Schutzbedarf/de: Unterschied zwischen den Versionen

Was ist eine Schutzbedarfsanalyse?

Im Rahmen der Schutzbedarfsanalyse wird der Schutzbedarf für Daten oder Ressourcen (IT-Systeme, Gebäude, Software, etc.) von Organisationseinheiten oder Prozessen ermittelt. Die Ergebnisse dieser Analyse, der Schutzbedarf der Daten und Prozesse, können zum Beispiel in der Strukturanalyse untersucht werden, um Risiken zu identifizieren und entsprechende Maßnahmen sowie Kontrollen zu erstellen.

Wie in der Abbildung oben zu sehen ist, finden Professionals und Experten unter "Risikomanagement → Schutzbedarf" Schutzbedarfsanalysen, die im aktuellen Managementsystem angelegt wurden. Es werden alle Schutzbedarfsanalysen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Ebenso können hier Schutzbedarfsanalysen erstellt und neubewertet sowie Workflowpläne erstellt werden.

Sie können einen Bericht über eine oder mehrere Schutzbedarfsanalysen als PDF herunterladen. Dieser enthält alle markierten Schutzbedarfsanalysen.

Besondere Spalten in der Übersicht der Schutzbedarfsanalysen sind:

Erstellen Sie eine neue Schutzbedarfsanalyse, um mit einem definierten Personenkreis zu einer Organisationseinheit oder einem Prozess deren Anforderungen an den Schutzbedarf einer, mehrerer oder aller ihrer Ressourcen und/oder Datenkategorien zu erheben.

Erstellen:

• Schutzbedarfsanalysen können unter "Risikomanagement → Schutzbedarf" über den "Plus" Button erstellt werden.

Bearbeiten:

• Um eine Schutzbedarfsanalyse zu bearbeiten wird unter "Risikomanagement → Schutzbedarf" die gewünschte Schutzbedarfsanalyse mittels Doppelklick geöffnet.
• Abgeschlossene Schutzbedarfsanalysen können zwar eingesehen, aber nicht mehr bearbeitet werden!

Im nachfolgenden Abschnitt wird die Abbildung näher beschrieben:

Auswahl OrgEh/Prozess:

• Bei einer Schutzbedarfsanalyse können entweder Organisationseinheiten oder Prozesse analysiert werden. Was analysiert werden soll, wird über den Punkt Audit ausgewählt.
• Diese Auswahl kann nur geändert werden, solange in Schritt 2 keine Ressourcen zugeordnet wurden. Um die Auswahl ändern zu können müssen zuvor die zugeordneten Ressourcen in Schritt 2 entfernt werden.

Hinweis: Wenn eine Organisationseinheit oder ein Prozess bereits über eine Beziehung in der Strukturanalyse mit Ressourcen und/oder Datenkategorien in Verbindung stehen, werden diese automatisch in Schritt 2 zum Hinzufügen vorgeschlagen. Auch bereits durchgeführte Schutzbedarfsanalysen werden hierfür benötigt. Zusätzlich besteht die Möglichkeit, per Knopfdruck die Ergebnisse der letzten Schutzbedarfsanalyse zu übernehmen. Die Ergebnisse können auch später pro Ressource/Datenkategorie übernommen werden.

Achtung: Ressourcen bzw. Datenkategorien, für die es zu der Organisationseinheit oder dem Prozess eine noch nicht abgeschlossene Schutzbedarfsanalyse gibt, werden nicht automatisch vorgeschlagen und können auch nicht manuell hinzugefügt werden. Dafür müssen etwaige offene Schutzbedarfsanalysen der betroffenen Konstellation erst abgeschlossen werden.

Audit:

• Wird diese Schutzbedarfsanalyse im Zuge eines Audits durchgeführt, können Sie hier das Audit mit der Schutzbedarfsanalyse in Verbindung setzen. Entsteht die Schutzbedarfsanalyse aufgrund eines Audits, werden die Felder Lead-Auditor, Interviewpartner sowie Beginn und Enddatum des Audits besetzt. Alternativ können über den Button rechts daneben, die Stammdaten des Audits geladen werden und die Felder damit vor besetzt werden. (Für mehr über Audits siehe Auditplanung).

