswertungen wird das Ergebnis und der Handlungsbedarf durch zwei zusätzliche Spalten angezeigt.

Abbildung: Ergebnis für Berichte mit Auswertung

Erweiterung EBA-Auslagerungsregister

Feld für "personenbezogene Daten - Tz54 c)"

Im Auslagerungsregister ist nun die Information aus ForumISM, ob in einer Leistung personenbezogene Daten verarbeitet werden, über eine Eingabe in einem neuen Feld übersteuerbar. Ist das Feld nicht befüllt, wird die Information wie zuvor aus den verknüpften Geschäftsprozessen und deren Datenklassen ermittelt.

Somit können nun etwaige Sonderfälle korrekt dargestellt werden. Zum Beispiel: erhält ein Schutzobjekt in ForumISM die Eigenschaft "personenbezogene Daten" → Ja, bedeutet dies nicht zwangsweise, dass diese personenbezogenen Daten auch ausgelagert werden. In ForumOSM kann nun durch die explizite Eingabe im Feld "Es werden personenbezogene Daten verarbeitet - Tz 54 c" mit  ja / nein diese Unterscheidung getroffen werden und damit die Angabe aus ForumISM übersteuert werden. 

Im EBA-Excel-Report wird nun der Wert ja und nein bei Angabe der personenbezogenen Daten ausgegeben. 

Abbildung: Erweiterung EBA-Auslagerungsregister

Sollmaßnahmenprofile für Leistungen in ForumISM und ForumOSM

Als Nutzer der Anwendung ForumOSM können Sie nun in ForumISM auf die Leistungen zugreifen. Im Menü Strukturanalyse werden nun die Leistungen entsprechend angezeigt, wenn in den Einstellungen der Funktionsbereich Leistungen aus ForumOSM berücksichtigen aktiviert wurde.

Abbildung: Aktivierung der Funktion in den Einstellungen

Alle Leistungen aus ForumOSM können nun über den Reiter Strukturanalyse und Leistungen  eingesehen werden.


Abbildung: Anzeige Übersicht Leistungen in ForumISM

Leistungen in ForumISM

In der Einzelansicht einer Leistung in ForumISM werden die Reiter Allgemein und Sollmaßnahmen aufgelistet. Im Reiter Allgemein befinden sich die die allgemeinen Information aus der betreffenden Leistung 1:1 wie in ForumOSM, ausgenommen sind die

Informationen für das Auslagerungsregister (EBA).

Im Reiter der Sollmaßnahmen wird der Schutzbedarf einer Leistung von den mit den Leistungen verknüpften Geschäftsprozessen (+ ggf. Datenklassen / Schutzobjekte) nach dem Maximalitätsprinzip angezeigt.

Über den Button In ForumOSM öffnen können Sie jederzeit in die Anwendung ForumOSM wechseln und dort weitere Bearbeitungen an der Leistung vornehmen.


Abbildung: Leistung als Schutzobjekt

Über die Schaltflächen Aus Liste wählen können aus in ForumISM bestehenden Sollmaßnahmenprofilen entsprechende Profile zugeordnet werden. Die Schaltfläche  Bausteine wählen nutzen Sie zur Wahl eines Standards aus der Anwendung ForumNSR für die Zuordnung. Diese Möglichkeit besteht nur, wenn die Anwendung ForumNSR lizenziert wurde und betreffende Standards in der produktiven Bearbeitung in der Anwendung zur Verfügung stehen.


An Leistungen kann ein konkreter Schutzbedarf angelegt werden, dieser wird Ihnen dann auch in der Übersicht der Leistungen in ForumISM in einer separaten Spalte angezeigt. Wenn ein konkreter Schutzbedarf für diese Leistung angelegt werden soll, nutzen Sie bitte im Lesemodus im Reiter Sollmaßnahmen die Schaltfläche Extras in der Titelleiste und legen einen konkreten Schutzbedarf an oder kopieren aus bestehende Objekten einen konkreten Schutzbedarf.

