#103.1
Stand: 20200318 20200317
> Übergreifende Funktionen (gelten für alle Module)
> Datenschutz
> IT-Grundschutz
> ISO 27001 + VDA ISA + TISAX
> B3S Gesundheitsversorgung im Krankenhaus (“B3S Krankenhaus”)
> ISO 14001
> ISO 9001
Übergreifende Funktionen. (Diese Funktionen gelten für alle Module)
- Mandantenfähigkeit (verwalten von bis zu 999 Mandanten)
- Zugriff über Username und Usergruppe (named user Lizenzmodell; bis zu 999) (Preise)
- optionale userbezogene Mandantensicht (der User sieht/bearbeitet nur ihm zugeordneten Mandanten)
- Zugriffsrechte über Bereichsfreigaben (der Windows-Ordner-Freigabe nachempfunden)
- Netzwerkfähigkeit
- Multiuserbearbeitung (opus i steuert die Datenbankzugriffe automatisch)
- Terminalserverfähigkeit
- Datenhaltung in einer Datenbank (Hyperfile, HyperfileSQL, MySQL, PostGreSQL, MS-SQL, Oracle, ...)
- Datenhaltung userbezogen einstellbar (User A arbeitet produktiv auf Datenbank A, User B arbeitet produktiv auf Datenbank B, User C ist Anfänger und arbeitet mit Beispieldatenbank C usw. usw.)
- Windows-Schriftvergrößerung (125 %, 150, 200, 300, 400 %,... bei entsprech. Bildschirmauflösung und -größe)
- Multi-Bildschirme (opus i kann über mehrere Bildschirme betrieben werden)
- Multisession (opus i kann von jedem Benutzer in bis zu 10 Sessions gleichzeitig betrieben werden)
- Tabellensicht (opus i arbeitet standardmäßig mit Baumansichten (Trees). Die Tabellenansicht listet dagegen alle Objekte sequentiell auf. “Gehe zu Objekt” steuert aus dieser Übersicht die Objekte im Baum an)
- Support-Mail-Versendung über opusi-Dialog
- Referenzierung von Objekten (Server, PCs, Verarbeitungen, ..., können beliebig in andere Bereichen durch Referenz wiederverwendet werden)
- Cross-Referenz (Dialogfenster. Wo habe ich meine verschiedenen Server, PCs, Verarbeitungen,... überall verwendet)
- Wiedervorlage (opus i Objekte (Server, Verarbeitung,...) können zu einem Datum den Usern vorgelegt werden)
- automatische Erinnerungs-Mail (periodische/automatische Mail zur Sicherstellung des PDCA-Kreislaufes)
- Mailversand (SMTP, Outlook, Notes)
- Folgende Objekttypen (Dialogfenster) stehen übergreifend zur Verfügung.
Die Aufzählung enthält nur die in den Bereichen DS und IS primär benötigten Objekte. Insgesamt verfügt
opus i über ca. 60 Objekttypen
Mandant, User (zugriffsberechtigter zu opus i), Mitarbeiter, externe Personen, Adressen, Notizen, E-Mail, Task,
Task einfach, Textbausteine, Container als Gliederungselement, externes Dokument (full), externes Dokument ohne
weitere Daten, externer Link,
Datei, PC, Hardwareserver, virt. Server, Rechner mittlere Datentechnik, Host, Software, Verpflichtung, Schulung,
Gebäude, Räume, Netzwerk, WLAN, Notebook, Drucker, Mobile Phone, PDA, TK-Anlage, Anrufbeantworter, Faxgerät,
Modem, Netzwerkelement, Firewall, XoverIP, Switch, Multifunktionsgerät, Speichersystem, optisches Device, Cloud,
ICS-Elemente, Machine, USV, Notstromaggregat,
Prozessstruktur, Management-, Kern- und Unterstützungsprozess, Turtleobjekt zur Prozessbeschreibung
Eigene Maßnahmen, eigene Risiken, Sicherheitsvorfall,
Outsourcing-Auftraggeber, Outsourcing-Auftragnehmer,
Eigenes Objekt (999 eigene Objekttypen zur Abbildung kundenbezogener Objektbedarfe)
Minitask (zur expliziten Aufgabenverteilung an Teammitglieder, drucken, versenden per Mail)
- Papierkorb (der Papierkorb kann per Option abgeschaltet werden)
- internes Backup und Restore der Datenbank (Programmstart, -ende, manuell)
- Archivierungsfunktion (Datenbank archivieren für Rückschau und Beweisfunktion)
- Suchfunktionen (Textsuche, Eigenschaftensuche, Gruppensuche, interne Suche, externe Suche)
- Anpassbarkeit der verwendeten Dokumentations-Parameter
- Importfunktion für oben genannte Objekte
- Queries (eigene, immer wiederkehrende Fragestellungen, an die Datenbank speichern und ausführen)
- userbezogene Schnellinfo “meine Notizen/meine Merker”
- beim Start von opus i: Aufsetzen auf dem letztbearbeiteten Objektes
- beim Start von opus i: Aufsetzen und Öffnen des letztbearbeiteten Objektes
- Hinterlegung oft benötigter Hilfs-Dokumente in der Benutzeroberfläche (Gesetze, interne Richtlinien, Urteile, usw.)