OrgEh/Prozess:

• Je nachdem ob eine OrgEh oder ein Prozess analysiert wird, wird hier entweder die Organisationseinheit oder der Prozess ausgewählt.
• Das kann nicht mehr geändert werden, sobald Ressourcen und/oder Datenkategorien zugewiesen sind!

Funktion:

• Wird nur angezeigt, wenn sie unter "Auditmanagement → Einstellungen" aktiviert wurde.
• Anhand von Funktionen kann der Kontext einer Überprüfung optional noch genauer definiert werden.
• Funktionen können unter "Auditmanagement → Funktionen" erstellt und verwaltet werden.

Bezeichnung:

• Hier wird eingetragen, wie die Schutzbedarfsanalyse bezeichnet werden soll.

Beschreibung:

• Hier sollte der Zweck der Schutzbedarfsanalyse beschrieben werden.

Lead-Auditor:

• Hier wird der hauptverantwortliche Auditor der Schutzbedarfsanalyse eingetragen. Er wählt die Ressourcen und/oder Daten aus, die im Zuge der Schutzbedarfsanalyse analysiert werden. Er bestimmt weitere Auditoren, Begleiter und Interviewpartner.

Co-Auditor(en)/Begleitung:

• Das sind Personen, die als Experten der Themengebiete für die Prüfung der Schutzbedarfsanalyse mit einbezogen werden.

Interviewpartner:

• Mit diesen Personen werden im Verlauf einer Schutzbedarfsanalyse Interviews über die Ressourcen und Daten geführt. Im Zuge eines Self Assessments werden sie mit der Feststellung möglicher Schäden beauftragt (siehe Typ). Der Interviewpartner ist daher ein Pflichtfeld sobald die Überprüfung nicht mehr im Status "Entwurf" ist.
• Die Benutzer werden mit dem Verantwortlichen der gewählten Organisationseinheit bzw. des gewählten Prozesses vorbesetzt.

Beginn und Enddatum:

• Hier wird die geplante Zeitspanne der Schutzbedarfsanalyse eingetragen.

Typ:

• Interview: Die Schutzbedarfsanalyse wird gemeinsam mit dem Interviewpartner durchgeführt. Der Interviewpartner selbst kann an der Schutzbedarfsanalyse nichts ändern, hat aber Einsicht in die Analyse.
• Self Assessment: Der Interviewpartner wird damit beauftragt, mögliche Schäden bei Verletzungen von Schutzzielen festzustellen. Der Lead-Auditor fordert über den "Beantwortung anfordern"-Button (sofern die Schutzbedarfsanalyse aktiviert wurde) eine Beantwortung an und überprüft diese nach Beantwortung.

Workflow Pläne:

• Hier wird angezeigt, in wie vielen Workflowplänen die Schutzbedarfsanalyse aktiv oder pausiert vorkommt. Man kann hier Verknüpfungen neu setzen oder aufheben bzw. bestehende Verknüpfungen auch pausieren. Deaktivierte Workflowpläne werden nicht zur Verknüpfung angeboten.

Erstellt durch Workflowplan:

• Wurde die Schutzbedarfsanalyse im Zuge eines Workflows erstellt, dann wird der jeweilige Workflow hier angezeigt. Man kann mit einem einfachen Klick in den Workflow navigieren und sich die Details dazu ansehen.

Änderungsprotokoll:

• Hier wird mit aufgezeichnet zu welchem Zeitpunkt die Schutzbedarfsanalyse bearbeitet wurde, wann der Status gewechselt hat und wann sie abgeschlossen wurde.

