TOM anlegen und Stammdaten pflegen
Eine TOM im audatis MANAGER beschreibt einen einzelnen Schutzbaustein Ihres Informationssicherheits- oder Datenschutz-Managements. In diesem Artikel legen Sie eine Maßnahme (kein Todo) an, nutzen die Textbaustein-Vorschläge und pflegen Stammdaten inklusive der Schutzziele C/I/A.
In 5 Minuten erledigt
- Informationssicherheit > Technische und organisatorische Maßnahmen öffnen.
- Neu klicken, Bezeichnung eingeben (Textbaustein-Vorschläge nutzen).
- Typ wählen (Technisch oder Organisatorisch), speichern.
- Auf der Detailseite Verantwortlichen, Umsetzungsstatus, Beschreibung pflegen.
- Daten- und Informationen, bzw. Assets verknüpfen.
- Schutzziele C/I/A mit Stufe und Begründung versehen, speichern.
Wann brauchen Sie das?
- Eine neue Anforderung aus einer Norm, einem Audit oder einem Vorfall führt zu einer zusätzlichen Schutzmaßnahme.
- Eine bestehende Maßnahme soll aktualisiert oder umformuliert werden.
- Sie übernehmen ein Best-Practice-Maßnahmenpaket Ihres Beraters oder einer übergeordneten Mandantenstelle.
Schritt für Schritt
- Öffnen Sie in der Seitenleiste Informationssicherheit > Technische und organisatorische Maßnahmen.
- Klicken Sie in der Toolbar auf Neu. Das Modal "Maßnahme anlegen" öffnet sich.
- Vergeben Sie eine Bezeichnung. Tippen Sie ein Stichwort - die Textbaustein-Autocomplete schlägt Vorlagen aus der zentralen Bibliothek vor. Wählen Sie einen Vorschlag, übernimmt das System Bezeichnung und ggf. eine Beschreibung.
- Wählen Sie den Typ:
- Technisch für IT-bezogene Schutzmaßnahmen (Verschlüsselung, Firewall, Backup-Konfiguration).
- Organisatorisch für regelnde Maßnahmen (Richtlinien, Schulungen, Verfahren, Verträge).
- Klicken Sie auf Speichern und navigieren Sie über das Stiftsymbol oder Klick auf den Maßnahmentitel in die Stammdaten.
- Pflegen Sie die Stammdaten:
- Beschreibung - was die Maßnahme konkret tut. Vermeiden Sie reine Norm-Zitate, beschreiben Sie die tatsächliche Umsetzung.
- Verantwortlicher - Person aus dem Personalstamm. Ohne Verantwortlichen werden später automatisch erzeugte Aufgaben ins Leere laufen.
- Status (Umsetzungsstatus) - Geplant, In Umsetzung oder Umgesetzt.
- Schutzziele C, I, A - welche Schutzziele die Maßnahme adressiert. Pro Schutzziel eine Stufe und eine Begründung.
- Klicken Sie auf Speichern.
Tipp: Die Sektion Gesamteinschätzung unter den Schutzzielen ist ein guter Platz für die Wirksamkeits-Begründung im Audit. Wer hier zwei bis drei Sätze pflegt, bekommt in der Wirksamkeitsprüfung deutlich weniger Rückfragen.
Pflicht- und optionale Felder
Feld | Tab | Status | Hinweis |
|---|---|---|---|
Bezeichnung | Modal Anlegen | Pflicht | Eindeutig, sprechend |
Typ | Modal Anlegen | Pflicht | Technisch oder Organisatorisch |
Beschreibung | Stammdaten | Optional, fachlich Pflicht | Konkrete Umsetzungsbeschreibung |
Verantwortlicher | Stammdaten | Optional, fachlich Pflicht | Person aus Personalstamm |
Umsetzungsstatus | Stammdaten | Optional | Geplant, In Umsetzung, Umgesetzt |
Schutzziele C, I, A | Stammdaten | Optional, fachlich Pflicht | Stufe und Begründung pro Ziel |
Gesamteinschätzung | Stammdaten | Optional | Wirksamkeits-Argumentation |
Statusmodell
Status | Bedeutung |
|---|---|
Geplant | Maßnahme ist definiert, Umsetzung steht aus |
In Umsetzung | Umsetzung läuft, noch nicht produktiv |
Umgesetzt | Maßnahme ist produktiv wirksam |
Tipp: Im SoA-Export zählen nur Maßnahmen mit Status "Umgesetzt" als belastbar. "Geplant" und "In Umsetzung" sind Indikatoren für offene Maßnahmen-Aufgaben.
