Risko Modelle in Allgemeinen Einstellungen
Die Priverion Plattform unterstützt vier verschiedene Risikomodelle für die verschiedene Arten von Risiken und Elementen. Um auf die Risikoeinstellungen zuzugreifen, klicken Sie auf das Zahnrad in der oberen rechten Ecke und wählen Sie Allgemeine Einstellungen. Dazu benötigen Sie eine der folgenden Berechtigungen: Datenschutzmanager oder IT-Sicherheitsmanager.
Standards
Unter der Registerkarte Standards finden Sie zuerst eine Liste von Standards, die Sie aktivieren können oder auch einen neuen eigenen Standard erstellen. Bei der erstellen können Sie einen von zwei Arten von Modelltypen auswählen. Das Datenschutzmodell und das Informationssicherheitsmodell.
Datenschutzmodell
Dieses Modell bestimmt die Risiken eines Prozesses in Bezug auf Privatsphäre und Datenschutz. Der Schwerpunkt der Auswirkungen des Risikos liegt dabei auf der betroffenen Person. Dieses Modell wird üblicherweise als Prozessrisikomodell oder VVT-Risikomodell (Verzeichnis der Verarbeitungstätigkeiten) bezeichnet.
Wie man das Datenschutzmodell einrichtet oder bearbeitet, erläutern wir in einem separaten Artikel.
Informationssicherheitsmodell
Das Informationssicherheitsmodell ermöglicht es Ihnen, die Risiken für Ihre Assets innerhalb der Organisation zu berechnen. Es bezieht sich ausschliesslich auf Informationssicherheit und Cybersecurity. Dieses Risikomodell konzentriert sich auf die Auswirkungen eines Verlusts der Vertraulichkeit, der Integrität oder der Verfügbarkeit der Assets.
Das Informationssicherheitsmodell für Assets wird pro internationale Norm definiert und danach unter Modell konfigurieren aufgelistet.
Lernen Sie wie Sie das Informationssicherheitsmodell für die verschiedenen Normen aktivieren können im entsprechenden Artikel.
Reifegradmodell
Auf der Registerkarte Reifegradmodell finden Sie Informationen über das Reifegradmodell, welche Ihnen z. B. bei der Arbeit mit Fragebögen helfen.
Risiko-Szenarien
Möglicherweise sind Sie bereits mit Risikoszenarien im Zusammenhang mit verschiedenen Elementen Ihrer Datenschutz-Compliance konfrontiert worden, insbesondere in Bezug auf Assets oder TOMs. Auf dieser Registerkarte können Sie bestehende Risikoszenarien bearbeiten, indem Sie auf eines von ihnen klicken, und neue erstellen oder importieren, indem Sie auf Erstellen klicken.
Wie Sie Risikoszenarien erstellen, bleibt Ihnen überlassen. Sie müssen auf Ihre Situation zutreffen. Aus diesem Grund können Sie auch spontan neue Risikoszenarien erstellen, z. B. bei der Dokumentation eines neuen Assets oder der Erstellung einer neuen Datenschutzfolgeabschätzung. Aber natürlich gibt es auch Risiken, die immer für alle Organisationen gelten, unabhängig von ihrer Geschäftstätigkeit, z. B. Naturkatastrophen.
Benennen Sie das Risikoszenario und legen Sie fest, ob es sich um ein Szenario einer betroffenen Person oder ein Szenario eines Assets handelt.
Die Beschreibung eines neuen Risikoszenarios sollte mit der gebotenen Sorgfalt erfolgen.
Die folgenden Punkte sollten unter anderem berücksichtigt werden:
- Welche Szenarien sind denkbar, die zu einem Schaden führen könnten?
- Welcher Schaden kann den identifizierten betroffenen Personen durch die vorgesehene Verarbeitung entstehen?
- Welche Handlungen und Umstände können zum Eintreten der jeweiligen Schadensfälle führen?
- Welche Parteien sind beteiligt und wie? Sind nicht-menschliche Risikoquellen relevant, z. B. technische Fehlfunktionen?
- Welche Gewährleistungsziele können durch das Szenario beeinträchtigt werden (Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverknüpfung, Transparenz, Betroffenenrechte)?
Fristen und Dringlichkeit
Diese Fristen gelten für die Behandlung eines Risikos, wenn sie im Risikobehandlungsplan nicht anders definiert wurden.
Fragebögen
Unter Fragebögen können Sie die Farbeinstellungen für die Fragebögen definieren. Sie können hier die Farben setzen. Dabei unterscheiden wir zwischen der Primärfarbe und Sekundärfarbe.