HITGuard User Guide - Benutzerbeiträge [de]

Schutzbedarf

2019-11-26T15:43:45Z

ChKe: /* Mögliche Schäden analysieren */

Unter "Risikomanagement → Schutzbedarf" finden Professionals und Experten Schutzbedarfsanalysen, welche im aktuellen Managementsystem angelegt wurden. Es werden alle Schutzbedarfsanalysen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Hier können ebenso neue Schutzbedarfsanalysen erstellt und als PDF heruntergeladen werden.

Sie können einen Bericht über eine oder mehrere Schutzbedarfsanalysen als PDF herunterladen. Der Bericht enthält alle markierten Schutzbedarfsanalysen.

Was ist eine Schutzbedarfsanalyse?

Im Rahmen der Schutzbedarfsanalyse wird der Schutzbedarf für Daten oder Ressourcen (IT-Systeme, Gebäude, Software, etc) von Organisationseinheiten oder Prozessen ermittelt. Die Ergebnisse dieser Analyse, die Schutzbedarfe der Daten und Prozesse, können z.b. in der Strukturanalyse untersucht werden, um Risiken zu identifizieren und Maßnahmen und Kontrollen zu erstellen.

[[Datei:Schutzbedarf Übersicht.png|left|thumb|900px]]
 

== Schutzbedarfsanalyse erstellen / bearbeiten ==

erstellen:
*Schutzbedarfsanalysen können unter "Risikomanagement → Schutzbedarf" über den "Plus Button" erstellt werden.

bearbeiten:
* Um eine Schutzbedarfsanalyse zu bearbeiten muss unter "Risikomanagement → Schutzbedarf" die gewünschte Schutzbedarfsanalyse mittels Doppelklick geöffnet werden.
* Abgeschlossene Schutzbedarfsanalysen können zwar eingesehen, aber nicht mehr bearbeitet werden!

=== Kopfdaten der Schutzbedarfsanalyse ===

----

Auswahl OrgEh / Prozess:
*Bei einer Schutzbedarfsanalyse können entweder Organisationseinheiten oder Prozesse analysiert werden. Was analysiert werden soll, wird über den Punkt Audit ausgewählt.

Audit:
* Wird diese Schutzbedarfsanalyse im Zuge eines Audits durchgeführt, können Sie hier das Audit mit der Schutzbedarfsanalyse in Verbindung setzen. Entsteht die Schutzbedarfsanalyse aufgrund eines Audits werden außerdem die Felder Hauptprüfer, Interviewpartner sowie Beginn und Enddatum vom Audit vorbesetzt. (Für mehr über Audits siehe [[Auditverwaltung| Auditverwaltung]])

OrgEh / Prozess:
* Je nachdem ob eine OrgEh oder ein Prozess analysiert wird, wird hier entweder die Organisationseinheit oder der Prozess ausgewählt.
* Kann nach dem ersten Speichern nicht mehr geändert werden!

Bezeichnung:
* Hier wird eingetragen, wie die Schutzbedarfsanalyse bezeichnet werden soll.

Beschreibung:
* Hier sollten kurz der Zweck der Schutzbedarfsanalyse beschrieben werden.

Hauptprüfer:
* Hier wird der hauptverantwortliche Prüfer der Schutzbedarfsanalyse eingetragen. Er wählt die Ressourcen und/oder Daten aus, welche im Zuge der Schutzbedarfsanalyse analysiert werden, bestimmt weitere Prüfer, sowie Interviewpartner.

Weitere Prüfer:
* Sind Personen, die als Experten der Themengebiete für die Prüfung der Schutzbedarfsanalyse miteinbezogen werden.

Interviewpartner:
* Mit diesen Personen werden im Verlauf einer Schutzbedarfsanalyse Interviews über die Ressourcen/Daten geführt. Im Zuge eines Self-Assessments werden sie mit der Feststellung möglicher Schäden beauftragt. (siehe Typ)

Beginn und Enddatum:
* Hier muss die geplante Zeitspanne der Schutzbedarfsanalyse eingetragen werden.

Typ:
* Interview: Die Schutzbedarfsanalyse wird gemeinsam mit dem Interviewpartner durchgeführt. Der Interviewpartner selbst kann an der Schutzbedarfsanalyse nichts ändern, hat aber Einsicht auf die Schutzbedarfsanalyse.
* Self-Assessment: Der Interviewpartner wird damit beauftragt, mögliche Schäden bei Verletzungen von Schutzzielen festzustellen. Der Prüfer fordert über den "Beantwortung anfordern" Button (sofern die Schutzbedarfsanalyse aktiviert wurde) eine Beantwortung an und überprüft diese nach Beantwortung.

Änderungsprotokoll:
* Hier wird mit aufgezeichnet zu welchen Zeitpunkten die Schutzbedarfsanalyse von wem bearbeitet wurde, wann Sie den Status gewechselt hat und wann Sie abgeschlossen wurde.

[[Datei:Schutzbedarfsanalyse S1 Kopfdaten.png|left|thumb|900px|Kopfdaten der Schutzbedarfsanalyse]]
 

=== Status und Löschen einer Schutzbedarfsanalyse ===

----

Eine Schutzbedarfsanalyse kann sich in verschiedenen Status Variationen befinden. Sind die Email-Benachrichtigungen im Managementsystem aktiv, werden beim Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde z.b. der Interviewpartner sein, wenn ein Prüfer eine Beantwortung anfordert, und die Prüfer fall,s er die Beantwortung retourniert.

Entwurf
* Wird die Schutzbedarfsanalyse das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet Sie sich im Status "Entwurf". Von hier kann die Schutzbedarfsanalyse aktiviert, also in den Status "In Bearbeitung" gesetzt werden.

In Bearbeitung
* Wird die Überprüfung aktiviert, wird Sie in den Status "in Bearbeitung" versetzt. Jetzt ist es Zeit für den Hauptprüfer die Schutzbedarfsanalyse durchzuführen oder eine Beantwortung durch "Beantwortung anfordern" von den Interviewpartnern anzufordern. (nur bei Typ Self-Assesment)
* Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
* Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.

:[[Datei:Schutzbedarfsanalyse Status wechseln.PNG|left]]
 

Angefordert (nur bei Typ Self-Assesments) 
* Wird die Schutzbedarfsanalyse durch den Hauptprüfer angefordert, wird Sie in den Status "angefordert" versetzt. Die Interviewpartner werden jetzt über eine Email aufgefordert die Schutzbedarfsanalyse durchzuführen.
* Sie kann durch "Überprüfung absenden" in den Status "beantwortet" versetzt werden.

Beantwortet (nur bei Typ Self-Assesments) 
* Wird die Schutzbedarfsanalyse durch den Interviewpartner durch "Überprüfung absenden" retourniert, wird Sie in den Status "beantwortet" versetzt. Die Prüfer werden jetzt durch eine Email aufgefordert die Beantwortung zu prüfen.
* Sie kann durch "Beantwortung anfordern" wieder in den Status "angefordert" versetzt werden und der Interviewpartner muss seine Beantwortung überarbeiten.
* Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden. (Prüfer werden darüber informiert)
* Sie kann durch "Überprüfung abschließen" in den Status "geschlossen" versetzt werden.

Geschlossen
* Wird die Schutzbedarfsanalyse durch "Überprüfung abschließen" in den Status "geschlossen" versetzt, wird die Schutzbedarfsanalyse schreibgeschützt und sie kann nicht mehr bearbeitet werden. Dadurch werden die Verbindungen zwischen den Ressourcen und/oder Daten zu ihrer OrgEh oder ihrem Prozess in der Strukturanalyse gesetzt und gewichtet.

Löschen einer Schutzbedarfsanalyse 
* Durch "Überprüfung löschen" können Sie Schutzbedarfsanalyse welche noch nicht abgeschlossen sind löschen. Abgeschlossene Schutzbedarfsanalysen können nicht gelöscht werden!

=== Ressourcen und/oder Daten zur Analyse wählen ===

----

Hier werden die Ressourcen und oder Daten ausgewählt, welche in der Schutzbedarfsanalyse analysiert werden.

Um Ressourcen bzw. Daten zur Analyse hinzuzufügen, muss der "Ressourcen/Daten auswählen" Button geklickt werden. Im Anschluss öffnet sich ein Dialog, indem die Ressourcen bzw. Daten, welche analysiert werden sollen, ausgewählt werden können.

Über den Reiter darüber kann zwischen Ressourcen und Daten gewechselt werden.

[[Datei:Schutzbedarfsanalyse S2 Ressourcen.png|left|thumb|900px]]
 

=== Mögliche Schäden analysieren ===

----

Hier werden die Ressourcen und oder Daten auf mögliche Schäden im Falle der Verletzung eines Schutzzieles analysiert. Bewertet werden Verletzungen durch Schadensausmaße. Weiters sollte erklärt werden, wieso ein Schutzziel mit diesem Schadensausmaß bewertet wurde.

Um alle Ressourcen und Daten zu bewerten, muss durch den Reiter darüber zwischen den hinzugefügten Ressourcen und Daten gewechselt werden.

Die zu bewertenden Schutzziele werden vom Managementsystem vorgegeben und können unter [[Managementsysteme#Stammdaten|"Administration → Managementsysteme → verwendete Schutzziele"]] von Experten aktiviert werden.

Schadensausmaße können unter [[Risikopolitik#Schadensausma.C3.9Fe|"Risikomanagement → Risikopolitik → Schadensausmaße"]] von Experts erstellt und verwaltet werden.

Durch die hier gewählten Schadensausmaße werden in der Strukturanalyse Verbindungen zwischen der OrgEh oder dem Prozess und der bewerteten Ressource bzw. den Daten gesetzt und ihre Schutzziele gewichtet. Dadurch ist es in der Strukturanalyse möglich, die Organisationseinheit oder den Prozess auf Abhängigkeiten zu untersuchen und Risiken festzustellen.

[[Datei:Schutzbedarfsanalyse S3 mögliche Schäden analysieren.png|left|thumb|901px]]

Erstellen einer Wissensdatenbank

2019-10-02T09:34:24Z

ChKe: /* Bedrohung erstellen, bearbeiten und löschen */

Von TogetherSecure werden Wissensdatenbanken erstellt und ausgeliefert. Aber auch jeder Security Assessor Expert ist in der Lage eine Wissensdatenbank zu erstellen bzw. bestehende zu modifizieren. Die Wissensdatenbank kann also von jedem Expert erstellt und überarbeitet werden.

Dies bedeutet, dass er die Themen anlegen und auch hierarchisch reihen kann. Den Themen werden dann Prüffragen zugeteilt indem sie zum Thema angelegt werden oder aus dem vorhandenen Pool der Prüffragen zugeteilt werden. Zu den Prüffragen können im nächsten Schritt Bedrohungen, Maßnahmen und/oder Kontrollen neu angelegt oder aus bestehenden zugeteilt werden. Werden schon Bedrohungen und Maßnahmen mitgeliefert, dann ist das (wie im BSI IT-Grundschutz vorgesehen) so zu sehen, dass für die angebotenen Gefährdungen bereits adäquate Maßnahmen bzw. Kontrollen überlegt wurden. Dem User ist aber ans Herz zu legen, dass er weitere Gefährdungen in seiner Konstellation überdenkt und ggf. zusätzliche Maßnahmen und/oder Kontrollen, zur Behandlung dieser weiteren Gefährdungen erfasst.

== Wissensdatenbank erstellen/bearbeiten ==

Um eine Wissensdatenbank zu erstellen oder zu bearbeiten müssen Sie zum Reiter "Wissensdatenbanken" navigieren. Diesen Reiter finden Sie unter "Administration → Wissensdatenbanken".

In diesem Reiter werden alle Wissensdatenbanken angezeigt egal ob veröffentlicht oder nicht. Nur veröffentlichte Wissensdatenbanken können für Überprüfungen verwendet werden. Veröffentlichte Wissensdatenbanken sind durch ein blaues Häkchen gekennzeichnet. Gibt es von einer Wissensdatenbank mehrere Versionen kann eine als bevorzugt deklariert werden (siehe bearbeiten). Dies wird durch das rote Herz erkennbar gemacht.

'''erstellen:''' 

*Zum erstellen einer neuen WDB auf den "neue Wissensdatenbank erstellen" Button klicken. Im Anschluss müssen Sie Kopfdaten eintragen, Themen erstellen und diesen Prüffragen zuteilen, den Prüffragen Maßnahmen, Kontrollen und Bedrohungen zuteilen. 

[[Datei:WDB Wissensdatenbanken.png|left|thumb|901px|Reiter Wissensdatenbanken]] 

'''bearbeiten:''' 

*Zum bearbeiten einer WDB müssen Sie auf die gewünschte WDB klicken. Veröffentlichte Wissensdatenbanken sind Schreibgeschützt und können deshalb nicht mehr verändert werden. Wurde eine WDB bereits veröffentlicht müssen Sie um die WDB zu bearbeiten eine Nachfolgeversion oder eine Benutzeradaptionen(von Hersteller-WDB) erstellen. Sie können in dieser Maske auch, falls von der WDB mehrere Versionen existieren, festlegen ob diese Version die bevorzugte Version ist. 
* Die Nachfolge Version ist unveröffentlicht und kann daher bearbeitet werden.

[[Datei:WDB Maske Wissensdatenbank bearbeiten.png|left|thumb|899px|Maske zum bearbeiten einer Wissensdatenbank Bei importierten WDB würde Benutzeradaption erstellen statt Nachfolge Version erstellen stehen]] 

=== Kopfdaten ===

----
In den Kopfdaten sollten Sie kurz den Zweck einer Wissensdatenbank beschreiben. Weiters müssen Sie, je nach dem ob es sich um eine eigens kreierte oder einer Wissensdatenbank nach Norm handelt, den Typ dementsprechend einstellen, den aktuellen Stand dieser angeben und den Hersteller eintragen (z.B. Benutzer oder Firma). Achtung nur WDBs vom Typ Hersteller oder Standard/Norm können exportiert werden. Ebenso kann ein Copyright angegeben werden.