Textbaustein-Vorschläge nutzen
Die Textbaustein-Verwendung im Anlegen-Modal greift auf eine zentrale Bibliothek zu, die ein Mandanten-Administrator vorher in den TOM Konfigurationen oder unter Vorlagentextbausteine pflegen kann. Vorteile:
- Konsistente Formulierungen über Maßnahmen hinweg.
- Best-Practice-Beschreibungen aus dem Beratungsstandard.
- Weniger Tipparbeit beim Erstanlegen.
Wer eigene Textbausteine ergänzen will, pflegt sie in der Sub-Seite Textbausteine konfigurieren in der Modulkonfiguration. Die Bibliothek ist in der Regel global pro Mandant - in Konzernumgebungen mit untergeordneten Mandanten kann sie vererbt werden.
Siehe dazu: Unternehmensgruppen
Häufige Stolperfallen
- Bezeichnung als Norm-Zitat: "ISO 27001 A.5.15 - Zugriffskontrolle" ist die Anforderung, nicht die Maßnahme. Besser: "RBAC mit MFA für administrative Konten". TOM sollten kleiner sein als Controls/Anforderungen.
- Maßnahmenstatus nicht auf Realität aktualisiert: Wer eine umgesetzte Maßnahme nicht aktualisiert, obwohl sie in der Praxis vielleicht schon umgesetzt ist, verzerrt das SoA.
Häufig gestellte Fragen
Was tippe ich in das Bezeichnungsfeld?
Eine kurze, sprechende Beschreibung der Maßnahme - kein Norm-Zitat. Beispiele: "Festplattenverschlüsselung Notebooks", "Awareness-Training Phishing", "Backup-Konzept Produktivsysteme". Je konkreter die Bezeichnung desto besser.
Was unterscheidet "Geplant" von "In Umsetzung"?
Geplant: Konzept liegt vor, Umsetzung steht aus.
In Umsetzung: Pilotbetrieb, Umsetzung läuft, noch nicht alle Systeme abgedeckt.
Umgesetzt: vollständig produktiv.
Muss ich alle drei Schutzziele pflegen?
Nein. Aktivieren Sie nur die Ziele, die die Maßnahme tatsächlich adressiert. Eine Festplattenverschlüsselung wirkt primär auf C, eine Backup-Lösung auf A.
Wann sollte ich eine TOM löschen?
Praktisch nie. Verknüpfungen gehen unwiderruflich verloren. Lieber archivieren - dann bleiben alle Verknüpfungen erhalten, und die TOM ist über das Archiv wiederherstellbar.
Wie pflege ich eine TOM, die noch in der Konzept-Phase ist?
Status "Geplant", Beschreibung als Konzept-Entwurf, Verantwortlichen als Maßnahmen-Owner. Schutzziele können vorläufig gepflegt werden und im Lauf der Umsetzung präzisiert werden.
Kann ich Maßnahmen aus einer Vorlage übernehmen?
Über die Textbaustein-Vorschläge im Anlegen-Modal können Sie aus Vorlagen wählen. Eine echte Massen-Übernahme aus einem Standard-Maßnahmenkatalog ist über die Konfigurations-Sub-Seite möglich.
Verwandte Artikel
- TOM: Modulüberblick
- TOM-Verknüpfungen pflegen
- TOM-Wirksamkeit prüfen
- SOA-Export erzeugen