Eine Schutzbedarfsanalyse kann sich in verschiedenen Status-Variationen befinden. Sind die E-Mail-Benachrichtigungen im Managementsystem aktiv, werden beim Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde z.b. der Interviewpartner sein, wenn ein Auditor eine Beantwortung anfordert oder der Auditor selbst, wenn er die Beantwortung retourniert.

Entwurf

• Wird die Schutzbedarfsanalyse das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet sie sich im Status "Entwurf". Von hier aus kann die Schutzbedarfsanalyse aktiviert, also in den Status "In Bearbeitung" gesetzt werden.

In Bearbeitung

• Wird die Überprüfung aktiviert, wird sie in den Status "in Bearbeitung" versetzt. Jetzt ist es Zeit für den Lead-Auditor die Schutzbedarfsanalyse durchzuführen oder eine Beantwortung durch "Beantwortung anfordern" von den Interviewpartnern einzuholen (nur bei Typ Self Assessment).
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.

Angefordert (nur bei Typ Self Assessments)

• Wird die Schutzbedarfsanalyse durch den Lead-Auditor angefordert, wird sie in den Status "angefordert" versetzt. Die Interviewpartner werden jetzt über ein E-Mail aufgefordert die Schutzbedarfsanalyse durchzuführen.
• Sie kann durch "Überprüfung absenden" in den Status "beantwortet" versetzt werden.

Beantwortet (nur bei Typ Self Assessment)

• Wird die Schutzbedarfsanalyse durch den Interviewpartner mit "Überprüfung absenden" retourniert, wird sie in den Status "beantwortet" versetzt. Die Auditoren werden jetzt durch ein E-Mail aufgefordert die Beantwortung zu kontrollieren.
• Sie kann durch "Beantwortung anfordern" wieder in den Status "angefordert" versetzt werden. Der Interviewpartner soll dann seine Beantwortung überarbeiten.
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden. Die Auditoren werden darüber informiert.
• Sie kann durch "Überprüfung abschließen" in den Status "geschlossen" versetzt werden.

Geschlossen

• Wird die Schutzbedarfsanalyse durch "Überprüfung abschließen" in den Status "geschlossen" versetzt, wird die Schutzbedarfsanalyse schreibgeschützt und sie kann nicht mehr bearbeitet werden. Dadurch werden die Verbindungen zwischen den Ressourcen und/oder Daten zu der OrgEh oder dem Prozess in der Strukturanalyse gesetzt und gewichtet.

Löschen einer Schutzbedarfsanalyse

• Durch "Überprüfung löschen" können Sie Schutzbedarfsanalysen, die noch nicht abgeschlossen sind löschen. Abgeschlossene Schutzbedarfsanalysen können nicht gelöscht werden!

Im zweiten Schritt werden die Ressourcen und/oder Daten ausgewählt, die in der Schutzbedarfsanalyse analysiert werden.

Um verbundene Ressourcen bzw. Daten zur Analyse hinzuzufügen und eventuell auch ihre historischen Ergebnisse zu übernehmen, muss der erste Button geklickt werden. Um neue Ressourcen bzw. Daten zur Analyse hinzuzufügen, muss der zweite Button geklickt werden. Im Anschluss öffnet sich ein Dialog, in dem die Ressourcen bzw. Daten, die analysiert werden sollen, ausgewählt werden können.

Über den Reiter kann zwischen Ressourcen und Daten gewechselt werden.

Tipp: Änderungen (Neuanlage/Update/Löschen) an Ressourcen und Datenkategorien führen zur automatischen Aktualisierung von geöffneten Schutzbedarfsanalysen. Daher ist es möglich, Ressourcen oder Datenkategorien in einem separaten Tab zu erstellen oder zu verändern, die man dann gleich in der SBA verwenden kann, ohne diese neu laden zu müssen.

Tipp: Zu einer OrgEh oder einem Prozess können auch mehrere Schutzbedarfsanalysen existieren, solange diese unterschiedliche Ressourcen und/oder Datenkategorien bewerten. Ressourcen/Datenkategorien, die für eine OrgEh oder einen Prozess bereits bewertet werden (in einer offenen Schutzbedarfsanalyse) werden nicht vorgeschlagen und können auch manuell nicht hinzugefügt werden.

