Eine konsistente Bewertung der Schutzbedarfe Ihrer Assets, Ihrer Risiken sowie des Reifegrades Ihres Management-Systems macht über alle Compliance-Felder hinweg Sinn. Lernen Sie in diesem Artikel wie Sie die Bewertungsformulare individuell anlegen.
Inhalt
Hintergrund
Unterschiedliche Aspekte Ihres Management-Systems sollten in regelmäßigen Abständen immer wieder einer Bewertung unterzogen werden (PDCA-Zyklus), damit die bestehenden Maßnahmen zum Schutz beurteilt und ggf. ergänzt werden können.
Mit Robin Data ComplianceOS können Sie individuelle Bewertungsformulare erstellen, welche stets abhängig von Ihrer Daten-Klassifikation ausgespielt werden und so eine einheitliche und konsistente Bewertung über die Zeit ermöglichen.
Die Bewertungsformulare sind für folgende 3 Bereiche verfügbar:
- Assets: Erstellen Sie individuelle Schutzbedarfsbewertungen für Ihre Asset-Klassen.
- Risiken: Erstellen Sie individuelle Risikoanalysen für Ihre Risikofelder.
- Controls: Erstellen Sie individuelle Reifegradanalysen für Ihre Controls.
Die Anlage eines Bewertungsformulars folgt dabei stets 3 Schritten:
- Bewertungsgruppen definieren
- Bewertungsfaktoren anlegen und den Bewertungsgruppen zuordnen
- Das Bewertungsformular anlegen und die Berechnung konfigurieren
1. Bewertungsgruppen definieren
In der Bewertungsgruppe werden die Zahlenwerte (Scores) festgelegt, die dann später bei der Erstellung der Prüffragen verwendet werden. Je nach Prüfschema, können Sie eine Bewertungsgruppe bestehend aus Einzelwerten oder einen Wertebereich anlegen.
- Einzelwerte: Hier legen Sie die Zahlenwerte fest, die später den Ergebnissen Ihrer Prüffragen zugeordnet werden sollen. (z.B. gering = 1, mittel = 2, hoch =3, sehr hoch = 4)
- Wertebereich: Hier legen Sie den Wertbereich Ihrer Ergebnisse fest. Dieser hängt davon ab, welches Bewertungsschema Sie in der Berechnung Ihrer Einzelwerte hinterlegen. (Wenn Sie bspw. zwei Einzelwerte 1-4 hinterlegt haben und eine Berechnung AxB anstreben, wird Ihr Wertebreich von 1 bis 16 zu definieren sein.)
Vorgehen:
- Klicken Sie im Hauptmenü auf Organisationsstammdaten: Es öffnet sich ein Dropdown-Menü.
- Fahren Sie mit dem Mauszeiger über den Menü-Punkt Management-System: Es öffnet sich ein weiteres Dropdown-Menü.
- Klicken Sie im zweiten Dropdown-Menü auf Inhaltsgruppen: Es öffnet sich ein neues Fenster.
- Klicken Sie auf das Plus-Symbol im Bereich Kategorien: Es öffnet sich eine Eingabemaske.
- Füllen Sie das Feld Bezeichnung aus und klicken Sie in das Dropdown-Menü Typ: Es öffnet sich ein Dropdown-Menü mit verschiedenen Typen von Inhaltsgruppen.
- Klicken Sie in dem Dropdown-Menü auf den Typ Bewertungsgruppen: Der Typ Bewertungsgruppen ist ausgewählt.
- Klicken Sie auf Speichern: Die angelegte Bewertungsgruppe erscheint in der Tabelle "Kategorie".
1.1 Bewertungsgruppe Typ Einzelwert anlegen
Um der Bewertungsgruppe (z. B. Risikoanalyse) zugehöriges Zahlenwerte (z. B. die Scores für die Schadenshöhe einer Risikoanalyse) zuzuordnen, werden weitere Bewertungsgruppen angelegt.
-
Klicken Sie auf das Plus-Symbol neben der Bewertungsgruppe „Risikoanalyse nach BSI“: Es öffnet sich eine Eingabemaske.
-
Geben Sie eine Bezeichnung (z. B. Schadenshöhe) ein und klicken Sie in das Feld Typ: Es öffnet sich ein Dropdown-Menü.
-
Klicken Sie im Dropdown-Menü auf Risikokategorie (Einzelwerte): Der Typ Risikokategorie (Einzelwerte) ist ausgewählt.
- Klicken Sie auf Speichern: Die Bewertungsgruppe erscheint in der Tabelle Unterkategorie.
- Klicken Sie auf das Plus-Symbol neben der Bezeichnung in der Unterkategorie: Es öffnet sich eine Eingabemaske.
