CCDB-Klassen

Zur Unterstützung der IRM-App werden innerhalb der Compliance Configuration Database (CCDB) VASGARD/IAN die nachfolgend beschriebenen Asset-Klassen verwendet.

Asset-Klasse Risiko

Ein Risiko enthält die folgenden Informationen:

(1) CI-Nummer: Eine durch VASGARD/IAN automatisch vergebene eindeutige ID.

(2) Anzeigename: Name, der verwendet wird, um ein Risiko in einer Liste anzuzeigen, z. B. im Asset-Baum im linken Bereich der Anwendung. Der Anzeigename wird automatisch zusammengesetzt aus der CI-Nummer und dem Inhalt des Feldes Name.

(3) Status: Der aktuelle Status des Risikos. Das Feld wird automatisch durch die IRM-App gesetzt und enthält einen der in Workflow beschriebenen Werte.

(4) Name: Der Name des Risikos. Dieser muss eindeutig sein.

(5) Erfassungsdatum: Datum, wann das Risiko erfasst wurde. Diese Information wird durch die App Informationsrisikomanagement automatisch bei Entgegennahme eines neuen Risikos gesetzt.

(6) Strategie zum Umgang: Definiert die Workflow, wie mit dem Risiko umgegangen werden soll.

(7) Aggregation: Ein Link auf ein IR-Feld vom Typ Aggregation, der auf die Aggregation zeigt, der das Risiko zugeordnet ist.

(8) Erfasser (Benutzername): Benutzername der Benutzers, durch den das Risiko erfasst wurde. Diese Information wird durch die IRM-App automatisch bei Entgegennahme eines neuen Risikos gesetzt.

(9) Aktuelle Frist: Enthält die aktuell gesetzte Frist des Risikos, deren konkrete Bedeutung vom aktuellen Status des Risikos abhängt.

(10) OpRisk: Ein Link auf ein operatives Risiko, dem dieses Risiko zugeordnet ist. Diese Information wird durch die IRM-App automatisch gesetzt, nachdem eine Aggregation ausgewählt wurde.

(11) Erfasser: Ein Link auf das Mitarbeiter-Asset des Benutzers, durch den das Risiko erfasst wurde, falls der Mitarbeiter in der VASGARD/IAN-Datenbank hinterlegt ist. Diese Information wird durch die App automatisch bei Entgegennahme eines neuen Risikos gesetzt.

(12) Prolongationen: Gibt an, wie häufig das Risiko bereits prolongiert wurde. Diese Information wird durch die App im Rahmen der Workflow-Bearbeitung automatisch aktualisiert.

(13) Verantwortlichkeit: Ein Link auf ein Mitarbeiter-Asset, dem das Risiko zugewiesen ist. Diese Information wird durch die IRM-App automatisch auf die/den Feldverantwortliche/n der ausgewählten Aggregation gesetzt.

(14) Erfasser befragen: Ein Flag, das angibt, ob der Erfasser angegeben hat, in den Workflow eingebunden zu werden. Diese Information wird durch die App automatisch bei Entgegennahme eines neuen Risikos gesetzt.

(15) Prolongationsstatusen: Gibt an, wann die nächste Fristverlängerung anliegt.

(16) Nicht relevant: Ein Flag, das angibt, ob dieses Risiko von einem IT-Risikomanager nicht relevant markiert wurde.

(17) Maßnahmenverantwortlichkeit: Link auf das Mitarbeiter-Asset des Mitarbeiters, der für die Umsetzung der definierten Maßnahmen verantwortlich ist.

(18) Beschreibung: Eine Freitextbeschreibung des Risikos.

(19) Erläuterung: Eine Freitexterläuterung des Risikos.

(20) Bemerkungen: Feld für eventuelle zusätzlichen Bemerkungen zum Risiko.

(21) Schadenshöhe (SH): Enthält die durch den Feldverantwortlichen gesetzte Schadenshöhe des Risikos. Durch Klick auf den Infobutton werden zusätzliche Details zur Bedeutung der einzelnen Werte angezeigt.

(22) Auswirkung auf Schutzhöhe: Enthält eine Liste von Schutzzielen, auf die sich das Risiko auswirkt.

(23) Anforderungen: Kann Links auf Anforderungen enthalten, aus denen sich das Risiko ableitet.