Typ Hersteller und Standard oder Norm

Um WDBs vom Type Hersteller oder Standard oder Norm zu erstellen, müssen Sie im Besitz einer Hersteller Lizenz sein! Diese WDBs sind auch die einzigen, welche exportiert werden können.

[[Datei:WDB Kopfdaten.PNG|left|thumb|900px|Maske der Kopfdaten zum erstellen einer WDB]] 

=== Themen ===

----
In diesem Reiter werden alle Themen die in einer WDB enthalten sind hierarchisch aufgelistet.
Themen erfüllen den Zweck eine Wissensdatenbank sinnvoll zu strukturieren.

==== '''Thema erstellen/bearbeiten''' ====

Um ein neues Thema zu erstellen müssen Sie auf die "Themen" Maske navigieren und auf "neues Thema erstellen" klicken. Und die angezeigte Maske ausfüllen.

[[Datei:WDB neues Thema erstellen.png|left|thumb|900px|neues Thema erstellen]] 

:Gliederung und Titel: 
::Hier legen Sie die Gliederung und den Titel fest. Als Gliederung sollten Sie etwas nehmen, dass bei der Strukturierung der WDB sinn ergibt z.B. 1, 1.1, 1.2, 2.1,etc. Der Titel sollte aussagekräftig sein, so dass man sofort weis, welche Fragen in diesem Thema behandelt wird.

:Beschreibung: 
:: Hier sollten Sie beschreiben welchen Zweck das Thema erfüllt. Dieses Textfeld unterstützt HTML Texte.

:Übergeordnetes Thema: 
:: Handelt es sich bei dem Thema um ein untergeordnetes, müssen Sie hier das übergeordnete Thema angeben damit die Strukturierung der WDB richtig ist.

:Stand: 
:: Beim Stand sollten Sie das Datum der letzten Änderung eintragen

:[[Datei:WDB Maske Thema erstellen.PNG|left|thumb|890px|Maske zum erstellen eines neuen Themas]] 

==== '''Prüffragen zuordnen''' ====

Haben sie ein Thema erstellt müssen Sie diesem noch Prüffragen zuweisen. Dafür können sie dem Thema bereits existierende Prüffragen zuordnen oder [[#Prüffrage erstellen, bearbeiten und löschen|neue Prüffragen anlegen]]. Wollen Sie eine hierarchische Struktur der Prüffragen müssen Sie [[#Unterfragen konfigurieren:|Unterfragen konfigurieren]]. Haben Sie eine Prüffrage zugeordnet sollten sie dieser auch noch [[#Maßnahmen, Kontrollen und Bedrohungen zu Prüffragen zuordnen|Maßnahmen, Kontrollen und Bedrohungen zuordnen]].

[[Datei:WDB Prüffragen zuordnen.png|left|thumb|901px|Navigation: Prüffragen zum Thema zuordnen]] 

[[Datei:WDB existierende Prüffragen zuordnen.PNG|left|thumb|900px|Maske zum zuordnen von bereits existierenden Prüffragen ]] 

==== '''Unterfragen konfigurieren:''' ====

Um Prüffragen hierarchisch zu gliedern müssen Sie auf die Prüffrage welche untergeordnet werden soll doppelklicken und die übergeordnete Strukturfrage auswählen (Es wird nur eine Ebene unterstützt d.h. Unterfragen können keine Unterfragen haben). Anschließend können Sie, je nachdem wie die Strukturfrage beantwortet wird, auswählen wie sich die untergeordnete Frage verhalten soll.

[[Datei:WDB Prüffragen hierarchie.PNG|left|thumb|900px|Beispiel: Prüffragen-Hierarchie]] 

[[Datei:WDB Unterfrage konfigurieren.png|left|thumb|890px|Beispiel: Unterfrage Konfigurieren]] 

==== '''Maßnahmen, Kontrollen und Bedrohungen zu Prüffragen zuordnen und bearbeiten''' ====

Maßnahmen und Kontrollen die einer Frage zugeordnet sind, werden bei der Risikobehandlung vorgeschlagen wenn diese bei einer Überprüfung eine Abweichung aufweisen. Werden Bedrohungen zugeteilt wird diese Prüffrage unter diesen Bedrohungen für Analysezwecke gelistet.

'''zuordnen oder neu erstellen:'''
*Die Masken zum zuordnen von existierenden Maßnahmen, Kontrollen und Bedrohungen sind bis auf den Inhalt ident mit der Maske zum zuordnen von Prüffragen.
*Zum erstellen siehe [[#Maßnahme erstellen, bearbeiten und löschen|Maßnahme erstellen]],[[#Kontrolle erstellen, bearbeiten und löschen|Kontrolle erstellen]] und [[#Bedrohung erstellen, bearbeiten und löschen|Bedrohung erstellen]].

[[Datei:WDB Prüffrage M K B zuordnen.png|left|thumb|900px|Prüffrage Maßnahmen, Kontrollen und Bedrohungen zuordnen]] 

'''bearbeiten und Zuordnung aufheben:'''
*Doppelklicken Sie, wie in der oben gezeigten Maske, auf ein Element wird die bearbeiten Maske des jeweiligen Elementes aufgerufen und Sie könne die Eigenschaften dieses Elementes bearbeiten. Ebenso können Sie in dieser Maske die Zuordnung zur Prüffrage aufheben

[[Datei:WDB Maßnahme bearbeiten.png|left|thumb|900px|Maske zum bearbeiten einer Kontrolle]] 

=== Prüffragen ===

----
In diesem Reiter werden alle Prüffragen welche in der WDB existieren aufgelistet. Sie haben in diesem Reiter aber keine Hierarchie, diese existiert nur bei den Themen. Dieser Reiter bietet auch die Option neue Prüffragen zu erstellen.

[[Datei:WDB Prüffragen.png|left|thumb|900px|Wissensdatenbank Reiter Prüffragen]] 

==== '''Prüffrage erstellen, bearbeiten und löschen''' ====

Um eine Prüffrage zu erstellen müssen Sie wie im oben gezeigt Screenshot auf den "Neue Prüffrage erstellen" Button klicken.
Um eine Prüffrage zu bearbeiten oder zu löschen müssen Sie auf die gewünschte Prüffrage doppelklicken. Anschließend kann die Prüffrage über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol). Das Verhalten von Unterfragen ist nur bei den Themen änderbar.

'''Eigenschaften:'''

*Gliederung und Titel: 
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden z.B. Abkürzung des Themas + Nummerierung (DSO_01.00) Der Titel sollte schlagkräftig sein damit klar ist um was es bei der Frage geht.

*Fragestellung: 
:: Hier sollten Sie eine klar formulierte Frage stellen.

*Beschreibung: 
:: Hier sollten Sie falls nötig die Frage genauer beschreiben, d.h. z.B. erklären welche Rahmenbedingungen mindestens erfüllt sein müssen damit eine Frage als positiv erfüllt zu sehen ist.



*Art der Frage: 
:: Hier müssen Sie auswählen ob es sich bei einer Frage um eine Technikfrage oder um eine Prozessfrage handelt. Technikfragen können mit Ja,Nein oder Teilweise beantwortet werden und Prozessfragen mit Reifegraden

*Antwortmöglichkeiten und Entbehrlich: 
:: Mit dieser Option können Sie die Antwortmöglichkeiten der Frage begrenzen. Dies ist nur bei Technikfragen erlaubt. Die Option "Entbehrlich" bestimmt ob eine Frage beantwortet werden muss oder nicht. Zu Beachten ist dabei, dass falls eine Strukturfrage als Entbehrlich gekennzeichnet ist sich das auf deren Unterfragen auswirken kann, da bei Unterfragen das Verhalten bei einer entbehrlichen Strukturfrage eingestellt werden kann.



*Zugewiesene Schutzziele und Gewichtungen: 
:: Hier sollten Sie auswählen welche Schutzziele betroffen sind wenn bei der Frage eine Abweichung auftritt. Beispiel:
:::Prüffrage zur Serverraumsicherheit
:::*Wurde die Türe mit einem Sicherheitsschloss ausgestattet?
::: Wird diese Frage mit nein beantwortet können große Risiken im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
:::{| class="wikitable"
|-
! Schutzziel !! Gewichtung!! Erklärung
|-
| Vertraulichkeit
|style="text-align:center;"| 4
| Einbruch zum Diebstahl einer Festplatte
|-
| Verfügbarkeit
|style="text-align:center;"| 4
| Der Einbrecher könnte etwas zerstören
|-
| Integrität
|style="text-align:center;"| 3
| Er könnte auch am System etwas ändern
|}

*Norm-Mapping: 
:: Beschäftigt sich die Frage mit einem oder mehreren Normen Kapitel sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

*Stand: 
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

[[Datei:WDB Prüffrage erstellen.PNG|left|thumb|885px|Maske zum erstellen einer Prüffrage]] 

=== Maßnahmen ===

----
In diesem Reiter werden alle Maßnahmen welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option neue Maßnahmen zu erstellen.

[[Datei:WDB Maßnahmen.PNG|left|thumb|900px|WDB Reiter Maßnahmen]] 

==== '''Maßnahme erstellen, bearbeiten und löschen''' ====

Um eine Maßnahme zu erstellen müssen Sie wie im oben gezeigt Screenshot auf den "Neue Maßnahme erstellen" Button klicken.
Um eine Maßnahme zu bearbeiten oder zu löschen müssen Sie auf die gewünschte Maßnahme doppelklicken. Anschließend kann die Maßnahme über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

'''Eigenschaften:'''

*Gliederung und Titel: 
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein damit klar ist um was es bei der Maßnahme geht.

*Beschreibung: 
:: Hier sollten Sie die Maßnahme genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Maßnahme genau zu erledigen ist.

*Kategorie: 
::Hier müssen Sie festlegen mit welcher Kategorie sich eine Maßnahme beschäftigt. Diese Kategorien sind vom Hersteller festgelegt.
::Sie lauten:
::*Infrastruktur
::*Organisation
::*Personal
::*Hard- und Software
::*Kommunikation
::*Notfallvorsorge

*Detailebene: 
::Die Detailebene bestimmt auf welcher Ebene der Struktur die Maßnahme auftritt. (Ressource, Ressourcen Gruppe, ModelSegment)

*Risikobehandlungstyp: 
:: Beschreibt wie sich die Maßnahme auf das zu behandelte Risiko auswirkt. Eine Maßnahme kann zu:
::*Risikovermeidung
::*Risikoreduktion
::*Risikodiversifikation
::*Risikokonzentration
::*Risikoübertragung
::*Risikotransformation
::*Risikoakzeptanz
::führen.

*Norm-Mapping: 
:: Beschäftigt sich die Frage mit einem oder mehreren Normen Kapitel sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

*Stand: 
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

[[Datei:WDB Maske Maßnahme erstellen.PNG|left|thumb|888px|Maske zum erstellen einer Maßnahme]] 

=== Kontrollen ===

----
In diesem Reiter werden alle Kontrollen welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option neue Kontrollen zu erstellen.

[[Datei:WDB Kontrollen.png|left|thumb|900px|WDB Reiter Kontrollen]] 

==== '''Kontrolle erstellen, bearbeiten und löschen''' ====

Um eine Kontrolle zu erstellen müssen Sie wie im oben gezeigt Screenshot auf den "Neue Kontrolle erstellen" Button klicken.
Um eine Kontrolle zu bearbeiten oder zu löschen müssen Sie auf die gewünschte Kontrolle doppelklicken. Anschließend kann die Kontrolle über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

'''Eigenschaften:'''

*Gliederung und Titel: 
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein damit klar ist was die Kontrolle kontrolliert.

*Beschreibung: 
:: Hier sollten Sie die Kontrolle genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Kontrolle genau zu erledigen ist.



*Wiederkehrende Kontrolle: 
:: Hier kann ein Intervall festgelegt werden, welches dafür sorgt, dass diese Kontrolle alle x Jahre/monate/etc bei der Auditplannung vorgeschlagen wird. Stimmt das???

*Norm-Mapping: 
:: Beschäftigt sich die Kontrolle mit einem oder mehreren Normen Kapitel sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen. Stimmt das???

*Stand: 
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

[[Datei:WDB Maske Kontrolle erstellen.PNG|left|thumb|890px|Maske zum erstellen einer Kontrolle]] 

=== Bedrohungen ===

----
In diesem Reiter werden alle Bedrohungen welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option neue Bedrohungen zu erstellen.

[[Datei:WDB Bedrohungen.png|left|thumb|900px|WDB Reiter Bedrohungen]] 

==== '''Bedrohung erstellen, bearbeiten und löschen''' ====

Um eine Bedrohung zu erstellen müssen Sie wie im oben gezeigt Screenshot auf den "Neue Bedrohung erstellen" Button klicken.
Um eine Bedrohung zu bearbeiten oder zu löschen müssen Sie auf die gewünschte Bedrohung doppelklicken. Anschließend kann die Bedrohung über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).

'''Eigenschaften:'''

*Gliederung und Titel: 
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein damit klar ist was die Bedrohung ist z.B. fehlende oder unzureichende Absicherung bei der Verarbeitung personenbezogener Daten

*Beschreibung: 
:: Hier sollten Sie die Bedrohung genauer beschreiben, d.h. erklären was die Bedrohung im Detail ist.



