Managementsysteme/de: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 11. September 2019, 12:22 Uhr

Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten.
Wobei Experten nur die Managementsysteme bearbeiten können für die Sie Verantwortlich sind.

Was ist ein Managementsystem?

Ein Managementsystem ist eine inhaltliche Bündelung von z.B. Feststellungen, Fortschrittsmeldungen sowie Kontrollen (im Progress Monitor) oder Auditprogrammen (im Security Assessor).

Dabei werden die Elemente zum einem einem Team an Verantwortlichen Experts und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. Information Security Management-Team oder Datenschutz-Team). Auf der anderen Seite werden alle darin verwalteten Elemente im Sinne der Analysezeiträume historisiert und dadurch auch vergleichbar gemacht.

Welchen zweck erfüllen Managementsysteme?

Managementsysteme haben zwei zentrale Funktionen:

Sie dienen dazu Maßnahmen, Kontrollen, Risikoidentifikationen etc. ausgewählter Abteilungen Themenbereichen zuzuteilen und dafür verantwortliche Experts zu definieren, die z.B. die Fortschrittserhebung zu den Maßnahmen betreuen.
Beispiel:
- Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau Moser verwaltet
- Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet
Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können.
Beispiel:
- Herr Mustermann erhebt Fortschritte über 10 Abteilungen halbjährlich.
- Frau Moser erhebt Fortschritte über 2 Abteilungen quartalsweise.

Dass heißt:

Maßnahmen zur Risikobehandlung können von Mitarbeitern aus unterschiedlichen Verantwortungsbereichen umgesetzt werden.
Experten aus den einzelnen Managementsystemen können laufend den Fortschritt der Maßnahmenentwicklungen erheben und über mehrere Analysezeiträume hinweg periodenrein berichten.

Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen.
Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden.
Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentierbar.

Löschen eines Managementsystems:

Das Löschen eines Managementsystems kann nur vom verantwortlichen Expert ausgelöst werden.
Es wird das Löschen von Managementsystemen nur dann unterstützt wenn keine Analysezeiträume enthalten sind.

Stammdaten

In den Stammdaten wird ein Managementsystem konfiguriert.
Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus.

Stammdaten bearbeiten:

Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt.
Pro Managementsystem kann es nur einen Verantwortlichen geben.
Nur Professionals und Experten können für ein Managementsystem verantwortlich sein
Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.

Email Einstellungen:

Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet.
Wird hier keine Email konfiguriert, so werden alle Emails von der Email-Adresse Versand die in den Globalen Einstellungen konfiguriert ist.(siehe Globale Email)

Intervallschema definieren:

Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden.
Analysezeiträume können:

manuell angelegt werden (Eingrenzung von-bis Datum bei der Anlage)
im vorhinein konfiguriert werden (z.B. Unterteilung des Jahres in 3 Analysezeiträume beginnend mit 1.2.2017 => 1.2.-31.5.2017; 1.6. – 30.09.2017; 1.10.- 31.1.2018)

Optionale Maßnahmeneigenschaften:

Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen.

siehe Optionale Maßnahmeneigenschaften

Verwendete Schutzziele:

Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert.
Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Denn diese Schutzziele sind dann innerhalb des Managementsystems verwendbar.
Schutzziele können von Experten unter "Security Assessor → Risikopolitik" verwaltet und erstellt werden. (siehe Schutzziele)

Allgemeine Einstellungen:

Data Protector:

Legt fest ob der Data Protector für dieses Managementsystem verwendet wird.

Analysezeitraum und Historie

Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor bzw. im Data Protector, einzelnen Perioden Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen.
Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe Intervallschema definieren) Abhängig davon ob sie manuell oder automatisch angelegt wurden, wird der verantwortliche Expert zum jeweiligen Stichtag aufgefordert die nicht erledigten Maßnahmen in den nächsten Analysezeitraum zu überführen.

Aktiver Analysezeitraum

Redaktionsschluß:

Relevant für den Progress Monitor.
Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten.
Fortschrittsmeldungen können über "Progress Monitor → Fortschrittsmeldungen" aber auch jederzeit Manuell angefordert werden.

Zielreifegrad:

Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen.
Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt.
Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.

Enthaltene OrgEhs:

Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig.
D.h. sie müssen zum Redaktionsschluß Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben.
Eine Organisationseinheit kann zeitgleich auch in mehreren Managementsystemen bzw. Analysezeiträumen berichten.

In Nachfolge-Analysezeitraum überführen:

Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor,
alle nicht auf Status „Erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und die jeweiligen Status entsprechend adaptiert.
Die erledigten Maßnahmen werden im nächsten Zeitraum natürlich nicht mehr weiterverfolgt.

