Wissensdatenbanken

Was ist eine Wissensdatenbank?

• Wissensdatenbanken enthalten portierbares Know-How zur Risikoidentifikation (durch Themen, Prüffragen, Bedrohungen) und Risikobehandlung (Maßnahmen und Kontrollen).
• Dies ermöglicht es Abweichungsanalysen durch dieses Know-How geleitet durchzuführen und damit die Einhaltung/Erfüllung von Vorgaben zu überprüfen und zu dokumentieren.
• Sie beinhalten neben Fragen zur Risikoidentifikation auch Maßnahmen- und Kontrollvorschläge um eben diese Gefährdungslagen zu vermindern, zu kontrollieren oder zu eliminieren.
• Weiters können Wissensdatenbanken auf Norm- bzw. Standardbasis zur Überprüfung von Compliance Anforderungen verwendet werden.

Unterschied zu Standards und Normen:

• Standards und Normen bieten kein verwendbares Know-How und sind reine "Inhaltsverzeichnisse" einer Norm.
• Sie dienen dazu, die Auswirkung von Risiken, Prüfergebnissen, Maßnahmen und Kontrollen auf eine Norm bzw. Standard auszuwerten.

Optionen:

• Importieren von Wissensdatenbanken
• Erstellen einer Wissensdatenbank
• Bearbeitung/Benutzeradaption von Wissensdatenbanken
• Nachfolgeversionen von Wissensdatenbanken
• Aktualisieren von Prüfobjekten
• Zusammenführen von Wissensdatenbanken
• Übersetzen von Wissensdatenbanken

Norm- oder Standard-Wissensdatenbanken können nur importiert werden, nicht exportiert.

Sie enthalten Copyright-geschützten Inhalt und können nicht verändert werden!

Die Prüffragen dieser Wissensdatenbanken mappen auf die jeweilige Norm bzw. den jeweiligen Standard. Dadurch kann der Erfüllungsgrad der Norm bzw. des Standards ermittelt werden. Der Erfüllungsgrad kann unter "Dashboard → Compliance Deckung" oder in Compliance Berichten eingesehen werden.

Diese Wissensdatenbanken enthalten Copyright-geschützten Inhalt! Sie können nur importiert werden, nicht exportiert.

Obwohl der Inhalt geschützt ist, können Benutzeranpassungen durchgeführt werden!

Bei der Benutzeranpassung können die vom Hersteller definierte Prüffragen nicht angepasst werden! Möchten Sie diese nicht behandeln, so muss die Prüffrage auf "entbehrlich" gestellt werden. Die Wissensdatenbank kann aber ohne Einschränkungen um eigene Themen und Prüffragen erweitert werden.

Anpassen einer Wissensdatenbank macht also dann Sinn, wenn gewisse Themen oder Fragen nicht behandelt werden, die für Ihr Unternehmen wichtig oder interessant wären, oder Sie gewisse Themen der Wissensdatenbank nicht behandeln möchten.

Hersteller- und Norm- oder Standard-Wissensdatenbanken können bei Besitz einer Herstellerlizenz erstellt und exportiert werden.

Hier handelt es sich um Wissensdatenbanken, die von Ihnen erstellt wurden. In diesen können Sie den Inhalt selbst pflegen und aufbereiten. Sie könnten z.B. Datenbanken für interne Audits oder zum Einholen von Antworten auf Fragebögen erstellen und verwalten.

Diese Wissensdatenbanken können, solange sie nicht veröffentlicht sind, ohne weiteres angepasst werden. Einmal veröffentlicht, muss zum Bearbeiten eine Nachfolge-Version erstellt werden.

Wissensdatenbanken können in verschiedene Sprachen übersetzt werden. Diese Sprachversionen können im Zuge von Schwachstellenanalysen und folglich in Berichten verwendet werden. Dabei wird jene Sprache verwendet, die rechts oben (gleich neben dem Abmelde-Button) vom User eingestellt wurde.

Zum Übersetzen siehe Übersetzen von Wissensdatenbanken.

Bei der Versionisierung wird zwischen Eigenentwicklung und Benutzeradaptionen von Hersteller-Wissensdatenbanken unterschieden.

Sie können mehrere Versionen von eigenentwickelten Wissensdatenbanken führen.

Entspricht eine Eigenentwicklung nicht mehr Ihren Anforderungen, so kann eine neue, auf die Anforderungen angepasste Version erstellt werden. Dazu klicken Sie in der Maske zum Einsehen der Wissensdatenbank auf "Nachfolgeversion erstellen". Mehr dazu unter Nachfolgeversionen von Wissensdatenbanken.

