Breadcrumbs

Wie implementiert man das ENS in GlobalSuite® (Dienste, Bewertung, Kategorisierung und Anpassung)?

In diesem Artikel behandeln wir, wie man Dienste und Prozesse identifiziert, Rollen definiert, die Bewertung von Vermögenswerten (CIDAT) durchführt, die Systemkategorisierung erhält, Sicherheitsmaßnahmen und den Anpassungsplan verwaltet und wie man Inventar, Dokumentenmanager, Vorfälle und ScoreCard zur Nachverfolgung des ENS in GlobalSuite® nutzt.

1. Start

1.1. Dienstekatalog

GlobalSuite® ENS ermöglicht es, Dienste oder Produkte der Organisation zu identifizieren, auf die die vom ENS festgelegten Maßnahmen angewendet werden und die in Zukunft bewertet werden. Dies geschieht über die Option „Dienstekatalog“.

Anschließend werden die Abhängigkeiten mit den verschiedenen Bereichen oder Abteilungen der Organisation festgelegt. Um diese Dienstekataloge oder Produkte zu definieren, muss man auf die Schaltfläche klicken und die Informationen zum Unternehmen eingeben.

att_47_for_1392410695.jpeg

1.2. Geschäftsprozesse

GlobalSuite® ENS ermöglicht es der Organisation, die Dienste oder Produkte zu definieren, aus denen das Unternehmen besteht und die in der Option „Dienstekatalog“ registriert wurden. Ausgehend davon kann die Organisation in einer niedrigeren Ebene aufgeschlüsselt werden, in der Prozesse, Bereiche, Abteilungen, Divisionen oder Geschäftsleitungen über die Option „ Prozesse“ aufgenommen werden.

Zur Definition dieser Prozesse greift man auf die Registerkarte „ Prozessliste“ zu und kann durch Klicken auf die Schaltfläche „ Neu“ neue Prozesse erstellen.

Sobald diese Liste von Prozessen/Bereichen abgeschlossen ist, können sie den Diensten gemäß der in der nächsten Transparenz definierten Vorgabe zugeordnet werden.

att_53_for_1392410695.jpeg

Sobald die Prozesse/Bereiche definiert sind, können sie in die im Dienstekatalog erstellten Dienste aufgenommen werden. Dies geschieht über die Option „ Prozessbaum“, wo die Organisationsstruktur in Form eines Baums erstellt wird, indem die erstellten Dienste mit den Prozessen verknüpft werden. Dazu müssen die Prozesse aus der rechten Tabelle in die Hierarchie der linken Tabelle gezogen werden, bis die Abhängigkeiten zwischen den verschiedenen Bereichen der Organisation festgelegt sind.

att_49_for_1392410695.jpeg

1.3. Rollen und Verantwortlichkeiten

In dieser Option können die Rollen erstellt werden, die an der Verwaltung des ENS beteiligt sind. Dazu ermöglicht GlobalSuite® ENS die Konfiguration neuer Profiltypen über das Menü „Rollen konfigurieren“ und anschließend in der neuen Registerkarte die Definition der von der Organisation benötigten Profile über die Schaltfläche „ Neu“.

Danach kann jedem Rolle ein Mitarbeiter als Verantwortlicher zugewiesen oder zugeordnet werden.

image-20251128-143502.png

1.4. Bewertung

Die Option „ Bewertung“ in GlobalSuite® ENS ermöglicht die Bewertung der verschiedenen Vermögenswerte, die zur Kategorie „ Dienste“ und „ Informationen“ gehören. Die Bewertung dieser Vermögenswerte erfolgt anhand von fünf Dimensionen (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Rückverfolgbarkeit), die jeweils fünf verschiedene Stufen haben (Sehr niedrig, Niedrig, Mittel, Hoch, Sehr hoch). Diese Dimensionen und Stufen sind standardmäßig in Einstellungen > Methodologien > Elemente konfiguriert und sollten nicht gelöscht oder bearbeitet werden, um die Funktionalität des Moduls nicht zu beeinträchtigen.

image-20251128-150406.png

Um die Bewertung durchzuführen, muss man die Option „ Bewertung “ aufrufen und jeden Vermögenswert bewerten, indem man die entsprechende Stufe in jeder Dimension auswählt.

