Suche aufrufen
Menü aufrufen
47
1330
10
34.806
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Kritikalität einer Organisationseinheit feststellen: Unterschied zwischen den Versionen

Aus HITGuard User Guide
Weitere Optionen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Faha (Diskussion | Beiträge)
Oberflächenadministratoren, Administratoren, translater, tsuser
10.832 Bearbeitungen
Faha (Diskussion | Beiträge)
Oberflächenadministratoren, Administratoren, translater, tsuser
10.832 Bearbeitungen
Zeile 15: Zeile 15:
== Business Impact Analysis ==
== Business Impact Analysis ==


=== Fragestellung Nummer 1: Welche Daten verarbeiten sie in Ihrer Abteilung? ===
=== 1: Welche Daten verarbeiten sie in Ihrer Abteilung? ===


Die Datenarten werden ermittelt wie z.B. Buchhaltungsdaten. Für diese Daten werden Verantwortliche ermittelt und erfasst. Meist finden sich die Verantwortlichen innerhalb des Fachbereichs bzw. in einem übergeordneten Vorgesetzten. Manchmal kann es aber auch vorkommen, dass ein anderer Fachbereich genannt wird, da Daten für diesen bearbeitet werden.
Die Datenarten werden ermittelt wie z.B. Buchhaltungsdaten. Für diese Daten werden Verantwortliche ermittelt und erfasst. Meist finden sich die Verantwortlichen innerhalb des Fachbereichs bzw. in einem übergeordneten Vorgesetzten. Manchmal kann es aber auch vorkommen, dass ein anderer Fachbereich genannt wird, da Daten für diesen bearbeitet werden.
Zeile 23: Zeile 23:
Auch Hierarchien unter den Daten sind denkbar. Z.B. kann der Überbegriff Finanzdaten auch in Kostenrechnungs-, Bilanz-, Abrechnungs-, Lohndaten etc. unterteilt werden. Die Data Owner dieser Daten können andere Personen sein, als der Data Owner der Finanzdaten. Weil dieser z.B. die Verantwortlichkeit delegiert hat. Aber an sich müsste auch hier das Ergebnis dieser Datenlandkarte von einer übergeordneten Stelle geprüft und freigegeben werden.
Auch Hierarchien unter den Daten sind denkbar. Z.B. kann der Überbegriff Finanzdaten auch in Kostenrechnungs-, Bilanz-, Abrechnungs-, Lohndaten etc. unterteilt werden. Die Data Owner dieser Daten können andere Personen sein, als der Data Owner der Finanzdaten. Weil dieser z.B. die Verantwortlichkeit delegiert hat. Aber an sich müsste auch hier das Ergebnis dieser Datenlandkarte von einer übergeordneten Stelle geprüft und freigegeben werden.


=== Fragestellung Nummer 2: Wie klassifizieren sie diese Daten? ===
=== 2: Wie klassifizieren sie diese Daten? ===


Die Klassifizierung zielt auf die Schutzziele der Daten ab:
Die Klassifizierung zielt auf die Schutzziele der Daten ab:
Zeile 29: Zeile 29:
* Die Aufbewahrungsdauer für die Daten kann hier ebenfalls ermittelt werden.
* Die Aufbewahrungsdauer für die Daten kann hier ebenfalls ermittelt werden.


=== Fragestellung Nummer 3: Welche Business Services benötigen Sie für das daily business? ===
=== 3: Welche Business Services benötigen Sie für das daily business? ===


* Business Anwendungen (ERP, DMS, Finanzbuchhaltung etc.)
* Business Anwendungen (ERP, DMS, Finanzbuchhaltung etc.)
Zeile 38: Zeile 38:
* und '''welche Daten stehen mit diesen Applikationen in Zusammenhang''' (erstellt, bearbeitet, eingesehen, …)
* und '''welche Daten stehen mit diesen Applikationen in Zusammenhang''' (erstellt, bearbeitet, eingesehen, …)


=== Fragestellung Nummer 4: Wie klassifizieren sie diese Business Services? ===
=== 4: Wie klassifizieren sie diese Business Services? ===


