Risikobewertung: Unterschied zwischen den Versionen

In dieser Übersicht werden alle Gefährdungslagen aus den unterschiedlichen Managementsystemen angezeigt. Es ist zudem möglich nur die Gefährdungen des aktuellen Managementsystems anzuzeigen. Weiters können Gefährdungslagen auf privat gestellt werden, sodass sie nur mehr in jenem Managementsystem angezeigt werden, in dem sie angelegt wurden.

Wird eine Gefährdungslage angeklickt, können Sie diese bearbeiten oder ansehen. Dann ist es möglich anzusehen welche Abweichungen, Maßnahmen oder Kontrollen dieser Gefährdungslage zugewiesen sind.

Achtung:

• Eine Gefährdungslage, die nicht "privat" ist, kann für jedes Managementsystem, das andere Schadensausmaßklassifikationen verwendet, separat bewertet werden. Das heißt: Bewertungen gelten nur für Managementsysteme, die die selben Schadensausmaßklassifikationen verwenden.

Eine Gefährdungslage kann eine Sammlung aus Abweichungen, die eine konkrete Gefahr für die verknüpften Entitäten bilden, sein.

Abweichungen entstehen im Zuge einer Überprüfung. Das ist dann der Fall, wenn z.B. Prüffragen von Prüfobjekten "negativ" oder unter Target Score beantwortet werden. Anschließend können die Abweichungen Gefährdungslagen zugewiesen werden.

Die Prüfobjekte, in denen sich die Prüffragen befinden, können mit Entitäten (Ressourcen, Datenkategorien, Prozessen und/oder Organisationseinheiten) verknüpft werden. Durch diese Zuweisung entsteht bei den betroffenen Entitäten eine konkrete Gefährdungslage, die in der Strukturanalyse ersichtlich ist.

Gefährdungslagen können auch frei erfasst werden.

Frei erfasste Gefährdungslagen haben im Normalfall keine verknüpften Abweichungen, solche können ihnen aber zugewiesen werden. Bei frei erfassten Gefährdungslagen kann es sich z.B. um eine Liste an Risiken handeln, die schon vor der Verwendung von HITGuard, z.B. mit Excel, gepflegt wurde. Solche Listen können mit Hilfe des Datenimporters eingeholt werden.

Gefährdungslagen können im Anschluss bewertet werden, indem eine Eintrittswahrscheinlichkeit und ein Schadensausmaß ausgewählt werden. Dadurch ergibt sich die Risikokennzahl, nach der die Gefährdungslage z.B. im Risikomanagement Dashboard angezeigt wird. Diese Bewertung erfolgt nach der Schadensausmaßklassifikation. Das heißt: wurde eine Gefährdungslage in einem Managementsystem mit der Klassifikation "Standard" bewertet, kann sie in einem anderen Managementsystem mit der Klassifikation "Datenschutz" anders bewertet werden (solange sie nicht als "Privat" gekennzeichnet ist).

Die Bewertung/Überprüfung von Gefährdungslagen kann an die eingetragen Sachbearbeiter delegiert werden (siehe Workflow Button). Diese finden die Gefährdungslage dann unter ihren Aufgaben zum Bewerten/Überprüfen.

In der Gefährdungslage selbst werden:

• die Eckdaten dargestellt.
• alle Abweichungen, die der Gefährdungslage zugewiesen sind, angezeigt.
• die Maßnahmen/Kontrollen, die den Abweichungen zugewiesen sind, aufgelistet.
• die Maßnahmen/Kontrollen, die der Gefährdungslage manuell zugewiesen sind, aufgelistet.

Weiters wird jede Änderung der Gefährdungslage/Risikobewertung protokolliert. Diese Dokumentation ist im Menüpunkt "Zeitliche Entwicklung" zu finden.

Wichtig: Diese sollten für Gefährdungslagen die vor HITGuard Release Oktober 2020 erstellt wurden, nachdokumentiert werden. Mehr dazu findet sich unter Zeitliche Entwicklung.

Kürzel:

• Beim Kürzel tragen Sie den abgekürzten Titel der Gefährdungslage ein.

