Zum Inhalt springen

Wie bewerte und behandle ich ein Risiko?

Ab Tarif Pro

Öffne Compliance → Risiken, klicke auf „Neues Risiko”, wähle das betroffene Asset, setze die Risikostufe (Niedrig, Mittel, Hoch, Kritisch) und bewerte Eintrittswahrscheinlichkeit und Auswirkung je auf einer Skala von 1 bis 5. Die Behandlung dokumentierst du über die Felder Maßnahme, Prüfdatum und Prüfer und schreibst sie später per Aktualisierung fort.

Compliance ist ein Pro-Feature. Zusätzlich brauchst du ein bereits angelegtes Asset, denn jede Risikobewertung verweist über die Asset-ID auf ein konkretes Asset.

  1. Reiter „Risiken” öffnen. Wechsle im Modul Compliance auf den Reiter Risiken und klicke auf „Neues Risiko”.

    Die Risiko-Liste mit der Schaltfläche zum Anlegen.
  2. Bewertung erfassen. Fülle die Felder aus:

    • Asset-ID: das betroffene Asset (UUID des zugehörigen Assets).
    • Risikostufe: Niedrig, Mittel, Hoch oder Kritisch.
    • Eintrittswahrscheinlichkeit (1 bis 5) und Auswirkung (1 bis 5), die beiden Achsen der Risikomatrix.
    • Optional zur Behandlung: Maßnahme (die geplante Gegenmaßnahme), Prüfdatum (wann das Risiko erneut geprüft wird) und Prüfer-ID.
    Das Risiko-Formular. Pflicht sind Asset, Risikostufe, Wahrscheinlichkeit und Auswirkung.
  3. Speichern und behandeln. Nach dem Speichern erscheint die Bewertung in der Liste. Zur Behandlung aktualisierst du das Risiko später: ergänze die Maßnahme, setze ein Prüfdatum oder passe die Risikostufe an, wenn Gegenmaßnahmen greifen.

  • Skalen 1 bis 5: likelihood (Eintrittswahrscheinlichkeit) und impact (Auswirkung) müssen im Bereich 1 bis 5 liegen. Sie spannen die Risikomatrix auf. Werte außerhalb ergeben 422.
  • Risikostufe wird gesetzt, nicht berechnet: Notory speichert risk_level, likelihood und impact unabhängig voneinander. Die Stufe wählst du bewusst. Sie wird nicht automatisch aus Wahrscheinlichkeit × Auswirkung abgeleitet.
  • Asset-Bindung: asset_id verweist auf ein Asset deines Mandanten. Wird das Asset gelöscht, entfällt die zugehörige Bewertung mit (Datenbank-Kaskade).
  • Prüfzyklus: Prüfdatum und Prüfer dokumentieren die wiederkehrende Überprüfung, nützlich, um fällige Reviews zu finden (siehe Compliance-Status).
  • Audit-Trail & Isolation: Ersteller/Bearbeiter mit Zeitstempel; strikt an deinen Mandanten gebunden.