Die nachfolgende Abbildung zeigt den dritten Schritt der Schutzbedarfsanalyse (z.B. 2.1 oder 2.2).

In diesem Schritt werden die Ressourcen und/oder Daten auf mögliche Schäden analysiert, die im Falle der Verletzung eines Schutzzieles auftreten können. Bewertet werden Verletzungen durch Schadensausmaße. Gibt es Ergebnisse aus früheren Bewertungen, können die Begründungen mit einem Doppelklick in die jeweilige Zeile übernommen werden. Mit dem Button rechts oben kann man alle Ergebnisse auf einmal übernehmen.

Durch die hier gewählten Schadensausmaße werden in der Strukturanalyse Verbindungen zwischen der OrgEh oder dem Prozess und der bewerteten Ressource bzw. den Daten gesetzt und ihre Schutzziele gewichtet. Dadurch ist es in der Strukturanalyse möglich, die Organisationseinheit oder den Prozess auf Abhängigkeiten zu untersuchen und Risiken zu erkennen.

Um alle Ressourcen und Daten zu bewerten, muss über den linken Balken oder den "Weiter" Button zwischen den hinzugefügten Ressourcen und Daten gewechselt werden.

Die zu bewertenden Schutzziele werden vom Managementsystem vorgegeben und können unter "Administration → Managementsysteme → verwendete Schutzziele" von Experten konfiguriert werden.

Schadensausmaße können unter "Risikomanagement → Risikopolitik → Schadensausmaße" von Experten erstellt und verwaltet werden.

Eine Schutzbedarfsanalyse kann neubewertet werden, solange es keine aktuellere/jüngere SBA gibt, die zumindest eine gleiche Ressource oder Datenkategorie für dieselbe OrgEh/Prozess bewertet. Außerdem muss die Schutzbedarfsanalyse für eine Neubewertung erst abgeschlossen sein.

Für Neubewertungen gibt es verschiedene Möglichkeiten der Erstellung:

1. Plus Button: Erstellen einer neuen Schutzbedarfsanalyse für eine Organisationseinheit/einen Prozess, für die/den es bereits eine abgeschlossene Schutzbedarfsanalyse gibt. In diesem Fall werden vom Tool die bewerteten Ressourcen und/oder Datenkategorien automatisch in Schritt 2 zur Übernahme vorgeschlagen. Etwaige Ergebnisse können optional übernommen werden.
2. Neubewerten Button: Erstellen einer Neubewertung über den Neubewerten Button in der Übersicht der Schutzbedarfsanalysen. Hierfür muss eine geschlossene Schutzbedarfsanalyse markiert sein. In diesem Fall erstellt das Tool eine neue Schutzbedarfsanalyse auf Basis der vorherigen. Auch hier kann man frühere Ergebnisse übernehmen. Man setzt das Beginndatum selbst und das Enddatum berechnet sich aus den Daten der ursprünglichen Schutzbedarfsanalyse und wird vorbesetzt, kann aber verändert werden.

Ergebnisse übernehmen:

• Wenn aktiviert, werden bei der Erstellung der Neubewertung die Ergebnisse der zugrunde liegenden Schutzbedarfsanalyse übernommen. Es handelt sich dabei um die Bewertungen der Schutzziele, die erfasst wurden.
  