- Liste (Dialogfenster) der durch opus i ausgegebenen Bildschirmmeldungen
- Liste (Dialogfenster) der verlinkten Nachweisdokumente (mit Linkprüfung)
- Liste (Dialogfenster) der referenzierten Objekte
- Liste (Dialogfenster) der Erinnerungs-E-Mails
- Liste (Dialogfenster) der Mini-Tasks (Minitasks sind Aufgaben. Mit Editiermöglichkeit)
- Liste (Dialogfenster) der Wiedervorlagen
- alle Darstellungen in Tabellenform sind per Mausklick nach Excel exportierbar
- Automatische Prüfungen auf:
- Aktualität der Dokumentation
- Vollständigkeit der Dokumention (Datenschutz, ITGS, ISOs 9000, 14000, 27000, B3S’e)
- Vorhandensein der verlinkten Nachweisdokumente
- Nicht-Verlinkung vorhandener Nachweisdokumente
- Eigene Reportdefinition (Sie stellen Reportinhalte selbst zusammen)
- Optional: Anmeldung beim Starten von opus i entsprechend der BSI-Passwortrichtlinie
- Gruppenbegriffe können Objekten zugeordnet werden und dadurch leichtes Auffinden zusammengehörender Dinge
- Objekt typ wechsel per Mausklick (Beispiel: anstatt einem Server wurde ein virtueller Server dokumentiert und bearbeitet. Per Mausklick wechseln Sie den virtuellen Server in einen (Hardware)Server. Gilt für die meisten opus i Objekte)
- Aufheben von Löschrestriktionen (in opus i bestehen Löschrestriktionen, damit nicht aus Versehen wichtige Dinge gelöscht werden. Der opus i Admin kann diese aufheben und z.B. einen kompletten Mandanten löschen)
- Massenverarbeitung von Objekten bzgl. der allgemeinen Dokumentation
- Grundsätzlich über alle Mandanten hinweg dieselben Dokumentationsvorgaben. Das kann umgestellt werden, damit einzelne Mandanten nach unterschiedlichen Vorgaben dokumentiert werden können. Beispiel: Mandant A und B werden nach DSGVO, Mandant C und D nach kirchlichen Vorgaben, Mandant E und F nach BDSG (Justiz) dokumentiert. Mandant X wird nach X-Vorgaben dokumentiert. Und so weiter.
- Viele der opus i Info-Dialoge und Bearbeitungs-Dialoge können ständig auf einem zweiten Bildschirm zur Einsicht bereitgehalten werden
Datenschutz
- Verarbeitungstätigkeit des Verantwortlichen (Artikel 30.1)* **
- Verarbeitungstätigkeit des Auftragsverarbeiters (Artikel 30.2)* **
- Auftragsverarbeitung (Artikel 28) *
- Datenschutzfolgenabschätzung (Artikel 35)*
- Risikobewertung (Artikel 24)*
- Technische und organisatorische Maßnahmen (Artikel 24)* **
- Datenschutz-Erst-/Ist-Aufnahme
- Checkliste Prüfungsfragen
- Datenschutzverletzung (Vorsorge, Reaktion, Aufgaben)
- Datenschutzverletzung (Meldungsdialog und Versand per E-Mail einschl. Versandnachweis) (Artikel 33)*
- Schulungsnachweis, Verpflichtungsnachweis
- Massenverarbeitung von Objekten bzgl. der Datenschutz-Dokumentation
*Oben genannte Funktionen entsprechen exakt den Empfehlungen der Datenschutzkommission.
Die Datenschutzfolgenabschätzung entspricht exakt dem “Whitepaper Datenschutzfolgenabschätzung” (Fraunhofer, ULD, Uni Kassel)
** SDM, Standarddatenschutzmodell-Maßnahmen, enthalten.
- Unternehmensstammdaten inkl. der geforderten Informationen zur DSGVO
- Beauftragtenfunktionen
Interne Anfragen, externe Anfragen, Fachkundedokumentation, Besprechungen, Kontrollen, usw.
Funktionen zu den oben genannten Aufgabengebieten
- Darstellung des Datenflusses zur Verarbeitungstätigkeit (u.a.)
- Fragenkatalog zur Verarbeitungstätigkeit (u.a.) durch den Anwender anpass- und erweiterbar
- Fragenkatalog nach Excel exportier- und nach Bearbeitung durch den Verantwortlichen importierbar
- Kennzeichnen UND Nutzung der Verarbeitungstätigkeit als “Gemeinsames Verfahren”
- Kennzeichnung der abgelegten Informationen als “korrekt und belastbar” bzgl. Prüfung durch Auditor/Behörde
- Wiedervorlage aller Dokumentationen zu Datum/Zeit und User
- Zuordnung aller Dokumentationen zu Gruppen als Suchbegriff
- eigene Abfragen hinterlegen (Query)
- Verlinkung von Dokumenten (Nachweise, E-Mails, Schaubilder, usw.)
