Handbuch Trans4mation Informationssicherheits‐ und Datenschutz‐ Managementsystems

Einleitung

Das ISMS-Tool unterstützt Sie bei der Umsetzung und Dokumentation von Informationssicherheits- und Datenschutzanforderungen. Es dient als zentrale Plattform für die Verwaltung, Nachverfolgbarkeit und kontinuierliche Verbesserung aller relevanten Prozesse. Ein besonderer Fokus liegt auch auf der Integration von Datenschutz-Folgenabschätzungen (DSFA) und der Einhaltung gesetzlicher Vorgaben.

Funktionsbereiche & Listen

• Grunddaten & Stammdaten
  
  
  • Unternehmen/Scope:
    
    Diese Liste dokumentiert die wichtigsten Informationen zu Unternehmen, deren Standorte, Geltungsbereiche und organisatorische Zuständigkeiten.
    
    Felder:
    • Unternehmensname: Name des Unternehmens
    • Region / Standorte: Geografische Regionen oder Standorte, an denen das Unternehmen tätig ist
    • Geltungsbereich / Scope: Beschreibung des organisatorischen oder thematischen Geltungsbereichs
    • Verantwortliche Org.-Einheit: Die Organisationseinheit, die für das Unternehmen oder den Scope verantwortlich ist
    • Status: Aktueller Status (z. B. Aktiv, In Prüfung, Inaktiv)
    • Geändert: Datum der letzten Änderung
      
      
  • Organisationseinheiten:
    
    Diese Liste dokumentiert die zentralen Organisationseinheiten des Unternehmens.
    
    Felder:
    • Title: Bezeichnung der Organisationseinheit
      
      
  • Lieferanten- und Partnermanagement
    
    Diese Liste dokumentiert die wichtigsten Informationen zu Dienstleistern, Lieferanten und Partnern des Unternehmens.
    
    Felder:
    • Name des Dienstleisters: Offizieller Name des Lieferanten oder Partners
    • Beschreibung: Kurze Beschreibung der angebotenen Dienstleistungen oder Produkte
    • Anschrift: Adresse des Dienstleisters
    • Ansprechpartner: Zuständige Kontaktperson
    • Sitz in einem Drittland?: Gibt an, ob der Dienstleister außerhalb des EWR sitzt (JA/Nein)
    • Verfügbarkeit: Beeinflusst der Lieferant die Verfügbarkeit von IT-Kernprozessen? (Ja/Nein/?)
    • Integrität: Beeinflusst der Lieferant die Integrität der Informationen? (Ja/Nein/?)
    • Vertraulichkeit: Verarbeitung oder Zugriff auf vertrauliche Informationen? (Ja/Nein/?)
    • Streng Vertraulich: Verarbeitung oder Zugriff auf streng vertrauliche Informationen? (JA/Nein/?)
    • Personenbezogene Daten: Verarbeitung personenbezogener Daten? (Ja/Nein/?)
    • Risikoeinstufung: Risikoklassifizierung des Lieferanten (gering, mittel, hoch, kritisch)
    • letzte Prüfung?: Datum der letzten Überprüfung
    • Vertrag vorhanden: Gibt an, ob ein Vertrag vorliegt (Ja/Nein)
    • AVV vorhanden: Gibt an, ob ein Auftragsverarbeitungsvertrag (AVV) vorliegt (Ja/Nein/in Bearbeitung/nicht nötig)
    • ISO 9001 gültig bis: Gültigkeit einer ISO 9001-Zertifizierung
    • ISO 27001 gültig bis: Gültigkeit einer ISO 27001-Zertifizierung
    • Aktiver Lieferant, Auftragnehmer?: Gibt an, ob der Lieferant aktuell aktiv ist (Ja/Nein)
      
      
  • Asset-Register
    
    Diese Liste dokumentiert alle wesentlichen Assets des Unternehmens, wie IT-Systeme, Anwendungen, ausgelagerte Dienstleistungen und Standorte.
    
