Zum Hauptinhalt springen

Prozesse

Beim Anlegen eines Prozesses entscheidet der Benutzer, ob der Prozess sofort vollständig über eine Prozesserhebung erfasst werden soll oder zunächst nur rudimentär gespeichert wird.
Dies geschieht über die Option „Prozesserhebung durchführen“, die beim Anlegen aktiviert oder deaktiviert werden kann.

Prozesse bilden die zentrale Grundlage für die Modellierung der organisatorischen Abläufe, die Erhebung des Schutzbedarfs und die spätere Analyse. Auch ohne vollständige Erhebung sind sie bereits funktionsfähig und referenzierbar.

Prozessinformationen (ohne Survey)

Ein Prozess enthält in seiner Grundstruktur folgende Angaben:

  • Bezeichnung
    Der Name des Prozesses (frei wählbar, z. B. "Fakturierung", "Bewerbermanagement").

  • ID (optional)
    Eine eindeutige Kennung oder Code für Referenzen und Exporte.

  • Abhängigkeiten zu anderen Prozessen

    • Art der Abhängigkeit: vorgelagert, nachgelagert, parallel
    • Maximal tolerierbare Ausfallzeit (MTPD) für die Abhängigkeit
      → Auswahl aus den im Scope definierten Zeitspannen

Diese Grunddaten erlauben es, Prozesse zu strukturieren und zu referenzieren – ohne bereits vollständige Detailinformationen (z. B. Schutzbedarf) erfassen zu müssen.

Prozesserhebung (Survey)

Die Prozesserhebung ist ein spezielles Werkzeug zur systematischen Erfassung detaillierter Informationen über Geschäftsprozesse. Im Unterschied zu allgemeinen Prozessinformationen, die überwiegend statische organisatorische Details abbilden, erlaubt die Prozesserhebung eine dynamische, standardisierte Befragung zu Kritikalität, Schutzbedarf und Ressourcenabhängigkeiten.

Dabei werden gleichzeitig die Grunddaten für die Schutzbedarfsanalyse (SBA) und die Business Impact Analyse (BIA) erfasst, sodass beide Analysen praktisch parallel entstehen können. So entsteht eine fundierte Datengrundlage für Risiko- und Verfügbarkeitsbewertungen im ISMS und BCM.

Individuelle Bewertungen einzelner Ressourcen, z. B. abweichender Schutzbedarf, sind ebenfalls möglich und verbessern die Genauigkeit der Analyse.

Prozesserhebung: Wie Schutzbedarf, RTO/RPO und Ressourceneinsatz über Surveys erfasst werden

Zugriffssteuerung und Verantwortlichkeiten

Die Berechtigung zur Erfassung und Bearbeitung von Prozessen richtet sich nach folgenden Regeln:

  • Verantwortliche der Organisationseinheit
    dürfen Prozesse innerhalb ihrer Organisationseinheit anlegen und bearbeiten

  • Benutzer mit Rolle „Manager“ oder höher
    dürfen Prozesse in allen Organisationseinheiten verwalten

Zusätzlich können berechtigte Personen im Kontextmenü eines Prozesses:

  • weitere Benutzer für diesen Prozess freigeben
    → Zugriff auf den konkreten Prozess (auch ohne OE-Berechtigung)

  • die zugehörige Organisationseinheit ändern
    → Der Prozess wird damit verschoben und unterliegt dann ggf. anderen Zuständigkeiten

Iteratives Vorgehen

Ein Prozess kann zunächst rudimentär angelegt werden. Das bedeutet:

  • Es erfolgt keine initiale Prozesserhebung
  • Der Prozess kann jedoch in Erhebungsbögen anderer Prozesse referenziert werden
  • Die Erhebung kann später jederzeit nachgeholt werden

Diese Flexibilität erlaubt es, wichtige Abhängigkeiten frühzeitig sichtbar zu machen, ohne vollständige Detailinformationen vorauszusetzen.

Empfehlung

  • Legen Sie zuerst die wichtigsten Prozesse in Grundstruktur an
  • Pflegen Sie Abhängigkeiten, um kritische Verbindungen sichtbar zu machen
  • Nutzen Sie die Prozesserhebung gezielt für priorisierte Prozesse
  • Setzen Sie individuelle Zugriffsrechte, wenn mehrere Fachbereiche beteiligt sind