- gleichartige Informationen zu einem Oberbegriff zusammenfassen (“Ordnung schaffen”)
- Prüfungen
- Aktualität der Dokumentation
- Vollständigkeit der Dokumentation
- sind die verlinkten Dokumente vorhanden
- existieren Dokumente, die noch nicht verlinkt sind
- eigene Vorgaben was und was nicht erfasst werden muss/darf
- E-Mail-Versendung direkt aus den Datenschutz-Objekten heraus (z.B. zur Nacharbeit direkt an den Verantwortlichen)
- DSB-Jahresbericht mit folgenden, autom. zusammengestellten Inhalten (können beeinflusst und editiert werden):
- Hinweis auf Meldung bei der Aufsichtsbehörde
- Zusammenfassung zu den Verarbeitungstätigkeiten
- Zusammenfassung zu den Auftragsverarbeitungen
- Zusammenfassung zu den Datenschutzverletzungen
- Zusammenfassung zu den Datenschutzfolgenabschätzungen
- Zusammenfassung zu den Risikobeurteilungen
- Zusammenfassung Unterweisungen und Verpflichtungen
- Anfragen an den DSB
- Aktivitäten des DSB
- Fort- und Weiterbildungsnachweis des DSB
- vorgesehene Aktivitäten des DSB für das Folgejahr
IT-Grundschutz
- IT-Grundschutz 200-2 und 200-3
- IT-Grundschutz 100-2 und 100-3 (Stand 15. Ergänzungslieferung)
- Automatische Überführung 100-x zum 200-x (mit Wahl- und Änderungsmöglichkeiten)
- Migrationshinweise des BSI (nach der Überführung von 100-x zum 200-x) sind einblendbar. Migrierte Anforderungen sind per Mausklick auf die empfohlenen Umsetzungsstatus zurücksetzbar
- Automatisches Update bei neuen IT-Grundschutz-Kompendium-Lieferungen
- Visuelle Darstellung des/der IT-Verbunde (die Abhängigkeitsdarstellung ist also automatisch und visuell über diesen Verbund und bringt erhöhte Sicherheit bzgl. nicht-verknüpfter-Zielobjekte. )
- Alles Wichtige visuell im IT-Verbund. Im IT-Verbund können nicht nur Zielobjekte sondern auch andere opus-i Objekte dargestellt werden (Mitarbeiter, externe Personen, Notizen, Sicherheitsvorfälle, www-Links, externe Dokumente, usw)
- Verschiedene Sichten auf “Verbunde”. Zur umfänglichen Realisierung der IS können aufgebaut werden:
Diese Beispiele sind nicht abschließend aufgeführt. Was Sie alles mit opus i darstellen können unterliegt nur Ihren Ideen.
-- Outsourcing-Sicht. Darstellen wie OutsourcingGEBER und OutsourcingNEHMER in IT-Prozessen eingebunden sind
-- Datenflusssicht. Darstellen wie sich Daten zwischen den IT-Elementen bewegen
-- Datenvernetzungssicht. Darstellen der Vernetzung von Daten und Software
-- Fachaufgabensicht. Darstellen welche IT-Elemente die verschiedenen Fachaufgaben verwenden
-- ...
- IT-Grundschutz-Bausteine und -Anforderungen sind enthalten
- IT-Grundschutz-Implementierungshilfen sind enthalten
- Elementare Gefahren sind enthalten
- Industrial-IT ist enthalten
- Direkte Einsicht. Alle BSI-Texte zu Bausteinen, Anforderungen, Elementare Gefahren, ... sind per Mausklick einsehbar
- Modellierungsvorschriften werden durch opus i vorgeschlagen und automatisch angewandt
- Abbildung aller Zielobjekttypen durch opus i Objekte (Server, Gebäude, ...)
- inkl. Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität
- IT-Grundschutz-Ausnahmen (Einsatzszenarien, keine Bausteine)
- Schutzbedarfsübertragungsprotokoll/-verlauf
- Schutzbedarfsermittlungshilfe (Fragenkatalog)
- Übernahme der Datenschutz-Dokumentation (Verarbeitungen/Schulungen/Verpflichtungen usw.)
in den IT-Grundschutz
- IT-Grundschutz-Modellierung automatisch entsprechend dem Zielobjekttyp
- Bausteine und Anforderungen einzeln abwählbar
- Wahlfreie Zuordnung weiterer Anforderungen
- Implementierungshilfen werden automatisch zugesteuert (früher: Maßnahmen)
- automatische Schutzbedarfsübertragung innerhalb des IT-Verbundes (beeinflussbar, sperrfähig, Unterstützung bei Prüfung/Bearbeitung von Kumulationseffekt und Distributionseffekt)
- Massenverarbeitung bzgl. Schutzbedarfsänderung
- STRUKTUREN, bestehend aus HW, SW, Daten usw. können vordefiniert, kopiert, eingefügt, referenziert und vor unbeabsichtigten Änderungen geschützt werden
- Gesamtübersicht in Tabellenform zu allen Anforderungen, die im IT-Verbund existieren inklusive Migrationsinfos, Umsetzung (verbal und visuell, rot, gelb, grün), Umsetzungstext, Nachweisdokumente, Verantwortlichkeiten, Reihenfolge, CIA (VIV), Basis/Standard/Erhöht, Mapping auf elementare Gefahren, Mapping auf ISO27001/2. Komplette Tabelle kann nach Excel exportiert werden.
- Zusätzliche Risikoanalyse nach IT-Grundschutz 200-3 mit folgenden Inhalten:
- Risikomatrix als Vorgehensmodell inkl. grafischer Matrix (3x3, 5x5, 7x7 Matrix mit den Klassen Rot, Orange, Grün,
Blau, Gelb
- visuelle Benachrichtigung bei Änderungen an der Risikomatrix als Änderungsinfo (alt <--> neu)
- visuelle Kenntlichmachung bei Änderungen an der Risikoeinstufung/-Bearbeitung (rot, blau, orange)
- Kopieren und wiederholtes Verwenden der vollständigen Risikoanalyse 200-3 auf gleiche Zielobjekttypen, IT-Verbunde,
- Geforderte zusätzliche Dokumentationspflichten der Zielobjekte
- Ist- und Solldarstellung der Bearbeitung der Risiken
- Risiken unter Beobachtung
- Weitere Risikoreduzierung (Zertifizierungsanforderung)
- Konsolidierung der Maßnahmen
- Aufwandsdokumentation nach Einmal- und wiederkehrenden Aufwänden
- Risikobeurteilung mithilfe einer Risikomatrix (siehe oben). Im IT-Verbund sind mehrere Risikomatrizen abbildbar,
für den Fall, dass innerhalb des IT-Verbundes verschiedene Beurteilungsgrundlagen existieren.