*Zugewiesene Schutzziele und Gewichtungen: 
:: Hier sollten Sie auswählen welche Schutzziele betroffen sind wenn diese Bedrohung auftreten würde. Beispiel:
:::Bedrohung Einbruch
:::*Ein Einbrecher könnte in den Serverraum vordingen um dort eine Festplatte mit sensiblen Informationen zu entwenden.
::: Geschieht dies, können große Schäden im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
:::{| class="wikitable"
|-
! Schutzziel !! Gewichtung!! Erklärung
|-
| Vertraulichkeit
|style="text-align:center;"| 4
| Einbruch zum Diebstahl einer Festplatte
|-
| Verfügbarkeit
|style="text-align:center;"| 4
| Der Einbrecher könnte eetwas zerstören
|-
| Integrität
|style="text-align:center;"| 3
| Er könnte auch am System etwas ändern
|}

*Norm-Mapping: 
:: Beschäftigt sich die Bedrohung mit einem oder mehreren Norm Kapitel sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.

*Stand: 
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.

[[Datei:WDB Maske Bedrohung erstellen.PNG|left|thumb|890px|Maske zum Erstellen einer Bedrohung]]

Globale Einstellungen

2019-10-02T07:53:22Z

ChKe:

<translate>


Globale Einstellungen können nur als Administrator oder Expert geändert werden!

== Allgemeine Einstellungen == 


* Standard Sprache
:: Hier wird die Sprache ausgewählt, in der die Applikation standardmäßig angezeigt werden soll. Jeder Benutzer kann sich aber über das Flaggensymbol, rechts oben, die Sprache einstellen, welche er standardmäßig verwenden möchte.
* Organisationsform
:: Hier kann festgelegt werden, ob Unternehmungen eher Funktionsorientiert (Einkauf, Produktion, Vertrieb, etc) oder Prozessorientiert sind. Dies hat Auswirkungen auf die Einstellung von Business Impact Analysen

== Lightweight Directory Access Protocol (LDAP) == 


Diese Einstellung aktiviert die LDAP Integration. 
Dadurch können Benutzer sich über ihre Active Directory Credentials anmelden.


*Automatische Benutzeranlage:
::Diese Option ermöglicht es Benutzerinformationen, bei erstmaliger Anmeldung, aus einem Active Directory zu laden. Dadurch ersparen Sie sich die Arbeit alle Benutzer in HITGuard neu anzulegen. Es müssen den Benutzern lediglich noch Benutzerrollen zugeordnet werden.

*Lokale Anmeldung deaktiviert:
::Falls LDAP Integration aktiviert ist, kann die lokale Anmeldung deaktiviert werden. Benutzer können sich dann nur mehr über Ihre LDAP Anmeldedaten am System anmelden.
::Sind beide Anmeldemodi(LDAP und Lokal) aktiviert können sich Benutzer sowohl mit Ihren LDAP als auch mit Ihren Lokalen Anmeldedaten am System anmelden.


Ist die LDAP Integration aktiviert, müssen sie die Domäne sowie den Root Container Ihres Active Directorys angeben. 
 
[[Datei:LDAP LightweightDirectoryAccessProtocol.PNG|thumb|left|800px]] 

== Email Einstellungen == 


Hier werden die Einstellungen für das automatische Mailing getroffen. Es kann die Absenderadresse sowie der SMTP Server eingestellt werden. Wenn Sie möchten, dann ändern Sie die Einstellungen für das Mailing auf eine '''Unternehmensadresse''', am besten auch für Testzwecke auf die Adresse einer Ressource Mailbox, denn sie müssen auch das Passwort hier hinterlegen. Es kann für jedes Managementsystem eine eigene Email-Adresse gewählt werden (siehe [[Managementsysteme#masy_email| Managementsystem Email]]). 


[[Datei:Email_Einstellungen.PNG|thumb|left|800px]] 

== Benutzerauswahlfeld == 


Hier kann eingestellt werden, welche Informationen bei der Auswahl eines Verantwortlichen angezeigt werden sollen. 
Beispielsweise kann angezeigt werden in welchem Unternehmen und welcher Abteilung ein Benutzer ist.


[[Datei:Benutzerauswahlfeld.PNG||Benutzerauswahlfeld|thumb|left|800px]] 

== Optionale Maßnahmeneigenschaften == 


Hiermit lässt sich konfigurieren, welche Optionen beim Erstellen von Managementsystemen standardmäßig aktiviert sein sollen. Unter "Administration → Managementsysteme" ist es möglich diese Optionen für jedes Managementsystem einzeln zu konfigurieren. Dies hat Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystem.


*Aufwand und Auswirkung:
:: Der Aufwand beschreibt wie viel Ressourcen( personell, monetär, Zeit, etc.) es bedarf um eine Maßnahme umzusetzen Hierzu können unter "Maßnahmen → Einstellungen → Aufwandsklassen" sogenannte [[Einstellungen#aufkla|Aufwandsklassen]] definiert werden.


:: Die Auswirkung beschreibt wie hoch das Risiko bzw. wie stark die Auswirkung auf Geschäftsprozesse ist. Hierzu können unter "Maßnahmen → Einstellungen → Auswirkungsklassen" sogenannte [[Einstellungen#auskla|Auswirkungsklassen]] definiert werden.


*Automatische Fristermittlung:
::Falls aktiviert wird für die Maßnahme nach der Eingabe von "Aufwand", "Auswirkung" und "Fristbeginn" ein Vorschlagswert für das Feld "Fristende" berechnet. Als Berechnungsgrundlage dient hierzu die in der Administration verwaltete "Matrix zu Fristermittlung". Dies soll eine neutrale und möglichst objektive Ermittlung der Umsetzungsdauer ermöglichen.


::"Aufwand und Auswirkung" muss hierfür aktiviert sein.


*Plandatum:
::Ermöglicht die Eingabe eines "Plandatums". Dieses kann vom "Fristende"-Datum abweichen und datiert den Tag bis zu dem der Verantwortliche die Maßnahme voraussichtlich umgesetzt haben wird. Falls aktiviert, wird auch bei Fortschrittsmeldungen vom Verantwortlichen die Eingabe eines Plandatums erwartet.


::Falls aktiviert ist Plandatum ein Pflichtfeld!


*Verschoben:
::Hiermit können Maßnahmen als "verschoben" gekennzeichnet werden. Wird das "Plandatum" einer Maßnahme nachträglich geändert, unterstützt HITGuard dies indem es vorschlägt die Maßnahme als "verschoben" zu kennzeichnen.


*Risikoreduktion:
::Wurde eine Maßnahme in Teilen umgesetzt und fand dadurch eine Reduktion des durch die Maßnahme zu behebenden Risikos statt, so kann für die Maßnahme der Kennzeichner "Risikoreduktion" gesetzt werden. Die Ampel wird dadurch im laufenden Analysezeitraum um eine Stufe heruntergesetzt (z.B. von Rot auf Gelb). Der Kennzeichner wird im nächsten Analysezeitraum automatisch wieder entfernt.


*KO-Kriterium:
::Hiermit können Maßnahmen als kritisch gekennzeichnet werden. Sie werden in Berichten gesondert dargestellt.


*Neu geplant:
::Ermöglicht ein neues einplanen der Maßnahme. Wird die Maßnahme als "neu geplant" gekennzeichnet und die Frist der Maßnahme geändert, so wird die Ampel für diese Maßnahme auf Grün zurückgestellt.


*Maßnahmen-ID Generierung:
::Falls aktiviert, wird bei Neuanlage von Maßnahmen automatisch eine ID vorgeschlagen. Diese ist abhängig von der gewählten Organisationseinheit und nach dem Schema: [OrgEh-Kürzel]_[Laufende Nummer] aufgebaut.
*Korrektur-& Verbesserungsmaßnahme:
::Falls aktiviert können Maßnahmen als Korrektur und/oder Verbesserungsmaßnahmen gekennzeichnet werden. Nach diesen Kennzeichnern kann in der Maßnahmenliste gefiltert werden und sie werden auf Berichten abgedruckt.

</translate>

Zusammenführen von Wissensdatenbanken

2019-10-02T07:51:32Z

ChKe:

Beim Zusammenführen wird auf Basis von zwei Versionen einer Wissensdatenbank eine neue Version erstellt. Die Elemente der neuen Version (Themen, Prüffragen, Bedrohungen,...) stammen aus einer der beiden Ausgangsversionen. Der Benutzer kann für jedes geänderte Element wählen, aus welcher Version das Element in die neue Version übernommen wird.

Ein typisches Anwendungsgebiet für das Zusammenführen sind importierte Hersteller-Wissensdatenbanken, die dann weiter vom Benutzer angepasst wurden. Veröffentlicht der Hersteller eine neue Version seiner Wissensdatenbank ist es wahrscheinlich, dass ein Anwender diese Aktualisierungen möchte, aber gleichzeitig seine eigenen Adaptionen nicht verliert. Um dies zu erreichen, kann er seine Eigenanpassungsversion mit der neuen Herstellerversion zusammenführen anstatt von der neuen Herstellerversion eine Nachfolgeversion zu erstellen und dort dieselben Anpassungen durchzuführen wie in seiner letzten Eigenanpassungsversion.

== Vorraussetzungen zum Zusammenführen ==

* Unterschiedliche Wissensdatenbanken können nicht zusammengeführt werden. Es können nur unterschiedliche Versionen derselben Wissensdatenbank zusammengeführt werden.

*Es können nur veröffentlichte Versionen einer Wissensdatenbank zusammengeführt werden.

*Es können Versionen nur mit anderen Versionen zusammengeführt werden, wenn die aktuellste Version veröffentlicht ist. D.h. sind Version 1 und 2 veröffentlicht und Version 3 existiert ist aber noch nicht veröffentlicht, dann können weder 1 und 2 zusammengeführt werden noch 2 und 3. Ist Version 3 veröffentlicht können 1 und 2, 1 und 3 sowie 2 und 3 zusammengeführt werden. Die Zusammengeführte Version wird immer zur aktuellsten Version, d.h bei diesen 3 Möglichkeiten würde Version 4 entstehen.

*Es können nur Versionen mit Nachfolge-Versionen Zusammengeführt werden. D.h v1 kann mit v4 zusammengeführt werden aber v4 nicht mit v1

== Wissensdatenbanken Zusammenführen ==

Unter "Risikomanagement → Wissensdatenbanken → Zusammenführen von Wissensdatenbanken" finden Sie die Maske zum Zusammenführen von Wissensdatenbanken. Hier wählen Sie nun aus welche Wissensdatenbank Sie Zusammenführen wollen. Anschließend müssen Sie auswählen welche Versionen der Wissensdatenbank Sie zusammenführen wollen. Klicken Sie nun auf den "Zusammenführen" Button werden Sie zum Zusammenführ-Assistenten weitergeleitet.

[[Datei:WDB Navigation.png|left|thumb|800px|Navigation: Zusammenführen von Wissensdatenbanken]] 

=== Erklärung zum Assistenten ===

Führen Sie 2 Versionen einer Wissensdatenbank zusammen, dann müssen Sie führ jedes Element zuerst bestimmen ob oder von welcher Version der Inhalt übernommen werden soll. Erst dann können Sie entscheiden ob Sie die Strukturierung und Zuordnungen der neueren Version übernehmen wollen oder die der alten behalten. Bestätigen Sie den Inhalt (rechte Seite) wird z.B. eine in der neuen Version hinzugefügte Prüffrage in die Liste der Prüffragen aufgenommen, ist aber nur dann einem Thema zugeordnet wenn die Zuordnung auf der linken Seite bestätigt wurde.

Der Aufbau des Assistenten gliedert sich also in zwei Bereiche. Die Entscheidung wie mit dem Inhalt eines Elementes umgegangen werden soll auf der rechten Seite und die Entscheidung wie die Themen strukturiert werden sollen sowie die Zuordnungen derer Prüffragen und deren zugeordneten Elemente auf der linken Seite.

[[Datei:WDB Erklärung änderungen.png|left|thumb|800px|Zusammenführ Assistent]] 

'''Rechte Seite:''' 

Auf der rechten Seite müssen Sie entscheiden ob das Element, welches auf der linken Seite ausgewählt ist, Inhaltlich von der älteren oder neueren Version übernommen werden soll oder gar ob ein in der neueren Version hinzugefügtes Element in der zusammengeführten Wissensdatenbank übernommen wird. Hierbei gewichtet der Assistent auch die Signifikanz der Änderung und gibt hinweise darauf welche Änderungen eine Re-Evaluation einer Überprüfung fordern könnten, wie z.B. die Änderung der Fragestellung bei einer Prüffrage.

'''Linke Seite:''' 

Auf der linken Seite wird Angezeigt was sich zwischen zwei Versionen in der Struktur der Themen und Zuordnung der Prüffragen geändert hat. D.h es wird gezeigt wie sich Themen mit ihren Prüffragen und Prüffragen mit ihren zugeordneten Elementen von der alten auf die neuere Version geändert haben. 
Auf dieser Seite treffen Sie die Entscheidung von welcher Version die Struktur der Themen sowie die Zuordnung der Prüffragen übernommen werden soll. Diese Entscheidungen müssen Sie aber führ jedes Element einzeln treffen. Zu beachten ist auch, dass wenn Sie die Zuordnung des übergeordneten Elementes nicht bestätigen, dann kann von den Unterelementen nur der Inhalt nicht die Struktur übernommen werden. 
Damit Sie auf dieser Seite Entscheidungen treffen können müssen Sie zuerst auf der rechten Seite bestätigen was mit dem Inhalt geschehen soll, erst dann werden die Entscheidungsoptionen verfügbar.