- Geben Sie eine Bezeichnung (z. B. gering) und optional eine Beschreibung ein und legen Sie einen nummerischen Score fest (z. B. gering = 1): Die Kombination aus Bezeichnung, Beschreibung und zugehörigem Score entsprechen einer Bewertungskategorie.
- Klicken Sie auf Speichern: Die Bewertungskategorie wurde angelegt.
- Wiederholen Sie die Schritte 4 - 7, um weitere Bewertungskategorien (z. B. mittel = 2, hoch =3, sehr hoch = 4) anzulegen .
1.2 Bewertungsgruppe Typ Wertebereich anlegen
Um der Bewertungsgruppe eine Bewertungskategorie zuzuordnen, müssen Sie eine Unterkategorie anlegen.
- Klicken Sie auf das türkise Plus-Symbol neben der Bezeichnung der Inhaltsgruppe im Bereich "Kategorie, um eine Bewertungskategorie anzulegen: Es öffnet sich eine Eingabemaske.
- Geben Sie die Bezeichnung der Bewertungskategorie ein und wählen Sie den Typ Wertebereich aus.
- Geben Sie die Minimum- und Maximum-Werte des Wertebereichs ein. (Wenn Sie bspw. zwei Einzelwerte 1-4 hinterlegt haben und eine Berechnung AxB anstreben, wird Ihr Wertebereich von 1 bis 16 zu definieren sein.)
- Klicken Sie auf Speichern: Die Bewertungskategorie erscheint in der Tabelle "Unterkategorie".
- Klicken Sie auf das Plus-Symbol neben der Bezeichnung der Bewertungskategorie: Es öffnet sich eine Eingabemaske.
- Geben Sie eine Bezeichnung für den Wertebereich sowie die Minimum- und Maximum-Werte für den jeweiligen Ergebnisbereich ein. Sie können zudem eine Farbe für den Ergebnisbereich festlegen. (z.B. Bezeichnung: gering, Wertebereich 1-4, Farbe: grün; Bezeichnung: mittel, Wertebereich 5-9, Farbe: gelb; usw.)
- Klicken Sie auf Speichern: Der Wertebereich wurde angelegt.
- Wiederholen Sie die Schritte 5 - 7, um alle Ihre Wertebereiche zu definieren.
2. Bewertungsfaktoren
Bewertungsfaktoren dienen dazu, dass der Bewertende anhand von bestimmten Faktoren stets zu einer objektiven Einschätzung des Risikos kommt. Ohne Bewertungsfaktoren ist dem Bewertenden eventuell gar nicht klar, wann ein Schutzbedarf oder Risiko mittel oder hoch ist. Jedem Bewertungsfaktor wird dabei eine Bewertungsgruppe hinterlegt, welche die Ausprägung des Faktors definiert.
Bewertungsfaktorengruppe
- Klicken Sie im Hauptmenü auf Organisationsstammdaten: Es öffnet sich ein Dropdown-Menü.
- Fahren Sie mit dem Mauszeiger über den Menü-Punkt Management-System: Es öffnet sich ein weiteres Dropdown-Menü.
- Klicken Sie im zweiten Dropdown-Menü auf Inhaltsgruppen: Es öffnet sich ein neues Fenster.
-
Klicken Sie auf das Plus-Symbol im Bereich Kategorien: Es öffnet sich eine Eingabemaske.
-
Füllen Sie das Feld Bezeichnung (z. B. Risikofaktoren nach BSI) aus und geben Sie ggf. eine Beschreibung ein. Klicken Sie in das Dropdown-Menü Typ: Es öffnet sich ein Dropdown-Menü mit verschiedenen Typen von Inhaltsgruppen.
-
Klicken Sie in dem Dropdown-Menü auf den Typ Bewertungsfaktoren: Der Typ Bewertungsfaktoren ist ausgewählt.
- Klicken Sie auf Speichern: Die Bewertungsfaktorgruppe wurde angelegt.
Bewertungsfaktor
- Klicken Sie auf das türkise Plus-Symbol neben der Bezeichnung der Inhaltsgruppe im Bereich "Kategorie": Es öffnet sich eine Eingabemaske.
-
Füllen Sie das Feld Bezeichnung (z. B. Eintrittshäufigkeit nach BSI) aus und geben Sie ggf. eine Beschreibung ein. Klicken Sie in das Dropdown-Menü Bewertungsgruppe: Es öffnet sich ein Dropdown-Menü mit bereits angelegten Bewertungsgruppen.
-
Klicken Sie auf die zugehörige bereits angelegte Bewertungsgruppe (z. B. „Eintrittshäufigkeit nach BSI“): Die Bewertungsgruppe ist dem Risikofaktor zugeordnet.
- Klicken Sie auf Speichern: Der erstellte Bewertungsfaktor wird im Bereich Unterkategorie hinterlegt.
- Wiederholen Sie diese Schritte, um weitere Bewertungsfaktoren anzulegen.