Status:

• Aktiv: Die Gefährdungslage besteht noch.
• Geschlossen: Die Gefährdungslage wurde behoben.
• Akzeptiert: Sie sind sich der Gefährdungslage bewusst, werden diese aber aus unterschiedlichen Gründen derzeit nicht beheben.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Privat:

• Stellen Sie die Gefährdungslage auf privat, so wird die Gefährdungslage nur noch im aktuellen Managementsystem angezeigt. Andernfalls ist sie in jedem Managementsystem sichtbar und kann für jede Schadensausmaßklassifikation bewertet werden.
• Maßnahmen, Kontrollen und Abweichungen sind allerdings nur in den jeweiligen Managementsystemen zu sehen, in denen diese erstellt wurden, unabhängig davon, ob die Gefährdungslage als privat gekennzeichnet wurde.

Workflow Button:

• Überprüfung anfordern

Damit kann von den Sachbearbeitern eine Überprüfung/Neubewertung der Gefährdungslage angefordert werden. Die Sachbearbeiter finden angeforderte Überprüfungen unter ihren Aufgaben in "Meine Aufgaben → Gefährdungslage".

• Überprüfung akzeptieren

Wird die Überprüfung vom Sachbearbeiter retourniert, kann sie hier akzeptiert werden. Sollten die Überprüfung nicht passen, kann sie auch erneut angefordert werden.

Bezeichnung und Beschreibung:

• Bei der Bezeichnung muss eingetragen werden wie die Gefährdungslage benannt werden soll.
• Bei der Beschreibung sollten Sie die Gefährdungslage beschreiben/erklären.

Anmerkungen:

• Hier kann erklärt werden wie es zu der Bewertung der Gefährdungslage gekommen ist.

Bewältigungsstrategie:

• Diese Option sollte beschreiben, wie mit der Gefahrensituation umgegangen werden soll.
  • Undefiniert (es wurde noch nicht festgelegt, wie damit umzugehen ist)
  • Risikovermeidung (Verzicht auf die Tätigkeit; eigentlich sollte die Gefährdungslage dann auch geschlossen werden)
  • Risikoverminderung (Eintrittswahrscheinlichkeit wird durch Maßnahmen reduziert)
  • Transfer (Auslagerung des Risikos; zB durch Überwälzung des Risikos)
  • Akzeptanz

Eintrittswahrscheinlichkeit:

• Hier können Sie eintragen, wie wahrscheinlich es ist, dass die Gefährdungslage das Unternehmen trifft.
  Mehr Information finden Sie unter Eintrittswahrscheinlichkeit.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Schadensausmaß:

• Hier können Sie eintragen wie groß der potenzielle Schaden ist, der durch die Gefährdungslage entstehen kann.
• Es stehen nur Schadensausmaße der Klassifikation des aktuellen Managementsystems zur Verfügung.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Risikokategorien:

• Hier können Sie erfassen, in welche Kategorien Sie das Risiko eingliedern.
  Mehr Information finden Sie unter Risikokategorien.

Verantwortlichkeit und Sachbearbeiter:

• Die verantwortliche Person ist der primäre Ansprechpartner für die Gefährdungslage
• Die Sachbearbeiter sind für die Risikobehandlung zuständig. Wird eine Überprüfung der Gefährdungslage angefordert, sind die Sachbearbeiter für die Überprüfung zuständig.

Zugewiesene Schutzziele und Gewichtungen:

• Hier können Sie festhalten welche Schutzziele wie stark betroffen sind, wenn die Gefährdungslage eintritt.
  Beispiel:

Gefährdungslage: Einbruch in den Serverraum

Schutzziel	Gewichtung	Erklärung
Vertraulichkeit	4	Einbruch zum Diebstahl einer Festplatte
Verfügbarkeit	4	Der Einbrecher könnte etwas zerstören
Integrität	3	Er könnte auch am System etwas ändern

Norm-Mapping:

• Beschäftigt sich die Gefährdungslage mit einem oder mehreren Normkapiteln sollten diese hier eingetragen werden.

Betroffene Strukturelemente:

• Hier werden alle Strukturelemente angeführt, die durch die Abweichungen mit der Gefährdungslage in Beziehung stehen.
• Durch Öffnen des Dropdown-Menüs können Strukturelemente mit der Gefährdungslage verknüpft werden. Weiters wird hier ersichtlich, von welchem Prüfobjekt die automatisch gesetzten Verknüpfungen kommen.
• Beispiel:

Die Gefährdungslage "Temperaturprobleme in Serverräumen" wird z.B. über eine Abweichung beim Überprüfen der Serverräume mit dem Strukturelement "Serverraum" verknüpft.

