IRM-App

Dieser Artikel gibt einen Überblick über den allgemeinen Aufbau der App Informationsrisikomanagement (IRM). Des Weiteren wird beschrieben, welche Möglichkeiten es gibt, neue Risiken zu erfassen. Die konkrete Beschreibung der nach der Erfassung notwendigen Schritte zur Abarbeitung des hinterlegten Workflows ist den Artikeln IT-Risikomanager, Feldverantwortliche, Maßnahmenverantwortliche und Erfasser zu entnehmen, in denen ausgehend von den verschiedenen Rollen detailliert beschrieben ist, wie ein Risiko in Abhängigkeit des Zustands, in dem es sich befindet, weiter bearbeitet werden muss.

Neben der Bearbeitung von Risiken werden die ermittelten Risikowerte der einzelnen Risiken von der IRM-App automatisch bezüglich der zugeordneten IR-Feld-Aggregationen und OpRisks aggregiert.

Allgemeiner Aufbau

Die IRM-App an sich gibt Benutzern individuelle Sichten auf die aktuell in VASGARD/IAN hinterlegten Risiken. Hierbei sieht ein Benutzer nur diejenigen Risiken, für die er aktuell zuständig ist bzw. die in sein Aufgabengebiet fallen.

Die für den Benutzer sichtbaren Risiken werden in den folgenden Tabellen aufgeführt:

(1) Meine: Risiken, die vom aktuellen Benutzer geöffnet wurden.

(2) Aktiv: Aktive Risiken, für die der Benutzer aktuell zuständig ist.

(3) Andere: Aktive Risiken, für die aktuell ein anderer Benutzer zuständig ist.

(4) Wiedervorlage: Risiken, die auf Wiedervorlage stehen.

(5) Inaktiv: Inaktive Risiken, deren Workflow abgeschlossen ist und die lediglich zu Archivierungszwecken gespeichert werden.

Über das Filter-Eingabefeld oberhalb der Tabelle kann die Ansicht auf diejenigen Risiken beschränkt werden, die den eingegebenen Ausdruck enthalten. Risiken werden ggf. farblich hinterlegt, um anzuzeigen, dass die Frist zur Bearbeitung bereits abgelaufen ist bzw. noch keine Frist gesetzt wurde (roter Hintergrund) oder dass die Frist im Laufe einer Woche ablaufen wird (gelber Hintergrund). Durch Klick auf ein in der Tabelle aufgeführtes Risiko öffnet sich kontextbezogen eine Eingabemaske, in der die für den aktuellen Workflow-Schritt relevanten Informationen des Risikos einsehbar und ggf. editierbar sind. Des Weiteren erlaubt die Eingabemaske den nächsten Schritt des Workflows für das Risiko anzustoßen.

Erfassen von Risiken

Neue Risiken können auf einem der folgenden Weg von Mitarbeitern erfasst werden:

1. Erfassen ohne VASGARD/IAN-Account:

   Mitarbeiter ohne VASGARD/IAN-Account können Risiken durch Aufruf der folgenden URL erfassen:

   https://<server-name>/vasgardian/app/it_risk_mgmt/new_risk

   Damit nachvollziehbar ist, wer ein Risiko geöffnet hat, muss sich der Mitarbeiter zunächst mit seiner im Unternehmen verwendeten Benutzerkennung identifizieren, bevor die Erfassungsmaske für neue Risiken angezeigt wird.

2. Erfassen innerhalb der Informationsrisikomanagement App:

   Mitarbeiter, die an VASGARD/IAN angemeldet sind, können über den Button Neues Risiko direkt die Erfassungsmaske für neue Risiken aufrufen.

3. Erfassen als Ergebnis eines Cases:

   Im Rahmen der Bearbeitung eines Cases können Risiken als Follow-Up-Assets angelegt werden. Mit installierter IRM-App wird hierfür ebenfalls die dedizierte Eingabemaske zur Erfassung von Risiken verwendet, die von der App bereitgestellt wird. Details zum Bearbeiten von Cases und Öffnen von Follow-Up-Assets sind der allgemeinen VASGARD/IAN-Dokumentation zu entnehmen.

Die folgenden Abbildungen zeigen die Dialoge zum Erfassen von Risiken. Sie unterscheiden sich lediglich dahingehend, dass Mitarbeiter mit VASGARD/IAN-Account zusätzlich die Möglichkeit haben, anzugeben, dass sie in den nachfolgenden Workflow für das Risiko mit einbezogen werden wollen.

Ausfüllen des Dialogs zum Erfassen eines Risikos

Zum Erfassen des Risikos muss zunächst eine Aggregation angegeben werden, der das Risiko zugeordnet werden soll. Hierzu stehen in einer Auswahlbox alle in der CCDB hinterlegten Assets vom Typ IR-Feld, die eine Aggregationen darstellen, zur Auswahl zur Verfügung.

Nach Auswahl der Aggregation erscheint unterhalb des Auswahlfeldes eines Beschreibung der gewählten Aggregation, sodass verifiziert werden kann, dass tatsächlich die gewünschte Aggregation gewählt wurde. Als weiteres Pflichtfeld ist eine Kurzbeschreibung des Risikos anzugeben. Weiterhin können (und sollten, sofern möglich) eine ausführliche Erläuterung des Risikos, Quellen, die zur Feststellung des Risikos beigetragen haben, und vom Risiko betroffene Zielobjekte angegeben werden. Benutzer mit VASGARD/IAN-Account können zudem auswählen, dass sie im weiteren Workflow für das Risiko involviert sein möchten.

Nach Klick auf OK schließt sich der Erfassungsdialog und der Benutzer wird darüber informiert, dass das Risiko erfolgreich angelegt werden konnte. Sollte beim Anlegen ein Fehler auftreten, wird dies ebenfalls über eine Informationsbox am oberen rechten Fensterrand mitgeteilt.

Das neu erstellte Risiko wird sowohl in die Liste der vom Benutzer selbst erstellten Risiken (Meine) als auch in die Liste von Risiken, die der Benutzer zwar einsehen darf, für die er jedoch aktuell nicht zuständig ist (Andere), aufgeführt. Der Titel des Risikos setzt sich aus einer laufenden Nummer sowie der erfassten Kurzbeschreibung zusammen.

Aus dem Eintrag der Spalte Aktuell Zuständig lässt sich entnehmen, dass es aktuell von einem IRM bearbeitet werden muss und der Status Überprüfung + Ergänzung gibt an, dass die initiale Überprüfung und Vervollständigung der Angaben aussteht. Derzeit sind weder eine Frist noch eine Risikohöhe oder eine Strategie zum Umgang gesetzt. Da das Risiko bisher noch unbehandelt ist und keine Frist hinterlegt wurde, wird es mit einem roten Hintergrund aufgeführt, der anzeigt, dass es umgehend bearbeitet werden sollte.