Versionen von eigenentwickelten Wissensdatenbanken bestehen aus nur einer Zahl. Nachfolgeversionen erhöhen diese Nummer um 1.

Die Versionsnummer X.Y bei importierten Wissensdatenbanken verhält sich wie folgt:

• X: importierte Wissensdatenbanken haben immer eine Zahl. Zum Beispiel 1, 2 oder 3 aber nicht 1.1,2.1 oder 3.3
• Y: wird eine Eigenanpassung einer importierten Wissensdatenbank erstellt, so wird die Zahl nach dem Punkt um 1 erhöht.

In der Übersicht wird angezeigt: WDB Z in Version 5 und WDB W in Version 2.3. In der Wissensdatenbank selber sehen Sie dann WDB W in der Version 2 Eigenanpassung Nr. 3.

Liegen mehrere Versionen einer Wissensdatenbank vor, so besteht die Möglichkeit eine Version als bevorzugte Version zu setzen.

Die Wissensdatenbank muss veröffentlicht sein, dann befindet sich in der Maske zum Einsehen der Wissensdatenbank ein Button mit der Aufschrift "Als bevorzugte Version setzen".

In der Übersicht der Wissensdatenbanken werden bevorzugte mit einem Herz gekennzeichnet.

Wichtig: In Abweichungsanalysen können nur bevorzugte Versionen ausgewählt werden!

Es können nur Wissensdatenbanken des Typs "Hersteller" und "Standard/Norm", die Sie selbst erstellt haben, exportiert werden. Wissensdatenbanken des Typs "Eigenentwicklung" können nicht exportiert werden!

Zum Exportieren muss in veröffentlichten WDBs in der Maske zum Einsehen der Wissensdatenbank auf "Exportieren" geklickt werden.

Die dadurch generierte Datei kann dann beliebig auf anderen Systemen importiert werden.

Sind Wissensdatenbanken mit einem Copyright versehen, wird dieses bei den Maßnahmen, Kontrollen und Prüffragen der Wissensdatenbank angezeigt. Weiters sind diese auch in den Berichten mit einem Copyright versehen.

Wird eine neuere Version einer bestehenden Wissensdatenbank importiert, so können alle Prüfobjekte, die mit der älteren Version angelegt wurden, teil-automatisch auf die neuere Version aktualisiert werden. Mehr dazu findet sich unter Aktualisieren von Prüfobjekten.

Die Wissensdatenbank unterteilt sich in sechs zentrale Elemente:

• Themen
• Prüffragen
• Maßnahmen
• Kontrollen
• Begründungsvorlagen
• Bedrohungen

Diese Elemente stehen wie folgt miteinander in Beziehung:

• Eine Wissensdatenbank enthält eine Menge an Themen. Diese Themen können untereinander hierarchisch strukturiert sein. Ein Thema muss keine Prüffragen enthalten, wenn es z.B. nur der Strukturierung von Themen dienen soll. Die Themen jeder Hierarchie-Ebene können aber Prüffragen enthalten.
  

• Die Prüffragen dienen bei der Beantwortung (Ja/Nein/Teilweise, Entbehrlich, Score) dazu, zu erkennen, ob eine potenzielle Schwachstelle in diesem Bereich vorliegt. Abweichungen (Antworten mit Nein, Teilweise oder Score-Abweichung) müssen im Risikobewertungsschritt genauer untersucht werden.
  

• Wenn eine Abweichung erkannt wird, dann wird diese in der Regel von einer speziellen Bedrohung mehr oder weniger stark adressiert. Daher sollte Sie mit Maßnahmen behandelt bzw. mit Kontrollen langfristig abgesichert werden. Daher sind einer Prüffrage im Rahmen der Wissensdatenbank eine oder mehrere Bedrohungen, Maßnahmen und Kontrollen zugewiesen.

• Für Prüffragen, die normalerweise mit einer Standardantwort begründet werden, können Begründungsvorlagen hinterlegt werden und im Anschluss bei Überprüfungen verwendet werden können.

Um das Auffinden der bisherigen Verwendung einer Prüffrage, Maßnahme, Kontrolle oder Bedrohung ersichtlich zu machen, gibt es bei dem jeweiligen Element in der Bearbeiten-Maske den Link "Verknüpfungen", sofern das Element zumindest eine Verknüpfung hat.

In der Wissensdatenbank enthaltene Themen dienen zur Strukturierung einer Wissensdatenbank. Sie sind die Einheiten innerhalb einer Schicht (z.B. IT-Systeme, Netze). Sie beschreiben technische Komponenten (wie Verkabelung) oder organisatorische Verfahren (wie Notfallvorsorge-Konzept).

Jedem Thema können Prüffragen zugeteilt werden.