[[Datei:WDB Erklärung aufbau .png|left|thumb|800px|Aufbau der linken Seite]] 

=== Erklärung der Symbole ===

[[Datei:WDB Erklärung Symbole.png|left|thumb|800px|Beschreibung der verschiedenen Symbole]] 

* Element aus Kontext entfernt:
:: Dieses Symbol bedeutet, dass die Zuordnung des Elementes aufgehoben wurde (z.B. Die Prüffrage ist nicht mehr dem Thema zugeordnet).
* Bestehendes Element neu in Kontext eingefügt:
:: Dieses Symbol bedeutet, dass ein Element, welches bereits in der älteren Version existierte, in der neuen Version an der entsprechende Stelle neu hinzugeordnet wurde.
* Verschoben:
:: Dieses Symbol bedeutet, dass ein Element, welches in der älteren Version schon einem anderen Element zugeordnet wurde, einem anderen Element zugeordnet wurde (z.B. Prüffrage wird zur Unterfrage einer Strukturfrage). Durch klicken dieses Symbols springen Sie zu der Stelle an die das Element verschoben wurde und vice-versa.
* Neues Element in Kontext eingefügt:
:: Dieses Symbol bedeutet, dass ein Element, welches in der älteren Version nicht existierte, einem anderen Element zugeordnet wurde.
* Element entfernt:
:: Dieses Symbol bedeutet, dass ein Element, welches in der älteren Version existierte, in der neueren Version nicht mehr existiert.
* Änderung Bestätigen/Ablehnen:
:: Diese Buttons ermöglichen es Ihnen zu Entscheiden ob sie Änderungen der Zuordnungen von der älteren zur neueren Version akzeptieren oder ablehnen
* Thema/Prüffrage/Bedrohung/Maßnahme/Kontrolle:
:: Diese Symbole zeigen welche Elemente was sind.

=== Zusammenführen ===

Um die Versionen zusammenzuführen müssen Sie für jedes Element zuerst auf der rechten Seite entscheiden ob es oder von wo es übernommen wird. Ist dies erledigt müssen Sie auf der linken Seite entscheiden was mit der Zuordnung geschehen soll. Haben Sie dies Erledigt klicken Sie rechts unten auf den "Weiter" Button. Speichern ist erst möglich wenn alle Entscheidungen getroffen wurden.

[[Datei:WDB Zusammenführen S1.png|left|thumb|800px|Zusammenführen Schritt 1]] 

Alle Elemente sollten Sie über den "Weiter" Button ansteuern. Damit dies richtig funktioniert müssen Sie zuerst bei einem Thema alle Entscheidungen für die Strukturfragen treffen. Nach jedem Element auf den "Weiter" Button klicken! Haben Sie dies so gemacht, dann wird, nachdem alle Entscheidungen der Strukturfragen getroffen wurden, bei drücken des "Weiter" Buttons automatisch zur ersten Unterfrage der ersten Strukturfrage gesprungen.

[[Datei:WDB Zusammenführen S2 Entscheidungen Oberfragen.png|left|thumb|800px|Zusammenführen Schritt 2]] 

Jetzt treffen Sie alle Entscheidungen für die Unterfragen. Sind einer Unterfrage Maßnahmen, Kontrollen oder Bedrohungen zugeordnet, werden die durch klicken des "Weiter" Buttons ebenso angesteuert.

[[Datei:WDB Zusammenführen S3 Unterelemente.png|left|thumb|800px|Zusammenführen Schritt 3]] 

Ändert sich zwischen den Versionen etwas an dem Verhalten der Unterfrage (z.B. Anzeigebedingung wird geändert) kann auf der rechten Seite gewählt werden welches Verhalten übernommen werden soll.

[[Datei:WDB Zusammenführen S4 Unterfrage Optionen.png|left|thumb|800px|Zusammenführen: Unterfrage Optionen]] 

Haben Sie das klicken des "Weiter" Buttons solange wiederholt bis Sie alle Themen durchhaben werden Ihnen im Anschluss alle Elemente angezeigt die in den Versionen existieren aber nicht zugeordnet sind.

[[Datei:WDB Zusammenführen S4 Elemente ohne Zuordnung.png|left|thumb|800px|Zusammenführen Schritt 4 Elemente ohne Zuordnung]] 

Haben Sie nun alle Entscheidungen getroffen können Sie die zusammengeführte Wissensdatenbank über den Speichern Button erstellen.

[[Datei:WDB Zusammenführen S6 Speichern.png|left|thumb|800px|Zusammenführen Schritt 5 Speichern]]

Managementsysteme

2019-10-02T07:51:03Z

ChKe:

<translate>


Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten. Wobei Experten nur die Managementsysteme bearbeiten können, für die Sie verantwortlich sind.


'''Was ist ein Managementsystem?''' 
:Ein Managementsystem ist eine inhaltliche Bündelung von z.B. Feststellungen, Fortschrittsmeldungen sowie Kontrollen oder Auditprogrammen (im Risikomanagement).


:Dabei werden die Elemente zu einem Team an verantwortlichen Experts und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. Information Security Management-Team oder Datenschutz-Team). Auf der anderen Seite werden alle darin verwalteten Elemente, im Sinne der Analysezeiträume, historisiert und dadurch auch vergleichbar gemacht.


'''Welchen Zweck erfüllen Managementsysteme?''' 
:Managementsysteme haben zwei zentrale Funktionen:
:# Sie dienen dazu Maßnahmen, Kontrollen, Risikoidentifikationen etc. ausgewählter Abteilungen, Themenbereichen zuzuteilen und dafür verantwortliche Experts zu definieren, die z.B. die Fortschrittserhebung zu den Maßnahmen betreuen. Beispiel:
:#* Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau XY verwaltet
:#* Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet 
:#:
:# Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können. Beispiel:
:#* Herr Mustermann erhebt Fortschritte über 10 Abteilungen halbjährlich.
:#* Frau Moser erhebt Fortschritte über 2 Abteilungen quartalsweise.


:Dass heißt:
:*Maßnahmen zur Risikobehandlung können von Mitarbeitern aus unterschiedlichen Verantwortungsbereichen umgesetzt werden. Experten aus den einzelnen Managementsystemen können laufend den Fortschritt der Maßnahmenentwicklungen erheben und über mehrere Analysezeiträume hinweg berichten.


:*Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen. Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden. Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentiert.


'''Löschen eines Managementsystems:'''
*Das Löschen eines Managementsystems kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Managementsystemen nur dann unterstützt, wenn keine Analysezeiträume enthalten sind.

== Stammdaten == 


In den Stammdaten wird ein Managementsystem konfiguriert. 
Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus. 


:Stammdaten bearbeiten: 
:*Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt, eingetragen. Pro Managementsystem kann es nur einen Verantwortlichen geben. Nur Professionals und Experten können für ein Managementsystem verantwortlich sein Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.


::[[Datei:Stammdaten bearbeiten.PNG|left|thumb|800px|Stammdaten bearbeiten]] 


: Email Einstellungen: 
:* Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet. Wird hier keine Email konfiguriert, so werden alle Emails von der Email-Adresse versandt die in den globalen Einstellungen konfiguriert ist.(siehe [[<tvar|A_GE_email>Special:MyLanguage/Globale Einstellungen#Email Einstellungen</>|Globale Email]])


::[[Datei:ManSys Email Einstellungen.PNG|left|thumb|800px|Email Einstellungen]] 


: Intervallschema definieren: 
::Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden. Analysezeiträume können:
::*manuell angelegt werden (Eingrenzung von-bis Datum bei der Anlage)
::*im vorhinein konfiguriert werden (z.B. Unterteilung des Jahres in 3 Analysezeiträume beginnend mit 1.2.2017 => 1.2.-31.5.2017; 1.6. – 30.09.2017; 1.10.- 31.1.2018)


::[[Datei:Intervallschema definieren.PNG|left|thumb|800px|Intervallschema definieren]] 


:Optionale Maßnahmeneigenschaften: 
::Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen. 
::*siehe [[<tvar|A_GE_opma>Special:MyLanguage/Globale Einstellungen#glop_opme</>|Optionale Maßnahmeneigenschaften]]
::[[Datei:Optionale Maßnahmeneigenschaften.PNG|left|thumb|500px|Optionale Maßnahmeneigenschaften]] 


:Verwendete Schutzziele: 
::Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert. Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Denn diese Schutzziele sind dann innerhalb des Managementsystems verwendbar. Schutzziele können von Experten unter "Risikomanagement → Risikopolitik" verwaltet und erstellt werden. (siehe [[<tvar|SA_RP_Schutz>Special:MyLanguage/Risikopolitik#protar</>|Schutzziele]]) 


::[[Datei:Verwendete Schutzziele.PNG|left|thumb|500px|Verwendete Schutzziele.PNG]] 


:Allgemeine Einstellungen: 
:: Data Protector:
:::Legt fest ob der Data Protector für dieses Managementsystem verwendet wird.

== Analysezeitraum und Historie == 


Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor bzw. im Data Protector, einzelnen Perioden, Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen. Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe [[#int|Intervallschema definieren]])
Abhängig davon, ob sie manuell oder automatisch angelegt wurden, wird der verantwortliche Expert zum jeweiligen Stichtag aufgefordert die nicht erledigten Maßnahmen in den nächsten Analysezeitraum zu überführen.

=== Aktiver Analysezeitraum === 


:Redaktionsschluß: 
:*Relevant für den Progress Monitor. Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten. Fortschrittsmeldungen können über "Maßnahmen → Fortschrittsmeldungen" aber auch jederzeit manuell angefordert werden.


:Zielreifegrad: 
:*Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen. Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt. Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.


:Enthaltene OrgEhs: 
:*Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig. D.h. sie müssen zum Redaktionsschluß Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben. Eine Organisationseinheit kann zeitgleich auch in mehreren Managementsystemen bzw. Analysezeiträume berichten.


:In Nachfolge-Analysezeitraum überführen: 
:*Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor, alle nicht auf Status „erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und dem jeweiligen Status entsprechend adabtiert. Die erledigten Maßnahmen werden im nächsten Zeitraum natürlich nicht mehr weiterverfolgt.

=== Löschen eines Analysezeitraums === 
*Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Analysezeiträumen nur dann unterstützt, solange noch keine Fortschrittsmeldungen erstellt wurden.
*Es kann immer nur der aktuelle Analysezeitraum gelöscht werden, abgeschlossene nicht mehr.
[[Datei:Aktiver Analysezeitraum.PNG|left|thumb|800px|Aktiver Analysezeitraum]] 

=== Historie === 
*In der Historie werden die Analysezeiträume welche schon abgeschlossen wurden mit Beginn, Ende und Redaktionsschluß aufgelistet.
[[Datei:Managementsysteme Historie.png|left|thumb|900px|Aktiver Analysezeitraum]] 
</translate>

Auditplanung

2019-10-02T07:50:14Z

ChKe:

<translate>
__FORCETOC__

Im Zuge der Risikoidentifikation ist es üblich Audits zu planen, denen Überprüfungen oder Analysen zugeordnet sind. In der Regel werden Audits z.B. „Erstaudit der Klinik Y“ oder „Aktualisierung aller BIAs 2017“ über mehrere Tage geplant (Auditprogramm). Zu diesem Auditprogramm werden dann mehrere einzelne Audits (z.B. Business Impact Analysen, Risikoanalysen, Re-Audits von Feststellungen etc.) mit unterschiedlichen Personen der zu auditierenden Organisationseinheit durchgeführt.

Experten und Professionals können unter "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" Audits und Auditprogramme erstellen und verwalten.
[[Datei:Auditverwaltung Navigation.png|left|thumb|560px]] 

== Audits ==

In der Maske "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" werden alle Audits, welche in dem aktuell ausgewählten Managementsystem existieren, aufgelistet. 
Über den rosa Button können Auditpläne als PDF heruntergeladen werden. 
Über den grünen Button können neue Audits erstellt werden. 

[[Datei:Audits Menü.png|left|thumb|900px]] 

'''Audit erstellen / bearbeiten / löschen:'''
: Um ein Audit zu erstellen siehe [[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen</>|Audit erstellen]].
: Wollen Sie ein Audit löschen oder bearbeiten, weil sich z.B. der Status geändert hat, müssen Sie in der "Audits" Maske auf das gewünschte Audit doppelklicken.

:Ebenso können Sie hier neue Überprüfungen planen, oder dem Audit bereits existierende Überprüfungen zuordnen.(siehe [[<tvar|UG_create audit assigned reviews>Special:MyLanguage/Audit erstellen#Zugeordnete Überprüfungen</>|Zugeordnete Überprüfungen]])

: Löschen Sie ein Audit werden dabei '''nicht''' die zugeordneten Überprüfungen gelöscht. Diese existieren weiterhin und können anderen Audits zugeordnet werden.

[[Datei:Audit bearbeiten.png|left|thumb|900px|Maske zum bearbeiten eines Audits]] 

== Auditprogramme ==

In der Maske "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" werden alle Auditprogramme, welche in dem aktuell ausgewählten Managementsystem existieren, aufgelistet. Um hier hinzukommen müssen Sie wie im Screenshot gezeigt wird in der oberen Leiste auf "Auditprogramme" klicken. 

[[Datei:Auditprogramme Menü.png|left|thumb|900px]] 

'''Auditprogramm erstellen / bearbeiten / löschen:'''
: Um ein Auditprogramm zu erstellen siehe [[<tvar|UG_create audit programs>Special:MyLanguage/Auditprogramm erstellen</>|Auditprogramm erstellen]].
: Wollen Sie ein Auditprogramm löschen oder bearbeiten, weil Sie z.B. ein Audit hinzufügen möchten, müssen Sie in der "Auditprogramme " Maske auf das gewünschte Auditprogramm doppelklicken.

: Um Audits zu planen oder zuzuordnen siehe [[<tvar|UG_create audit assigned audits>Special:MyLanguage/Auditprogramm erstellen#Zugeordnete Audits</>|Zugeordnete Audits]]

: Löschen Sie ein Auditprogramm werden dabei '''nicht''' die zugeordneten Audits gelöscht. Diese existieren weiterhin und können anderen Auditprogrammen zugeordnet werden.