Beispiel: Dem Bewertungsfaktor Eintrittswahrscheinlichkeit können verschiedene Ausprägungen hinterlegt werden, welche jeweils einem Bewertungsgruppenwert zugeordnet werden. So würde in diesen Beispiel die Auswahl "Einmal im Jahr" zu einer Bewertung von "mittel" führen, welchem der Wert "2" hinterlegt ist. Dieser Wert "2" kann dann als Faktor für eine Berechnung im Bewertungsformular herangezogen werden.
3. Das Bewertungsformular anlegen und die Berechnung konfigurieren
Die Bewertung durch den Anwender findet im Bewertungsformular des jeweiligen Bereiches statt. Dazu müssen entsprechende Formulare erstellt, die Berechnung konfiguriert und den jeweiligen Kategorien zugeordnet werden, bei denen sie ausgegeben werden sollen.
Ein Bewertungsformular kann aus mehreren, unterschiedlichen Formular-Elementen zusammengebaut werden:
- Headline: Über dieses Element legen Sie eine Überschrift für Ihr Formular fest.
- Input Typ Text: Über dieses Element fügen Sie ein einzeiliges Freitext-Feld in Ihr Formular ein.
- Textarea: Über dieses Element fügen Sie ein mehrzeiliges Freitext-Feld in Ihr Formular ein.
- Input Typ Datum: Über dieses Element fügen Sie ein Datum-Feld in Ihr Formular ein.
- Input Typ Zahl: Über dieses Element fügen Sie ein Zahlen-Feld in Ihr Formular ein.
- Horizontal Linie: Über dieses Element fügen Sie eine horizontale Linie in Ihr Formular ein.
- Score-Block: Über dieses Element fügen Sie einen einfachen Bewertungsfaktor ein, den Sie zuvor angelegt haben.
- Score-Block mit Aktion: Über dieses Element fügen Sie einen Bewertungsfaktor ein, der sich aus mehreren Einzelfaktoren zusammensetzt, welche Sie zuvor angelegt haben. Diese Einzelfaktoren werden über eine Formel (z.B. Maximumprinzip) zu einem einzelnen Wert in der Schutzbedarfsbewertung reduziert.
Formulargruppe anlegen
Zuerst muss eine Formulargruppe angelegt werden, in der definiert wird, in welchem Bereich (Assets, Risiken, Controls) das Formular zu Einsatz kommen soll.
- Klicken Sie im Hauptmenü auf Organisationsstammdaten: Es öffnet sich ein Dropdown-Menü.
- Fahren Sie mit dem Mauszeiger über den Menü-Punkt Management-System: Es öffnet sich ein weiteres Dropdown-Menü.
- Klicken Sie im zweiten Dropdown-Menü auf Inhaltsgruppen: Es öffnet sich ein neues Fenster.
- Klicken Sie auf das blaue Plus neben dem Bereich "Kategorie": Es öffnet sich eine Eingabemaske.
- Geben Sie die Bezeichnung in das Feld Bezeichnung (z.B. Schutzbedarfsanalyse Assets) ein.
- Wählen Sie zunächst Formularerweiterung beim Feld "Typ" und danach den jeweiligen Bereich beim Feld "Formular-Typ" aus:
- Klicken Sie auf Speichern: Die Formulargruppe wird angelegt.
Achten Sie beim Formular-Typ bitte darauf, dass Sie den korrekten Bereich auswählen:
- Bewertung (Asset): Erstellen Sie individuelle Schutzbedarfsbewertungen für Ihre Asset-Klassen.
- Bewertung (Controls): Erstellen Sie individuelle Reifegradanalysen für Ihre Controls.
- Bewertung (Risiko): Erstellen Sie individuelle Risikoanalysen für Ihre Risikofelder.
- Standard (Formular) beinhaltet keine Bewertung.
Bewertungsformular anlegen
- Klicken Sie auf das türkise Plus in der betreffende Zeile der hinterlegten Formulargruppe: Es öffnet sich eine Eingabemaske.
- Geben Sie die Bezeichnung ein. Wir empfehlen, dass die Bezeichnung im Titel auf die Anwendung schließen lässt (z.B. "Schutzbedarfsanalyse Prozesse")
- Wählen Sie, auf welche Kategorie (z.B. bei Assets auf welche Sub-Level Assetklasse) dieses Formular angewandt werden soll.
- Legen Sie die Risikoklassifikation (den Wertebereich) fest, mit der Sie die Klassifikation des berechneten Schutzbedarfs festlegen möchten. Diese haben Sie zuvor unter Bewertungsgruppen als Typ Wertebereich angelegt.
- Klicken Sie auf Speichern: Das Formular wird in der Tabelle Unterkategorie hinterlegt.
