Risikobewertung

In dieser Übersicht werden alle Risiken aus den unterschiedlichen Managementsystemen angezeigt. Es ist zudem möglich nur die Risiken des aktuellen Managementsystems anzuzeigen. Weiters können Risiken auf privat gestellt werden, sodass sie nur mehr in jenem Managementsystem angezeigt werden, in dem sie angelegt wurden.

Wird ein Risiko angeklickt, können Sie dieses bearbeiten oder ansehen. Dann ist es möglich anzusehen welche Abweichungen, Maßnahmen oder Kontrollen diesem Risiko zugewiesen sind.

Achtung:

• Ein Risiko, das nicht "privat" ist, kann für jedes Managementsystem, das andere Schadensausmaßklassifikationen verwendet, separat bewertet werden. Das heißt: Bewertungen gelten nur für Managementsysteme, die die selben Schadensausmaßklassifikationen verwenden.

Ein Risiko kann eine Sammlung aus Abweichungen, die eine konkrete Gefahr für die verknüpften Entitäten bilden, sein.

Abweichungen entstehen im Zuge einer Überprüfung. Das ist dann der Fall, wenn z.B. Prüffragen von Prüfobjekten "negativ" oder unter Target Score beantwortet werden. Anschließend können die Abweichungen Risiken zugewiesen werden.

Die Prüfobjekte, in denen sich die Prüffragen befinden, können mit Entitäten (Ressourcen, Datenkategorien, Prozessen und/oder Organisationseinheiten) verknüpft werden. Durch diese Zuweisung entsteht bei den betroffenen Entitäten ein konkretes Risiko, das in der Strukturanalyse ersichtlich ist.

Risiken können auch frei erfasst werden.

Frei erfasste Risiken haben im Normalfall keine verknüpften Abweichungen, solche können ihnen aber zugewiesen werden. Bei frei erfassten Risiken kann es sich z.B. um eine Liste an Risiken handeln, die schon vor der Verwendung von HITGuard, z.B. mit Excel, gepflegt wurde. Solche Listen können mit Hilfe des Datenimporters eingeholt werden.

Risiken können im Anschluss bewertet werden, indem eine Eintrittswahrscheinlichkeit und ein Schadensausmaß ausgewählt werden. Dadurch ergibt sich die Risikokennzahl, nach der das Risiko z.B. im Risikomanagement Dashboard angezeigt wird. Diese Bewertung erfolgt nach der Schadensausmaßklassifikation. Das heißt: wurde ein Risiko in einem Managementsystem mit der Klassifikation "Standard" bewertet, kann es in einem anderen Managementsystem mit der Klassifikation "Datenschutz" anders bewertet werden (solange es nicht als "Privat" gekennzeichnet ist).

Die Bewertung/Überprüfung von Risiken kann an die eingetragen Sachbearbeiter delegiert werden (siehe Workflow Button). Diese finden die Risiken dann unter ihren Aufgaben zum Bewerten/Überprüfen.

Im Risiko selbst werden:

• die Eckdaten dargestellt.
• alle Abweichungen, die dem Risiko zugewiesen sind, angezeigt.
• die Maßnahmen/Kontrollen, die den Abweichungen zugewiesen sind, aufgelistet.
• die Maßnahmen/Kontrollen, die dem Risiko manuell zugewiesen sind, aufgelistet.

Weiters wird jede Änderung der Risikobewertung protokolliert. Diese Dokumentation ist im Menüpunkt "Zeitliche Entwicklung" zu finden.

Wichtig: Diese sollten für Risiken die vor HITGuard Release Oktober 2020 erstellt wurden, nachdokumentiert werden. Mehr dazu findet sich unter Zeitliche Entwicklung.

Kürzel:

• Beim Kürzel tragen Sie den abgekürzten Titel des Risikos ein.