Beispiel:
Im IT-Verbund sind vertreten
BÜRO-IT (mit Risikomatrix A),
PRODUKTIONS-IT (bedarf anderer Risikobeurteilung basierend auf RM B),
FORSCHUNGS- und ENTWICKLUNGS-IT (bedarf anderer Risikobeurteilung basierend auf RM C),
INDUSTRIAL-IT (bedarf anderer Risikobeurteilung auf Basis RM D)
- Massenverarbeitung von Anforderungen in einem zentralen Dialog über den IT-Verbund, über den gewählten Mandanten, über alle Mandanten, hinweg (wir überarbeiten also nicht 100 Server einzeln und nacheinander sondern bearbeiten EINEN und übertragen die neuen Infos per (einem) Mausklick auf die anderen 99 Server... entsprechend für alle Zielobjekte geltend). Wir nennen dieses Feature ÜBERGREIFENDE UMSETZUNG.
- Schutzbedarfsbestimmung freihändisch oder per BSI-Fragenkatalog (dieser ist nach Bearbeitung druckbar und kann dem Verantwortlichen zur Unterschrift vorgelegt werden. Ist somit ein wichtiges Nachweisdokument bei der Zertifizierung)
- Schutzbedarfskategorien (normal, hoch, sehr hoch) können erweitert, geändert werden
- Anwendung der IT-Grundschutzsonderfälle (... kann mit den Bausteinen nicht abgebildet werden usw.)
- Revisionssichere Darstellung des Schutzbedarfsverlaufs über die Zeitachse gesehen (read only)
- Mapping der Anforderungen auf vorgeschlagene Verantwortliche, weitere Verantwortlich, festgelegte Verantwortliche, Umsetzungsreihenfolge
- Mapping der Anforderungen zu den Risikoklassen BASIS, STANDARD, ERHÖHT sowie auf CIA (VIV) und auf die elementaren Gefahren
- Mapping der Anforderungen auf die ISO 27001/2 Norm Stand 2017-6
- Querydefinition und Abfrage-Ausführung mit Tabellenausgabe auf alle IT-Grundschutz-Informationen (ca. 60). Das heißt: alle zum IT-Grundschutz erfassten Infos können zum kompletten IT-Verbund in einer einzigen Tabelle mit ca. 60 Spalten dargestellt, sortiert, nach Kriterien gefiltert und nach Excel exportiert werden (z.Z. nur für den 100-x realisiert)
ISO 27001/27002 VDA-ISA TISAX
- DIN EN ISO/IEC 27001 / 27002 Stand 2017-06
- VDA-ISA 4.1.1 mit TISAX
- Automatische Generierung des IT-Sicherheits-Projekts als Baumstruktur mit allen 27001-Kapiteln, 27002-Kapiteln, den jeweiligen Controls der 27001 und 27002
- Visuelle Darstellung der WERTE als Asset-Verbund (die Abhängigkeitsdarstellung ist also automatisch und visuell über diesen Verbund und bringt erhöhte Sicherheit bzgl. nicht-verknüpfter-Assets)
- Alles Wichtige visuell im Asset-Verbund. Im Asset-Verbund können nicht nur IT-Werte sondern auch andere opus-i-Objekte dargestellt werden (Mitarbeiter, externe Personen, Notizen, Sicherheitsvorfälle, www-Links, externe Dokumente, usw)
- Verschiedene Sichten auf “Verbunde”. Zur umfänglichen Realisierung der IS können aufgebaut werden:
Diese Beispiele sind nicht abschließend aufgeführt. Was Sie alles mit opus i darstellen können unterliegt nur Ihren Ideen.
-- Outsourcing-Sicht. Darstellen wie OutsourcingGEBER und OutsourcingNEHMER in IT-Prozessen eingebunden sind
-- Datenflusssicht. Darstellen wie sich Daten zwischen den IT-Elementen bewegen
-- Datenvernetzungssicht. Darstellen der Vernetzung von Daten und Software
-- Fachaufgabensicht. Darstellen welche IT-Elemente die verschiedenen Fachaufgaben verwenden
-- ...
- STRUKTUREN, bestehend aus HW, SW, Daten usw. können vordefiniert, kopiert, eingefügt, referenziert und vor unbeabsichtigten Änderungen geschützt werden
- ISO-Originaltexte zur 27001 und 27002 können bei kronsoft lizenziert (kostenpflichtig) und eingebunden werden
- VDA-ISA-Originaltexte und TISAX sind kostenfrei eingebunden
- Abbildung aller Assets durch opus i Objekte (Server, PCs, Gebäude, ...)
- inkl. Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität
- Übernahme der Datenschutz-Dokumentation (Verarbeitungen/Schulungen/Verpflichtungen in die ISO-Bearbeitung)
- automatische Schutzbedarfsübertragung innerhalb des Asset-Verbundes (beeinflussbar, sperrfähig)
- Massenverarbeitung bzgl. Schutzbedarfsänderung
- Gesamtübersicht in Tabellenform zu allen Controls, die im ISO-Prozess existieren inklusive Umsetzung (verbal und visuell, rot, gelb, grün), Umsetzungstext, Nachweisdokumente, Verantwortlich..., Vertraulichkeit Integrität Verfügbarkeit, Authentizität. Komplette Tabelle kann nach Excel exportiert werden.