Zusätzlich zur Bewertung der vorhandenen Vermögenswerte können über die Schaltfläche „Neu“ Vermögenswerte des Typs Information erstellt und bewertet werden.

Diese Bewertung ist für GlobalSuite® ENS sehr wichtig, da ohne sie die Systemkategorisierung “ nicht bestimmt werden kann.

att_60_for_1392410695.jpeg

1.5. Systemkategorisierung (Abschnitte)

Dies ist eine der wichtigsten Optionen von GlobalSuite® ENS, in der standardmäßig der Höchstwert der zuvor bewerteten Vermögenswerte angezeigt wird. Zusätzlich können die Dimensionen ausgewählt werden, die in dieser Option angezeigt werden sollen. Dazu muss man zu Einstellungen > Methodologien > Elemente gehen und in der Option Sichtbarkeit der Dimensionen in Tabellen auf „Ja/Nein“ in der ENS-Spalte klicken, um anzugeben, ob diese Spalte angezeigt werden soll oder nicht.

image-20251128-150756.png

Sobald die Auswahl getroffen wurde, öffnet sich durch Klicken auf die „ Systemkategorisierung“, die sich in der Option Abschnitte (die in jeder Registerkarte von GlobalSuite® zu finden ist) befindet, ein Fenster mit den erforderlichen Informationen und dem Sicherheitsniveau, das für das Unternehmen gilt.

image-20251128-151104.png

1.6. Sicherheitsmaßnahmen

Die Hauptzielsetzung der Differenzanalyse des ENS besteht darin, die Sicherheitsprinzipien und -anforderungen bei der Nutzung elektronischer Mittel festzulegen, um so den angemessenen Schutz der Informationen zu gewährleisten. Um den Nationalen Sicherheitsrahmen zu erfüllen, müssen alle für das Unternehmen geltenden Handlungsbereiche eingehalten werden. Es ist zu beachten, dass es derzeit zwei Versionen der Differenzanalyse des ENS gibt: die Version von 2015 und die neue Version von 2022.

GlobalSuite® ermöglicht es, Kopien zu erstellen und historische Daten der verschiedenen Analysen über die Schaltfläche Kopieren und Aktivieren/Deaktivieren zu speichern. Die grün hervorgehobenen Einträge sind aktiv, während diejenigen mit weißem Hintergrund inaktive Versionen sind. Um alle Versionen anzuzeigen, muss die Schaltfläche Anzeigen gedrückt werden.

image-20251128-151038.png

Für die Sicherheitsmaßnahmen muss zunächst die Systemkategorisierung konfiguriert sein, und dazu müssen die Dienste und Elemente des Typs Information zuvor in der Registerkarte Bewertung bewertet worden sein. Sobald dies geschehen ist, erscheinen die verschiedenen Abschnitte in Farben, je nachdem, ob ihre Bewertung niedrig, mittel oder hoch war. Und je nach Grad dieser Bewertung wird angezeigt, ob sie unter Berücksichtigung der Bewertung der zuvor genannten Elemente anwendbar sind oder nicht.

image-20251128-151131.png

Die Sektion "Aktionssuche“ (zum Ausklappen klicken) kann verwendet werden, um Anforderungen oder Sicherheitsmaßnahmen (farblose Zeilen) innerhalb der Kontrollen zu suchen, da die Spaltenfilter nur Kontrollen filtern können, die farbige Zeilen sind.

att_50_for_1392410695.jpeg

Innerhalb der Anforderungen oder Sicherheitsmaßnahmen kann in der Spalte Grad die Anwendbarkeit dieser (farblose Zeilen) bearbeitet werden, jedoch nicht der ENS-Kontrollen (farbige Zeilen), die durch das Niveau der Systemkategorisierung vorgegeben sind. Der Erfüllungsstatus jeder Maßnahme muss in der Spalte Aktueller Status angegeben werden.

att_55_for_1392410695.jpeg

1.7. Anpassungsplan

Der Anpassungsplan des ENS dient dazu, die ENS-Kontrollen zu identifizieren, die für das Unternehmen gelten und deren Sicherheitsmaßnahmen nicht zu 100 % umgesetzt sind. Dazu werden diese umgesetzt, die Aktionssuche verwendet und auch die Spaltenfilter genutzt.

att_64_for_1392410695.jpeg

Für Anforderungen, die in der Organisation nicht umgesetzt wurden, ermöglicht GlobalSuite® die Festlegung von Maßnahmen, um deren Erfüllung zu erreichen, und die Nachverfolgung dieser Maßnahmen über das Menü „ Nachverfolgung“.

att_62_for_1392410695.jpeg

Zusätzlich dazu können „ Historien“ des Anpassungsplans erstellt werden, um die Änderungen zwischen zwei Daten zu sehen. Diese Historien sind nur lesbar, das heißt, die darin enthaltenen Informationen können nicht geändert werden.

