Mit einem Klick auf die Schaltfläche Prozessbewertung erfolgt die BIA/SBF-Bewertung des Assets. Die Bewertung durchläuft insgesamt fünf Schritte.
Über das blaue i Button können Hilfetexte angezeigt werden.
Zuerst wird noch ein einleitender Text angezeigt.
Schritt 1 Prozessbewertung BIA
Schritt 2 Prozesskettenanalyse (für kritische Prozesse)
Schritt 3 Schutzbedarfsanalyse (auf Basis-Datenklassen)
Schritt 4 Anwendungs- und Dienstezuordnung
Schritt 5 Dienstleister zur Aufrechterhaltung kritischer Prozesse
Schritt 1: Prozessbewertung BIA
In diesem Schritt werden die potenziellen Auswirkungen bewertet, welche beim Ausfall des Prozesses auftreten können.
Die Bewertung kann einen Wert von 1 - niedrig bis 4 - sehr hoch annehmen.
Wichtig hierbei ist, dass sobald eine Ausfallzeit einen höheren Wert angenommen hat als die vorherige Ausfallzeit, nehmen alle folgenden Ausfallzeiten den gleichen Wert an. Niedrigere Werte können nicht mehr ausgewählt werden.
Mit der Bewertung ergibt sich dann eine Maximal Tolerierbare Ausfallzeit (MTA). Diese wird automatisch ermittelt und unten angezeigt.
Die MTA-Werte können in den Einstellungen angepasst werden.
Schritt 2: Prozesskettenanalyse (für kritische Prozesse)
Der zweite Schritt besteht aus der Prozesskettenanalyse für kritische Prozesse. Bei dieser Bewertung handelt es sich um die Bewertung der zwingenden Abhängigkeit der Prozesse im Falle eines Notfalls. Die Abhängigkeiten im Notfall können die Werte Zeitversetzt oder Zeitgleich annehmen.
Schritt 3: Schutzbedarfsanalyse (auf Basis-Datenklassen)
Im dritten Schritt folgt die Schutzbedarfsanalyse. Hierbei werden Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit für Daten- und Informationsklassen bewertet.
Mit einem Klick auf den Button + Informationsklasse hinzufügen können weitere Klassen zur Schutzbedarfsanalyse hinzugefügt werden.
Die auswählbaren Klassen ergeben sich aus der in der CCDB hinterlegten Assets der Assetklasse Daten, bei denen das Attribut BIA/SBF-relevant auf JA gesetzt ist.
Schritt 4: Anwendungs- und Dienstezuordnung
In diesem Schritt folgt die Anwendungs- und Dienstzuordnung. Hier sind alle Datenverarbeitungen gelistet, welche mit der Datenklasse verbunden sind.
Über die Schaltfläche +Datenverarbeitung hinzufügen können weitere Datenverarbeitungen hinzugefügt werden.
Die auswählbaren Klassen ergeben sich aus der in der CCDB hinterlegten Assets der Assetklasse Dienst, bei denen das Attribut Schutzbedarfsrelevant auf JA gesetzt ist.
Für alle Anwendungen und Dienste wird die Recovery Point Objective (RPO – Letzter Wiederaufsetzpunkt) und die Recovery Time Objective (RTO – geforderte Wiederanlaufzeit) gesetzt. Die RTO wird anhand der Verfügbarkeit der Anwendung eingeschränkt.
RTO
RPO
Die Werte können unter Einstellungen angepasst werden.
Schritt 5: Dienstleister zur Aufrechterhaltung kritischer Prozesse
In Schritt 5 werden noch die Dienstleister ausgewählt, die zur Aufrechterhaltung kritischer Prozesse notwendig sind.
Über die Schaltfläche + Assets hinzufügen können entsprechende Assets der Prozessbewertung hinzugefügt werden.
Die auswählbaren Dienstleister ergeben sich aus der in der CCDB hinterlegten Assets der Assetklasse Geschäftspartner.
Je nach Bedarf kann dieser Schritt auch deaktiviert werden. In den Einstellungen ist dafür bei Dienstleister die Checkbox Überspringen zu aktivieren.
Zusammenfassung
Zum Abschluss wird eine Zusammenfassung angezeigt. Hier kann noch einmal geprüft werden, ob alle Angaben korrekt sind.
Diese Zusammenfassung ist im Dashboard zu sehen, wenn bei dem Prozess Zusammenfassung ausgewählt wird.