- Risikoassessment und -analyse mit den 47 elementaren Gefahren mit folgenden Inhalten:
- automatische Zuordnung der 47 elementaren Gefahren zu den Assets (Server, PCs, Gebäude, ...)
- Risikomatrix als Vorgehensmodell inkl. grafischer Matrix (3x3, 5x5, 7x7 Matrix mit den Klassen Rot, Orange, Grün,
Blau, Gelb
- visuelle Benachrichtigung bei Änderungen an der Risikomatrix als Änderungsinfo (alt <--> neu)
- visuelle Kenntlichmachung bei Änderungen an der Risikoeinstufung/-Bearbeitung (rot, blau, orange)
- selbst ermittelte Risiken können hinzugefügt werden
- selbst erstellte Maßnahmen können verwendet werden
- Geforderte Dokumentationspflichten der Assets
- Ist- und Solldarstellung der Bearbeitung der Risiken
- Risiken unter Beobachtung
- Konsolidierung der Maßnahmen
- Aufwandsdokumentation nach Einmal- und wiederkehrenden Aufwänden
- Risikobeurteilung mithilfe einer Risikomatrix (siehe oben). Im ISO-Prozess sind mehrere Risikomatrizen abbildbar,
für den Fall, dass innerhalb des Prozesses verschiedene Beurteilungsgrundlagen existieren.
Beispiel:
Im Asset-Verbund sind vertreten
BÜRO-IT (mit Risikomatrix A),
PRODUKTIONS-IT (bedarf anderer Risikobeurteilung basierend auf RM B),
FORSCHUNGS- und ENTWICKLUNGS-IT (bedarf anderer Risikobeurteilung basierend auf RM C),
INDUSTRIAL-IT (bedarf anderer Risikobeurteilung auf Basis RM D)
- Massenverarbeitung von Controls in einem zentralen Dialog über den Asset-Verbund, über den gewählten Mandanten, über alle Mandanten, hinweg (wir überarbeiten also nicht 100 Server einzeln und nacheinander sondern bearbeiten EINEN und übertragen die neuen Infos per (einem) Mausklick auf die anderen 99 Server... entsprechend für alle Assets geltend). Wir nennen dieses Feature ÜBERGREIFENDE UMSETZUNG.
- Schutzbedarfsbestimmung freihändisch oder per BSI-Fragenkatalog (dieser ist nach Bearbeitung druckbar und kann dem Verantwortlichen zur Unterschrift vorgelegt werden. Ist somit ein wichtiges Nachweisdokument bei der Zertifizierung)
- Schutzbedarfskategorien (normal, hoch, sehr hoch) können erweitert, geändert werden
B3S-Gesundheitsversorgung im Krankenhaus
(“B3S Krankenhaus”)
Der folgende Sicherheitsstandard ist sinngemäß ein ebensolches Managementsysteme wie die ISO 27001. Auch im B3S-Standard Gesundheitsversorgung wird auf die ISO 27001 verwiesen. Wir haben deshalb dieses Managementsystem in opus i gleich aufgebaut wie die ISO 27001. Abweichungen oder Ergänzungen zur 27001 führen wir ganz am Anfang der hier dargestellten Infos auf. Diese Hinweise haben wir in dunkelblauer Schrift abgesetzt - so wie diesen Absatz.
- B3S-Originaltexte sind eingebunden
- Die im B3S aufgeführten 19 Gefährdungen (GEF 1 bis GEF 19) sind zusätzlich in der Risikobewertung/-Analyse enthalten
- Die IT-Sicherheits-Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität sind erweitert um die speziellen Schutzziele PATIENTENSICHERHEIT und BEHANDLUNGSEFFEKTIVITÄT
- Nicht-IT-Prozesse können abgebildet und beschrieben werden. Die opus i Objekte PROZESSstruktur, MANAGEMENT-, KERN- und UNTERSTÜTZUNGSprozess sowie TURTLEobjekt, ermöglichen es andere als IT-Prozesse abzubilden.
- Wir nennen die Anforderungen dieses Standards “CONTROLs” um Gleichheit mit den anderen opus i - ISO-Standards zu erhalten
- B3S Gesundheitsversorgung im Krankenhaus Version 1.0 vom 2.4.2019 (“B3S-Krankenhaus”)
- Automatische Generierung des IT-Sicherheits-Projekts als Baumstruktur mit allen B3S-Kapiteln und den jeweiligen Controls des B3S
- Visuelle Darstellung der WERTE als Asset-Verbund (die Abhängigkeitsdarstellung ist also automatisch und visuell über diesen Verbund und bringt erhöhte Sicherheit bzgl. nicht-verknüpfter-Assets)
- Alles Wichtige visuell im Asset-Verbund. Im Asset-Verbund können nicht nur IT-Werte sondern auch andere opus-i-Objekte dargestellt werden (Mitarbeiter, externe Personen, Notizen, Sicherheitsvorfälle, www-Links, externe Dokumente, usw)
- Verschiedene Sichten auf “Verbunde”. Zur umfänglichen Realisierung der IS können aufgebaut werden:
Diese Beispiele sind nicht abschließend aufgeführt.
Was alles mit opus i dargestellt werden kann unterliegt nur Ihren Anforderungen/Ideen.
-- Outsourcing-Sicht. Darstellen wie OutsourcingGEBER und OutsourcingNEHMER in IT-Prozessen eingebunden sind
-- Datenflusssicht. Darstellen wie sich Daten zwischen den IT-Elementen bewegen
-- Datenvernetzungssicht. Darstellen der Vernetzung von Daten und Software
-- Fachaufgabensicht. Darstellen welche IT-Elemente die verschiedenen Fachaufgaben verwenden
-- ...
