Schwachstellenbehebung

Einsatzmöglichkeiten

Wenn innerhalb eines Prozesses, einer Kontrolle oder einer Management-Kontrolle eine Schwachstelle entdeckt wurde, müssen Sie in MIC dokumentieren, wie diese Schwachstelle behoben wurde.

Wenn eine Schwachstelle schnell und leicht beseitigt werden konnte, reicht es aus, einen Kommentar zur Schwachstelle zu erfassen. Wenn die Schwachstellenbehebung länger dauert oder eine detailliertere Dokumentation notwendig ist, legen Sie einen Plan zur Schwachstellenbehebung (Behebungsplan) an. Wenn als Bearbeiter einer Schwachstelle und des entsprechenden Behebungsplans dieselbe Person zugeordnet wird, erfolgt eine vereinfachte Schwachstellenbehebung. Das bedeutet, dass weniger Aufgaben versendet werden, weil keine Kommunikation zwischen verschiedenen Bearbeitern notwendig ist.

Je nach Einstellung im Customizing unter Beurteilung und Test bzw. bei der Übernahme von Prozessen für eine Organisationseinheit kann ein Behebungsplan von einer weiteren Person überprüft und validiert werden. Eine Validierung ist jedoch nur im Rahmen von Beurteilungen möglich.

Folgende Grafik stellt die möglichen Schritte bei der Schwachstellenbehebung dar:

Voraussetzungen

Im Rahmen einer Beurteilung oder eines Tests wurde eine Schwachstelle angelegt und einem Bearbeiter zugeordnet.

Ablauf

  1. Der eingetragene Bearbeiter der Schwachstelle erhält die Aufgabe Schwachstellenbehebung beginnen in der Aufgabenliste.

  2. Der Bearbeiter entscheidet, ob die Behebung der Schwachstelle mit oder ohne Behebungsplan erfolgen soll:

    Ohne Behebungsplan

    1. Der Bearbeiter entscheidet, ob er die Schwachstelle selbst beheben oder sie einem anderen Bearbeiter zuordnen möchte, und ändert ggf. den Eintrag unter Bearbeiter .

    2. Er wählt In Bearbeitung geben und sichert die Schwachstelle.

    3. Der zuletzt eingetragene Bearbeiter erhält die Aufgabe Schwachstelle ohne Behebungsplan abschließen in der Aufgabenliste.

    4. Die Person mit dieser Aufgabe gibt einen Kommentar ein, der die Schwachstellenbehebung erläutert, und wählt Fertig stellen .

      Mit Behebungsplan

    5. Der Bearbeiter der Schwachstelle legt einen Behebungsplan an, trägt einen Bearbeiter des Behebungsplans ein und wählt In Bearbeitung geben .

    6. Der weitere Ablauf hängt davon ab, wen der Bearbeiter der Schwachstelle als Bearbeiter des Behebungsplans eingetragen hat:

      Sich selbst (vereinfachte Schwachstellenbehebung)

      1. Er selbst erhält die Aufgabe Schwachstelle und Behebungsplan abschließen in seiner Aufgabenliste.

      2. Über diese Aufgabe hat er die Berechtigung, alle Daten zum Behebungsplan einschließlich Fertigstellungsgrad einzutragen und diesen und die Schwachstelle dann fertig zu stellen. Eine Validierung entfällt.

        Einen anderen Bearbeiter

      3. Ein anderer Bearbeiter erhält die Aufgabe Details zum Behebungsplan eingeben in seiner Aufgabenliste. Dieser erfasst zusätzliche Informationen und trägt ggf. einen anderen Bearbeiter ein.

      4. Ggf. erfolgt eine Überarbeitung und Validierung der Details des Behebungsplans.

      5. Der zuletzt eingetragene Bearbeiter des Behebungsplans erhält die Aufgabe Fortschritt des Behebungsplans dokumentieren in der Aufgabenliste, über die er den Fertigstellungsgrad im System hinterlegt.

      6. Wenn der Behebungsplan vollständig umgesetzt wurde, wählt der Bearbeiter Fertig stellen .

Ergebnis

Die Person, die die Schwachstelle gemeldet hat, muss die Kontrolle erneut beurteilen bzw. testen und bestätigen, dass die Schwachstelle wirklich behoben ist.