Beispiel: Wann möchte ich eine neue Schutzbedarfsanalyse erstellen und wann eine Neubewertung? In der Regel sollte die erste Schutzbedarfsanalyse gemeinsam als Interview ausgefüllt werden, damit alles genau besprochen werden kann und Fragen geklärt werden können. Auch bei Hinzukommen neuer Personen zum Teilnehmerkreis oder bei einer Veränderung in den verknüpften Ressourcen und/oder Datenkategorien, kann ein gemeinsamer Interviewtermin eine gute Idee sein. Dafür wird jedenfalls eine neue Schutzbedarfsanalyse erstellt, auch wenn vorherige Ergebnisse übernommen werden. Ist diese erste Hürde einmal geschafft, können regelmäßige, z.B. jährliche, Neubewertungen derselben Ressourcen und/oder Datenkategorien einfach als Self Assessment verschickt werden. In diesem Fall nehmen die gleichen Personen am Gespräch Teil und werden die gleichen Ressourcen und/oder Datenkategorien besprochen wie zuvor. Es wird quasi nur nachgesehen, ob sich in der Zwischenzeit, z.B. im vergangenen Jahr, etwas an den Schutzbedarfen geändert hat. Dabei unterstützen die Workflowpläne.

Ein Klick auf den lila Button oberhalb der Übersicht der Schutzbedarfsanalysen öffnet eine Liste aller erstellten Workflowpläne.

Workflowpläne sind dazu da, die einmalige oder wiederkehrende Ausführung von Workflows automatisiert anzustoßen. Dabei geht es um die Neubewertung von bereits dokumentierten Ergebnissen. Bei den Schutzbedarfsanalysen können somit Neubewertungen von bereits abgeschlossenen Schutzbedarfsanalysen zur Überprüfung der weiteren Gültigkeit der dokumentierten Inhalte an Interviewpartner auf z.B. einer jährlichen Basis ausgesendet werden. Die Interviewpartner haben natürlich die Möglichkeit, die Inhalte auch zu verändern oder zu erweitern.

Mit dem "Plus" Button kann ein neuer Workflowplan erstellt werden.
Mit dem "Kopieren" Button kann ein bestehender Workflowplan kopiert werden, wobei die Inhalte der Workflow-Definition übernommen werden, nicht jedoch die durchgeführten Workflows oder die verknüpften Schutzbedarfsanalysen.
Bestehende Workflowpläne können mit einem Doppelklick geöffnet werden.

Status:

• Standardmäßig sind Workflowpläne aktiv. Man kann sie mit diesem Auswahlfeld auch aussetzen oder deaktivieren. Deaktivierte Workflows werden innerhalb der Schutzbedarfsanalyse nicht zur Verknüpfung mit einem Workflow angeboten.

Bezeichnung:

• Geben Sie hier die Bezeichnung Ihres Workflowplanes ein.

Beschreibung:

• Geben Sie hier an, was der Zweck des Workflowplanes ist.

Verantwortliche:

• Der Verantwortliche wird eine Woche bevor der Workflow auslöst per E-Mail informiert. Sollte es zu diesem Zeitpunkt Probleme oder Konflikte geben (z.B. auszusendende Schutzbedarfsanalysen sind aktuell in Bearbeitung oder es fehlen die zu hinterlegenden Interviewpartner), werden diese im E-Mail beschrieben und können daher rechtzeitig gelöst werden. Der Verantwortliche wird auch beim Auslösen des Workflows darüber informiert, welche Schutzbedarfsanalysen erfolgreich ausgesendet wurden und ob es Probleme oder Konflikte gegeben hat, die die Aussendung weiterer Schutzbedarfsanalysen verhindert haben.

Managementsystem Verantwortliche informieren:

• Ist dieses Häkchen gesetzt, werden zusätzlich zum Verantwortlichen des Workflowplans auch die Verantwortlichen des Managementsystems per E-Mail über den bevorstehenden bzw. den durchgeführten Workflow informiert.

Nächste Durchführung:

• Legen Sie hier fest, wann der Workflowplan das nächste Mal auslösen soll. Zu diesem Zeitpunkt werden dann auf Basis der verknüpften Schutzbedarfsanalysen neue Schutzbedarfsanalysen als Self Assessment angelegt und zur Beantwortung an die Interviewpartner geschickt.

Wiederkehrender Workflow:

• Wenn der Workflowplan regelmäßig auslösen soll, kann dies hier eingestellt werden.