Abbildung: Konkreter Schutzbedarf anlegen

In ForumOSM ist ein Löschen des konkreten Schutzbedarfs anschließend nicht möglich.


Die Anzeige einer zugeordneten Leistung erfolgt an den Schutzobjekten im Reiter Details und Betrieb und Hersteller bzw. an einem Geschäftsprozess im Reiter Grundlagen.

Abbildung: Anzeige einer Leistung im Schutzobjekt und einem Geschäftsprozess

In den jeweiligen Ansichten der Geschäftsprozesse und Schutzobjekte können jeweils über die Schaltfläche aus Liste wählen zuzuordnende Leistungen gewählt werden und eine getroffene Auswahl bearbeitet werden.

Anzeige Schutzbedarf am Dienstleister

Abbildung: Stammdaten > Dienstleiter: Anzeige des maximalen Schutzbedarfs aus Leistungen

Bearbeitung der Maßnahmen in ForumOSM

Die Bearbeitung der zugeordneten Profilmaßnahmen und die entsprechende IST-Dokumentation erfolgt in der Anwendung ForumOSM an der betreffenden Leistung im neuen Reiter Sollmaßnahmen.

Abbildung: Bearbeitung der Maßnahmen in ForumOSM

Über die Dreieckssymbole können Sie auch die Detailansicht des betreffenden Profils öffnen. Hinter den jeweiligen Profilen gelangen Sie über die Schaltfläche

direkt in die Detailansicht des betreffenden Profils in ForumISM oder den gewählten Standard in ForumNSR.

Über den Klick auf den Reifegrad oder das Fragezeichen vor dem Wort Reifegrad gelangen Sie in die Einzelansicht der jeweiligen Sollmaßnahme. Wechseln Sie aus dem Lesemodus in den Bearbeitungsstand werden Ihnen weitere Schaltflächen sichtbar.

SchaltflächeErklärung



Alle neu zugeordneten Maßnahmen an einer Leistung werden durch Aktivierung an den Sollmaßnahmen aus Standards oder Sollmaßnahmenprofilen bestätigt. Keine einzelne Maßnahmenbestätigung ist mehr notwendig.


Abbildung: Bearbeitungsmodus von Profilen in einer Leistung

Die Aktivierung ist nochmal zu bestätigen.


Abbildung: Bestätigung der Aktivierung


Sind in dem gewählten Standard Umsetzungen und Reifegrade in der Anwendung ForumNSR dokumentiert, können diese über diese Schaltfläche in die Umsetzung nach ForumOSM migriert werden, folgender Hinweis erscheint als Popup:

Abbildung: Hinweismeldung bei Massen Vorbelegung

Werden in einem Sollmaßnahmenprofil verknüpfte Profilmaßnahmen verwendet, werden diese ebenso über die Massen Vorbelegung mit übernommen. Werden in der Bearbeitungszeit am Sollmaßnahmenprofil Änderungen an den Profilmaßnahmen vollzogen, wird Ihnen dies im blauen Rahmen angezeigt. Die Umsetzung der Maßnahme bezieht sich also auf eine frühere Version der Maßnahme. Sie können über entsprechende Schaltflächen Änderungen bestätigen oder Änderungen prüfen.

Die vorab beschrieben Aktion kann über diese Schaltfläche rückgängig gemacht werden, folgender Hinweis erscheint als Popup:

Abbildung: Hinweismeldung bei Umsetzung zurücksetzen

Maßnahmen, deren Umsetzung durch einen Verweis auf eine andere Maßnahme referenzieren, können nicht bearbeitet werden und über die Auswahl entsprechend eingeblendet werden.

Über das Fragezeichen vor dem Reifegrad erhalten sie bei aktiver Checkbox folgenden Hinweis:

Abbildung: Checkbox nicht bearbeitbare Maßnahmen


Eine einzelne neue Maßnahme im Profil wird über die Schaltfläche bestätigt und kann bearbeitet werden.