Status:

• Aktiv: Das Risiko besteht noch.
• Geschlossen: Das Risiko wurde behoben.
• Akzeptiert: Sie sind sich des Risikos bewusst, werden diese aber aus unterschiedlichen Gründen derzeit nicht beheben.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Privat:

• Stellen Sie das Risiko auf privat, so wird das Risiko nur noch im aktuellen Managementsystem angezeigt. Andernfalls ist es in jedem Managementsystem sichtbar und kann für jede Schadensausmaßklassifikation bewertet werden.
• Maßnahmen, Kontrollen und Abweichungen sind allerdings nur in den jeweiligen Managementsystemen zu sehen, in denen diese erstellt wurden, unabhängig davon, ob das Risiko als privat gekennzeichnet wurde.

Workflow Button:

• Überprüfung anfordern

Damit kann von den Sachbearbeitern eine Überprüfung/Neubewertung des Risikos angefordert werden. Die Sachbearbeiter finden angeforderte Überprüfungen unter ihren Aufgaben in "Meine Aufgaben → Risiko".

• Überprüfung akzeptieren

Wird die Überprüfung vom Sachbearbeiter retourniert, kann sie hier akzeptiert werden. Sollten die Überprüfung nicht passen, kann sie auch erneut angefordert werden.

Bezeichnung und Beschreibung:

• Bei der Bezeichnung muss eingetragen werden wie das Risiko benannt werden soll.
• Bei der Beschreibung sollten Sie das Risiko beschreiben/erklären.

Anmerkungen:

• Hier kann erklärt werden wie es zu der Bewertung des Risikos gekommen ist.

Bewältigungsstrategie:

• Diese Option sollte beschreiben, wie mit der Gefahrensituation umgegangen werden soll.
  • Undefiniert (es wurde noch nicht festgelegt, wie damit umzugehen ist)
  • Risikovermeidung (Verzicht auf die Tätigkeit; eigentlich sollte das Risiko dann auch geschlossen werden)
  • Risikoverminderung (Eintrittswahrscheinlichkeit wird durch Maßnahmen reduziert)
  • Transfer (Auslagerung des Risikos; zB durch Überwälzung des Risikos)
  • Akzeptanz

Eintrittswahrscheinlichkeit:

• Hier können Sie eintragen, wie wahrscheinlich es ist, dass das Risiko das Unternehmen trifft.
  Mehr Information finden Sie unter Eintrittswahrscheinlichkeit.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Schadensausmaß:

• Hier können Sie eintragen wie groß der potenzielle Schaden ist, der durch das Risiko entstehen kann.
• Es stehen nur Schadensausmaße der Klassifikation des aktuellen Managementsystems zur Verfügung.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Risikokategorien:

• Hier können Sie erfassen, in welche Kategorien Sie das Risiko eingliedern.
  Mehr Information finden Sie unter Risikokategorien.

Verantwortlichkeit und Sachbearbeiter:

• Die verantwortliche Person ist der primäre Ansprechpartner für das Risiko
• Die Sachbearbeiter sind für die Risikobehandlung zuständig. Wird eine Überprüfung des Risikos angefordert, sind die Sachbearbeiter für die Überprüfung zuständig.

Zugewiesene Schutzziele und Gewichtungen:

• Hier können Sie festhalten welche Schutzziele wie stark betroffen sind, wenn das Risiko eintritt.
  Beispiel:

Risiko: Einbruch in den Serverraum

Schutzziel	Gewichtung	Erklärung
Vertraulichkeit	4	Einbruch zum Diebstahl einer Festplatte
Verfügbarkeit	4	Der Einbrecher könnte etwas zerstören
Integrität	3	Er könnte auch am System etwas ändern

Norm-Mapping:

• Beschäftigt sich das Risiko mit einem oder mehreren Normkapiteln sollten diese hier eingetragen werden.

Betroffene Strukturelemente:

• Hier werden alle Strukturelemente angeführt, die durch die Abweichungen mit dem Risiko in Beziehung stehen.
• Durch Öffnen des Dropdown-Menüs können Strukturelemente mit dem Risiko verknüpft werden. Weiters wird hier ersichtlich, von welchem Prüfobjekt die automatisch gesetzten Verknüpfungen kommen.
• Beispiel:

Das Risiko "Temperaturprobleme in Serverräumen" wird z.B. über eine Abweichung beim Überprüfen der Serverräume mit dem Strukturelement "Serverraum" verknüpft.