Dazu wird die Schaltfläche „Neu“ gedrückt, und die neue Historie wird mit den aktuellen Informationen gespeichert.

att_44_for_1392410695.jpeg

2. Analyse

2.1. Inventar

Im Inventar befinden sich alle Vermögenswerte der Organisation, die gemäß der bestehenden Hierarchie dem Elementbaum hinzugefügt werden können. Diese Option ist sehr wichtig, da hier unter anderem die Vermögenswerte des Typs „ Informationen“ hinzugefügt werden. Alle Informationsvermögenswerte, die sich im Inventar befinden, können bewertet werden, um später kategorisiert zu werden.

Zusätzlich dazu kann angegeben werden, welche Anwendungen, Server oder Infrastrukturen diese Vermögenswerte unterstützen, und diese können ebenfalls bewertet werden, auch wenn diese Bewertung nicht kategorisiert wird. Für weitere Informationen kann die Schnellstartanleitung „ Elementinventar“ konsultiert werden.

att_61_for_1392410695.jpeg

2.2. Risikoanalyse

GlobalSuite® ENS ermöglicht die Durchführung einer vollständigen Risikoanalyse über das Menü Risikoanalyse. In dieser Analyse können die verschiedenen Vermögenswerte des Unternehmens analysiert werden, alle Vermögenswerte, die im Inventar erscheinen, können analysiert werden.

Um dies durchzuführen, müssen mehrere Schritte befolgt werden, die in der Schnellstartanleitung „ Risikoanalyse“ detailliert beschrieben sind.

att_45_for_1392410695.jpeg

2.3. Risikobewertung

Im Menü „ Risikobewertung“ kann eine Zusammenfassung der Ergebnisse der Risikoanalyse eingesehen werden. Mit verschiedenen Diagrammen, die die Ergebnisse visuell darstellen und die Möglichkeit bieten, diese Diagramme herunterzuladen, um sie in verschiedene Dokumente einzufügen.

att_56_for_1392410695.jpeg

2.3. Risikobewertung (Risikokarte)

GlobalSuite® bietet die Möglichkeit, die Risikoanalyse unter anderem durch die Darstellung einer „Heatmap“ anzuzeigen. Alle diese Daten können über die Schaltfläche „Download“, die sich über der Karte befindet, exportiert werden.

att_42_for_1392410695.jpeg

Für weitere Informationen zur Risikobewertung kann die Schnellstartanleitung „ Risikobewertung “ konsultiert werden.

2.4. Risikomanagement

Nach der Bewertung der Bedrohungen ist es notwendig, die verschiedenen Kontrollen festzulegen, die es ermöglichen, die erkannten Risiken zu mindern, die über dem definierten Akzeptablen Risikoniveau (Risikobereitschaft) liegen, was den Behandlungsplan bildet.

att_65_for_1392410695.jpeg

Für den Behandlungsplan können neue Kontrollen über die Schaltfläche „ Neu“ vorgeschlagen, die bereits implementierten Kontrollen über die Option „ Implementierte Kontrollen einfügen“ hinzugefügt oder neue vorgeschlagene Kontrollen gemäß der Konfiguration des definierten Risikokatalogs über die Auswahl der Registerkarte „Vorgeschlagene Kontrollen“ eingefügt werden.

att_57_for_1392410695.jpeg

Für weitere Informationen zum Risikomanagement konsultieren Sie die Schnellstartanleitung „Risikomanagement“.