[[Datei:Auditprogramm bearbeiten.png|left|thumb|900px]] 

</translate>

Managementsysteme

2019-10-02T07:49:38Z

ChKe:

<translate>


Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten. Wobei Experten nur die Managementsysteme bearbeiten können, für die Sie verantwortlich sind.


'''Was ist ein Managementsystem?''' 
:Ein Managementsystem ist eine inhaltliche Bündelung von z.B. Feststellungen, Fortschrittsmeldungen sowie Kontrollen oder Auditprogrammen (im Risikomanagement).


:Dabei werden die Elemente zu einem Team an verantwortlichen Experts und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. Information Security Management-Team oder Datenschutz-Team). Auf der anderen Seite werden alle darin verwalteten Elemente, im Sinne der Analysezeiträume, historisiert und dadurch auch vergleichbar gemacht.


'''Welchen Zweck erfüllen Managementsysteme?''' 
:Managementsysteme haben zwei zentrale Funktionen:
:# Sie dienen dazu Maßnahmen, Kontrollen, Risikoidentifikationen etc. ausgewählter Abteilungen, Themenbereichen zuzuteilen und dafür verantwortliche Experts zu definieren, die z.B. die Fortschrittserhebung zu den Maßnahmen betreuen. Beispiel:
:#* Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau XY verwaltet
:#* Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet 
:#:
:# Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können. Beispiel:
:#* Herr Mustermann erhebt Fortschritte über 10 Abteilungen halbjährlich.
:#* Frau Moser erhebt Fortschritte über 2 Abteilungen quartalsweise.


:Dass heißt:
:*Maßnahmen zur Risikobehandlung können von Mitarbeitern aus unterschiedlichen Verantwortungsbereichen umgesetzt werden. Experten aus den einzelnen Managementsystemen können laufend den Fortschritt der Maßnahmenentwicklungen erheben und über mehrere Analysezeiträume hinweg berichten.


:*Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen. Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden. Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentiert.


'''Löschen eines Managementsystems:'''
*Das Löschen eines Managementsystems kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Managementsystemen nur dann unterstützt, wenn keine Analysezeiträume enthalten sind.

== Stammdaten == 


In den Stammdaten wird ein Managementsystem konfiguriert. 
Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus. 


:Stammdaten bearbeiten: 
:*Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt, eingetragen. Pro Managementsystem kann es nur einen Verantwortlichen geben. Nur Professionals und Experten können für ein Managementsystem verantwortlich sein Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.


::[[Datei:Stammdaten bearbeiten.PNG|left|thumb|800px|Stammdaten bearbeiten]] 


: Email Einstellungen: 
:* Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet. Wird hier keine Email konfiguriert, so werden alle Emails von der Email-Adresse versandt die in den globalen Einstellungen konfiguriert ist.(siehe [[<tvar|A_GE_email>Special:MyLanguage/Globale Einstellungen#Email Einstellungen</>|Globale Email]])


::[[Datei:ManSys Email Einstellungen.PNG|left|thumb|800px|Email Einstellungen]] 


: Intervallschema definieren: 
::Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden. Analysezeiträume können:
::*manuell angelegt werden (Eingrenzung von-bis Datum bei der Anlage)
::*im vorhinein konfiguriert werden (z.B. Unterteilung des Jahres in 3 Analysezeiträume beginnend mit 1.2.2017 => 1.2.-31.5.2017; 1.6. – 30.09.2017; 1.10.- 31.1.2018)


::[[Datei:Intervallschema definieren.PNG|left|thumb|800px|Intervallschema definieren]] 


:Optionale Maßnahmeneigenschaften: 
::Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen. 
::*siehe [[<tvar|A_GE_opma>Special:MyLanguage/Globale Einstellungen#glop_opme</>|Optionale Maßnahmeneigenschaften]]
::[[Datei:Optionale Maßnahmeneigenschaften.PNG|left|thumb|500px|Optionale Maßnahmeneigenschaften]] 


:Verwendete Schutzziele: 
::Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert. Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Denn diese Schutzziele sind dann innerhalb des Managementsystems verwendbar. Schutzziele können von Experten unter "Risikomanagement → Risikopolitik" verwaltet und erstellt werden. (siehe [[<tvar|SA_RP_Schutz>Special:MyLanguage/Risikopolitik#protar</>|Schutzziele]]) 


::[[Datei:Verwendete Schutzziele.PNG|left|thumb|500px|Verwendete Schutzziele.PNG]] 


:Allgemeine Einstellungen: 
:: Data Protector:
:::Legt fest ob der Data Protector für dieses Managementsystem verwendet wird.

== Analysezeitraum und Historie == 


Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor bzw. im Data Protector, einzelnen Perioden, Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen. Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe [[#int|Intervallschema definieren]])
Abhängig davon, ob sie manuell oder automatisch angelegt wurden, wird der verantwortliche Expert zum jeweiligen Stichtag aufgefordert die nicht erledigten Maßnahmen in den nächsten Analysezeitraum zu überführen.

=== Aktiver Analysezeitraum === 


:Redaktionsschluß: 
:*Relevant für den Progress Monitor. Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten. Fortschrittsmeldungen können über "Progress Monitor → Fortschrittsmeldungen" aber auch jederzeit manuell angefordert werden.


:Zielreifegrad: 
:*Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen. Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt. Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.


:Enthaltene OrgEhs: 
:*Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig. D.h. sie müssen zum Redaktionsschluß Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben. Eine Organisationseinheit kann zeitgleich auch in mehreren Managementsystemen bzw. Analysezeiträume berichten.


:In Nachfolge-Analysezeitraum überführen: 
:*Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor, alle nicht auf Status „erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und dem jeweiligen Status entsprechend adabtiert. Die erledigten Maßnahmen werden im nächsten Zeitraum natürlich nicht mehr weiterverfolgt.

=== Löschen eines Analysezeitraums === 
*Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Analysezeiträumen nur dann unterstützt, solange noch keine Fortschrittsmeldungen erstellt wurden.
*Es kann immer nur der aktuelle Analysezeitraum gelöscht werden, abgeschlossene nicht mehr.
[[Datei:Aktiver Analysezeitraum.PNG|left|thumb|800px|Aktiver Analysezeitraum]] 

=== Historie === 
*In der Historie werden die Analysezeiträume welche schon abgeschlossen wurden mit Beginn, Ende und Redaktionsschluß aufgelistet.
[[Datei:Managementsysteme Historie.png|left|thumb|900px|Aktiver Analysezeitraum]] 
</translate>

Benutzer und Benutzerrollen

2019-10-02T07:47:43Z

ChKe:

<translate>

== Benutzerrollen in HITGuard == 


Jede Benutzerolle hat eigene Berechtigungen und Funktionen. 
Benutzerrollen können für jedes Modul einzeln vergeben werden. Die einzige Ausnahme ist der Practitioner, da diese Rolle modulübergreifend ist. D.h. ein Benutzer kann im Security Assessor (Risikomanagement) Expert sein, im Progress Monitor (Maßnahmen und Kontrollen) aber Professional oder Practitioner.
</translate>

<translate>


'''Admin:'''


Diese Rolle ist für die Administration sowie für die Verwaltung anderer Benutzer zuständig. Administratoren haben keinen Einblick in Daten. Zum Beispiel können Administratoren zwar '''alle''' Managementsysteme verwalten und erstellen, haben aber weder Einblick in deren Daten noch können sie als Verantwortliche festgelegt werden.
* Bei Erstinstallation der Software ist min. ein Administrator zu definieren.
* Es kann mehrere Administratoren geben.
* Erfüllt rein administrative Aufgaben.


'''Expert:'''


Diese Rolle verantwortet ein oder mehrere [[<tvar|A_manSys>Special:MyLanguage/Managementsysteme</>|Managementsysteme]] in Ihrem Unternehmen.
* Security Assessor (Risikomanagement):
**Kann Bewertungen, Risiken erstellen und auch Feststellungen administrieren.
** verantwortet die Administration der Risikopolitik
* Progress Monitor (Maßnahmen und Kontrollen)
** Kann Maßnahmen und Kontrollen erstellen und administrieren.
** verantwortet die Administration der Einstellungen im Progress Monitor
* Data Protector (Datenschutz)
** Kann Verarbeitungstätigkeiten erstellen, TOMs zuweisen, Externe und Betroffene administrieren.
* kann Managementsysteme erstellen und verwalten
* Kann die Zugriffsberechtigungen und Basiskonfigurationen vornehmen
* kann die Administration verwalten


'''Professional:'''


User dieser Rolle unterstützen die Experten der Managementsysteme in der Erfüllung ihrer Aufgaben. Ein Professional hat Zugriff auf alle Aufgaben, in den Managementsystemen denen er zugeteilt ist, mit eingeschränkten Bearbeitungsrechten
* Security Assessor (Risikomanagement):
**Kann Bewertungen, Risiken erstellen und auch Feststellungen administrieren.
* Progress Monitor (Maßnahmen und Kontrollen)
** Kann Maßnahmen und Kontrollen erstellen und administrieren.
* Data Protector (Datenschutz)
** Kann Verarbeitungstätigkeiten erstellen, TOMs zuweisen und Externe verwalten.


'''Practitioner:'''


Diese Rolle verfügt über Detailinformationen und Umsetzungskompetenzen, die aus dem Managementsystem heraus benötigt werden. Dass Practitioner ihr Wissen mit den HITGuard Experten teilen ist für ein lebendiges Managementsystem unbedingt erforderlich.
* hat Überblick über alle ihm zugeteilten Maßnahmen, Kontrollen, Verarbeitungstätigkeiten und Bewertungen zur Beantwortung
* wird an die Erledigung seiner Aufgaben erinnert
* ist die Standardrolle die jeder Benutzer modulübergreifend besitzt.

== Benutzerverwaltung == 


Das Anlegen eines neuen Benutzers wird in 3 Schritte unterteilt:
# Benutzer inklusive initialem Passwort anlegen:
#:Zum Anlegen eines Benutzers gibt es 2 Möglichkeiten
#:* Möglichkeit 1: Benutzerliste
#::: Administration → Benutzer
#::: In der Benutzerliste, am rechten Rand, auf den Plus-Button "Benutzer hinzufügen" klicken und den Benutzer mit den relevanten Daten anlegen (siehe [[<tvar|A_profil>Profil</>|Profil]]).
#:* Möglichkeit 2: Schnellerfassung
#::: Im Kontext der Verwendung kann bei [[Globale_Einstellungen#ldap|Active Directory]] Integration über eine Personenauswahlmaske ein neuer Benutzer mit minimalen Berechtigungen für das aktive Modul erstellt werden. Z.B. bei der Maßnahmenanlage
# Benutzerrollen zuordnen:
#: Benutzerrollen können nur von Administratoren oder Experts vergeben werden. Hierfür unter "Administration → Benutzerrollen-Zuordnung" für den gewünschten Benutzer die jeweiligen Rollen zuordnen. Zu Beachten: Nur Administratoren können die Rolle Expert vergeben. Wichtig: Experts und Professionals müssen anschließend einem Managementsystem zugeteilt werden um ihre Aufgaben erfüllen zu können. (siehe [[<tvar|UG_user_to_manSys>Benutzer zu Managementsystemen zuteilen</>|Benutzer zu Managementsystemen zuteilen]])
# Passwort ändern:
#: Eigenes Passwort ändern:
#:# Auf das Profilbild oder den Profilnamen klicken
#:# unten rechts auf "Passwort ändern" klicken
#:# altes und neues Passwort eingeben und bestätigen
#: Als Administrator oder Expert ein Passwort ändern/zurücksetzen:
#:# Unter Administration → Benutzer den gewünschten Benutzer auswählen
#:# unten rechts auf "Passwort ändern" klicken
#:# neues Passwort eingeben und bestätigen
#: Zu Beachten: Nur Administratoren können Passwörter von Experten zurücksetzen. Experten können User anlegen und berechtigen und sie können Passwörter für Professionals und Practitioner zurücksetzen. Die Administrator-Rolle kann auch an mehrere User vergeben werden.
</translate>

Managementsysteme

2019-10-02T07:24:40Z

ChKe:

<translate>


Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten. Wobei Experten nur die Managementsysteme bearbeiten können, für die Sie verantwortlich sind.


'''Was ist ein Managementsystem?''' 
:Ein Managementsystem ist eine inhaltliche Bündelung von z.B. Feststellungen, Fortschrittsmeldungen sowie Kontrollen oder Auditprogrammen (im Risikomanagement).


:Dabei werden die Elemente zu einem Team an verantwortlichen Experts und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. Information Security Management-Team oder Datenschutz-Team). Auf der anderen Seite werden alle darin verwalteten Elemente, im Sinne der Analysezeiträume, historisiert und dadurch auch vergleichbar gemacht.


'''Welchen Zweck erfüllen Managementsysteme?''' 
:Managementsysteme haben zwei zentrale Funktionen:
:# Sie dienen dazu Maßnahmen, Kontrollen, Risikoidentifikationen etc. ausgewählter Abteilungen, Themenbereichen zuzuteilen und dafür verantwortliche Experts zu definieren, die z.B. die Fortschrittserhebung zu den Maßnahmen betreuen. Beispiel:
:#* Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau XY verwaltet
:#* Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet 
:#:
:# Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können. Beispiel:
:#* Herr Mustermann erhebt Fortschritte über 10 Abteilungen halbjährlich.
:#* Frau Moser erhebt Fortschritte über 2 Abteilungen quartalsweise.


:Dass heißt:
:*Maßnahmen zur Risikobehandlung können von Mitarbeitern aus unterschiedlichen Verantwortungsbereichen umgesetzt werden. Experten aus den einzelnen Managementsystemen können laufend den Fortschritt der Maßnahmenentwicklungen erheben und über mehrere Analysezeiträume hinweg berichten.


:*Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen. Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden. Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentiert.