Löschen eines Analysezeitraums

Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Expert ausgelöst werden.
Es wird das Löschen von Analysezeiträumen nur dann unterstützt solange noch keine Fortschrittsmeldungen erstellt wurden.
Es kann immer nur der aktuellste Analysezeitraum gelöscht werden, abgeschlossene nicht mehr.

Historie

In der Historie werden die Analysezeiträume welche schon abgeschlossen wurden mit Beginn, Ende und Redaktionsschluß aufgelistet.

@@ Zeile 1: / Zeile 1: @@
-<languages/>Administratoren und Experten können Managementsysteme über "Administration ==> Managementsysteme" erstellen, bearbeiten und verwalten.<br>Wobei Experten nur die Managementsysteme bearbeiten können für die Sie Verantwortlich sind.
+<span id="managementsystem"></span>
+<languages/>
+Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten.<br>Wobei Experten nur die Managementsysteme bearbeiten können für die Sie Verantwortlich sind.
+'''Was ist ein Managementsystem?'''<br>
+:Ein Managementsystem ist eine inhaltliche Bündelung von z.B. Feststellungen, Fortschrittsmeldungen sowie Kontrollen (im Progress Monitor) oder Auditprogrammen (im Security Assessor).
+:Dabei werden die Elemente zum einem einem Team an Verantwortlichen Experts und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. Information Security Management-Team oder Datenschutz-Team). Auf der anderen Seite werden alle darin verwalteten Elemente im Sinne der Analysezeiträume historisiert und dadurch auch vergleichbar gemacht.
 '''Welchen zweck erfüllen Managementsysteme?'''<br>
 :Managementsysteme haben zwei zentrale Funktionen:
 :# Sie dienen dazu Maßnahmen, Kontrollen, Risikoidentifikationen etc. ausgewählter Abteilungen Themenbereichen zuzuteilen und dafür verantwortliche Experts zu definieren, die z.B. die Fortschrittserhebung zu den Maßnahmen betreuen.<br>Beispiel:
-:#* ISM Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau Moser verwaltet
+:#* Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau Moser verwaltet
-:#* QM Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet<br>
+:#* Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet<br>
+:#:
 :# Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können.<br>Beispiel:
 :#* Herr Mustermann erhebt Fortschritte über 10 Abteilungen halbjährlich.
@@ Zeile 17: / Zeile 25: @@
 '''Löschen eines Managementsystems:'''
 *Das Löschen eines Managementsystems kann nur vom verantwortlichen Expert ausgelöst werden.
-*Es wird das Löschen von Managementsystemen nur dann unterstützt solange keine Analysezeiträume enthalten sind.
+*Es wird das Löschen von Managementsystemen nur dann unterstützt wenn keine Analysezeiträume enthalten sind.
-== Stammdaten: ==
+== Stammdaten ==
 In den Stammdaten wird ein Managementsystem  konfiguriert.<br>
-Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen sowie Berichte aus.<br>
+Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus.<br>
 :<u>Stammdaten bearbeiten:</u><br>
-:*Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt.<br>Pro Managementsystem kann es nur einen Verantwortlichen geben.<br>Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.
+:*Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt.<br>Pro Managementsystem kann es nur einen Verantwortlichen geben.<br>Nur Professionals und Experten können für ein Managementsystem verantwortlich sein<br>Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.
+::[[Datei:Stammdaten bearbeiten.PNG|left|thumb|800px|Stammdaten bearbeiten]]<br clear=all>
-:<u>Email Einstellungen:</u><br>
+:<u> <span id"masy_email"></span>Email Einstellungen:</u><br>
 :* Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet.<br>Wird hier keine Email konfiguriert, so werden alle Emails von der Email-Adresse Versand die in den Globalen Einstellungen konfiguriert ist.(siehe [[Special:MyLanguage/Globale Einstellungen#Email Einstellungen|Globale Email]])
-:<u>Intervallschema definieren:</u><br>
+::[[Datei:ManSys Email Einstellungen.PNG|left|thumb|800px|Email Einstellungen]]<br clear=all>
+:<u> <span id="int"></span>Intervallschema definieren:</u><br>
 ::Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden.<br>Analysezeiträume können:
 ::*manuell angelegt werden (Eingrenzung von-bis Datum bei der Anlage)
 ::*im vorhinein konfiguriert werden (z.B. Unterteilung des Jahres in 3 Analysezeiträume beginnend mit 1.2.2017 => 1.2.-31.5.2017; 1.6. – 30.09.2017; 1.10.- 31.1.2018)