ID in Drittsystemen:

Durch diese ID kann das Risiko durch einen Import eines Risikos aktualisiert werden. Dafür muss die ID mit der ID des Risikos des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls das Risiko eigentlich aus einem Drittsystem stammt, aber das Risiko vor einem Import bereits manuell angelegt wurde und das Risiko in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Abweichungen gelistet, die dem Risiko zugewiesen sind. Dies ist im Normalfall das Resultat der Abweichungsbehandlung einer Überprüfung. Sie können aber auch hier existierende Abweichungen zum Risiko zuweisen.

Target Score Gewichtung:

• Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Target Score Gewichtung. Je größer die Abweichung vom Target Score und je größer die Gewichtung des Schutzzieles desto größer ist die Target Score Gewichtung. Mehr zur Target Score Gewichtung finden Sie hier.

Achtung: Es werden nur Abweichungen des aktuellen Managementsystems angezeigt. Nur weil das Risiko in diesem Managementsystem keine Abweichungen hat, heißt das nicht, dass keine existieren.

Darstellung der Abweichungen:

• Schwarz: Abweichungen, die diesem Risiko zugewiesen sind und nicht behoben wurden.
• Grün: Abweichungen, die diesem Risiko zugewiesen sind und behoben oder mit mindestens dem Target Score angegeben wurden.
• Grau: Hier handelt es sich um historische Abweichungen. Diese wurden in früheren Überprüfungen erkannt und dem Risiko zugewiesen. Zwischenzeitlich wurden die Prüfgegenstände dieser Überprüfungen schon einer Neubewertung unterzogen.
• Zu Risiko xx verschoben: Die Abweichung wurde ursprünglich dem aktuell dargestellten Risiko zugewiesen. In einem weiteren Schritt änderte sich die Zuweisung zu einem anderen Risiko, dem Risiko xx.

Klicken Sie auf "Abweichungen zuweisen" öffnet sich eine Maske zum Zuordnen von Abweichungen.

In diesem Reiter werden alle Maßnahmen und Kontrollen gelistet, die dem Risiko zugewiesen sind un damit der Risikobehandlung dienen. Je nach Status werden sie in der oberen oder unteren Tabelle angezeigt, mehr dazu weiter unten. Die Maßnahmen und Kontrollen kommen entweder aus der Verknüpfung mit einer Abweichung, werden von den verfügbaren ausgewählt (Link Button) oder werden hier speziell für das Risiko erstellt ("Plus" Button).

Mehr zum Erstellen von Maßnahmen finden sie hier und mehr zum Erstellen von Kontrollen hier.

Kommen Maßnahmen und Kontrollen von einer Abweichung, kann die Verknüpfung zum Risiko nur aufgehoben werden, indem die Verknüpfung zur entsprechenden Abweichung aufgehoben wird. Die Verknüpfung zu aus der Liste zugewiesenen oder neu erstellten Maßnahmen oder Kontrolle kann mit dem Button rechts von der Maßnahme oder Kontrolle aufgehoben werden.

Achtung: Es werden nur Maßnahmen und Kontrollen des aktuellen Managementsystems angezeigt. Dass das Risiko in diesem Managementsystem keine Maßnahmen oder Kontrollen hat, bedeutet nicht, dass sie in anderen Managementsystemen auch keine Maßnahmen oder Kontrollen zugewiesen hat.

Das Bruttorisiko ist die Bewertung des Risikos, bevor jedwede Maßnahmen und Kontrollen zu seiner Behandlung umgesetzt wurden. Das Bruttorisiko wird im Reiter Zeitliche Entwicklung mit einem Badge markiert, wenn es erstmals festgehalten wird. Die Information im Reiter Maßnahmen und Kontrollen reflektiert dies und kann nicht manuell geändert werden.

Mit dem Button rechts kann eine Risikomatrix ausgeklappt werden, die das Bruttorisiko grafisch darstellt.