- STRUKTUREN, bestehend aus HW, SW, Daten usw. können vordefiniert, kopiert, eingefügt, referenziert und vor unbeabsichtigten Änderungen geschützt werden
- Originaltexte zum B3S sind kostenfrei enthalten
- Abbildung aller Assets durch opus i Objekte (Server, PCs, Gebäude, ...)
- inkl. Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Patientensicherheit und Behandlungseffektivität
- Übernahme der Datenschutz-Dokumentation (Verarbeitungen/Schulungen/Verpflichtungen in die B3S-Bearbeitung)
- automatische Schutzbedarfsübertragung innerhalb des Asset-Verbundes (beeinflussbar, sperrfähig)
- Massenverarbeitung bzgl. Schutzbedarfsänderung
- Gesamtübersicht in Tabellenform zu allen Controls, die im B3S-Prozess existieren inklusive Umsetzung (verbal und visuell, rot, gelb, grün), Umsetzungstext, Nachweisdokumente, Verantwortlich..., Vertraulichkeit Integrität Verfügbarkeit, Authentizität. Komplette Tabelle kann nach Excel exportiert werden.
- Risikoassessment und -analyse mit den 47 elementaren Gefahren und den 19 spezifischen Gefährdungen mit folgenden Inhalten:
- automatische Zuordnung der 47 elementaren Gefahren zu den Assets (Server, PCs, Gebäude, ...)
- manuelle Zuordnung der Assets zu den 19 spezifischen Gefährdungen
- Risikomatrix als Vorgehensmodell inkl. grafischer Matrix (3x3, 5x5, 7x7 Matrix mit den Klassen Rot, Orange, Grün,
Blau, Gelb
- visuelle Benachrichtigung bei Änderungen an der Risikomatrix als Änderungsinfo (alt <--> neu)
- visuelle Kenntlichmachung bei Änderungen an der Risikoeinstufung/-Bearbeitung (rot, blau, orange)
- selbst ermittelte Risiken können hinzugefügt werden
- selbst erstellte Maßnahmen können verwendet werden
- Geforderte Dokumentationspflichten der Assets
- Ist- und Solldarstellung der Bearbeitung der Risiken
- Risiken unter Beobachtung
- Konsolidierung der Maßnahmen
- Aufwandsdokumentation nach Einmal- und wiederkehrenden Aufwänden
- Risikobeurteilung mithilfe einer Risikomatrix (siehe oben). Im B3S-Prozess sind mehrere Risikomatrizen abbildbar,
für den Fall, dass innerhalb des Prozesses verschiedene Beurteilungsgrundlagen existieren.
Beispiel:
Im Asset-Verbund sind vertreten
BÜRO-IT (mit Risikomatrix A),
PFLEGE-IT (bedarf anderer Risikobeurteilung basierend auf RM B),
FORSCHUNGS- und ENTWICKLUNGS-IT (bedarf anderer Risikobeurteilung basierend auf RM C),
INDUSTRIAL-IT (bedarf anderer Risikobeurteilung auf Basis RM D)
- Massenverarbeitung von Controls in einem zentralen Dialog über den Asset-Verbund, über den gewählten Mandanten, über alle Mandanten, hinweg (wir überarbeiten also nicht 100 Server einzeln und nacheinander sondern bearbeiten EINEN und übertragen die neuen Infos per (einem) Mausklick auf die anderen 99 Server... entsprechend für alle Assets geltend). Wir nennen dieses Feature ÜBERGREIFENDE UMSETZUNG.
- Schutzbedarfsbestimmung freihändisch oder per BSI-Fragenkatalog (dieser ist nach Bearbeitung druckbar und kann dem Verantwortlichen zur Unterschrift vorgelegt werden. Ist somit ein wichtiges Nachweisdokument bei der Zertifizierung)
- Schutzbedarfskategorien (normal, hoch, sehr hoch) können erweitert, geändert werden
Der folgende Standard ist sinngemäß ein ebensolches Managementsysteme wie die ISO 27001. Die Urheber haben bereits vor Jahren die Struktur der 14001 an die der ISO 27001 angepasst. Wir haben deshalb dieses Managementsystem in opus i gleich aufgebaut wie die ISO 27001. Abweichungen oder Ergänzungen zur 27001 führen wir ganz am Anfang der hier dargestellten Infos auf. Diese Hinweise haben wir in dunkelblauer Schrift abgesetzt - so wie diesen Absatz.
- Nicht-IT-Prozesse können beschrieben/abgebildet werden. Die opus i Objekte PROZESSstruktur, MANAGEMENT-, KERN- und UNTERSTÜTZUNGSprozess sowie TURTLEobjekt, ermöglichen es andere als IT-Prozesse abzubilden.
- DIN EN ISO 14001 Stand 2016-01
- Automatische Generierung des IT-Sicherheits-Projekts als Baumstruktur mit allen 14001-Kapiteln und den jeweiligen Controls der 14001
- Visuelle Darstellung der WERTE als Asset-Verbund (die Abhängigkeitsdarstellung ist also automatisch und visuell über diesen Verbund und bringt erhöhte Sicherheit bzgl. nicht-verknüpfter-Assets)
- Alles Wichtige visuell im Asset-Verbund. Im Asset-Verbund können nicht nur IT-Werte sondern auch andere opus-i-Objekte dargestellt werden (Mitarbeiter, externe Personen, Notizen, Sicherheitsvorfälle, www-Links, externe Dokumente, usw)
- Verschiedene Sichten auf “Verbunde”. Zur umfänglichen Realisierung der IS können aufgebaut werden:
Diese Beispiele sind nicht abschließend aufgeführt. Was Sie alles mit opus i darstellen können unterliegt nur Ihren Ideen.