Abbildung: Bestätigung einer neuen Maßnahme

Wird die Umsetzung von NSR-Maßnahmen, die in ForumISM verknüpft sind, in ForumNSR überarbeitet, so können diese Änderungen in ForumISM übernommen werden. Damit bei gleichzeitiger Arbeit in ForumISM und ForumNSR solche Änderungen in ForumISM sichtbar werden. Diese Schaltfläche ist von Bedeutung bei der ersten Bearbeitung von Sollmaßnahmen.


Im nachfolgendem Beispiel wurden Maßnahmen aus dem bankenindividuellen SiMaKat aus dem Cluster 13 IT-Anwendungen mit einem Schutzobjekt verknüpft. Alle Maßnahmen sind unbearbeitet (Teilbild 1). Bevor die Massen Vorbelegung aktiviert wird, kann eine Aktualisierung gestartet werden. Im Teilbild 1 ist zu erkennen, dass an den Maßnahmen A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie und A.6.1.4-1 Kontakt mit speziellen Interessensgruppen keine Bearbeitung in ForumNSR erfolgte. An der Maßnahme A.6.2.1-1 Richtlinie zu Mobilgeräten ist über die Schaltfläche >> zu erkennen, dass eine Bearbeitung in ForumNSR erfolgte.

Damit die Inhalte von Maßnahmen des Clusters 13 IT-Anwendungen aus ForumNSR für die Bearbeitung an weiteren Schutzobjekten zur Verfügen stehen, lohnt sich an dieser Stelle die direkte Bearbeitung der Maßnahmen in ForumNSR.

Der Wechsel zu ForumNSR kann über das Anklicken der Bezeichnung A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie erfolgen und die Bearbeitung im neuen Tab in ForumNSR starten.

Im Teilbild 2 wird nun nach Aktivierung der Schaltfläche Aktualisieren ersichtlich, dass eine Bearbeitung an der Maßnahme A.5.1.1-5 Informationssicherheitsrichtlinien - Abgeleitete Sicherheitsrichtlinie in ForumNSRgetätigt wurde.

Abbildung: Bearbeitung durch Aktualisieren

Alle entfallenen zugeordneten Maßnahmen an einer Leistung werden durch Aktivierung an den Sollmaßnahmen aus Standards oder Sollmaßnahmenprofilen entfernt. Keine einzelne Maßnahmenbestätigung ist mehr notwendig.


Abbildung: Bearbeitungsmodus von Profilen in einer Leistung

Die Aktivierung ist nochmal zu bestätigen.


Abbildung: Bestätigung der Aktivierung

An einer einzelnen Maßnahme bekomme ich hier die Möglichkeit, eine bestehende Dokumentation aus ForumNSR in der Anwendung ForumOSManzeigen zu lassen. Durch die >>Massen Vorbelegung ist dies aber eher selten anzuwenden.

Abbildung: einzelelne Übernahme von Inhalten

 Abwahl eines Sollmaßnahmenprofils in ForumOSM

Die Abwahl der Sollmaßnahmenprofile erfolgt bequem über die Schaltfläche Auswahl bearbeiten und dem Mülleimersymbol zum Lösen der Verknüpfung.

Abbildung: Abwahl eines Sollmaßnahmenprofils

Zuordnung von Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards in ForumOSM

Die Zuordnung von Sollmaßnahmenprofilen oder Sollmaßnahmen aus Standards kann auch in ForumOSM erfolgen.

Reifegrad zugeordneter Sollmaßnahmen in ForumOSM

Im Reiter des Sollmaßnahmen an Leistungen wird für den Nutzer sofort erkenntlich dargestellt, welchen Stand die im Rahmen der Leistungen gewählten Sollmaßnahmen aufweisen. Im Reifegrad der Zusammenfassung werden Ihnen je nach gesetzter Filteroption die Summen der entsprechenden Reifegrade aufgezeigt (vollständig umgesetzt, teilweise umgesetzt, nicht umgesetzt und unbearbeitet).