Diese Maßnahmen und Kontrollen wurden zur Behandlung des ursprünglichen Bruttorisikos eingeführt. Durch sie entwickelt sich das Risiko vom Bruttorisiko zum aktuellen Risiko. Es handelt sich dabei um umgesetzte und/oder abgebrochene Maßnahmen, sowie aktive Kontrolldefinitionen mit erfolgreichen Durchführungen.

Wird eine neue Maßnahme oder Kontrolle umgesetzt und dadurch in diese Tabelle eingefügt, wird empfohlen, das Risiko neu zu bewerten. Das Risiko und die auslösende Maßnahme oder Kontrolle ist dann mit "Neubewertung empfohlen" gekennzeichnet. Durch die Neubewertung wird erkennbar, ob sich das aktuelle Risiko dadurch verändert hat. Bei Maßnahmen passiert dies nur, wenn das "Erledigt am" Datum gesetzt ist und nicht am selben Tag wie die letzte relevante Neubewertung liegt (als relevante Neubewertung in diesem Kontext gilt ein Änderungseintrag in der Zeitlichen Entwicklung, bei dem Schadensausmaß oder Eintrittswahrscheinlichkeit geändert wurden).

Ability to Control:

• Das ist die Bewertung der Qualität des bereits implementierten Maßnahmen- und Kontrollensets zur Risikosteuerung.
• Die zur Auswahl stehenden Abilities to Control können in der Risikopolitik konfiguriert werden.

Aktuelles Risiko:

• Das aktuelle Risiko ist die Bewertung des Risikos, nachdem alle bereits umgesetzten Maßnahmen und implementierten Kontrollen zu seiner Behandlung ergriffen wurden, und bevor die noch geplanten Maßnahmen und Kontrollen umgesetzt wurden.
• Auch hier kann mit dem Button rechts die Position des aktuellen Risikos in der Risikomatrix eingesehen werden.

Diese Maßnahmen und Kontrollen sind zur Behandlung des aktuellen Risikos geplant und sollen das aktuelle Risiko auf das geplante Nettorisiko reduzieren. Es handelt sich dabei um offene, geplante und/oder ausgesetzte Maßnahmen (nicht durchgeführte), sowie ausgesetzte, deaktivierte und/oder aktive Kontrolldefinitionen ohne Durchführung.

Nettorisiko:

• Das Nettorisiko ist die Bewertung des Risikos im folgenden Szenario: 1) alle umgesetzten und geplanten noch umzusetzenden Maßnahmen sind ergriffen UND 2) alle implementierten und noch zu implementierenden Kontrollen sind umgesetzt. Da es sich dabei um eine Zukunftsprognose handelt, sind davon drei Varianten zu erfassen: Best Case, Most Likely Case, Worst Case.
• Die Bewertung des Nettorisiko kann entweder über die Dropdownboxes geschehen, oder aber direkt über die angezeigten Risikomatrizen. Ein Klick auf ein Feld in einer Matrix setzt die entsprechende Eintrittswahrscheinlichkeit und das entsprechende Schadensausmaß.

Bei jeder Änderung der Eintrittswahrscheinlichkeit, des Schadensausmaßes und/oder Status, muss derjenige, der die Änderung durchführt, einen Eintrag zum Änderungsprotokoll mit Begründung und Datum für seine Änderung angeben. Nur wenn dies eingetragen wird, kann die Änderung durchgeführt werden. Ein Protokoll scheint anschließend in der zeitlichen Entwicklung des Risikos auf. Veränderungen an der Schadensausmaßbeurteilung scheinen nur in den Managementsystemen auf, die dieselbe Schadensausmaßklassifikation verwenden.

Der erste Eintrag, in dem Eintrittswahrscheinlichkeit und Schadensausmaß definiert sind, wird hier mit "Bruttorisiko" markiert und im Reiter Maßnahmen und Kontrollen beim Bruttorisiko angeführt.

Wichtig: Zeitliche Entwicklungen können auch manuell nachgetragen werden. Dafür in der Übersicht auf den "Plus" Button klicken.

Einträge in dieser Übersicht können mit Doppelklick auf den jeweiligen Eintrag bearbeitet werden.