-- Outsourcing-Sicht. Darstellen wie OutsourcingGEBER und OutsourcingNEHMER in IT-Prozessen eingebunden sind
-- Datenflusssicht. Darstellen wie sich Daten zwischen den IT-Elementen bewegen
-- Datenvernetzungssicht. Darstellen der Vernetzung von Daten und Software
-- Fachaufgabensicht. Darstellen welche IT-Elemente die verschiedenen Fachaufgaben verwenden
-- ...
- STRUKTUREN, bestehend aus HW, SW, Daten usw. können vordefiniert, kopiert, eingefügt, referenziert und vor unbeabsichtigten Änderungen geschützt werden
- Originaltexte zur 14001 können bei kronsoft lizenziert (kostenpflichtig) und eingebunden werden
- Abbildung aller Assets durch opus i Objekte (Server, PCs, Gebäude, ...)
- inkl. Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität
- Übernahme der Datenschutz-Dokumentation (Verarbeitungen/Schulungen/Verpflichtungen in die ISO-Bearbeitung)
- automatische Schutzbedarfsübertragung innerhalb des Asset-Verbundes (beeinflussbar, sperrfähig)
- Massenverarbeitung bzgl. Schutzbedarfsänderung
- Gesamtübersicht in Tabellenform zu allen Controls, die im ISO-Prozess existieren inklusive Umsetzung (verbal und visuell, rot, gelb, grün), Umsetzungstext, Nachweisdokumente, Verantwortlich..., Vertraulichkeit Integrität Verfügbarkeit, Authentizität. Komplette Tabelle kann nach Excel exportiert werden.
- Risikoassessment und -analyse mit den 47 elementaren Gefahren mit folgenden Inhalten:
- automatische Zuordnung der 47 elementaren Gefahren zu den Assets (Server, PCs, Gebäude, ...)
- Risikomatrix als Vorgehensmodell inkl. grafischer Matrix (3x3, 5x5, 7x7 Matrix mit den Klassen Rot, Orange, Grün,
Blau, Gelb
- visuelle Benachrichtigung bei Änderungen an der Risikomatrix als Änderungsinfo (alt <--> neu)
- visuelle Kenntlichmachung bei Änderungen an der Risikoeinstufung/-Bearbeitung (rot, blau, orange)
- selbst ermittelte Risiken können hinzugefügt werden
- selbst erstellte Maßnahmen können verwendet werden
- Geforderte Dokumentationspflichten der Assets
- Ist- und Solldarstellung der Bearbeitung der Risiken
- Risiken unter Beobachtung
- Konsolidierung der Maßnahmen
- Aufwandsdokumentation nach Einmal- und wiederkehrenden Aufwänden
- Risikobeurteilung mithilfe einer Risikomatrix (siehe oben). Im ISO-Prozess sind mehrere Risikomatrizen abbildbar,
für den Fall, dass innerhalb des Prozesses verschiedene Beurteilungsgrundlagen existieren.
Beispiel:
Im Asset-Verbund sind vertreten
BÜRO-IT (mit Risikomatrix A),
PRODUKTIONS-IT (bedarf anderer Risikobeurteilung basierend auf RM B),
FORSCHUNGS- und ENTWICKLUNGS-IT (bedarf anderer Risikobeurteilung basierend auf RM C),
INDUSTRIAL-IT (bedarf anderer Risikobeurteilung auf Basis RM D)
- Massenverarbeitung von Controls in einem zentralen Dialog über den Asset-Verbund, über den gewählten Mandanten, über alle Mandanten, hinweg (wir überarbeiten also nicht 100 Server einzeln und nacheinander sondern bearbeiten EINEN und übertragen die neuen Infos per (einem) Mausklick auf die anderen 99 Server... entsprechend für alle Assets geltend). Wir nennen dieses Feature ÜBERGREIFENDE UMSETZUNG.
- Schutzbedarfsbestimmung freihändisch oder per BSI-Fragenkatalog (dieser ist nach Bearbeitung druckbar und kann dem Verantwortlichen zur Unterschrift vorgelegt werden. Ist somit ein wichtiges Nachweisdokument bei der Zertifizierung)
- Schutzbedarfskategorien (normal, hoch, sehr hoch) können erweitert, geändert werden
Der folgende Standard ist sinngemäß ein ebensolches Managementsysteme wie die ISO 27001. Die Urheber haben bereits vor Jahren die Struktur der 9001 an die der ISO 27001 angepasst. Wir haben deshalb dieses Managementsystem in opus i gleich aufgebaut wie die ISO 27001. Abweichungen oder Ergänzungen zur 27001 führen wir ganz am Anfang der hier dargestellten Infos auf. Diese Hinweise haben wir in dunkelblauer Schrift abgesetzt - so wie diesen Absatz.
- Nicht-IT-Prozesse können beschrieben/abgebildet werden. Die opus i Objekte Prozessstruktur, Management-, Kern- und Unterstützungsprozess sowie Turtleobjekt, ermöglichen es andere als IT-Prozesse abzubilden.