ID in Drittsystemen:

Durch diese ID kann die Gefährdungslage durch einen Import einer Gefährdungslage aktualisiert werden. Dafür muss die ID mit der ID der Gefährdungslage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Gefährdungslage eigentlich aus einem Drittsystem stammt, aber die Gefährdungslage vor einem Import bereits manuell angelegt wurde und die Gefährdungslage in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Abweichungen gelistet, die der Gefährdungslage zugewiesen sind. Dies ist im Normalfall das Resultat der Abweichungsbehandlung einer Überprüfung. Sie können aber auch hier existierende Abweichungen zur Gefährdungslage zuweisen.

Target Score Gewichtung:

• Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Target Score Gewichtung. Je größer die Abweichung vom Target Score und je größer die Gewichtung des Schutzzieles desto größer ist die Target Score Gewichtung. Mehr zur Target Score Gewichtung finden Sie hier.

Achtung: Es werden nur Abweichungen des aktuellen Managementsystems angezeigt. Nur weil die Gefährdungslage in diesem Managementsystem keine Abweichungen hat, heißt das nicht, dass keine existieren.

Darstellung der Abweichungen:

• Schwarz: Abweichungen, die dieser Gefährdungslage zugewiesen sind und nicht behoben wurden.
• Grün: Abweichungen, die dieser Gefährdungslage zugewiesen sind und behoben oder mit mindestens dem Target Score angegeben wurden.
• Grau: Hier handelt es sich um historische Abweichungen. Diese wurden in früheren Überprüfungen erkannt und der Gefährdungslage zugewiesen. Zwischenzeitlich wurden die Prüfgegenstände dieser Überprüfungen schon einer Neubewertung unterzogen.
• Zu Gefährdungslage xx verschoben: Die Abweichung wurde ursprünglich der aktuell dargestellten Gefährdungslage zugewiesen. In einem weiteren Schritt änderte sich die Zuweisung zu einer anderen Gefährdungslage, der Gefährdungslage xx.

Klicken Sie auf "Abweichungen zuweisen" öffnet sich eine Maske zum Zuordnen von Abweichungen.

In diesem Reiter werden alle Maßnahmen und Kontrollen gelistet, die der Gefährdungslage zugewiesen sind un damit der Risikobehandlung dienen. Je nach Status werden sie in der oberen oder unteren Tabelle angezeigt, mehr dazu weiter unten. Die Maßnahmen und Kontrollen kommen entweder aus der Verknüpfung mit einer Abweichung, werden von den verfügbaren ausgewählt (Link Button) oder werden hier speziell für die Gefährdungslage erstellt (plus Button).

Mehr zum Erstellen von Maßnahmen finden sie hier und mehr zum Erstellen von Kontrollen hier.

Kommen Maßnahmen und Kontrollen von einer Abweichung, kann die Verknüpfung zur Gefährdungslage nur aufgehoben werden, indem die Verknüpfung zur entsprechenden Abweichung aufgehoben wird. Die Verknüpfung zu aus der Liste zugewiesenen oder neu erstellten Maßnahmen oder Kontrolle kann mit dem Button rechts von der Maßnahme oder Kontrolle aufgehoben werden.

Achtung: Es werden nur Maßnahmen und Kontrollen des aktuellen Managementsystems angezeigt. Dass die Gefährdungslage in diesem Managementsystem keine Maßnahmen oder Kontrollen hat, bedeutet nicht, dass sie in anderen Managementsystemen auch keine Maßnahmen oder Kontrollen zugewiesen hat.

Das Bruttorisiko ist die Bewertung der Gefährdungslage, bevor jedwede Maßnahmen und Kontrollen zu seiner Behandlung umgesetzt wurden. Das Bruttorisiko wird im Reiter Zeitliche Entwicklung mit einem Badge markiert, wenn es erstmals festgehalten wird. Die Information im Reiter Maßnahmen und Kontrollen reflektiert dies und kann nicht manuell geändert werden.

Mit dem Button rechts kann eine Risikomatrix ausgeklappt werden, die das Bruttorisiko grafisch darstellt.