Hier erfolgt die Klassifizierung für die Schutzziele die auf Systeme abzielen:
Hier erfolgt die Klassifizierung für die Schutzziele die auf Systeme abzielen:
Zeile 57: Zeile 57:
Ganz wesentlich ist aber auch nicht zu übersehen, dass Services die von sehr vielen bzw. allen Abteilungen genutzt werden (auch wenn sie nur wenig kritisch für die jeweilige Abteilung sind), dann als gewichtiger betrachtet werden und auch danach ausgerichtet werden, als wenn sie z.B. nur von einer oder von einer sehr geringen Anzahl an Abteilungen verwendet werden und dabei als sehr kritisch eingestuft werden. Wesentlich ist dabei auch die Gewichtung der Tätigkeit der Abteilung auf das operative Betriebsergebnis. Handelt es sich um eine unterstützende Abteilung (wie z.B. Qualitätsmanagement) oder z.B. um die Produktionsleitung.
Ganz wesentlich ist aber auch nicht zu übersehen, dass Services die von sehr vielen bzw. allen Abteilungen genutzt werden (auch wenn sie nur wenig kritisch für die jeweilige Abteilung sind), dann als gewichtiger betrachtet werden und auch danach ausgerichtet werden, als wenn sie z.B. nur von einer oder von einer sehr geringen Anzahl an Abteilungen verwendet werden und dabei als sehr kritisch eingestuft werden. Wesentlich ist dabei auch die Gewichtung der Tätigkeit der Abteilung auf das operative Betriebsergebnis. Handelt es sich um eine unterstützende Abteilung (wie z.B. Qualitätsmanagement) oder z.B. um die Produktionsleitung.


=== Fragestellung Nummer 5: Wie lange können Sie ohne die Daten auskommen, im Falle eines Systemausfalls und wie viel Datenverlust auf einer zeitlichen Achse zurück in die Zukunft wäre verkraftbar? ===
=== 5: Wie lange können Sie ohne die Daten auskommen, im Falle eines Systemausfalls und wie viel Datenverlust auf einer zeitlichen Achse zurück in die Zukunft wäre verkraftbar? ===


Zuletzt werden auch RPO / RTO / Reaktionszeiten für die Applikationen ermittelt
Zuletzt werden auch RPO / RTO / Reaktionszeiten für die Applikationen ermittelt


=== Fragestellung Nummer 6: Welche Verarbeitungsprozesse durchlaufen Ihre Abteilung? ===
=== 6: Welche Verarbeitungsprozesse durchlaufen Ihre Abteilung? ===


* Welche Daten werden darin verarbeitet (personenbezogene Daten)?
* Welche Daten werden darin verarbeitet (personenbezogene Daten)?

Version vom 6. Juni 2019, 06:20 Uhr

Wie kritisch eine Organisationseinheit tatsächlich ist wird im Rahmen der Business Impact Analyse sichtbar. Als Business Impact werden jene IT-Risiken bezeichnet, welche aus der Perspektive des IT-Leistungsempfängers auftreten und dadurch das Business und somit die Umsetzung der Unternehmensziele gefährden.

Um dies zu erkennen werden in der Regel strukturierte Interviews mit dem Business geführt. Dabei sind folgende Informationen zu erheben:

Zur Durchführung einer Business Impact Analyse (bzw. einer kombinierten Business Impact Analyse mit Erhebung der Verarbeitungstätigkeiten im Sinne der neuen EU-DSGVO für das Verarbeitungsregister) muss entweder ein Expert oder Professional ein Interview mit einem Fachbereichsverantwortlichen führen und Daten zu folgenden Fragestellungen erfassen können.

  1. Welche Daten verarbeiten sie in Ihrer Abteilung?
  2. Wie klassifizieren sie diese Daten?
  3. Welche Business Services benötigen Sie für das tägliche business?
  4. Wie klassifizieren sie diese Business Services?
  5. Wie lange können Sie ohne die Daten auskommen, im Falle eines Systemausfalls und wie viel Datenverlust auf einer zeitlichen Achse zurück in die Zukunft wäre verkraftbar?
  6. Welche Verarbeitungsprozesse durchlaufen Ihre Abteilung?