    Felder:
    • Name des Assets: Offizieller Name des Assets
    • Standorte, Speicherort: Geografischer Standort oder Speicherort (z. B. Deutschland, Europa, Drittland)
    • Kategorie/Typ: Art des Assets (z. B. Anwendung, IT-System, Standort, ausgelagerte Dienstleistung)
    • Abhängigkeiten: Abhängigkeiten zu anderen Systemen oder Dienstleistungen
    • Dienstleister, Lieferant: Zugehöriger Dienstleister oder Lieferant
    • Anzahl Lizenzen, Systemen: Anzahl der Lizenzen oder Systeme
    • Bezeichnung oder Name der Verarbeitung: Beschreibung der Verarbeitung oder des Einsatzzwecks
    • Verarbeitete personenbezogene Daten, Kundendaten: Welche personenbezogenen Daten verarbeitet werden (z. B. Namen, E-Mail-Adressen, IP-Adressen)
    • Datenspeicherort, Hostnamen: Technischer Speicherort oder Hostname
    • Datenaufbewahrung, Speicherdauer: Dauer der Speicherung der Daten
    • Weitere Informationen, Links: Zusätzliche Informationen oder weiterführende Links
      
      
  • Schäden
    
    Diese Liste dokumentiert typische Schadensarten, die im Kontext von Datenschutz, Informationssicherheit und Compliance auftreten können.
    
    Felder:
    • Titel: Name der Schadensarten
      
      
  • Schwachstellen
    
    Diese Liste dokumentiert typische Schwachstellen im Kontext von Datenschutz, Informationssicherheit und Compliance.
    
    Felder:
    • Schwachstelle
    • Beschreibung
      
      
  • Schutzbedarfskategorien
    
    Diese Liste dokumentiert die Schutzbedarfskategorien für Informationen, IT-Systeme und Prozesse. Die Einteilung in Schutzbedarfskategorien ist Grundlage für die Bewertung von Risiken und die Ableitung angemessener technischer und organisatorischer Maßnahmen.
    
    Felder:
    • Schutzbedarf: Die Schutzbedarfskategorie (z. B. Normal, Hoch, Sehr hoch), die das erforderliche Schutzniveau für Informationen, IT-Systeme oder Prozesse angibt.
    • Gesetze/Vorschriften/Verträge: Auswirkungen auf die Einhaltung von Gesetzen, Vorschriften oder Verträgen im Schadensfall (z. B. Vertragsverletzungen, Gesetzesverstöße)
    • Selbstbestimmungsrecht: Beeinträchtigung des informationellen Selbstbestimmungsrechts der betroffenen Personen (z. B. Missbrauch personenbezogener Daten).
    • Persönliche Unversehrtheit: Mögliche Auswirkungen auf die körperliche oder psychische Unversehrtheit der Betroffenen (z. B. Gefahr für Leib und Leben).
    • Aufgabenerfüllung: Auswirkungen auf die Fähigkeit, Aufgaben und Geschäftsprozesse ordnungsgemäß zu erfüllen (z. B. Ausfallzeiten, Prozessunterbrechungen).
    • Innen-/Außenwirkung: Einfluss auf das Ansehen und das Vertrauen innerhalb und außerhalb der Organisation (z. B. Imageschäden, Vertrauensverlust).
    • Finanzielle Auswirkungen: Mögliche finanzielle Schäden für die Organisation (z. B. tolerabel, beachtlich, existenzbedrohend).

• Verfahren, Prozesse
  
  Die Liste dokumentiert alle relevanten Verfahren und Prozesse im Unternehmen. Für jedes Verfahren werden die zugehörigen IT-Assets, verantwortliche Personen, Schutzbedarfe (Vertraulichkeit, Integrität, Verfügbarkeit) sowie der Bedarf einer Risikoanalyse festgehalten. Die Liste dient als zentrale Übersicht für IT- und Datenschutzmanagement, unterstützt die Einhaltung von Compliance-Anforderungen und erleichtert die strukturierte Bewertung und Verwaltung der Unternehmensprozesse.
  