+::[[Datei:Intervallschema definieren.PNG|left|thumb|800px|Intervallschema definieren]]<br clear=all>
 :<u>Optionale Maßnahmeneigenschaften:</u><br>
 ::Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen.<br>
-::*siehe [[Special:MyLanguage/Globale Einstellungen#Optionale Maßnahmeneigenschaften|Optionale Maßnahmeneigenschaften]]
+::*siehe [[Special:MyLanguage/Globale Einstellungen#glop_opme|Optionale Maßnahmeneigenschaften]]
-::[[Datei:Optionale Maßnahmeneigenschaften.PNG|left|thumb|400px|Optionale Maßnahmeneigenschaften]]<br clear=all>
+::[[Datei:Optionale Maßnahmeneigenschaften.PNG|left|thumb|500px|Optionale Maßnahmeneigenschaften]]<br clear=all>
 :<u>Verwendete Schutzziele:</u><br>
-::Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert.<br>Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen.<br>Schutzziele können von Experten unter "Security Assessor ==> Risikopolitik" verwaltet und erstellt werden.(siehe [[Special:MyLanguage/Security Assessor#Risikopolitik#Schutzziele|Schutzziele]])<br>
+::Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert.<br>Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Denn diese Schutzziele sind dann innerhalb des Managementsystems verwendbar.<br>Schutzziele können von Experten unter "Security Assessor → Risikopolitik" verwaltet und erstellt werden. (siehe [[Special:MyLanguage/Risikopolitik#protar|Schutzziele]])<br>
-::Nur die originären Schutzziele (nach ISO 27001, ISO 80001):
-::*Vertraulichkeit
+::[[Datei:Verwendete Schutzziele.PNG|left|thumb|500px|Verwendete Schutzziele.PNG]]<br clear=all>
-::*Verfügbarkeit
-::*Integrität
+:<u>Allgemeine Einstellungen:</u><br>
-::können nicht gelöscht werden.
+:: Data Protector:
-::[[Datei:Verwendete Schutzziele.PNG|left|thumb|400px|Verwendete Schutzziele.PNG]]<br clear=all>
+:::Legt fest ob der Data Protector für dieses Managementsystem verwendet wird.
-== Analysezeitraum und Historie: ==
+== <span id"analyses_historie"></span>Analysezeitraum und Historie ==
-Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor, einzelnen Perioden Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen.<br>Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe Intervallschema definieren)
+Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor bzw. im Data Protector, einzelnen Perioden Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen.<br>Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe [[#int|Intervallschema definieren]])
 Abhängig davon ob sie manuell oder automatisch angelegt wurden, wird der verantwortliche Expert zum jeweiligen Stichtag aufgefordert die nicht erledigten Maßnahmen in den nächsten Analysezeitraum zu überführen.
-'''Aktiver Analysezeitraum:'''
+=== Aktiver Analysezeitraum ===
 :<u>Redaktionsschluß:</u><br>
-:*Relevant für den Progress Monitor.<br>Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten.<br>Fortschrittsmeldungen können über "Progress Monitor ==> Fortschrittsmeldungen" aber auch jederzeit Manuell angefordert werden.
+:*Relevant für den Progress Monitor.<br>Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten.<br>Fortschrittsmeldungen können über "Progress Monitor → Fortschrittsmeldungen" aber auch jederzeit Manuell angefordert werden.
 :<u>Zielreifegrad:</u><br>
@@ Zeile 68: / Zeile 82: @@
 :*Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor,<br>alle nicht auf Status „Erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und die jeweiligen Status entsprechend adaptiert.<br>Die erledigten Maßnahmen werden im nächsten Zeitraum natürlich nicht mehr weiterverfolgt.
-'''Löschen eines Analysezeitraums:'''
+=== Löschen eines Analysezeitraums ===
 *Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Expert ausgelöst werden.
-*Es wird das Löschen von Analysezeiträumen nur dann unterstützt solange noch keine Statusanforderungen erstellt wurden.
+*Es wird das Löschen von Analysezeiträumen nur dann unterstützt solange noch keine Fortschrittsmeldungen erstellt wurden.
 *Es kann immer nur der aktuellste Analysezeitraum gelöscht werden, abgeschlossene nicht mehr.
 [[Datei:Aktiver Analysezeitraum.PNG|left|thumb|800px|Aktiver Analysezeitraum]]<br clear=all>
-'''Historie:'''
+=== Historie ===
 *In der Historie werden die Analysezeiträume welche schon abgeschlossen wurden mit Beginn, Ende und Redaktionsschluß aufgelistet.
-[[Datei:Managementsysteme Historie.png|left|thumb|600px|Aktiver Analysezeitraum]]<br clear=all>
+[[Datei:Managementsysteme Historie.png|left|thumb|900px|Aktiver Analysezeitraum]]<br clear=all>