Dieser Tab zeigt alle verknüpften Schutzbedarfsanalysen. Dies umfasst die Schutzbedarfsanalysen, die als Vorlage gedient haben, sowie auch die daraus erstellten neuen Schutzbedarfsanalysen. An dieser Stelle können einzelne Schutzbedarfsanalysen im Workflowplan pausiert oder wieder aktiviert werden. Für einzelne Schutzbedarfsanalysen kann manuell sofort eine Neubewertung ausgelöst werden. Pausierte Schutzbedarfsanalyse setzen einen Zyklus aus, sind danach aber wieder aktiv. Wenn es Probleme oder Konflikte mit einer Schutzbedarfsanalyse gibt, wird dies hier ebenfalls dargestellt.

Hinweis: Bei der Auswahl der Schutzbedarfsanalysen zum Verknüpfen werden nur jene Schutzbedarfsanalysen angeboten, die keinen oder nur einen gelben Konflikt haben (siehe unten). Schutzbedarfsanalysen mit roten Konflikten (siehe unten) werden nicht zur Auswahl angeboten. Es wird angezeigt, ob die Schutzbedarfsanalyse bereits Workflowplänen zugewiesen ist und welchen.

Gelbe Warndreiecke: Besteht ein Konflikt innerhalb der Schutzbedarfsanalyse selbst, wird dies mit einem gelben Warndreieck dargestellt. Details zum Konflikt finden sich im Tooltip, wenn man mit der Maus über dem Dreieck hovert. Beispiel: die Überprüfung ist nicht im Status abgeschlossen oder sie hat keinen Interviewpartner hinterlegt.

Rote Warndreiecke: Besteht ein Konflikt mit einer anderen Schutzbedarfsanalyse im selben oder einem anderen Managementsystem, wird dies mit einem roten Warndreieck dargestellt. Details zum Konflikt finden sich im Tooltip, wenn man mit der Maus über dem Dreieck hovert. Zusätzlich wird ein Link zur konfliktierenden SBA angeboten. Beispiel: es gibt eine Schutzbedarfsanalyse mit einem jüngeren Startdatum für die selben Ressourcen/Datenkategorien.

Achtung: Schutzbedarfsanalysen, die ein rotes Warndreieck hervorrufen, können auch aus einem anderen Managementsystem stammen. In diesem Fall wird das Managementsystem bei der Konfliktbeschreibung angegeben.

Ergebnisse übernehmen

• Wenn aktiviert, werden bei der Erstellung der Neubewertung die Ergebnisse der jeweiligen Schutzbedarfsanalyse übernommen. Dabei handelt es sich um die Bewertungen der Schutzziele, die zwischen der Organisationseinheit bzw. dem Prozess und den verknüpften Ressourcen und Datenkategorien erfasst wurden.
• Dieses Häkchen kann beim Hinzufügen der Schutzbedarfsanalyse zum Workflowplan oder danach direkt in der Übersicht der verknüpften Schutzbedarfsanalysen gesetzt werden.

Dieser Tab zeigt alle vergangenen Workflows des Plans an, die bereits durchgeführt worden sind. Hier wird dargestellt, ob der Workflow funktioniert hat oder fehlgeschlagen ist und was etwaige Probleme waren.

Was passiert bei der Durchführung des Workflowplans?

Wenn der Workflowplan durchgeführt wird, werden für die verknüpften Schutzbedarfsanalysen Neubewertungen erstellt und die jeweiligen Interviewpartner zur Beantwortung aufgefordert. Eine Neubewertung bewertet dieselben Ressourcen und Datenkategorien für die selbe Organisationseinheit oder den selben Prozess wie die ursprüngliche Schutzbedarfsanalyse.