  Felder:
  • Verfahren, Prozess: Name oder Bezeichnung des jeweiligen Verfahrens oder Prozesses.
    Assets, Speicherorte: Zugeordnete IT-Systeme, Anwendungen oder Speicherorte, die im Rahmen des Prozesses genutzt werden.
  • Risikoeigentümer, App Owner: Verantwortliche Person oder Organisationseinheit für das Risiko- und Prozessmanagement (z. B. Head of Managed Services).
  • Schutzbedarf Vertraulichkeit: Eingestufter Schutzbedarf hinsichtlich der Vertraulichkeit der verarbeiteten Informationen (z. B. Normal, Hoch).
  • Schutzbedarf Integrität: Eingestufter Schutzbedarf hinsichtlich der Integrität der verarbeiteten Informationen (z. B. Normal, Hoch).
  • Schutzbedarf Verfügbarkeit: Eingestufter Schutzbedarf hinsichtlich der Verfügbarkeit der verarbeiteten Informationen (z. B. Normal, Hoch).
  • Risikoanalyse notwendig?: Gibt an, ob für das Verfahren/den Prozess eine Risikoanalyse erforderlich ist (Wahr/Falsch).

• Risikomanagement
  
  
  • Risiko-Register
    
    Die Liste ermöglicht eine strukturierte Risikoanalyse und -dokumentation im Unternehmen. Sie helfen, Risiken systematisch zu identifizieren, zu bewerten, zu behandeln und den Fortschritt transparent nachzuhalten
    
    Felder:
    • Prozess, Verfahren: Name oder Bezeichnung des jeweiligen Prozesses oder Verfahrens, für das das Risiko bewertet wird.
    • Bedrohungsquelle: Ursprung oder Auslöser des Risikos (z. B. Administratoren, externe Angreifer, Systemfehler).
    • Gewährleistungsziele: Schutzziel, das durch das Risiko betroffen ist (z. B. Verfügbarkeit, Vertraulichkeit, Integrität).
    • Schwachstelle: Schwachstelle oder Angriffsfläche, die das Risiko begünstigt (z. B. Ressourcenmangel, Löschung, Systemfehler).
    • Risiko-Szenario: Beschreibung des konkreten Szenarios, wie das Risiko eintreten könnte.
    • Eintrittswahrscheinlichkeit: Bewertung, wie wahrscheinlich das Risiko eintritt (Skala z. B. 1 = niedrig, 4 = hoch).
    • Auswirkungsgrad: Bewertung der Schadenshöhe, falls das Risiko eintritt (Skala z. B. 1 = gering, 4 = hoch).
    • Risiko (Ausgangsrisiko): Gesamtrisikobewertung vor Maßnahmen (Summe aus Eintrittswahrscheinlichkeit und Auswirkungsgrad).
    • Risikobehandlung vor TOMs: Geplante Strategie zur Behandlung des Risikos vor technischen/organisatorischen Maßnahmen (TOMs).
    • Maßnahmen: Vorgeschlagene oder umgesetzte Maßnahmen zur Risikominderung.
    • Eintrittswahrscheinlichkeit mit TOMs: Bewertung der Eintrittswahrscheinlichkeit nach Umsetzung der Maßnahmen.
    • Auswirkungsgrad mit TOMs: Bewertung der Schadenshöhe nach Umsetzung der Maßnahmen.
    • Risiko mit TOMs (Zielrisiko): Gesamtrisikobewertung nach Umsetzung der Maßnahmen (Zielrisiko).
    • Risikobehandlung nach TOMs: Strategie zur Behandlung des Restrisikos nach Maßnahmen.
    • Status: Aktueller Status der Risikobewertung (z. B. offen, in Bearbeitung, geschlossen).
      