(24) Eintrittswahrscheinlichkeit (EW): Enthält die durch den Feldverantwortlichen gesetzte Eintrittswahrscheinlichkeit des Risikos.

(25) Abhängigkeit: Kann Links auf Risiken enthalten, die in Abhängigkeit zu diesem Risiko stehen.

(26) Findings: Kann Links von zugehörigen Sicherheitsvorfällen etc. enthalten.

(27) Restrisikohöhe: Enthält den sich aus Schadenshöhe und Eintrittswahrscheinlichkeit ergebenen Risikowert. Dieser wird durch die IRM-App automatisch berechnet.

(28) Zielobjekte: Kann Links auf Zielobjekt-Assets enthalten, auf die sich das Risiko auswirkt (sofern vorhanden).

(29) Sonst. Quell-Assets: Kann Links auf sonstige Assets enthalten, aus denen sich das Risiko ableitet.

(30) Risikomatrix: Kann eine visualisierte Anzeige der Risikomatrix beinhalten.

(31) Zielobjekte (Text): Falls notwendig, kann ein zusätzlicher Freitext die Zielobjekte beschreiben, auf die sich das Risiko auswirkt.

(32) Quell-Cases: Kann Links auf VASGARD/IAN-Cases enthalten, aus denen das Risiko hervorgegangen ist. Wird das Risiko aus einem Case heraus geöffnet, wird diese Information automatisch durch die IRM-App gesetzt.

(33) Betroffene Assets: Kann Links auf weitere Assets enthalten, die keine Zielobjekte sind, auf die sich das Risiko auswirkt.

(34) Sonst. Quellen: Freitextfeld, das sonstige Informationen zu Quellen des Risikos enthalten kann.

(35) Quell-Abweichungen: Kann Links auf weitere Quellen mit Abweichungen enthalten.

(36) Beschreibung SH: Enthält Details zur Begründung der gewählten Schadenshöhe.

(37) Beschreibung EW: Enthält Details zur Begründung der gewählten Eintrittswahrscheinlichkeit.

Tab Behandlung

Soll ein Risiko beispielsweise reduziert werden, sind Maßnahmen notwendig, die zur Reduktion des Risikos umgesetzt werden müssen. Diese können entweder als Freitext im Risiko selbst hinterlegt werden oder es können Maßnahmen-Assets angelegt werden, die mit dem Risiko verknüpft werden.

Hierzu sind auf dem Tab Behandlung die folgenden Felder vorgesehen:

(1) TODO-Beschreibung: Freitextfeld zur Definition von Maßnahmen zur Behandlung des Risikos.

(2) Maßnahmen: Liste von Links auf Maßnahmen-Assets der CCDB.

(3) Schadenshöhe (SH) nach Maßnahmenumsetzung: Auswahlliste zur Angabe der Schadenshöhe.

(4) Restrisikohöhe nach Maßnahmenumsetzung: Auswahlliste zur Angabe der Restrisikohöhe.

(5) Eintrittswahrscheinlichkeit (EW) nach Maßnahmenumsetzung: Auswahlliste zur Angabe der Eintrittswahrscheinlichkeit.

(6) Risikomatrix nach Maßnahmenumsetzung: Kann eine visualisierte Anzeige der Risikomatrix beinhalten.

(7) Beschreibung SH nach Maßnahmenumsetzung: Freitextbeschreibung der Schadenshöhe nach der Maßnahmenumsetzung.

(8) Beschreibung EW nach Maßnahmenumsetzung: Freitextbeschreibung der Eintrittswahrscheinlichkeit nach der Maßnahmenumsetzung.

(9) Kommentar Umsetzung: Freitextfeld für weitere Anmerkungen zur Umsetzung.

(10) Links: Liste von Links zu relevanten Risikoassets.

(11) Anhänge: Möglichkeit relevante Anhänge in Form von Dokumenten hinzuzufügen.

Tab Akzeptanz

In Abhängigkeit der Höhe eines Risikos muss dieses von verschiedenen Instanzen akzeptiert werden. Detailinformationen zur Akzeptanz des Risikos können in den Feldern des Tabs Akzeptanz hinterlegt werden.

Dieser enthält die folgenden Felder:

(1) Akzeptiert von (Email): Link auf das Mitarbeiter-Asset desjenigen Mitarbeiters, von dem das Risiko per E-Mail akzeptiert wurde.