Diese Maßnahmen und Kontrollen wurden zur Behandlung des ursprünglichen Bruttorisikos eingeführt. Durch sie entwickelt sich das Risiko vom Bruttorisiko zum aktuellen Risiko. Es handelt sich dabei um umgesetzte und/oder abgebrochene Maßnahmen, sowie aktive Kontrolldefinitionen mit erfolgreichen Durchführungen.

Wird eine neue Maßnahme oder Kontrolle umgesetzt und dadurch in diese Tabelle eingefügt, wird empfohlen, die Gefährdungslage neu zu bewerten. Die Gefährdungslage und die auslösende Maßnahme oder Kontrolle ist dann mit "Neubewertung empfohlen" gekennzeichnet. Durch die Neubewertung wird erkennbar, ob sich das aktuelle Risiko dadurch verändert hat. Bei Maßnahmen passiert dies nur, wenn das "Erledigt am" Datum gesetzt ist und nicht am selben Tag wie die letzte relevante Neubewertung liegt (als relevante Neubewertung in diesem Kontext gilt ein Änderungseintrag in der Zeitlichen Entwicklung, bei dem Schadensausmaß oder Eintrittswahrscheinlichkeit geändert wurden).

Ability to Control:

• Das ist die Bewertung der Qualität des bereits implementierten Maßnahmen- und Kontrollensets zur Risikosteuerung.
• Die zur Auswahl stehenden Abilities to Control können in der Risikopolitik konfiguriert werden.

Aktuelles Risiko:

• Das aktuelle Risiko ist die Bewertung des Risikos, nachdem alle bereits umgesetzten Maßnahmen und implementierten Kontrollen zu seiner Behandlung ergriffen wurden, und bevor die noch geplanten Maßnahmen und Kontrollen umgesetzt wurden.
• Auch hier kann mit dem Button rechts die Position des aktuellen Risikos in der Risikomatrix eingesehen werden.

Diese Maßnahmen und Kontrollen sind zur Behandlung des aktuellen Risikos geplant und sollen das aktuelle Risiko auf das geplante Nettorisiko reduzieren. Es handelt sich dabei um offene, geplante und/oder ausgesetzte Maßnahmen (nicht durchgeführte), sowie ausgesetzte, deaktivierte und/oder aktive Kontrolldefinitionen ohne Durchführung.

Nettorisiko:

• Das Nettorisiko ist die Bewertung des Risikos im folgenden Szenario: 1) alle umgesetzten und geplanten noch umzusetzenden Maßnahmen sind ergriffen UND 2) alle implementierten und noch zu implementierenden Kontrollen sind umgesetzt. Da es sich dabei um eine Zukunftsprognose handelt, sind davon drei Varianten zu erfassen: Best Case, Most Likely Case, Worst Case.
• Die Bewertung des Nettorisiko kann entweder über die Dropdownboxes geschehen, oder aber direkt über die angezeigten Risikomatrizen. Ein Klick auf ein Feld in einer Matrix setzt die entsprechende Eintrittswahrscheinlichkeit und das entsprechende Schadensausmaß.

Bei jeder Änderung der Eintrittswahrscheinlichkeit, des Schadensausmaßes und/oder Status, muss derjenige, der die Änderung durchführt, einen Eintrag zum Änderungsprotokoll mit Begründung und Datum für seine Änderung angeben. Nur wenn dies eingetragen wird, kann die Änderung durchgeführt werden. Ein Protokoll scheint anschließend in der zeitlichen Entwicklung der Gefährdungslage auf. Veränderungen an der Schadensausmaßbeurteilung scheinen nur in den Managementsystemen auf, die dieselbe Schadensausmaßklassifikation verwenden.

Der erste Eintrag, in dem Eintrittswahrscheinlichkeit und Schadensausmaß definiert sind, wird hier mit "Bruttorisiko" markiert und im Reiter Maßnahmen und Kontrollen beim Bruttorisiko angeführt.

Wichtig: Zeitliche Entwicklungen können auch manuell nachgetragen werden. Dafür in der Übersicht auf den "Plus" Button klicken.

Einträge in dieser Übersicht können mit Doppelklick auf den jeweiligen Eintrag bearbeitet werden.