Zum Erstellen von Themen siehe Themen erstellen.

Prüffragen dienen dazu, im Rahmen einer Überprüfung, mögliche Schwachstellen festzustellen. Eine Prüffrage kann mehreren Themen zugeteilt sein. Prüffragen können durch die Verwendung von Strukturfragen hierarchisch aufgebaut werden.

Zum Erstellen einer Prüffrage siehe Prüffrage erstellen.

Einer Prüffrage können Maßnahmen, Kontrollen und Bedrohungen zugeordnet werden. Das sorgt dafür, dass bei einer Abweichung der beantworteten Frage vom gewünschten Zielzustand, Maßnahmen und Kontrollen zur Behandlung des damit verbundenen potenziellen Risikos vorgeschlagen werden.

• Prüffragen die Themen zugewiesen sind können in der Wissensdatenbank um Unterfragen erweitert werden. Hat eine Frage eine oder mehrere Unterfragen so wird die Oberfrage zur Strukturfrage und dient lediglich zur Strukturierung. Das heißt: Eine mit "Nein" oder "Teilweise" beantwortete Strukturfrage stellt keine Abweichung dar!
  
• Abhängig von der Beantwortung der Strukturfrage können verschiedene Prüffragen angezeigt werden. Es können z.B. im Falle einer Beantwortung mit "Ja" zwei spezifische Prüffragen und im Falle der Beantwortung mit "Nein" drei andere spezifische Prüffragen angezeigt werden. Eine negative Beantwortung von Unterfragen führt jedoch zu Abweichungen.

Wird eine übergeordnete Frage angelegt, so stehen die Optionen "Wird angezeigt wenn" und "Antwort wenn nicht angezeigt" zur Verfügung.

• Die Option "Wird angezeigt wenn" definiert welche Beantwortung die Überfrage erfahren muss, damit die Unterfrage zur Beantwortung angeboten wird. Das heißt: Wenn bei der Prüffrage unter "Wird angezeigt wenn" nur die Option "Ja" ausgewählt wird, so wird diese Unterfrage nur zur Beantwortung angezeigt, wenn die Oberfrage mit "Ja" beantwortet wird.
• Die Option "Antwort wenn nicht angezeigt" definiert welche Beantwortung die Unterfrage erfahren soll, wenn sie nicht zur Beantwortung angezeigt wird. Wird hier keine Auswahl getroffen, wird die Prüffrage in diesem Fall nicht automatisch beantwortet.

In Berichten werden Strukturfragen kursiv dargestellt und ihre dazugehörigen untergeordneten Fragen sind darunter eingerückt.

Maßnahmen einer Wissensdatenbank sind mögliche Maßnahmen, die aufgrund der im Rahmen einer Überprüfung festgestellten Abweichung im Kontext der zu behandelnden Risiken zur Wahl stehen. Sie sollen dabei helfen, eine oder mehrere Abweichungen zu reduzieren bzw. zu beheben.

Zum Erstellen einer Maßnahme siehe Maßnahme erstellen.

Kontrollen einer Wissensdatenbank sind mögliche Kontrollen, die aufgrund der festgestellten Abweichung für das zugewiesene Risiko zur Auswahl stehen. Sie sollen dabei helfen, das Risiko zu überwachen bzw. die Durchführung umgesetzter Maßnahmen zu kontrollieren.

Zum Erstellen einer Kontrolle siehe Kontrolle erstellen.

Wird eine Prüffrage normalerweise mit einer Standardantwort begründet, kann für diese eine Begründungsvorlage hinterlegt werden, die im Anschluss bei Überprüfungen verwendet werden kann.

Zum Erstellen einer Begründungsvorlage siehe Begründungsvorlage erstellen.

Bedrohungen werden hauptsächlich für Analysen verwendet. Es kann z.B. ein Bericht generiert werden, bei dem zu einer Bedrohung alle abweichenden Prüffragen aufgelistet werden.

Zum Erstellen einer Bedrohung siehe Bedrohung erstellen.

• Wissensdatenbanken können Referenzen zu einem oder auch zu mehreren Standards haben. Dadurch kann mit einer Frage die Erfüllung der Anforderungen aus mehreren Standards adressiert werden.
• Eigene Wissensdatenbanken, z. B. eine Checkliste oder ein Auditierungsfragebogen, der regelmäßig zur Anwendung kommen soll, können erstellt werden.
• Verwendete Wissensdatenbanken sollten ausführlich getestet werden, um sicherzustellen, dass alle gewünschten (Norm-)Anforderungen adressiert wurden. Dabei können KPIs wie „Compliance Erfüllung“ oder der Risikomanagementbericht zu Konformität nach Standards und Normen unterstützen.