(2) Akzeptiert von (Link): Link auf das Mitarbeiter-Asset desjenigen Mitarbeiters, von dem das Risiko über den Bestätigungsdialog der IRM-App akzeptiert wurde.

(3) Bemerkung zur Akzeptanz: Freitextfeld, das weitere Informationen zur Akzeptanz des Risikos enthalten kann.

Tab Prolongation

Ist absehbar, dass eine gesetzte Frist nicht gehalten werden kann, kann der aktuell für das Risiko Verantwortliche eine Verlängerung der Frist beantragen. Detailinformationen zu Prolongationen des Risikos können in den Feldern des Tabs Prolongation hinterlegt werden.

Dieser enthält eine Liste mit allen Prolongationen, die für das Risiko beantragt wurden. Die Einträge der Liste enthalten die folgenden Informationen:

(1) Originale Deadline: Ursprüngliche Frist, für die eine Verlängerung beantragt wurde.

(2) Beantragte Deadline: Die beantragte neue Frist.

(3) Antragsbegründung: Freitext mit einer Begründung, warum eine Verlängerung auf die beantragte Frist notwendig ist.

(4) Freigegeben: Flag, das angibt, ob der beantragten Verlängerung zugestimmt wurde.

(5) Antwortbegründung: Freitext mit einer Begründung, warum der Verlängerung zugestimmt bzw. sie verwehrt wurde.

(6) Freigabe durch: Link auf ein Mitarbeiter-Asset desjenigen Mitarbeiters, der der Verlängerung zugestimmt bzw. sie verwehrt hat.

Tab Schließen

Für jedes Risiko kann definiert werden, welche Mitarbeiter dem Schließen des Risikos zustimmen müssen. Hat beispielsweise der Erfasser des Risikos angegeben, dass er in den Workflow mit eingebunden werden möchte, wird dieser automatisch für das Risiko registriert. Detailinformationen zum Abschluss des Risikos werden dabei in den Feldern des Tabs Schließen hinterlegt.

Dieser enthält die folgenden Felder:

(1) Schließungsdatum: Datum, wann das Risiko geschlossen wurde.

(2) Bestätigungen: Eine Liste von erfolgten Bestätigungen zum Schließen des Risikos. Jeder Eintrag der Liste enthält die folgenden Informationen:

• Bestätigt von: Link auf das Mitarbeiter-Asset desjenigen Mitarbeiters, der der Schließung zugestimmt bzw. sie verwehrt hat.

• Bestätigt?: Flag, das angibt, ob dem Schließen des Risikos zugestimmt wurde oder nicht.

• Bemerkung: Freitextfeld mit einer Begründung der Entscheidung.

Asset-Klasse IR-Feld

Die Asset-Klasse IR-Feld dient zur Aufnahme von Informationen zu IT-Risikofeldern und ihren zugeordneten Aggregationen. Assets dieser Klasse speichern die in folgender Abbildung dargestellten Informationen. Dabei wird dieselbe Asset-Klasse sowohl für IR-Felder als auch für deren Aggregationen verwendet. Aggregationen werden ihren IR-Feldern durch entsprechende Verknüpfungen zugeordnet, sodass die im Asset-Baum im linken Bereich der Anwendung dargestellte Struktur entsteht.

(1) CI-Nummer: Eine durch VASGARD/IAN automatisch vergebene eindeutige ID.

(2) Anzeigename: Name, der verwendet wird, um das Asset in einer Liste anzuzeigen, z. B. im Asset-Baum im linken Bereich der Anwendung.

(3) Status: Freitextfeld zum Hinterlegen des aktuellen Status des Assets.

(4) ID: Eindeutige ID des IR-Feldes (z. B. AAO) bzw. der Aggregation (z. B. AAO-1).

(5) Name: Name des IR-Feldes bzw. der Aggregation.

(6) Typ: Gibt an, ob es sich bei dem Asset um ein IR-Feld oder um eine Aggregation handelt.

(7) Aggregation: Laufende Nummer der Aggregation bezüglich des zugeordneten IR-Feldes.

(8) Org.Einheit: Organisationseinheit, die für das IR-Feld bzw. die Aggregation zuständig ist.