3. Dokumentenmanager

Dieser Dokumentenmanager ermöglicht sowohl die Bereitstellung eines gemeinsamen und einzigartigen Repositories zur Konzentration aller Dokumentationen des Managementsystems der Organisation als auch die Genehmigung der Dokumente über konfigurierbare Genehmigungsworkflows (Workflows).

att_51_for_1392410695.jpeg

Beim Zugriff auf die Option wird der gesamte Ordner- und Dokumentenbaum angezeigt, der den Dokumentenmanager der Organisation darstellt.

Im oberen Bereich befinden sich mehrere Schaltflächen wie die folgenden:

  • Optionen für den Manager: Neuer Ordner und Verschieben der Ordner des Dokumentenmanagers.

  • Im Menü Download befinden sich die Optionen für: „Ordner“, um den ausgewählten Ordner herunterzuladen, „CSV-Bericht“, um den Bericht im CSV-Format herunterzuladen, der mit Excel oder einem ähnlichen Editor geöffnet werden kann.

att_46_for_1392410695.jpeg

3. Dokumentenmanager

Außerdem werden, wenn eines der Elemente des Dokumentenmanagers markiert oder ausgewählt wird, auch die spezifischen Optionen aktiviert, die unten zu sehen sind:

  • Hochladen ermöglicht das Anhängen einer neuen Datei (vorheriges Auswählen des Workflows, falls vorhanden).

  • Löschen, um eines der Elemente des Managers zu löschen.

  • Details, um in die Details eines Eintrags zu gelangen und innerhalb dessen die verschiedenen Versionen zu konsultieren oder zu bearbeiten.

  • Dokument online anzeigen . Um es in der Vorschau anzuzeigen, müssen es PDF-, JPEG-, JPG-, BMP- oder PNG-Dateien sein.

att_43_for_1392410695.jpeg

Für weitere Informationen zu diesen Optionen des Dokumentenmanagers konsultieren Sie bitte die Schnellstartanleitung „ Dokumentenmanager“.

4. Vorfälle

GlobalSuite® verfügt über einen Managementbereich, in dem Vorfälle, Nichtkonformitäten, Änderungen und Lieferungen, Korrekturen und Präventivmaßnahmen verwaltet werden. Alle diese Optionen gehören zum Ticketing, daher ist ihre Funktionsweise gleich, können jedoch für unterschiedliche Zwecke verwendet werden. Zum Beispiel, wenn ein Vorfall auftritt, kann ein neues Ticket geöffnet werden, indem Sie auf die Schaltfläche „ Neu“ klicken und das Formular ausfüllen. Sobald dies erledigt ist, werden die Informationen auf dem Bildschirm angezeigt:

att_58_for_1392410695.jpeg

Sowohl die Informationen, die auf Tabellenebene angezeigt werden, als auch die Informationen, die im Formular jedes Tickets enthalten sind, sind vollständig anpassbar. Sogar der Name der Tickets kann geändert werden. All dies würde im Bereich Einstellungen > Konfiguration > Tickets . erfolgen.

att_52_for_1392410695.jpeg

Für weitere Informationen zu diesen Managementoptionen konsultieren Sie bitte die Schnellstartanleitung „ Wie konfiguriert man Tickets in GlobalSuite®? .

5. ScoreCard

5.1. Metriken

GlobalSuite® ermöglicht die Festlegung von Metriken, die verschiedene Daten im Tool erfassen. Die Daten jeder Metrik werden je nach Datum und Wert dargestellt. In der nächsten Phase werden durch die Kombination der Metriken die Indikatoren festgelegt.

att_63_for_1392410695.jpeg

Für weitere Informationen zu den Indikatoren konsultieren Sie bitte die Schnellstartanleitung „ Wie erstellt und verwaltet man Indikatoren und Metriken im ScoreCard von GlobalSuite®?

5.2. Indikatoren

Aus der Kombination der zuvor festgelegten Metriken werden die Indikatoren erstellt. Dazu muss die Beziehung zwischen ihnen durch eine Formel festgelegt werden. Um die in den Metriken eingegebenen Daten verwenden zu können, müssen die Indikatoren die gleiche Erfassungsfrequenz haben. Diese Indikatoren können für die Berichtserstellung (Abschnitte/Berichte) verwendet werden.

att_59_for_1392410695.jpeg

Für weitere Informationen zu den Indikatoren konsultieren Sie bitte die Schnellstartanleitung „ Wie erstellt und verwaltet man Indikatoren und Metriken im ScoreCard von GlobalSuite®?