      
  • Unterpunkte zum Risiko-Register
    
    
    • Bewertung der Eintrittswahrscheinlichkeit
      
      Diese Liste dient der systematischen Bewertung, wie wahrscheinlich das Eintreten eines bestimmten Risikos ist. Sie unterstützen die nachvollziehbare und vergleichbare Einschätzung im Rahmen von Risikoanalysen.
      
      Felder:
      • Grad: Numerische Einstufung der Eintrittswahrscheinlichkeit (z. B. 1 = niedrig, 4 = sehr hoch).
      • Bezeichnung des Grads: Verbale Beschreibung des Wahrscheinlichkeitsgrads (z. B. Niedrig, Mittel, Hoch, Sehr hoch).
      • Eintritt: Erläuterung, wie häufig das Ereignis typischerweise eintritt (z. B. selten, gelegentlich, wahrscheinlich, fast sicher).
        
        
        
    • Bewertung Schwere/Schaden
      
      Diese Liste ermöglicht eine differenzierte Bewertung der Schwere eines Schadens in verschiedenen Dimensionen (finanziell, rechtlich, operativ, reputativ). Sie unterstützen die nachvollziehbare und vergleichbare Einschätzung im Rahmen von Risikoanalysen und Schadensbewertungen.
      
      Felder:
      • Grad: Numerische Einstufung der Schwere des Schadens (z. B. 1 = niedrig, 4 = sehr hoch).
      • Bezeichnung des Grads: Verbale Beschreibung des Schweregrads (z. B. Niedrig, Mittel, Hoch, Sehr hoch).
      • Beschreibung: Allgemeine Erläuterung, wie sich ein Schaden dieses Grades auswirkt (z. B. „geringe, kaum spürbare Auswirkung“).
      • finanzielle Auswirkungen: Beschreibung des möglichen finanziellen Schadens (z. B. unter 10.000 €, über 500.000 €).
      • Verstoß gegen Gesetze, Vorschriften oder Verträge: Mögliche juristische Konsequenzen oder Vertragsstrafen bei Eintritt des Schadens.
      • Beeinträchtigung der Aufgabenerfüllung: Auswirkungen auf die Abläufe und Prozesse im Unternehmen (z. B. maximale Ausfallzeit, Grad der Beeinträchtigung).
      • negative Innen- und Außenwirkung: Mögliche Auswirkungen auf das Ansehen und das Vertrauen bei Kunden und Geschäftspartnern.
        
        
        
    • Bewertung Risikokategorien
      
      Diese Liste dient der systematischen Einordnung und Bewertung von Risiken im Unternehmen. Sie helfen, Risiken nachvollziehbar zu klassifizieren und die Angemessenheit bestehender Sicherheitsmaßnahmen zu beurteilen.
      
      Felder:
      • Risikokategorien: Einstufung des Risikos (z. B. Niedrig, Mittel, Hoch, Sehr hoch).
      • Beschreibung: Erläuterung, was die jeweilige Risikokategorie bedeutet und wie sie im Kontext der vorhandenen Sicherheitsmaßnahmen zu bewerten ist.
        
        
        
    • Risikoquellen
      
      Diese Inhalte helfen, verschiedene Risikoquellen systematisch zu erfassen und mit anschaulichen Beispielen zu versehen. Sie unterstützen die Risikoidentifikation und -bewertung im Rahmen von Risikoanalysen und Sicherheitskonzepten.
      
      Felder:
      • Titel: Bezeichnung der jeweiligen Risikoquelle, also die Art des Ursprungs eines Risikos (z. B. IT-Fehlfunktion, Externe Angriffe, Cloud-Anbieter, Mitarbeiter, etc.).
      • Beispiele: Konkrete Beispiele oder typische Szenarien, wie sich diese Risikoquelle im Unternehmenskontext manifestieren kann (z. B. Server-Ausfall, Malware, Datenverlust, Social Engineering, Naturkatastrophen).
        