(9) Verantwortlich: Mitarbeiter, der für das IR-Feld bzw. die Aggregation verantwortlich ist. Im Rahmen der IRM-App wird dem hier verknüpften Mitarbeiter die Rolle des Feldverantwortlichen für ein Risiko zugeordnet, das der Aggregation zugewiesen ist.

(10) OpRisk: Link auf ein OpRisk-Asset, dem das IR-Feld bzw. die Aggregation zugeordnet ist.

(11) Offene Risiken: Liste aller derzeit offenen Risiken, die einer Aggregation zugeordnet sind.

(12) Schadenshöhe: Maximale Schadenshöhe aus allen offenen Risiken, die der Aggregation zugeordnet sind. Diese Information wird von VASGARD/IAN automatisch gesetzt.

(13) Eintrittswahrscheinlichkeit: Höchste Eintrittswahrscheinlichkeit aus allen offenen Risiken, die der Aggregation zugeordnet sind. Diese Information wird vom VASGARD/IAN automatisch gesetzt.

(14) Risikowert: Der sich aus der Schadenshöhe und Eintrittswahrscheinlichkeit ergebene Risikowert. Diese Information wird vom VASGARD/IAN automatisch gesetzt.

(15) Kurztext: Freitext zur kurzen Beschreibung des IR-Feldes bzw. der Aggregation.

(16) Langtext: Freitext zur ausführlichen Beschreibung des IR-Feldes bzw. der Aggregation.

(17) Bemerkung: Freitext für sonstige Bemerkungen.

Asset-Klasse OpRisk

Die Asset-Klasse OpRisk dient zur Aufnahme von operativen Risiken. Assets dieser Klasse speichern die in folgender Abbildung dargestellten Informationen.

(1) CI-Nummer: Eine durch VASGARD/IAN automatisch vergebene eindeutige ID.

(2) Anzeigename: Name, der verwendet wird, um das Asset in einer Liste anzuzeigen, z. B. im Asset-Baum der Anwendung.

(3) Status: Freitextfeld zum Hinterlegen des aktuellen Status des Assets.

(4) ID: Eindeutige ID des Op-Risks zur Referenzierung in externe Systeme.

(5) Name: Name des Op-Risks.

(6) Aggregationen: Liste von Aggregationen, die dem Op-Risk zugewiesen sind.

(7) Summe der Risikowerte: Summe der Risikowerte aller Aggregationen, die dem Op-Risk zugewiesen sind. Diese Information wird von VASGARD/IAN automatisch gesetzt.

(8) Kommentar: Freitext für sonstige Bemerkungen.

Asset-Klasse Maßnahme

Die Asset-Klasse Maßnahme dient zur Aufnahme von Maßnahmen, die z. B. zur Reduzierung von Risiken getroffen werden.

Assets dieser Klasse speichern folgende Informationen.

(1) CI-Nummer: Eine durch VASGARD/IAN automatisch vergebene eindeutige ID.

(2) Anzeigename: Name, der verwendet wird, um das Asset in einer Liste anzuzeigen, z. B. im Asset-Baum im linken Bereich der Anwendung.

(3) Status: Freitextfeld zum Hinterlegen des aktuellen Status des Assets.

(4) Name: Name der Maßnahme.

(5) Kürzel: Kann ein eindeutiges Kürzel der Maßnahme enthalten.

(6) Definiert von: Link auf ein Mitarbeiter- oder Organisationseinheit-Asset, der/die die Maßnahme definiert hat.

(7) Besitzer: Link auf ein Mitarbeiter- oder Organisationseinheit-Asset, der/die als Verantwortliche/r der Maßnahme hinterlegt ist.

(8) Organisationseinheit: Link auf Organisationseinheit-Asset des betroffenen Assets.

(9) Betroffene Assets: Link auf auf alle von der Maßnahme betroffenen Assets.

(10) Aufwand: Auswahl des Aufwands für die Umsetzung der Maßnahme.

(11) Umsetzungsstatus: Aktueller Umsetzungsstatus der Maßnahme.

(12) Umsetzungsfrist: Aktuelle Frist zur Umsetzung der Maßnahme.

(13) Findings: Link auf Finding der Maßnahme.

(14) Risiken: Angabe der Risiken für die Maßnahme.

(15) Beschreibung: Freitext für die detaillierte Beschreibung der Maßnahme.