'''Löschen eines Managementsystems:'''
*Das Löschen eines Managementsystems kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Managementsystemen nur dann unterstützt, wenn keine Analysezeiträume enthalten sind.

== Stammdaten == 


In den Stammdaten wird ein Managementsystem konfiguriert. 
Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus. 


:Stammdaten bearbeiten: 
:*Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt, eingetragen. Pro Managementsystem kann es nur einen Verantwortlichen geben. Nur Professionals und Experten können für ein Managementsystem verantwortlich sein Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.


::[[Datei:Stammdaten bearbeiten.PNG|left|thumb|800px|Stammdaten bearbeiten]] 


: Email Einstellungen: 
:* Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet. Wird hier keine Email konfiguriert, so werden alle Emails von der Email-Adresse versandt die in den globalen Einstellungen konfiguriert ist.(siehe [[<tvar|A_GE_email>Special:MyLanguage/Globale Einstellungen#Email Einstellungen</>|Globale Email]])


::[[Datei:ManSys Email Einstellungen.PNG|left|thumb|800px|Email Einstellungen]] 


: Intervallschema definieren: 
::Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden. Analysezeiträume können:
::*manuell angelegt werden (Eingrenzung von-bis Datum bei der Anlage)
::*im vorhinein konfiguriert werden (z.B. Unterteilung des Jahres in 3 Analysezeiträume beginnend mit 1.2.2017 => 1.2.-31.5.2017; 1.6. – 30.09.2017; 1.10.- 31.1.2018)


::[[Datei:Intervallschema definieren.PNG|left|thumb|800px|Intervallschema definieren]] 


:Optionale Maßnahmeneigenschaften: 
::Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen. 
::*siehe [[<tvar|A_GE_opma>Special:MyLanguage/Globale Einstellungen#glop_opme</>|Optionale Maßnahmeneigenschaften]]
::[[Datei:Optionale Maßnahmeneigenschaften.PNG|left|thumb|500px|Optionale Maßnahmeneigenschaften]] 


:Verwendete Schutzziele: 
::Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert. Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Denn diese Schutzziele sind dann innerhalb des Managementsystems verwendbar. Schutzziele können von Experten unter "Security Assessor → Risikopolitik" verwaltet und erstellt werden. (siehe [[<tvar|SA_RP_Schutz>Special:MyLanguage/Risikopolitik#protar</>|Schutzziele]]) 


::[[Datei:Verwendete Schutzziele.PNG|left|thumb|500px|Verwendete Schutzziele.PNG]] 


:Allgemeine Einstellungen: 
:: Data Protector:
:::Legt fest ob der Data Protector für dieses Managementsystem verwendet wird.

== Analysezeitraum und Historie == 


Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor bzw. im Data Protector, einzelnen Perioden, Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen. Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe [[#int|Intervallschema definieren]])
Abhängig davon, ob sie manuell oder automatisch angelegt wurden, wird der verantwortliche Expert zum jeweiligen Stichtag aufgefordert die nicht erledigten Maßnahmen in den nächsten Analysezeitraum zu überführen.

=== Aktiver Analysezeitraum === 


:Redaktionsschluß: 
:*Relevant für den Progress Monitor. Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten. Fortschrittsmeldungen können über "Progress Monitor → Fortschrittsmeldungen" aber auch jederzeit manuell angefordert werden.


:Zielreifegrad: 
:*Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen. Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt. Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.


:Enthaltene OrgEhs: 
:*Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig. D.h. sie müssen zum Redaktionsschluß Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben. Eine Organisationseinheit kann zeitgleich auch in mehreren Managementsystemen bzw. Analysezeiträume berichten.


:In Nachfolge-Analysezeitraum überführen: 
:*Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor, alle nicht auf Status „erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und dem jeweiligen Status entsprechend adabtiert. Die erledigten Maßnahmen werden im nächsten Zeitraum natürlich nicht mehr weiterverfolgt.

=== Löschen eines Analysezeitraums === 
*Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Analysezeiträumen nur dann unterstützt, solange noch keine Fortschrittsmeldungen erstellt wurden.
*Es kann immer nur der aktuelle Analysezeitraum gelöscht werden, abgeschlossene nicht mehr.
[[Datei:Aktiver Analysezeitraum.PNG|left|thumb|800px|Aktiver Analysezeitraum]] 

=== Historie === 
*In der Historie werden die Analysezeiträume welche schon abgeschlossen wurden mit Beginn, Ende und Redaktionsschluß aufgelistet.
[[Datei:Managementsysteme Historie.png|left|thumb|900px|Aktiver Analysezeitraum]] 
</translate>

Module

2019-10-02T07:20:59Z

ChKe:

Über den Reiter "Administration -> Module" können die verschiedenen Module wie Progress Monitor (Maßnahmen und Kontrollen) oder Security Assessor (Risikomanagement) verwaltet werden. 
Hier besteht ebenso die Möglichkeit die Module anhand von Lizenzen zu aktivieren.
Besitzen Sie noch keine Lizenz können sie diese per Telefon oder Email anfordern. Hierfür einfach das gewünschte Modul auswählen, Laufzeit einstellen und den entsprechenden Button zum Anfordern klicken.

Besitzen Sie bereits eine Lizenzdatei, kann diese ebenfalls über dieses Interface eingespielt werden.

Risikobehandlung

2019-10-02T07:19:07Z

ChKe: /* Maßnahmen-Risiken-Ressourcen */

== Maßnahmen ==

Unter "Risikomanagement → Risikobehandlung → Maßnahmen | Maßnahmen-Risiken-Ressourcen" werden alle Maßnahmen, welche im aktuellen Managementsystem zur Risikobehandlung zur Verfügung stehen, mit ihren zugeteilten Risiken angeführt.

Klicken Sie auf den Pfeil einer Maßnahme wird Ihnen angezeigt zu welchen Risiken die ausgewählte Maßnahme zugeteilt ist. Klicken Sie auf die Maßnahme werden Sie, wenn Sie im Progress Monitor Professional sind, zur Maßnahme weitergeleitet und können den Fortschritt der Maßnahme begutachten.


[[Datei:Risikobehandlung Maßnahmen.png|left|thumb|900px|Maßnahmen]]
 

== Maßnahmen-Risiken-Ressourcen==

Unter "Risikomanagement → Risikobehandlung → Maßnahmen | Maßnahmen-Risiken-Ressourcen" werden alle Maßnahmen, welche im aktuellen Managementsystem zur Risikobehandlung dienen, mit allen verknüpften Risiken und Ressourcen angeführt.

Diese Übersicht hilft dabei zu erkennen welche Maßnahme für die Behebung oder Verminderung einer oder mehrerer Risiken zuständig ist. Weiters ist ersichtlich welche Ressource durch das Risiko bedroht ist.

[[Datei:Maßnahmen Risiken Ressourcen.png|left|thumb|900px|Maßnahmen-Risiken-Ressourcen]]

Risikobehandlung

2019-10-02T07:18:50Z

ChKe: /* Maßnahmen */

== Maßnahmen ==

Unter "Risikomanagement → Risikobehandlung → Maßnahmen | Maßnahmen-Risiken-Ressourcen" werden alle Maßnahmen, welche im aktuellen Managementsystem zur Risikobehandlung zur Verfügung stehen, mit ihren zugeteilten Risiken angeführt.

Klicken Sie auf den Pfeil einer Maßnahme wird Ihnen angezeigt zu welchen Risiken die ausgewählte Maßnahme zugeteilt ist. Klicken Sie auf die Maßnahme werden Sie, wenn Sie im Progress Monitor Professional sind, zur Maßnahme weitergeleitet und können den Fortschritt der Maßnahme begutachten.


[[Datei:Risikobehandlung Maßnahmen.png|left|thumb|900px|Maßnahmen]]
 

== Maßnahmen-Risiken-Ressourcen==

Unter "Security Assessor → Risikobehandlung → Maßnahmen | Maßnahmen-Risiken-Ressourcen" werden alle Maßnahmen, welche im aktuellen Managementsystem zur Risikobehandlung dienen, mit allen verknüpften Risiken und Ressourcen angeführt.

Diese Übersicht hilft dabei zu erkennen welche Maßnahme für die Behebung oder Verminderung einer oder mehrerer Risiken zuständig ist. Weiters ist ersichtlich welche Ressource durch das Risiko bedroht ist.

[[Datei:Maßnahmen Risiken Ressourcen.png|left|thumb|900px|Maßnahmen-Risiken-Ressourcen]]

Wie sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?

2019-10-01T15:55:22Z

ChKe:

So starten Sie in das Arbeiten mit Schutzbedarfsanalysen:

* Risikopolitik-Einstellungen setzen
Risikomanagement > Risikopolitik > Schutzziele
Hier sollten Sie sicherstellen, dass die Schutzziele wie Verfügbarkeit, Vertraulichkeit und Integrität bzw. RTO und RPO aktiviert sind. Weitere Schutzziele wie Verfügbarkeitswerte für 2h, 4h, 8h, 24h, 48h können selbst erfasst werden.

Risikomanagement -> Risikopolitik -> Schutzbedarf
Im Menüpunkt Risikomanagement können Experten in der Risikopolitik, sowohl das Schadensausmaß als auch die Schutzbedarfsklassen konfigurieren.
Zum Hintergrund: Die Schadensausmaßklassen werden im Zuge der Schutzbedarfsanalyse verwendet, um festzulegen, wie hoch der Schaden für einen Prozess oder eine Organisationseinheit wäre, wenn ein IT-Service oder eine Datenkategorie nicht mehr die jeweiligen Schutzziele erfüllt (zB die Vertraulichkeit nicht mehr gewährleistet ist). Die in der Risikopolitik definierten Schadensausmaßklassen fallen je nach Höhe ihres SBA Kantengewichtes in unterschiedliche Schutzbedarfsklassen (je höher das Kantengewicht umso höher der Schutzbedarf). Genau dies gilt es unter Risikomanagement -> Risikopolitik -> Schutzbedarf zu konfigurieren.
Die sogenannte SBA-Kantengewicht-Range (von bis) sorgt dafür, dass in der Strukturanalyse durch eine Abhängigkeitsanalyse auf Basis der Schutzbedarfsanalysen, eine Schutzbedarfsklasse für eine Datenkategorie oder Ressource ermittelt werden kann. Diese Ermittlung leitet sich über diese SBA-Kantengewicht-Range ab. Über alle eingehenden Schutzziel-Beziehungen je Ressource bzw. Datenkategorie wird dabei die Kantenabhängigkeit in % mit dem höchsten SBA-Wert ermittelt und daraus die zugehörige Schutzbedarfsklasse aus dem Range erhoben.

Alles weitere ist in der Reihenfolge nicht verpflichtend, aber empfohlen:

* Wahl der Vorgehensweise
Entscheiden Sie sich nun als nächstes, ob Sie den Schutzbedarf z.B. bei den Organisationseinheiten, hinsichtlich Ihrer Abhängigkeit von speziellen Business IT-Services erheben möchten. Sie können sich aber auch für ein anderes Vorgehen entscheiden, nämlich zB Prozessverantwortliche zu interviewen, hinsichtlich der Abhängigkeit von Datenkategorien. Wir empfehlen Ihnen – für ein durchgängiges und leichter verständliches Analysemodell – sich für einen Weg der Analyse zu entscheiden.

* Auditplanung
Sie können nun, nachdem Sie entschieden haben, ob Sie mit Organisationseinheiten und deren Verantwortlichen bzw. mit Prozessverantwortlichen die Schutzbedarfsanalyse führen wollen, eine Auditplanung erstellen. Planen Sie vorab mit wem Sie wann ein Interview oder Self-Assessment anberaumen.

* Durchführung der Schutzbedarfsanalysen
Wenn es sich um ein Re-Audit handelt, dann schlägt Ihnen das Tool automatisch die zuletzt bereits analysierten IT-Services bzw. Datenkategorien zur jeweiligen Organisationseinheit bzw. dem jeweiligen Prozess vor. Sie können dann auch jederzeit die historischen Antworten im Zuge des Interviews/Self Assessments einsehen.
Andernfalls müssen beim Erst-Audit die zu besprechenden IT-Services oder Datenkategorien erst erhoben werden. Bei den Datenkategorien lässt Sie das Tool nur die obersten Ebenen der Datenarten analysieren. Bei den IT-Services können Sie aus allen Ressourcen wählen, die auf der Modellebene „Anwendungsebene“ erfasst wurden. IdR sollten dies die Business-IT-Services sein.

Welche ersten Schritte sollte ich zum Arbeiten mit dem Data Protector setzen?

2019-10-01T15:47:25Z

ChKe:

So starten Sie in das Arbeiten mit dem Add-on Data Protector:

* Basiseinstellungen setzen

Im Menüpunkt Administration sind die User anzulegen, mit der Berechtigungsrolle „DP_Expert“ auszustatten und weiters im Managementsystem für Datenschutzmanagement ins Team aufzunehmen. Das Managementsystem für Datenschutzmanagement ist mit der CheckBox „DataProtector“ zur Freischaltung des Add-ons zu aktivieren.
Bitte beachten Sie: Nur für ein Managementsystem kann dieses Kennzeichen gesetzt werden, um zu vermeiden, dass z.B. ein Register der Verarbeitungstätigkeiten versehentlich unter mehreren Managementsystemen gepflegt wird.