        
        
    • Risikostrategie-Optionen
      
      Diese Liste hilft, die verschiedenen Möglichkeiten im Umgang mit identifizierten Risiken systematisch zu dokumentieren und zu erklären. Sie unterstützen die Auswahl und Begründung der passenden Risikostrategie im Rahmen des Risikomanagements.
      
      Felder:
      • Titel: Bezeichnung der jeweiligen Risikostrategie-Option (z. B. Risikoakzeptanz/Risikoübernahme, Risikotransfer, Risikovermeidung, Risikoreduktion).
      • Beschreibung: Ausführliche Erläuterung, wie die jeweilige Strategieoption funktioniert, wann sie angewendet wird und welche Besonderheiten zu beachten sind.
        
        
        
    • Gewährleistungsziel Risikomanagement
      
      Diese Liste hilft, die grundlegenden Schutzziele im Risikomanagement systematisch zu dokumentieren und zu erklären. Sie unterstützen die Ableitung von Maßnahmen zur Sicherstellung von Integrität, Vertraulichkeit und Verfügbarkeit von Daten und Prozessen.
      
      Felder:
      • Titel: Bezeichnung des jeweiligen Gewährleistungsziels im Risikomanagement (z. B. Integrität, Vertraulichkeit, Verfügbarkeit).
      • Beschreibung: Ausführliche Erläuterung, was das jeweilige Ziel bedeutet und wie es im Kontext von Datenschutz und Informationssicherheit zu verstehen ist.
        
        
        
    • Gewährleistungsziel Zielerfüllungsmanagement
      
      Diese Liste hilft, die erweiterten Gewährleistungsziele im Zielerfüllungsmanagement systematisch zu dokumentieren und zu erklären. Sie unterstützen die Ableitung von Maßnahmen zur Sicherstellung von Transparenz, Intervenierbarkeit, Nichtverkettung, Datenminimierung und Belastbarkeit in Prozessen und Systemen.
      
      Felder:
      • Titel: Bezeichnung des jeweiligen Gewährleistungsziels im Zielerfüllungsmanagement (z. B. Transparenz, Intervenierbarkeit, Nichtverkettung, Datenminimierung, Belastbarkeit).
      • Beschreibung: Ausführliche Erläuterung, was das jeweilige Ziel bedeutet und wie es im Kontext von Datenschutz, Betroffenenrechten und Prozessgestaltung zu verstehen ist.
        
        

• Maßnahmen und Verbesserungen
  
  
  • Maßnahmen
    
    Diese Inhalte dienen der strukturierten Dokumentation von Maßnahmen zur Informationssicherheit nach ISO 27001. Sie unterstützen die Zuordnung, Nachverfolgung und Umsetzung von Sicherheitsmaßnahmen in den jeweiligen Themenbereichen.
    
    Felder:
    • ID: Eindeutige Kennung der Maßnahme.
    • Maßnahmen laut ISO27001: Bezeichnung der jeweiligen Maßnahme entsprechend der ISO 27001 (z. B. „5.1 Informationssicherheitspolitik und -richtlinien“).
    • Themenbereich: Übergeordnete Kategorie der Maßnahme, z. B. „Organisatorische Maßnahmen“
      
      
      
  • Korrekturmaßnahmen, Verbesserungen, Risikobehandlungsplan
    
    Diese Inhalte ermöglichen eine strukturierte Dokumentation und Nachverfolgung von Korrekturmaßnahmen, Verbesserungen und Risikobehandlungsplänen im Rahmen von Audits, internen Kontrollen und kontinuierlicher Verbesserung. Sie unterstützen die Transparenz und Nachvollziehbarkeit im Maßnahmenmanagement.
    