Hinweis:
Sobald Sie Ihr Bewertungsformular mit einer Risikoklassifikation (Wertebereich) verknüpft haben, können Sie diese nicht nachträglich ändern. Dies dient dazu, dass Bewertungen einheitlich und konsistent bleiben und um eine einheitliche, zeitliche Entwicklung darzustellen.
3.1 Formular-Element ohne Unterbewertungsformular (Score-Block) anlegen
- Klicken Sie auf das Plus-Symbol neben der Bezeichnung des Bewertungsformulars im Bereich "Unterkategorie": Es öffnet sich eine Eingabemaske.
- Wählen Sie im Bereich "Element" den Bewertungstyp Score-Block aus und wählen Sie anschließend im Feld "Select" den entsprechenden Risikofaktor aus, der abgefragt werden soll.
- Legen Sie die Position des Formular-Elements fest.
- Vergeben Sie eine Bezeichnung für das Formular-Element. Diese Bezeichnung wird später im Formular als Feldbezeichnung sichtbar.
- Optional können Sie ein eine Beschreibung hinterlegen, diese wird jedoch später nicht im Formular angezeigt.
- Klicken Sie auf Speichern: Das Formular-Element wurde angelegt.
- Wiederholen Sie diese Schritte, um weitere Elemente im Bewertungsformular Ihrer Schutzbedarfsanalyse anzulegen.
3.2 Formular-Element mit Unterbewertungsformular (Score-Block mit Aktion) anlegen
- Klicken Sie auf das Plus-Symbol neben der Bezeichnung des Bewertungsformulars im Bereich "Unterkategorie": Es öffnet sich eine Eingabemaske.
- Wählen Sie im Bereich "Element" den Bewertungstyp Score-Block mit Aktion aus.
- Wählen Sie die Risikokategorie aus.
- Legen Sie die Position des Formular-Elements fest.
- Vergeben Sie eine Bezeichnung für das Formular-Element. Diese Bezeichnung wird später im Formular als Feldbezeichnung sichtbar.
- Optional können Sie eine Beschreibung hinterlegen, diese wird jedoch später nicht im Formular angezeigt.
- Klicken Sie auf Speichern: Das Formular-Element Score-Block mit Aktion wurde angelegt.
- Klicken Sie auf das grüne Plus-Symbol um dem Score-Block mit Aktion Unterelemente hinzuzufügen. Über das Unterelement "Select" gelangen Sie zur Auswahl Ihrer Bewertungsfaktoren, welche Sie dem Score-Block mit Aktion hinzufügen können.
- Klicken Sie auf den grünen Taschenrechner-Symbol um dem Score-Block mit Aktion eine Bewertungsformel für die Bewertungsfaktoren zu hinterlegen (z.B. Maximumprinzip).
Tipp:
Das Formular-Element "Score-Block mit Aktion" kann weitere Elemente, wie z. B. Textarea oder Input Typ Datum enthalten.
3.3 Berechnungsprinzip für das Bewertungsformular festlegen
Bevor Sie Ihre Bewertung durchführen können, muss das Berechnungsprinzip festgelegt werden.
- Klicken Sie auf das grüne Taschenrechner-Symbol neben der Bezeichnung des Bewertungsformulars im Bereich "Unterkategorie": Es öffnet sich eine Eingabemaske in der Sie das Berechnungsprinzip festlegen können.
-
Mögliche Varianten über das Selektionsfeld "Formeln" sind einstellbar:
- Minimumprinzip: Es wird der kleinste Wert der Bewertungsfaktoren als Ergebnis herangezogen.
- Maximumprinzip: Es wird der größte Wert der Bewertungsfaktoren als Ergebnis herangezogen.
- Individuelle Formel: Das Ergebnis wird auf Basis einer individuell zu vergebenden Formel ermittelt. Diese können Sie im unteren Bereich im Formeleditor festlegen.
Hinweis
Die möglichen Ergebnisse sollten sich stets im Wertebereich befinden, den Sie zuvor unter Bewertungsgruppen definiert haben, damit eine Gesamtbewertung und die ausgewählte farbliche Markierung erfolgen kann.
Das Bewertungsformular ist nun im definierten Bereich (Assets, Risiken oder Controls) verfügbar und wird stets automatisch angezeigt, wenn Sie dem Datensatz der jeweiligen Klassifikation eine Bewertung hinzufügen möchten.
Whitepaper Risikoanalyse nach BSI schrittweise in Robin Data ComplianceOS umsetzen
Erfahren Sie im Whitepaper, wie sie eine Risikoanalyse nach Vorgaben des BSI schrittweise in Robin Data ComplianceOS anlegen und diese verwenden um Risiken zu bewerten.
Weitere Fragen? - Wir sind für Sie da.
Bei Fragen zur Software können Sie sich gern an unseren Support wenden. Sie erreichen uns unter support@robin-data.io.