Alles weitere ist in der Reihenfolge nicht verpflichtend, aber empfohlen:

* Stammdaten einpflegen
Administration -> Organisationseinheiten: Wenn Sie sich in dem Managementsystem befinden, für das das Data Protector Add-on aktiviert ist, können Sie die Organisationseinheiten mit der Zusatzinformation zum Datenschutzbeauftragten ergänzen. Zumindest auf oberster Gesellschafts- bzw. Konzernebene sollte die Information des Datenschutzbeauftragten hinterlegt werden.
Außerdem können Organisationseinheiten angelegt werden, denen dann auch Verarbeitungstätigkeiten (VTs) zugeteilt werden können. Ganz wichtig: Hier bitte auch darauf achten, dass diese Organisationseinheiten unter Administration -> Managementsysteme für das Datenschutzmanagement (am 2. Tab „Aktiver Analysezeitraum“) aktiviert werden.
Administration -> Datenkategorien: Hier sollten die Datenkategorien mit Vater-Kind-Beziehungen erstellt werden; hier bitte darauf achten, dass diese Daten, die für das Datenschutzmanagement verwendet werden sollen, als „personenbezogen“ gekennzeichnet werden.
Datenschutz -> Betroffenenkategorien: Von wem verarbeiten Sie Daten? (z.B. Mitarbeiter, Bewerber, Lieferanten, …). Bitte erfassen Sie die Betroffenengruppen hier.
Datenschutz > Externe: Hier können externe Empfänger bzw. auch Auftragsdatenverarbeiter verwaltet werden. Kennzeichnen Sie dazu den Externen mit dem entsprechenden Flag und laden Sie, wenn gewünscht, auch die AVV (Auftragsdatenverarbeitervereinbarung) dazu hoch.

* Bewegungsdaten anlegen
Maßnahmen bzw. Kontrollen: Hier können Sie TOMs (Technische und organisatorische Maßnahmen) im Sinne von HITGuard-Maßnahmen und Kontrollen für das Managementsystem zum Datenschutz anlegen und (sofern auch wirklich schon umgesetzt) als erledigt kennzeichnen. NUR die erledigten Maßnahmen können dann unter Datenschutz -> TOMs als „allgemeine TOMs“ zugewiesen werden. Bzw. können sie in den VTs im Schritt 5 „spezifische TOMs“ für einzelne Verarbeitungstätigkeiten spezielle erledigte Maßnahmen bzw. aktive Kontrollen zuweisen.

Datenschutz -> TOMs: hier können die bereits angesprochenen „allgemeinen TOMs“ zugewiesen werden.

Datenschutz -> Verarbeitungsregister: Hier können neue Verarbeitungstätigkeiten (VT) erstellt werden. Hier bitte den Assistentenschritten folgen. GGf. können auch einzelnen VTs an Sachbearbeiter mit „Bearbeitung anfordern“ zur Vervollständigung oder Aktualisierung versendet werden. Alle oben erstellten Informationen können hier zugewiesen und verwendet werden.

Bei Bedarf können über den Menüpunkt Verarbeitungsregister die VTs auch noch zu Organisations- und Gesellschaftsregistern gruppiert werden (achten Sie dazu auf die Menüleiste über dem Grid der VTs).

Betroffenenkategorien

2019-10-01T15:38:41Z

ChKe:

__TOC__

Unter "Datenschutz → Betroffenenkategorien | Vorkommen von Betroffenenkategorien" definieren Datenschutz Experten wie Betroffene kategorisiert werden. Diese Kategorien werden anschließend den Verarbeitungstätigkeiten zugeteilt, welche sich mit der Verarbeitung personenbezogener Daten dieser Kategorie befassen. Ein Beispiel hierfür wäre die Verarbeitungstätigkeit Personaladministration, welche personenbezogene Daten der Betroffenenkategorie Mitarbeiter verarbeitet.

[[Datei:Betroffenen Übersicht.png|left|thumb|900px|Übersicht der Externen]]
 

=== Betroffenenkategorie erstellen oder bearbeiten===

Um eine Betroffenenkategorie zu erstellen, klicken Sia auf den Plus-Button in der Übersicht.

Um eine Betroffenenkategorie zu bearbeiten, doppelklicken Sie auf diese in der Übersicht.

Achtung!: Einmal erstellt können Betroffenenkategorien nur gelöscht werden, solange Sie in keiner Verarbeitungstätigkeit vorkommt.

Bezeichnung:
* Bezeichnung der Kategorie z.b Mitarbeiter, Bewerber, Kunden, Lieferanten, etc.

Beschreibung:
* Hier erklären Sie, worum es sich bei der Kategorie handelt. Kunden könnten z.b Personen oder Firmen sein oder Sie legen für jeden Fall eine spezielle Betroffenenkategorie an.

[[Datei:Betroffenen bearbeiten.png|left|thumb|900px|Betroffenenkategorie erstellen / bearbeiten]]
 

== Vorkommen von Betroffenenkategorien ==

Aufgrund der DSGVO hat jeder Betroffene das Recht Auskunft darüber zu bekommen, welche Daten von ihm aktuell in Ihrem Unternehmen verarbeitet werden. Aus diesem Grund bietet HITGuard Datenschutz Experten die Möglichkeit unter "Datenschutz → Betroffenenkategorien → Vorkommen von Betroffenenkategorien" zu sehen, wo Daten des Betroffenen verarbeitet werden. Da hier auch erkenntlich ist, in welchen Applikationen diese Daten vorhanden sind, kann im Falle einer Löschaufforderung schnell herausgefunden werden, wo diese Daten zu löschen sind.

[[Datei:Vorkommen von Betroffenenkategorien.png|left|thumb|900px|Vorkommen der Betroffenenkategorien]]
 

Um gezielt nach einer Betroffenenkategorie zu Suchen gibt es 2 Möglichkeiten:
# Sie benutzen die Suchleiste rechts oben und suchen nach der Betroffenenkategorie.
# Sie Filtern über das "Trichter" Icon gezielt nach der gewünschten Betroffenenkategorie.

Anschließend wird Ihnen angezeigt, in welchen Verarbeitungstätigkeiten welche Daten des Betroffenen verarbeitet werden, sowie in welchen Prozessen diese Daten verarbeitet werden. In Klammer steht immer welche Daten verarbeitet werden, bzw. die übergeordneten Datenkategorien.

[[Datei:Vorkommen von Betroffennekategorie Filtern.gif|left|thumb|900px|Nach Betroffenenkategorie filtern]]

Hauptseite

2019-10-01T15:35:32Z

ChKe:

<translate>

== Menüführung == 


Hier werden alle Module und deren Menüpunkte erklärt.

=== Meine Aufgaben=== 


----


*[[<tvar|A_profil>Special:MyLanguage/Profil</>|Profil]]
*[[Special:MyLanguage/Dashboard|Dashboard]]
*[[Special:MyLanguage/Maßnahmenstatus|Maßnahmenstatus]]
*[[Kontrollen]]
*[[Überprüfungen]]
*[[VTs]]

=== Risikomanagement=== 


----
*[[Risikomanagement Dashboard]]
*[[Risikopolitik]]
*[[Strukturanalyse]]
*[[Schutzbedarf]]
*[[Schwachstellen]]
*[[Risikobewertung]]
*[[Risikobehandlung]]
*[[Auditverwaltung]]
*[[Berichte für das Risikomanagement]]

=== Maßnahmen=== 


----


*[[Dashboard für Maßnahmen]]
*[[Maßnahmen]]
*[[Fortschrittsmeldungen]]

*[[Historie]]
*[[Auswertungen]]
*[[Einstellungen]]

=== Kontrollen=== 


----


*[[Dashboard für Kontrollen]]
*[[Kontrolldefinitionen]]

=== Datenschutz=== 


----


*[[Verarbeitungsregister]]
*[[Externe]]
*[[TOMs]]
*[[Betroffenenkategorien]]

=== Administration=== 


----


*[[<tvar|A_users>Special:MyLanguage/Benutzer und Benutzerrollen</>|Benutzer und Benutzerrollen]]
*[[<tvar|A_teams>Special:MyLanguage/Teams</>|Teams]]
*[[<tvar|A_options>Special:MyLanguage/Globale Einstellungen</>|Globale Einstellungen]]
*[[<tvar|A_manSys>Special:MyLanguage/Managementsysteme</>|Managementsysteme]]
*[[<tvar|A_orgUnits>Special:MyLanguage/OrgEh - Organisationseinheiten</>|OrgEh - Organisationseinheiten]]
*[[Ressourcen]]
*[[<tvar|A_datacategories>Special:MyLanguage/Datenkategorien</>|Datenkategorien]]
*[[<tvar|A_processes>Special:MyLanguage/Prozesse</>|Prozesse]]
*[[Wissensdatenbanken]]
*[[<tvar|A_standards_norms>Special:MyLanguage/Standards und Normen</>|Standards und Normen]]
*[[<tvar|A_moduls>Special:MyLanguage/Module</>|Module]]

== Benutzer Anleitungen == 

=== Arbeiten mit den Tabellen === 


:*[[Funktionalität der Tabellen|Funktionalität und Symbole der Tabellen]]

===Experten oder Profesionals=== 


:*[[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen</>|Audit erstellen / bearbeiten]]
:*[[<tvar|UG_create audit programs>Special:MyLanguage/Auditprogramm erstellen</>|Auditprogramm erstellen / bearbeiten]]
:*[[Schwachstellen#create_überprüfung|Überprüfungen erstellen / bearbeiten (Abweichungsanalysen erstellen / Prüfergebisse einpflegen)]]
:*[[Risikobewertung#create_rsik|Risiko erfassen / bearbeiten]]
:*[[Maßnahmen#create_measure|Maßnahme anlegen / bearbeiten]]
:*[[Kontrolldefinitionen#create_check|Kontrollen anlegen / bearbeiten]]
:*[[Fortschrittsmeldungen#req_progress|Fortschrittsmeldungen anfordern]]
:*[[Externe#create_external|Externe erstellen / bearbeiten]]

===Administratoren oder Experten=== 


:*[[Risikopolitik| Risikopolitik verwalten]]
:*[[Einstellungen| Einstellungen der Maßnahmen und Kontrollen verwalten]]
:*[[Betroffenenkategorien#create_affected|Betroffenenkategorien erstellen / bearbeiten]]

===How To Start=== 

*[[Welche ersten Schritte sollte ich zum Arbeiten mit dem Data Protector setzen?]]
*[[Wie sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?]]

== Release Notes == 


*[[HITGuard Release Juli 2019]]
*[[HITGuard Release April 2019]]
*[[HITGuard Release März 2019]]

</translate>

Hauptseite

2019-10-01T15:29:05Z

ChKe:

<translate>

== Menüführung == 


Hier werden alle Module und deren Menüpunkte erklärt.

=== Meine Aufgaben=== 


----


*[[<tvar|A_profil>Special:MyLanguage/Profil</>|Profil]]
*[[Special:MyLanguage/Dashboard|Dashboard]]
*[[Special:MyLanguage/Maßnahmenstatus|Maßnahmenstatus]]
*[[Kontrollen]]
*[[Überprüfungen]]
*[[VTs]]

=== Risikomanagement=== 


----
*[[Risikomanagement Dashboard]]
*[[Risikopolitik]]
*[[Strukturanalyse]]
*[[Schutzbedarf]]
*[[Schwachstellen]]
*[[Risikobewertung]]
*[[Risikobehandlung]]
*[[Auditverwaltung]]
*[[Berichte für das Risikomanagement]]

=== Maßnahmen=== 


----


*[[Dashboard für Maßnahmen]]
*[[Maßnahmen]]
*[[Fortschrittsmeldungen]]

*[[Historie]]
*[[Auswertungen]]
*[[Einstellungen]]

=== Kontrollen=== 


----


*[[Dashboard für Kontrollen]]
*[[Kontrolldefinitionen]]

=== Datenschutz=== 


----


*[[Verarbeitungsregister]]
*[[Externe]]
*[[TOMs]]
*[[Betroffenenkategorien]]

=== Administration=== 


----


*[[<tvar|A_users>Special:MyLanguage/Benutzer und Benutzerrollen</>|Benutzer und Benutzerrollen]]
*[[<tvar|A_teams>Special:MyLanguage/Teams</>|Teams]]
*[[<tvar|A_options>Special:MyLanguage/Globale Einstellungen</>|Globale Einstellungen]]
*[[<tvar|A_manSys>Special:MyLanguage/Managementsysteme</>|Managementsysteme]]
*[[<tvar|A_orgUnits>Special:MyLanguage/OrgEh - Organisationseinheiten</>|OrgEh - Organisationseinheiten]]
*[[Ressourcen]]
*[[<tvar|A_datacategories>Special:MyLanguage/Datenkategorien</>|Datenkategorien]]
*[[<tvar|A_processes>Special:MyLanguage/Prozesse</>|Prozesse]]
*[[Wissensdatenbanken]]
*[[<tvar|A_standards_norms>Special:MyLanguage/Standards und Normen</>|Standards und Normen]]
*[[<tvar|A_moduls>Special:MyLanguage/Module</>|Module]]

== Benutzer Anleitungen == 

=== Arbeiten mit den Tabellen === 


:*[[Funktionalität der Tabellen|Funktionalität und Symbole der Tabellen]]

===Experten oder Profesionals=== 


:*[[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen</>|Audit erstellen / bearbeiten]]
:*[[<tvar|UG_create audit programs>Special:MyLanguage/Auditprogramm erstellen</>|Auditprogramm erstellen / bearbeiten]]
:*[[Schwachstellen#create_überprüfung|Überprüfungen erstellen / bearbeiten (Abweichungsanalysen erstellen / Prüfergebisse einpflegen)]]
:*[[Risikobewertung#create_rsik|Risiko erfassen / bearbeiten]]
:*[[Maßnahmen#create_measure|Maßnahme anlegen / bearbeiten]]
:*[[Kontrolldefinitionen#create_check|Kontrollen anlegen / bearbeiten]]
:*[[Fortschrittsmeldungen#req_progress|Fortschrittsmeldungen anfordern]]
:*[[Externe#create_external|Externe erstellen / bearbeiten]]

===Administratoren oder Experten=== 


:*[[Risikopolitik| Risikopolitik verwalten]]
:*[[Einstellungen| Einstellungen der Maßnahmen und Kontrollen verwalten]]
:*[[administration| Administration]]
:*[[Betroffenenkategorien#create_affected|Betroffenenkategorien erstellen / bearbeiten]]

===How To Start=== 

*[[Welche ersten Schritte sollte ich zum Arbeiten mit dem Data Protector setzen?]]
*[[Wie sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?]]