    Felder:
    • Quelle der Meldung: Wer oder was hat die Feststellung gemeldet? (z. B. Ersteinrichtung, Mitarbeiter, Internes Audit).
    • Betroffenes Verfahren, Prozess: Das Verfahren oder der Prozess, auf den sich die Feststellung bezieht.
    • Betroffene Maßnahme: Die konkrete Maßnahme, die betroffen ist oder angepasst werden soll.
    • Art: Art der Feststellung (z. B. Abweichungen, Nebenabweichungen, Verbesserungspotenzial, Positive Aspekte).
    • Feststellungen, Auditergebnisse (Detail): Detaillierte Beschreibung der Feststellung oder des Auditergebnisses.
    • Festgelegte Prio seitens GF: Priorisierung der Maßnahme durch die Geschäftsführung (z. B. Niedrig, Mittel, Hoch).
    • Abstell-/Sofortmaßnahme: Kurzfristig umgesetzte Maßnahme zur Behebung der Feststellung.
    • Korrekturmaßnahme: Geplante oder umgesetzte Korrekturmaßnahme zur nachhaltigen Behebung der Feststellung.
    • Fälligkeitsdatum: Termin, bis zu dem die Maßnahme umgesetzt sein soll.
    • Wirksamkeit: Bewertung, ob die Maßnahme wirksam oder nicht wirksam ist.
    • Status: Aktueller Status der Maßnahme (z. B. In Bearbeitung, Planung; Abgeschlossen; Offen; Verschoben).

• Audits & Managementbewertung
  
  
  • High Level Structure, Auditplanung
    
    Diese Liste dienen der strukturierten Auditplanung und Fortschrittskontrolle im Rahmen der High Level Structure (HLS) für Managementsysteme, z. B. nach ISO 27001. Sie ermöglichen eine übersichtliche Nachverfolgung des Status und der zeitlichen Planung für einzelne Kapitel und Unterpunkte.
    
    Felder:
    • Kapitel-Unterpunkte: Bezeichnung des jeweiligen Kapitels oder Unterpunkts der High Level Structure (z. B. „4.1 Verstehen der Organisation und ihres Kontextes“).
    • Status: Aktueller Bearbeitungsstand des Kapitels/Unterpunkts (z. B. „In Überarbeitung“, „Erfüllt“, „Offen“).
    • 2025 (bis): Geplantes oder tatsächliches Abschlussdatum für das Jahr 2025 (optional, kann leer sein).
    • 2026 (bis): Geplantes oder tatsächliches Abschlussdatum für das Jahr 2026 (optional, kann leer sein).
    • 2027 (bis): Geplantes oder tatsächliches Abschlussdatum für das Jahr 2027 (optional, kann leer sein)
    • Folgejahre
      
      
  • Anhang A, Auditplanung
    
    Diese Liste dienen der strukturierten Planung, Umsetzung und Nachverfolgung von Maßnahmen im Rahmen der Auditplanung nach ISO 27001. Sie ermöglichen eine übersichtliche Dokumentation des Status, der Anwendbarkeit und der Nachweise für jede einzelne Maßnahme sowie eine zeitliche Planung.
    
    Felder:
    • Maßnahmenkennung: Eindeutige Kennung oder Nummer der Maßnahme, meist entsprechend der ISO 27001-Nummerierung (z. B. 5.1, 6.2).
    • Maßnahmenname: Bezeichnung der jeweiligen Maßnahme (z. B. „Informationssicherheitspolitik und -richtlinien“).
    • Applicability/Anwendbarkeit: Gibt an, ob die Maßnahme für das Unternehmen relevant/anwendbar ist (z. B. „Wahr“ für zutreffend).
    • Umsetzung/Status: Aktueller Umsetzungsstand der Maßnahme (z. B. „Geplant“, „Implementiert“, „Teilweise implementiert“, „Nicht umgesetzt“).
    • Nachweis(e): Links oder Referenzen zu Belegen, wie die Maßnahme umgesetzt ist (z. B. Richtliniendokumente, Prozessbeschreibungen).
    • 2025 (bis): Geplantes oder tatsächliches Abschlussdatum für das Jahr 2025 (optional, kann leer sein).
    • 2026 (bis): Geplantes oder tatsächliches Abschlussdatum für das Jahr 2026 (optional, kann leer sein).
    • 2027 (bis): Geplantes oder tatsächliches Abschlussdatum für das Jahr 2027 (optional, kann leer sein).
    • Folgejahre
      
      
  • Bewertung der KPIs
    
    Diese Liste ermöglichen eine strukturierte Bewertung und Nachverfolgung von KPIs im Unternehmen. Sie helfen, Zielerreichung, Abweichungen und Trends transparent zu dokumentieren und zu analysieren.
    