Abbildung: Anzeige des Reifegrades

Schutzziele am Sollmaßnahmenprofil in ForumOSM

In Sollmaßnahmenprofilen kann die Zuordnung von Schutzzielen (Verfügbarkeit (Service- und Datenverfügbarkeit), Vertraulichkeit, Integrität und Authentizität) getroffen werden, welche in der Ansicht der Sollmaßnahmenprofilen entsprechend angezeigt wird. Die Zuordnung der Schutzziele kann im Sollmaßnahmenprofil in ForumISM vorgenommen werden.

Abbildung: Anzeige der Zuordnung von Schutzzielen

GAP-Risiken in Sollmaßnahmenprofilen in ForumOSM

Werden Maßnahmen nicht vollständig umgesetzt, kann ein entsprechendes GAP-Risiko angelegt werden und die Abweichung dokumentiert werden. Diese Felder stehen erst zur Bearbeitung, wenn der Reifegrad mit nicht umgesetzt oder teilweise umgesetzt festgelegt wird. Über das kleine Dreieckssymbol kann die Abweichung und die Risikoerfassung geöffnet werden und erfolgen.


Abbildung: GAP-Risiken erfassen und Abweichungen dokumentieren

Dokumentieren Sie die Abweichung im vorgesehenen Ritchtextfeld.

Abbildung: Abweichung aufnehmen

Risiken können Sie aus bestehenden Objekten über die Schaltfläche Risiken kopieren.. kopieren oder neu anlegen über Risiko erfassen.

Abbildung: Risiko kopieren oder neu erfassen

Sollmaßnahmen-Cockpit in ForumOSM

Für die Bearbeitung der Sollmaßnahmenprofile wird mit diesem Release auch ein entsprechendes Sollmaßnahmen-Cockpit zur Verfügung gestellt, welches Ihnen über diverse Filtermöglichkeiten übersichtlich gewünschte Ergebnisse zur Qualitätssicherung der Sollmaßnahmen aufzeigen kann.

Standardmäßig werden Ihnen Ergebnisse durch die Filterung der Leistungen mit Sollmaßnahmen und nur Abweichungen sowie nur teilweise bzw. nicht umgesetzte Maßnahmen ohne zugeordnete GAP-Risiken anzeigen angezeigt. In der Zusammenfassung sehen Sie den Reifegrad aller Maßnahmen und Abweichungen und GAP-Risiken. Sie finden das Cockpit unter dem Menüpunkt Risikomanagement.

Abbildung: Sollmaßnahmen-Cockpit in ForumOSM
Auswahl der Leistungen mit Stand zum:

Die nachfolgenden Filteroptionen können zusätzlich zu einem frei gewähltem Datum Ergebnisse entsprechend ausgeben.

  1. alle Leistungen berücksichtigen
    Unabhängig, ob an Leistungen in ForumISM Sollmaßnahmenprofile verknüpft wurden, mit dieser Option werden alle in ForumOSM erfassten Leistungen angezeigt
  2. ohne Sollmaßnahmen
    Es werden alle Leistungen ohne Sollmaßnahmenprofile aufgezeigt.
  3. mit Sollmaßnahmen
    Es werden alle Leistungen mit Sollmaßnahmenprofilen aufgezeigt.
  4. Checkbox nur Abweichungen anzeigen,
    Es werden Ihnen alle Leistungen aufgezeigt, deren Maßnahmen im Reifegrad nicht oder nur teilweise umgesetzt sind.
  5. Checkbox nur teilweise bzw. nicht umgesetzte Maßnahmen ohne zugeordnete GAP-Risiken anzeigen
    Es werden Ihnen alle Leistungen aufgezeigt, welche im Reifegrad nur teilweise bzw. nicht umgesetzte Maßnahmen aufzeigen und keine zugeordneten GAP-Risiken haben.

