Schutzbedarf

Was ist eine Schutzbedarfsanalyse?

Im Rahmen der Schutzbedarfsanalyse wird der Schutzbedarf für Daten oder Ressourcen (IT-Systeme, Gebäude, Software, etc) von Organisationseinheiten oder Prozessen ermittelt. Die Ergebnisse dieser Analyse, die Schutzbedarfe der Daten und Prozesse, können z.b. in der Strukturanalyse untersucht werden, um Risiken zu identifizieren und Maßnahmen und Kontrollen zu erstellen.

Wie in der Abbildung oben zu sehen ist, finden Professionals und Experten unter "Risikomanagement → Schutzbedarf" Schutzbedarfsanalysen, welche im aktuellen Managementsystem angelegt wurden. Es werden alle Schutzbedarfsanalysen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Weiters können Schutzbedarfsanalysen erstellt werden.

Sie können einen Bericht über eine oder mehrere Schutzbedarfsanalysen als PDF herunterladen. Der Bericht enthält alle markierten Schutzbedarfsanalysen.

erstellen:

• Schutzbedarfsanalysen können unter "Risikomanagement → Schutzbedarf" über den "Plus Button" erstellt werden.

bearbeiten:

• Um eine Schutzbedarfsanalyse zu bearbeiten muss unter "Risikomanagement → Schutzbedarf" die gewünschte Schutzbedarfsanalyse mittels Doppelklick geöffnet werden.
• Abgeschlossene Schutzbedarfsanalysen können zwar eingesehen, aber nicht mehr bearbeitet werden!

Im nachfolgenden Abschnitt, werden die Punkte der Abbildung näher beschrieben.

Auswahl OrgEh / Prozess:

• Bei einer Schutzbedarfsanalyse können entweder Organisationseinheiten oder Prozesse analysiert werden. Was analysiert werden soll, wird über den Punkt Audit ausgewählt.

Audit:

• Wird diese Schutzbedarfsanalyse im Zuge eines Audits durchgeführt, können Sie hier das Audit mit der Schutzbedarfsanalyse in Verbindung setzen. Entsteht die Schutzbedarfsanalyse aufgrund eines Audits werden außerdem die Felder Hauptprüfer, Interviewpartner sowie Beginn und Enddatum vom Audit vorbesetzt. (Für mehr über Audits siehe Auditverwaltung)

OrgEh / Prozess:

• Je nachdem ob eine OrgEh oder ein Prozess analysiert wird, wird hier entweder die Organisationseinheit oder der Prozess ausgewählt.
• Kann nach dem ersten Speichern nicht mehr geändert werden!

Bezeichnung:

• Hier wird eingetragen, wie die Schutzbedarfsanalyse bezeichnet werden soll.

Beschreibung:

• Hier sollten kurz der Zweck der Schutzbedarfsanalyse beschrieben werden.

Hauptprüfer:

• Hier wird der hauptverantwortliche Prüfer der Schutzbedarfsanalyse eingetragen. Er wählt die Ressourcen und/oder Daten aus, welche im Zuge der Schutzbedarfsanalyse analysiert werden, bestimmt weitere Prüfer, sowie Interviewpartner.

Weitere Prüfer:

• Sind Personen, die als Experten der Themengebiete für die Prüfung der Schutzbedarfsanalyse miteinbezogen werden.

Interviewpartner:

• Mit diesen Personen werden im Verlauf einer Schutzbedarfsanalyse Interviews über die Ressourcen/Daten geführt. Im Zuge eines Self-Assessments werden sie mit der Feststellung möglicher Schäden beauftragt. (siehe Typ)

Beginn und Enddatum:

• Hier muss die geplante Zeitspanne der Schutzbedarfsanalyse eingetragen werden.

Typ:

• Interview: Die Schutzbedarfsanalyse wird gemeinsam mit dem Interviewpartner durchgeführt. Der Interviewpartner selbst kann an der Schutzbedarfsanalyse nichts ändern, hat aber Einsicht auf die Schutzbedarfsanalyse.
• Self-Assessment: Der Interviewpartner wird damit beauftragt, mögliche Schäden bei Verletzungen von Schutzzielen festzustellen. Der Prüfer fordert über den "Beantwortung anfordern" Button (sofern die Schutzbedarfsanalyse aktiviert wurde) eine Beantwortung an und überprüft diese nach Beantwortung.

Änderungsprotokoll:

• Hier wird mit aufgezeichnet zu welchen Zeitpunkten die Schutzbedarfsanalyse von wem bearbeitet wurde, wann Sie den Status gewechselt hat und wann Sie abgeschlossen wurde.