Business Impact Analysis

1: Welche Daten verarbeiten sie in Ihrer Abteilung?

Die Datenarten werden ermittelt wie z.B. Buchhaltungsdaten. Für diese Daten werden Verantwortliche ermittelt und erfasst. Meist finden sich die Verantwortlichen innerhalb des Fachbereichs bzw. in einem übergeordneten Vorgesetzten. Manchmal kann es aber auch vorkommen, dass ein anderer Fachbereich genannt wird, da Daten für diesen bearbeitet werden.

Datenarten werden von unterschiedlichen Organisationseinheiten verwendet. Die Datenklassifikation der Datenarten sollte im gesamten Unternehmen einheitlich sein. Weiters sollte auch nur ein DataOwner je Datenart definiert werden. Dies bedeutet, dass unterschiedliche Klassifizierungen bzw. unterschiedliche Nennungen von Data Ownern durch eine übergeordnete Organisationseinheit entschieden werden müssen.

Auch Hierarchien unter den Daten sind denkbar. Z.B. kann der Überbegriff Finanzdaten auch in Kostenrechnungs-, Bilanz-, Abrechnungs-, Lohndaten etc. unterteilt werden. Die Data Owner dieser Daten können andere Personen sein, als der Data Owner der Finanzdaten. Weil dieser z.B. die Verantwortlichkeit delegiert hat. Aber an sich müsste auch hier das Ergebnis dieser Datenlandkarte von einer übergeordneten Stelle geprüft und freigegeben werden.

2: Wie klassifizieren sie diese Daten?

Die Klassifizierung zielt auf die Schutzziele der Daten ab:

  • Wie klassifizieren Sie diese Daten hinsichtlich Ihrer Vertraulichkeit? --> Datenklassifikation und daraus ergibt sich das zugehörige mögliche Schadensausmaß (siehe XY); zusätzlich: Erfassung möglicher Szenarien und zusätzliche konkrete Schadensangabe (wenn möglich) in EUR bzw. jedenfalls die Klassifizierung ob der Schaden aufgrund des Images oder des monetären Schadens. Vor allem bei personenbezogenen Daten ist es sinnvoll gleich im Rahmen dieses Interviews die Sensibilität der Daten abzuklären.
  • Die Aufbewahrungsdauer für die Daten kann hier ebenfalls ermittelt werden.

3: Welche Business Services benötigen Sie für das daily business?

  • Business Anwendungen (ERP, DMS, Finanzbuchhaltung etc.)
  • Klinische administrative Anwendungen (Patientenadministration, Therapieplanung, Patientendokumentation etc.)
  • Medizinische Systeme unter Einbindung von Medizinprodukten
  • Kommunikationssysteme (Mail, Intranet, Internet, Skype, Telefonie, Fax etc.)
  • Datenablage-Services (File-Share, Kollaborations-Plattformen, Cloud Services etc.)
  • und welche Daten stehen mit diesen Applikationen in Zusammenhang (erstellt, bearbeitet, eingesehen, …)

4: Wie klassifizieren sie diese Business Services?

Hier erfolgt die Klassifizierung für die Schutzziele die auf Systeme abzielen:

  • Wie klassifizieren Sie einen Integritäts- bzw. Authentizitätsverlust?
  • Wie klassifizieren Sie einen Verfügbarkeitsverlust bzgl. der Applikation:
    • kurzweiligen untertägigen Verfügbarkeitsverlust in den Geschäftszeiten? (2-4h)
    • nicht arbeitsfähig | eingeschränkt arbeitsfähig
    • Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)
    • ganztägigen Verfügbarkeitsverlust der Applikation in den Geschäftszeiten? (8-24h)
    • nicht arbeitsfähig | eingeschränkt arbeitsfähig
    • Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)
    • einen längerfristigen Verfügbarkeitsverlust der Applikation in den Geschäftszeiten? (>1 Tag; bis zu 2 Tage oder mehr)
    • nicht arbeitsfähig | eingeschränkt arbeitsfähig
    • Risikoklasse hinsichtlich Risikoauswirkung (mittlerer Schaden / worst case)

Vor allem hier werden Business Services von unterschiedlichen Fachbereichen verwendet. Es muss auswertbar sein welcher Fachbereich welche Anforderungen an den jeweiligen Service stellt. Es zieht die Anforderung des Fachbereichs mit dem größten Gefahrenpotential je Schutzziel für den Service. Nach dieser Anforderung muss der IT-Betrieb ausgerichtet werden.

