GRASP – Funktionsumfang🔗
Dieser Abschnitt gibt dir einen kompakten Überblick über die wichtigsten Funktionen der GRASP-Plattform – gegliedert nach Bereichen.
Organisation🔗
- Verwaltung von Personen, Teams und Rollen
- Zuordnung von Rollen zu Personen
- Verwendung von Personen/Rollen als:
- Verantwortliche und Genehmigende für Maßnahmen
- Dokumentverantwortliche
- Risikoeigentümer:innen
- Auditrollen
Durch die konsequente Nutzung von Verantwortlichen können Benachrichtigungen gezielt zugestellt werden (z. B. bei Fristen).
Inventarisierung🔗
- Verwaltung von Assets:
- Hardware
- Software / Anwendungen
- Infrastruktur
- Dienstleister / Service Provider
- Daten
- Verwaltung von Geschäftsprozessen
- Pflege von Abhängigkeiten:
- Prozesse ↔ Assets
- Assets untereinander (z. B. Input-/Output-Assets)
Diese Inventardaten bilden die Grundlage für:
- Schutzbedarfsfeststellungen (SBF)
- Risikoanalysen
- BIA im BCM
- Audit- und Prüfpunktauswahl
Dokumente, Richtlinien & Leitlinien🔗
- Ablage von Policies, Richtlinien, NDAs, Handbüchern, Arbeitsanweisungen usw.
- Hinterlegung von:
- Verantwortlichen
- Status und Version
- letzten und nächsten Prüfterminen
- Upload von Dateien (z. B. PDF) oder Verlinkung externer Quellen (z. B. SharePoint)
- Optionale Bearbeitung einfacher Inhalte direkt im Tool
Über Prüftermine und Benachrichtigungen wird der PDCA-Zyklus für Dokumente aktiv unterstützt.
Maßnahmen, Feststellungen & Aufgaben🔗
- Maßnahmen:
- zentrale Verwaltung aller Maßnahmen mit Verantwortlichen, Genehmigenden, Fristen und Prioritäten
- modulübergreifende Nutzung (z. B. Maßnahme kann sowohl ISMS- als auch BCM-Risiken adressieren)
- Feststellungen:
- Findings aus Audits, Risikoanalysen, Übungen usw.
- Verknüpfung mit Maßnahmen
- Aufgaben-/Taskbereich (optional):
- zusätzliche Aufgabenebene zu Maßnahmen
- Kalender- und Kanban-Sicht zur operativen Steuerung
Risikomanagement (shared)🔗
Ein gemeinsames Risikomanagement für:
- ISMS ISO 27001
- IT-Grundschutz
- BCM
- NIS 2
Funktionsumfang:
- Konfiguration von Risiken je Asset-Kategorie (Daten, Dienstleister, Hardware, Infrastruktur, Personal, Prozesse, Software)
- Risikoanalyse:
- Bewertung von Eintrittswahrscheinlichkeit und Auswirkung
- Berechnung von Initialrisiko und Akzeptanzlevel
- Auswahl der Behandlungsoption (vermeiden, reduzieren, transferieren, akzeptieren)
- Behandlungsplan:
- Zuordnung und Wiederverwendung von Maßnahmen
- Restrisiko:
- Bewertung nach Umsetzung/Planung von Maßnahmen
- Risikomatrix & Übersichten:
- grafische Darstellung
- tabellarische Auswertungen
- Historie/Archiv
Audit-Management (shared)🔗
Auditfunktionen, die in mehreren Modulen genutzt werden können:
- Auditkalender:
- Planung von internen Audits und Rezertifizierungs-Audits
- Auditinformation:
- Scope, Zeitraum, genehmigende Person, Ziele, Umfang
- Prüfpunkte:
- Verknüpfung mit Auditgegenständen (Prozesse, Assets, Dokumente)
- Durchführung / Freigabe / Auswertung:
- Bewertung von Prüfpunkten
- Dokumentation von Feststellungen
- Ableitung und Verknüpfung von Maßnahmen
Modulspezifische Funktionen🔗
ISMS ISO 27001🔗
- Scopes für ISO 27001
- Statement of Applicability (SOA)
- Schutzbedarfsfeststellung (SBF) mit Vererbung
- ISO-Risikoanalysen und ISO-Audits
IT-Grundschutz🔗
- Informationsverbund
- Modellierung mit BSI-Bausteinen
- IT-Grundschutz-Anforderungen (Check)
- Schutzbedarfsfeststellung & Vererbung im BSI-Kontext
BCM🔗
- Business Impact Analyse (BIA):
- Vorfilterung
- Konfiguration (Schadensszenarien & Zeithorizonte)
- Bewertung
- Soll-/Ist-Vergleiche
- Strategien & Lösungen
- Übungen & Tests
NIS 2🔗
- NIS-2-Scopes
- NIS-spezifisches Risikomanagement und Audit-Management
- Nutzung derselben Organisation/Inventarisierung wie IT-Grundschutz und ISMS
Datenschutz🔗
- Datenschutzorganisation und -rollen
- Verarbeitungstätigkeiten, TOMs, Verzeichnis
- Schnittstellen zu ISMS/IT-Grundschutz
Diese Übersicht soll dir helfen, GRASP als Plattform zu verstehen. Für Details zu Abläufen und Workflows schaust du am besten in die jeweiligen Modulkapitel.