Eine Schutzbedarfsanalyse kann sich in verschiedenen Status Variationen befinden. Sind die Email-Benachrichtigungen im Managementsystem aktiv, werden beim Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde z.b. der Interviewpartner sein, wenn ein Prüfer eine Beantwortung anfordert, und die Prüfer fall,s er die Beantwortung retourniert.

Entwurf

• Wird die Schutzbedarfsanalyse das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet Sie sich im Status "Entwurf". Von hier kann die Schutzbedarfsanalyse aktiviert, also in den Status "In Bearbeitung" gesetzt werden.

In Bearbeitung

• Wird die Überprüfung aktiviert, wird Sie in den Status "in Bearbeitung" versetzt. Jetzt ist es Zeit für den Hauptprüfer die Schutzbedarfsanalyse durchzuführen oder eine Beantwortung durch "Beantwortung anfordern" von den Interviewpartnern anzufordern. (nur bei Typ Self-Assesment)
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.

Angefordert (nur bei Typ Self-Assesments)

• Wird die Schutzbedarfsanalyse durch den Hauptprüfer angefordert, wird Sie in den Status "angefordert" versetzt. Die Interviewpartner werden jetzt über eine Email aufgefordert die Schutzbedarfsanalyse durchzuführen.
• Sie kann durch "Überprüfung absenden" in den Status "beantwortet" versetzt werden.

Beantwortet (nur bei Typ Self-Assesments)

• Wird die Schutzbedarfsanalyse durch den Interviewpartner durch "Überprüfung absenden" retourniert, wird Sie in den Status "beantwortet" versetzt. Die Prüfer werden jetzt durch eine Email aufgefordert die Beantwortung zu prüfen.
• Sie kann durch "Beantwortung anfordern" wieder in den Status "angefordert" versetzt werden und der Interviewpartner muss seine Beantwortung überarbeiten.
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden. (Prüfer werden darüber informiert)
• Sie kann durch "Überprüfung abschließen" in den Status "geschlossen" versetzt werden.

Geschlossen

• Wird die Schutzbedarfsanalyse durch "Überprüfung abschließen" in den Status "geschlossen" versetzt, wird die Schutzbedarfsanalyse schreibgeschützt und sie kann nicht mehr bearbeitet werden. Dadurch werden die Verbindungen zwischen den Ressourcen und/oder Daten zu ihrer OrgEh oder ihrem Prozess in der Strukturanalyse gesetzt und gewichtet.

Löschen einer Schutzbedarfsanalyse

• Durch "Überprüfung löschen" können Sie Schutzbedarfsanalyse welche noch nicht abgeschlossen sind löschen. Abgeschlossene Schutzbedarfsanalysen können nicht gelöscht werden!

Im zweiten Schritt, wie die Abbildung zeigt, werden die Ressourcen und oder Daten ausgewählt, welche in der Schutzbedarfsanalyse analysiert werden.

Um Ressourcen bzw. Daten zur Analyse hinzuzufügen, muss der "Ressourcen/Daten auswählen" Button geklickt werden. Im Anschluss öffnet sich ein Dialog, indem die Ressourcen bzw. Daten, welche analysiert werden sollen, ausgewählt werden können.

Über den Reiter darüber kann zwischen Ressourcen und Daten gewechselt werden.

Die nachfolgende Abbildung zeigt den dritten Schritt der Schutzbedarfsanalyse.

In diesem Schritt werden die Ressourcen und oder Daten auf mögliche Schäden im Falle der Verletzung eines Schutzzieles analysiert. Bewertet werden Verletzungen durch Schadensausmaße.

Durch die hier gewählten Schadensausmaße werden in der Strukturanalyse Verbindungen zwischen der OrgEh oder dem Prozess und der bewerteten Ressource bzw. den Daten gesetzt und ihre Schutzziele gewichtet. Dadurch ist es in der Strukturanalyse möglich, die Organisationseinheit oder den Prozess auf Abhängigkeiten zu untersuchen und Gefährdungslagen zu erkennen.

Um alle Ressourcen und Daten zu bewerten, muss durch den Reiter darüber zwischen den hinzugefügten Ressourcen und Daten gewechselt werden.

Die zu bewertenden Schutzziele werden vom Managementsystem vorgegeben und können unter "Administration → Managementsysteme → verwendete Schutzziele" von Experten konfiguriert werden.

Schadensausmaße können unter "Risikomanagement → Risikopolitik → Schadensausmaße" von Experten erstellt und verwaltet werden.