- DIN EN ISO 9001 Stand 2015
- Automatische Generierung des IT-Sicherheits-Projekts als Baumstruktur mit allen 9001-Kapiteln und den jeweiligen Controls der 9001
- Visuelle Darstellung der WERTE als Asset-Verbund (die Abhängigkeitsdarstellung ist also automatisch und visuell über diesen Verbund und bringt erhöhte Sicherheit bzgl. nicht-verknüpfter-Assets)
- Alles Wichtige visuell im Asset-Verbund. Im Asset-Verbund können nicht nur IT-Werte sondern auch andere opus-i-Objekte dargestellt werden (Mitarbeiter, externe Personen, Notizen, Sicherheitsvorfälle, www-Links, externe Dokumente, usw)
- Verschiedene Sichten auf “Verbunde”. Zur umfänglichen Realisierung der IS können aufgebaut werden:
Diese Beispiele sind nicht abschließend aufgeführt. Was Sie alles mit opus i darstellen können unterliegt nur Ihren Ideen.
-- Outsourcing-Sicht. Darstellen wie OutsourcingGEBER und OutsourcingNEHMER in IT-Prozessen eingebunden sind
-- Datenflusssicht. Darstellen wie sich Daten zwischen den IT-Elementen bewegen
-- Datenvernetzungssicht. Darstellen der Vernetzung von Daten und Software
-- Fachaufgabensicht. Darstellen welche IT-Elemente die verschiedenen Fachaufgaben verwenden
-- ...
- STRUKTUREN, bestehend aus HW, SW, Daten usw. können vordefiniert, kopiert, eingefügt, referenziert und vor unbeabsichtigten Änderungen geschützt werden
- ISO-Originaltexte zur 9001 können bei kronsoft lizenziert (kostenpflichtig) und eingebunden werden
- Abbildung aller Assets durch opus i Objekte (Server, PCs, Gebäude, ...)
- inkl. Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität
- Übernahme der Datenschutz-Dokumentation (Verarbeitungen/Schulungen/Verpflichtungen in die ISO-Bearbeitung)
- automatische Schutzbedarfsübertragung innerhalb des Asset-Verbundes (beeinflussbar, sperrfähig)
- Massenverarbeitung bzgl. Schutzbedarfsänderung
- Gesamtübersicht in Tabellenform zu allen Controls, die im ISO-Prozess existieren inklusive Umsetzung (verbal und visuell, rot, gelb, grün), Umsetzungstext, Nachweisdokumente, Verantwortlich..., Vertraulichkeit Integrität Verfügbarkeit, Authentizität. Komplette Tabelle kann nach Excel exportiert werden.
- Risikoassessment und -analyse mit den 47 elementaren Gefahren mit folgenden Inhalten:
- automatische Zuordnung der 47 elementaren Gefahren zu den Assets (Server, PCs, Gebäude, ...)
- Risikomatrix als Vorgehensmodell inkl. grafischer Matrix (3x3, 5x5, 7x7 Matrix mit den Klassen Rot, Orange, Grün,
Blau, Gelb
- visuelle Benachrichtigung bei Änderungen an der Risikomatrix als Änderungsinfo (alt <--> neu)
- visuelle Kenntlichmachung bei Änderungen an der Risikoeinstufung/-Bearbeitung (rot, blau, orange)
- selbst ermittelte Risiken können hinzugefügt werden
- selbst erstellte Maßnahmen können verwendet werden
- Geforderte Dokumentationspflichten der Assets
- Ist- und Solldarstellung der Bearbeitung der Risiken
- Risiken unter Beobachtung
- Konsolidierung der Maßnahmen
- Aufwandsdokumentation nach Einmal- und wiederkehrenden Aufwänden
- Risikobeurteilung mithilfe einer Risikomatrix (siehe oben). Im ISO-Prozess sind mehrere Risikomatrizen abbildbar,
für den Fall, dass innerhalb des Prozesses verschiedene Beurteilungsgrundlagen existieren.
Beispiel:
Im Asset-Verbund sind vertreten
BÜRO-IT (mit Risikomatrix A),
PRODUKTIONS-IT (bedarf anderer Risikobeurteilung basierend auf RM B),
FORSCHUNGS- und ENTWICKLUNGS-IT (bedarf anderer Risikobeurteilung basierend auf RM C),
INDUSTRIAL-IT (bedarf anderer Risikobeurteilung auf Basis RM D)
- Massenverarbeitung von Controls in einem zentralen Dialog über den Asset-Verbund, über den gewählten Mandanten, über alle Mandanten, hinweg (wir überarbeiten also nicht 100 Server einzeln und nacheinander sondern bearbeiten EINEN und übertragen die neuen Infos per (einem) Mausklick auf die anderen 99 Server... entsprechend für alle Assets geltend). Wir nennen dieses Feature ÜBERGREIFENDE UMSETZUNG.
- Schutzbedarfsbestimmung freihändisch oder per BSI-Fragenkatalog (dieser ist nach Bearbeitung druckbar und kann dem Verantwortlichen zur Unterschrift vorgelegt werden. Ist somit ein wichtiges Nachweisdokument bei der Zertifizierung)
- Schutzbedarfskategorien (normal, hoch, sehr hoch) können erweitert, geändert werden
Ende der Funktionenübersicht zu opus i.
opus i Version 8.0.226.1114
Bitte richten Sie Ihre Supportanfrage online an uns oder direkt aus opus i heraus über die implementierte Support-Mail-Funktion.
Sie erreichen uns zu normalen Bürozeiten unter der Telefonnummer +49 6858 6370
kronsoft e.K. Schillerstraße 10 66564 Ottweiler Deutschland Datenschutzerklärung
Neu
20210506
www.kronsoft.de Impressum Datenschutzerklärung
Die Version der WEB-Seite ist 64 (2024-08-18)