Wann wird keine Neubewertung angefordert?
Es wird keine Neubewertung erstellt und angefordert, wenn eine der folgenden Bedingungen zutrifft:

• Die Neubewertung der Schutzbedarfsanalyse ist pausiert.
• Die Schutzbedarfsanalyse ist nicht abgeschlossen.
• Die Schutzbedarfsanalyse hat keine Interviewpartner.
• Es existiert bereits eine andere Schutzbedarfsanalyse für dieselbe Organisationseinheit oder denselben Prozess, die zumindest eine gleiche Ressource oder Datenkategorie bewertet und:
  • noch nicht abgeschlossen ist, oder
  • bereits abgeschlossen wurde, aber ein neueres Startdatum hat.

Achtung: Der letzte Fall ist besonders relevant, wenn Sie mehrere Managementsysteme betreiben. Falls Sie eine Schutzbedarfsanalyse per Workflow geplant haben, aber ein Kollege in einem anderen Managementsystem eine andere Schutzbedarfsanalyse anlegt, die dieselben Bedingungen erfüllt, wird die neue Schutzbedarfsanalyse den Workflow blockieren. Es ist zwar unwahrscheinlich, dass in verschiedenen Managementsystemen die gleichen OrgEhs und Prozesse interviewt werden, aber HITGuard prüft trotzdem auf diesen Fall und warnt vor Konflikten.

Was passiert mit pausierten Schutzbedarfsanalysen?
Wenn eine Schutzbedarfsanalyse pausiert wurde, wird bei der nächsten Durchführung keine Neubewertung erstellt. Stattdessen wird die Schutzbedarfsanalyse für die darauffolgende Durchführung wieder aktiviert.

Warum können manche geschlossenen Schutzbedarfsanalysen zu Workflows hinzugefügt werden und manche nicht?
Schutzbedarfsanalysen, die geschlossen sind und bei denen eine Neubewertung möglich ist, können zu einem Workflowplan hinzugefügt werden. Ist eine Neubewertung der Schutzbedarfsanalyse aus einem der verschiedenen Gründe nicht möglich, kann sie auch nicht zum Workflowplan hinzugefügt werden.

Beziehungen in der Strukturanalyse führen standardmäßig zum höchsten Schutzbedarf. Diese Abhängigkeiten können mit einer Schutzbedarfsanalyse reduziert werden. Es sollte daher mit der Analyse der für das Unternehmen wichtigsten Assets/Ressourcen/Services begonnen und diese damit hinsichtlich der Anforderungen des Managementsystems bewertet werden.

Es ergibt Sinn, Schutzbedarfsanalysen auf mehrere Workflowpläne aufzuteilen, damit man sie auch über das Jahr verteilt neubewerten lassen kann, z.B. manche im Frühjahr und manche im Herbst. Sie können aber auch Schutzbedarfsanalysen mit einzelnen Abteilungen mehreren Workflow Plänen zuteilen. Falls Sie beispielsweise einen Workflowplan für den Frühling und einen für den Herbst erstellt haben, die jährlich wiederholt werden und eine besonders sensible Organisationseinheit zweimal jährlich (im Frühling und im Herbst) prüfen möchten, dann können Sie die Schutzbedarfsanalyse zu dieser Organisationseinheit beiden Workflowplänen zuteilen.

Wenn sich der Teilnehmerkreis einer Schutzbedarfsanalyse ändert, wenn viele neue Ressourcen/Datenkategorien dazu gekommen sind oder wenn schon lange kein persönliches Interview geführt wurde, dann empfehlen wir ebenfalls eine manuelle Neubewertung als Interview.

Wenn eine Schutzbedarfsanalyse einem Workflowplan zugewiesen ist und manuell eine Neubewertung ausgelöst wird (per Neubewerten Button), dann wird diese neue Schutzbedarfsanalyse in den verknüpften Schutzbedarfsanalysen als Basis für den nächsten Workflow hinterlegt. Löscht man diese Neubewertung, wird die Verknüpfung wieder auf die ursprüngliche Schutzbedarfsanalyse gesetzt. Achtung: hat man mit dem Plus Button eine neue Schutzbedarfsanalyse erstellt, die Ressourcen/Datenkategorien neubewertet, dann entsteht diese Verknüpfung nicht und sie kann Konflikte auslösen.