Ganz wesentlich ist aber auch nicht zu übersehen, dass Services die von sehr vielen bzw. allen Abteilungen genutzt werden (auch wenn sie nur wenig kritisch für die jeweilige Abteilung sind), dann als gewichtiger betrachtet werden und auch danach ausgerichtet werden, als wenn sie z.B. nur von einer oder von einer sehr geringen Anzahl an Abteilungen verwendet werden und dabei als sehr kritisch eingestuft werden. Wesentlich ist dabei auch die Gewichtung der Tätigkeit der Abteilung auf das operative Betriebsergebnis. Handelt es sich um eine unterstützende Abteilung (wie z.B. Qualitätsmanagement) oder z.B. um die Produktionsleitung.

5: Wie lange können Sie ohne die Daten auskommen, im Falle eines Systemausfalls und wie viel Datenverlust auf einer zeitlichen Achse zurück in die Zukunft wäre verkraftbar?

Zuletzt werden auch RPO / RTO / Reaktionszeiten für die Applikationen ermittelt

6: Welche Verarbeitungsprozesse durchlaufen Ihre Abteilung?

  • Welche Daten werden darin verarbeitet (personenbezogene Daten)?
  • Welche Applikationen werden dafür verwendet?
  • Welche anderen Abteilungen nehmen daran teil? Von welchen anderen Fachbereichen sind sie in ihrer Arbeit abhängig (liefern, erhalten, bidirektional)

Ergebnisse aus der erweiterten Business Impact Analyse

  • Abhängigkeit zwischen Fachbereich –Systeme – Daten - Verarbeitungstätigkeiten
  • Welche Daten werden in welchen Applikationen verarbeitet
  • Welche Daten werden über welche Kommunikationssysteme ausgetauscht Welche Daten werden wo abgelegt
  • Reihung der Datenarten nach Schutzzielen und Risikoeinstufung
  • Reihung von Verarbeitungstätigkeiten nach Schutzzielen und Risikoeinstufungen
  • Reihung der Business IT Services nach Schutzzielen und Risikoeinstufung
  • Reihung der Med. adm. Services nach Schutzzielen und Risikoeinstufung
  • Reihung der Med. klin. Services nach Schutzzielen und Risikoeinstufung
  • Reihung der Kommunikationsservices nach Schutzzielen und Risikoeinstufung
  • Reihung der Datenablagen nach Schutzzielen und Risikoeinstufung
  • Kennzahlen für Backup und Notfallplanung

Diese Informationen können in weiterer Folge hilfreich sein um:

  • Risikoanalysen zielgerichtet abhängig von Schutzzielen / Risikoeinstufungen durchzuführen
  • Richtlinien zu erstellen
  • Schulungsprogramme zu erstellen
  • Notfallplanung und Business Continuity Management

Visualisierung der Business Impact Analyse im Graph

Eine BIA hat unterschiedliche Stati, wie andere Assessments auch. Abhängig vom Stati wird die BIA unterschiedlich im Graphen dargestellt.

  • Bei Bewertung „aktiviert“ dünne Striche mit default-Wert 0 der Abhängigkeit im Graph
  • Bei Bewertung „abgeschlossen“ dann die Striche entsprechend der %uellen Wertung der Schadensausmaßklasse in der Risikopolitik
Abgerufen von „https://userguide.hitguard.de/index.php?title=Kritikalität_einer_Organisationseinheit_feststellen&oldid=1371
Zuletzt geändert
Diese Seite wurde zuletzt am 6. Juni 2019 um 06:20 Uhr bearbeitet.