    Felder:
    • KPI: Name des Key Performance Indicators (z. B. „Microsoft Compliance-Bewertung“).
    • Jahr: Das Jahr, für das der KPI bewertet wird.
    • SOLL Wert: Zielwert (Soll) für den KPI, meist als Prozentangabe.
    • IST Wert: Tatsächlich erreichter Wert (Ist) für den KPI, meist als Prozentangabe.
    • Differenz: Abweichung zwischen Soll- und Ist-Wert (z. B. „-10 %“).
    • Trend: Entwicklung des KPIs im Vergleich zum Vorjahr oder Ziel (z. B. „Stabil“, „Positiv“, „Negativ“).
    • Link: Optionaler Link zu weiterführenden Informationen oder Nachweisen zum KPI.

• Sicherheitsvorfall-Liste
  
  Die Sicherheitsvorfall-Liste dient der strukturierten Erfassung, Bewertung und Nachverfolgung von Sicherheitsvorfällen im Unternehmen. Sie unterstützt das ISMS bei der Analyse, Behandlung und kontinuierlichen Verbesserung der Informationssicherheit.
  
  Felder:
  • Titel/Kurzbeschreibung: Kurze, prägnante Beschreibung des Vorfalls.
  • Datum/Uhrzeit: Zeitpunkt der Entdeckung oder Meldung des Vorfalls.
  • Betroffene Verfahren, Prozesse: Angabe, welche Verfahren oder Prozesse vom Vorfall betroffen sind.
  • Verknüpfte Maßnahme: Referenz auf Maßnahmen, die im Zusammenhang mit dem Vorfall stehen.
  • Risikoquelle: Ursprung oder Auslöser des Vorfalls (z. B. interne/externe Quelle, Schwachstelle).
  • Klassifizierung: Schweregrad des Vorfalls (z. B. Kritisch, Hoch, Normal, Niedrig).
  • Detailbeschreibung: Ausführliche Beschreibung des Vorfalls und seines Umfangs.
  • Auswirkung: Kurzbeschreibung der Konsequenzen (z. B. Systemausfall, Datenintegrität betroffen/nicht betroffen).
  • Ursache: Beschreibung der Grundursache, ggf. Verweis auf Schwachstelle.
  • Zugewiesen an: Person oder Gruppe, die für die Bearbeitung des Vorfalls verantwortlich ist.
  • Meldung an Behörden: Wurde der Vorfall an Behörden gemeldet? (Ja/Nein)
  • Lessons Learned: Erkenntnisse aus dem Vorfall, die ins ISMS zurückfließen sollen.
  • Status: Aktueller Bearbeitungsstatus (z. B. In Bearbeitung, Erledigt, Blockiert, Warten auf Rückmeldung, Nicht behebbar, Duplizieren).

Dokumentenmanagement

• Zentrale Ablage für alle relevanten Dokumente (DSFA, Richtlinien, Nachweise).
• Versionierung und Änderungsverfolgung für maximale Transparenz.

Datenpflege & Löschung

• Datenerfassung: Neue Einträge über „+ Neues Element hinzufügen“.
• Datenänderung: Bearbeitung bestehender Einträge mit Protokollierung.
• Löschung: Gelöschte Einträge landen zunächst im Papierkorb (Wiederherstellung möglich).

Kontinuierliche Verbesserung

• Regelmäßige Überprüfung und Anpassung der Prozesse.
• Einbindung von Erkenntnissen aus Audits, Vorfällen und Nutzerfeedback.
• Ziel: Stetige Optimierung des ISMS und Anpassung an neue Anforderungen.