Im nachfolgenden Beispiel haben wir an der Leistung Belegverarbeitung 445 Sollmaßnahmen verknüpft , welche 22 Maßnahmen mit dem Reifegrad vollständig umgesetzt, 2 Maßnahmen mit dem Reifegrad nur teilweise umgesetzt und 1 Maßnahme im Reifegrad mit nicht umgesetzt aufzeigt.
Für die 2 nur teilweise umgesetzten Maßnahmen und 1 nicht umgesetzte Maßnahme wurden zwei GAP-Risiken erfasst. Für eine teilweise umgesetzte Maßnahme ist das Modellieren eines weitere GAP-Risikos ausstehend.

Abbildung: Cockpit mit Abweichungen

Zusammenfassung

Im Reifegrad der Zusammenfassung werden Ihnen je nach gesetzter Filteroption die Summen der entsprechenden Reifegrade aufgezeigt (vollständig umgesetzt, teilweise umgesetzt, nicht umgesetzt und unbearbeitet)

In unserem Beispiel Belegverarbeitung sehen wir im Reifegrad der Maßnahmen 22 Maßnahmen mit dem Reifegrad vollständig umgesetzt, 2 Maßnahmen mit dem Reifegrad nur teilweise umgesetzt und 1 Maßnahme im Reifegrad mit nicht umgesetzt. 399 Maßnahmen sind unbearbeitet. In den Abweichungen und GAP-Risiken ist im Bereich Teilweise umgesetzt 1 Maßnahme ohne ein zugeordnetes GAP-Risiko vorhanden.

Abbildung: Management Summery

Hinweis zur Filterung in Sollmaßnahmen-Cockpite

Über die Lupe können Sie die bekannten Suchoptionen öffnen und beispielsweise durch den Einsatz der Vergleichsoperatoren ">", "<" und "=" das gewünschte Ergebnis entsprechend anzeigen lassen. Im Beispiel wurden Leistungen gesucht, welche mehr als 12 zugeordnete Sollmaßnahmen beinhalten.

Abbildung: Suche mit Vergleichoperatoren
Fehlerbehebungen in ForumOSM
  • Ein Problem wurde behoben, durch welches bei der Löschung von Dienstleistern zahlreiche verknüpfte Objekte mit zur Löschung angeboten wurden.

  • Am Vertrag erfasste Kosten erscheinen nun richtig im Auslagerungsregister.
  • Ein Problem bei der PDF-Ausgabe des Schutzbedarfs in der Tabelle der mit Leistungen verknüpften Geschäftsprozesse wurde behoben.

Fehlerbehebungen in der ForumSuite 2022-09

Allgemein

  • Ein Fehler beim Abbruch der Bearbeitung eines Objektes wurde behoben, welcher eine gelbe Hinweismeldung anzeigte und die Rückkehr zur Startseite der jeweilig genutzten Applikation verursachte.
  • Nicht abgeschlossene Worksflows können nun auch vom Anwendungsadministrator der betreffenden Applikation abgeschlossen werden (z.B. für ausgeschiedene Mitarbeiter etc.)
  • Ein Problem bei der Massen-Aktualisierung von Risiken mit abweichendem Schema wurde korrigiert.
  • Ein Problem beim Versand von E-Mails in Zusammenhang mit speziellen SMTP-Servern wurde behoben.
  • Sortierschlüssel werden nun in den Verträgen und Geschäftsprozessen berücksichtigt.
  • Wird ein Verantwortlicher ersetzt, wird dieser auch in den Workflows nachvollziehbar ersetzt. 
  • Die Darstellung und Berechnung von zusammengefassten Schutzzielen funktioniert fehlerfrei.
  • Hinweis auf geänderte Parameter in den Risiken werden wieder richtig angezeigt.

PDF-Ausgabe

  • Der Reifegrad der Umsetzung von Sollmaßnahmen für Schutzobjekte wird nun in der PDF-Ausgabe berücksichtigt.
  • Die PDF-Ausgabe für migrierte Modelle mit DocLink-Symbolen funktioniert wieder.

IBM/HCL Domino Plattform

  • keine

Java Plattform

  • Die Beschränkung für fehlerhafte Login-Versuche funktioniert wieder korrekt.
  • Ein Problem beim Import von Mitarbeitern aus dem Active Directory über die Paging-Funktion wurde behoben.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.