== Release Notes == 


*[[HITGuard Release Juli 2019]]
*[[HITGuard Release April 2019]]
*[[HITGuard Release März 2019]]

</translate>

Maßnahmen Einstellungen

2019-10-01T15:28:34Z

ChKe:

Alle Einstellungen und Konfigurationen, die hier getroffen werden, sind global, d.h. sie wirken sich auf '''alle Managementsysteme''' aus und können nur von Administratoren oder Experten bearbeitet werden.

== Aufwandsklassen ==

Der Aufwand beschreibt wie viele Ressourcen (monetär, Zeit) es bedarf um eine Feststellung zu schließen bzw. die damit verbundene Maßnahme umzusetzen.
Die Aufwandsklassen können definiert werden können (z.B. groß, mittel, klein). Die Anzahl der Klassen, der Name der Klassen sowie deren Eigenschaften (monetär oder personeller Aufwand) ist dabei frei konfigurierbar.

[[Datei:Aufwandsklassen.png|left|thumb|801px|Aufwandsklassen]]
 

== Kriterien für Auswirkungsklassen ==

Auswirkungen sind nicht unbedingt immer monetärer Natur. Sie können z.B. zu Effektivitätsverlust, Imageschaden oder Patientenschaden führen. Aus diesem Grund bietet HITGuard die Möglichkeit Kriterien für Auswirkungen frei zu konfigurieren. Diese Kriterien können dann wiederum auf Auswirkungsklassen gemapped werden. 
Erstellt werden diese unter "Maßnahmen → Einstellungen → Kriterien für Auswirkungsklassen". 

[[Datei:Kriterien für Auswirkungsklassen.PNG|left|thumb|800px|Beispiel: Kriterien für Auswirkungsklassen]]
 

== Auswirkungsklassen ==

Auswirkungen werden in Klassen unterteilt. Die Auswirkungsklassen orientieren sich dabei an der Risikotragfähigkeit des Unternehmens. Die höchste Auswirkungsklasse sollte sich daher an dem maximalen für das Unternehmen tragbaren Schaden orientieren. Klassen können von Administratoren und Experten definiert werden.

Monetärer Schaden:
: Hier wird definiert, wie hoch ein monetärer Schaden in einer Klasse ausfällt.

Kriterium hinzufügen:
: Hier können die bereits erstellten Kriterien auf eine Auswirkungsklasse gemapped werden. Zudem sollten Sie im Kontext der Klasse beschreiben, welcher Schaden auftreten muss um ein Kriterium zu erfüllen. 
 '''Beispiele für Auswirkungsklassen:''' 
{| class="wikitable"
|-
! Auswirkungsklasse
! Definition
|-
|rowspan = 4| Gering
| Monetärer Schaden: > 5T EUR und <= 25EUR
|-
| Patientenschaden: geringe und kurzzeitige Unannehmlichkeiten
|-
| Effektivitätsverlust: kein oder sehr begrenzter Einfluss auf Operationen/Prozeduren
|-
| Daten- und Systemsicherheit: Bekanntwerden einer entsprechenden Bedrohung oder Schwachstelle hat vernachlässigbaren Einfluss
|-
|rowspan = 4| Moderat
| Monetärer Schaden: > 25T EUR und <= 100T EUR
|-
| Patientenschaden: zeitlich begrenzte und geringere Verletzungen, medizinische Intervention erforderlich
|-
| Effektivitätsverlust: sehr begrenzter oder belästigender Effekt auf Operationen/Maßnahmen
|-
| Daten- und Systemsicherheit: Offenlegung sensibler Informationen könnte negative (finanzielle) Folgen haben und möglicherweise Ressourcenaufwand zur Beseitigung bedingen
|-
|rowspan = 4| Katastrophal
| Monetärer Schaden: > 10Mio EUR
|-
| Patientenschaden: Tod
|-
| Effektivitätsverlust: geplante Operationen/Prozeduren nicht mehr durchführbar
|-
| Daten- und Systemsicherheit: Kann zu vollständiger Offenlegung sensibler Informationen führen
|}

[[Datei:Auswirkungsklassen.PNG|left|thumb|800px|Beispiel: Auswirkungsklasse Niedrig]]
 

== Fristermittlung ==

Die Matrix zur Fristermittlung ergibt sich aus der Kombination von Aufwand und Auswirkung. Experts müssen für sämtliche Kombinationen aus Aufwand und Auswirkung definieren, wie lange die Dauer zur Umsetzung einer adäquaten Maßnahme zur Risikobehebung/-reduktion akzeptabel ist. Dadurch wird die Vorbesetzung der Deadline mit dem Termin des Abschlussberichts erhöht und auf den jeweils definierten Wert gesetzt. Dieser Wert kann aber auch noch manuell in der Maßnahme angepasst werden.

Klicken Sie auf eine Zelle in der Matrix um die Einstellungen zu ändern.

[[Datei:PM Fristermittlung.PNG|left|thumb|800px|Beispiel: Fristermittlung Klein * Niedrig]]

Schwachstellen

2019-10-01T15:21:34Z

ChKe:

== Überprüfungen ==

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Professionals und Experten alle Überprüfungen welche im aktuellen Managementsystem angelegt wurden. Es werden alle Überprüfungen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Hier können ebenso neue Überprüfungen erstellt bzw. angefordert werden.

Was ist eine Überprüfung?

Unter einer Überprüfung wird in HITGuard die Erfassung von Abweichungen zu einem Soll-Zustand verstanden. Beispielsweise kann eine Überprüfung ein Audit durch einen externen Auditor darstellen. Die Erkenntnisse, die Ihnen vom Auditor eventuell in Form eines Berichts ausgehändigt wurden, können Sie als sogenanntes "Prüfergebnis" in HITGuard einpflegen.

Prüfergebnisse können aber auch durch eine Überprüfung mit HITGuard entstehen. Dies geschieht in HITGuard durch die Verwendung von Wissensdatenbanken in "Abweichungsanalysen". In Abweichungsanalysen wird eine Überprüfung durch strukturierte Fragebögen geleitet, mit deren Hilfe Abweichungen zum gewünschten Zielzustand ermittelt werden.

Der Zielzustand wird in HITGuard als Zielreifegrad bezeichnet und ist für jedes Managementsystem separat einzustellen. Nur Experten oder Administratoren können unter [[Special:MyLanguage/Managementsysteme#Aktiver_Analysezeitraum|"Administration → Managementsysteme"]] den Zielreifegrad einstellen und verändern.

[[Datei:Risikoidentifikation Überprüfungen.png|left|thumb|901px|Überprüfungen]]
 

Navigation im Assistenten

Die Navigation im Assistenten zur Durchführung von Überprüfungen funktioniert wie folgt:
* Durch Klicken auf "Weiter" kommt man zum nächsten Schritt bzw. zur nächsten Prüffrage.
* Durch Klicken auf "Zurück" kommt man zum letzten Schritt bzw. zur letzten Prüffrage.
* Durch Klicken im Navigationsbaum auf der linken Seite kommt man zur gewünschten Stelle.
* Unten links auf der Navigations-Maske können die Prüffragen im Navigationsbaum über eine Checkbox "Prüffragen" eingeblendet werden.
* Blendet man die Prüffragen ein, kann somit auch über den Baum zu diesen navigiert werden.
* "Speichern" und "Schließen" verhalten sich selbsterklärend.

Unabhängig davon, welche Art der Überprüfung Sie durchführen (Abweichungsanalyse mittels einer Wissensdatenbank oder Erfassung von Prüfergebnissen) die Bearbeitungsschritte im Assistenten zur Durchführung von Überprüfungen sind im wesentlichen immer dieselben:
# Überprüfung erstellen und speichern
# Themen bzw. Prüfobjekte hinzufügen und Überprüfung aktivieren
# Beantwortung der Prüfobjekte bzw. Möglichkeit zur Anforderung einer Beantwortung im "Self Assessment" durch den Interviewpartner
# Beantwortungen bzw. erkannte Abweichungen überprüfen
# Überprüfung abschließen

Eine Überprüfung kann von einem Expert durchgeführt werden. Dabei hat er aber auch die Möglichkeit, die Beantwortung der Überprüfung von seinem Interviewpartner in HITguard anzufordern. Via Workflow-Unterstützung erhält der Interviewpartner dazu eine Aufforderung und kann die Beantwortung durchführen um Sie dann auch anschließend wieder an den Experten zu retournieren. Dieser prüft die Ergebnisse und kann dann die Überprüfung als abgeschlossen kennzeichnen und somit archivieren. Die Behandlung der Abweichungen aus der Überprüfung ist jederzeit möglich, auch wenn eine Überprüfung bereits abgeschlossen ist.

[[Datei:Wizard Navigation.png|left|thumb|900px|Überprüfungs Wizard]]
 

=== Abweichungsanalysen ===

Abweichungsanalysen sind Fragebogen gestützte Überprüfungen zu bestimmten Themen. Durch diese Fragebögen lässt sich z.b der Erfüllungsgrad einer Norm bestimmen. Zusätzlich zu den Fragebogenthemen können Sie, aber auch freie Prüfergebnisse erfassen.

Um eine Abweichungsanalyse zu erstellen, müssen Sie auf den "Abweichungsanalyse+" Button klicken.

Um eine bestehende Abweichungsanalyse zu bearbeiten, müssen Sie in der Auflistung auf die gewünschte Überprüfung doppelklicken.

[[Special:MyLanguage/Abweichungsanalyse | Abweichungsanalyse erstellen / bearbeiten]]

=== Prüfergebnisse ===

Unter einem Prüfergebnis versteht man z.b. die Erkenntnisse, welche im Zuge eines Audits vom Auditor eventuell in Form eines Berichtes ausgehändigt wurden. Diese Erkenntnisse können Sie über "Prüfergebnis+" frei einpflegen.

Um ein bestehendes Prüfergebnis zu bearbeiten, müssen Sie in der Auflistung auf die gewünschte Überprüfung doppelklicken.

[[Special:MyLanguage/Prüfergebnisse| Prüfergebnisse einpflegen/ bearbeiten]]

== Prüfobjekte ==

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Prüfobjekte, welche im aktuellen Managementsystem erstellt wurden.

[[Datei:Prüfobjekte Übersicht.png|left|thumb|900px|Übersicht der Prüfobjekte]]
 

Durch Klicken auf ein Prüfobjekt, öffnet sich die Detailansicht zum Prüfobjekt. Hier sehen Sie wie das Prüfobjekt beantwortet wurde. Ebenso können Sie sich, wenn mehrere Versionen des Prüfobjektes vorhanden sind, ansehen wie sich die Beurteilung des Prüfobjektes von einer Version zur nächsten entwickelt hat. Nur die Kopfdaten eines Prüfobjektes sind über diese Maske bearbeitbar. D.h. diese Maske kann nicht zum Beantworten eines Prüfobjektes verwendet werden.

[[Datei:Prüfobjekt bearbeiten.png|left|thumb|900px|Prüfobjekt bearbeiten]]
 

== Abweichungen ==

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Abweichungen, welche bei der Durchführung von Überprüfungen festgestellt wurden.

Hier haben Sie außerdem die Möglichkeit Abweichungen, welche noch keinem Risiko zugewiesen wurden, einem Risiko zuzuweisen.

[[Datei:Abweichungen Übersicht.png|left|thumb|901px|Übersicht der Abweichungen]]
 

=== Zielreifegrad-Gewichtung===

Was der Zielreifegrad ist und wo er eingestellt wird finden Sie unter [[Special:MyLanguage/Managementsysteme#Aktiver Analysezeitraum | Managementsysteme]].
Überall wo Abweichungen vorkommen, gibt es noch eine zusätzliche Form der Sortierung, die Zielreifegrad-Gewichtung. Z.b. unter "Risikomanagement → Schwachstellen → Abweichungen".

Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Zielreifegrad-Gewichtung. Je größer die Abweichung vom Zielreifegrad und je größer die Gewichtung des Schutzzieles desto größer die Zielreifegrad-Gewichtung: Zielreifegrad-Gewichtung = Abweichungsgrad * Gewichtung des Schutzzieles.

Anmerkung: Eine Beantwortung mit "Nein" entspricht Reifegrad 1, "Teilweise" entspricht Reifegrad 3.

Beispiele zur Veranschaulichung: Gewichtung des Schutzzieles: Mittel (3)
*Reifegrad der Abweichung = 2, Zielreifegrad = 4 => Abweichungsgrad = 2, Zielreifegrad-Gewichtung = 2 * 3 = 6.
*Reifegrad der Abweichung = 4, Zielreifegrad = 4 => Abweichungsgrad = 0, Zielreifegrad-Gewichtung = 0 * 3 = 0.

[[Datei:Zielreifegrad Gewichtung anwenden.gif|left|thumb|900px|Zielreifegrad Gewichtung anwenden]] 

== Abklärungsbedarf ==

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Prüffragen / Prüfergebnisse welche, im Zuge einer Überprüfung, mit "Abklärungsbedarf" gekennzeichnet wurden.

Diese Kennzeichnung ist in der Praxis dann notwendig, wenn Sie bei der Beantwortung einer Prüffrage momentan noch nicht abklären können, wie die Frage zu beantworten ist, weil Sie z.B. noch eine andere Person hinzuziehen oder die Information anderweitig nachrecherchieren müssten. Im Anschluss an eine Reihe von Überprüfungen ist es praktisch einfach auswerten zu können, welche Fragen nun tatsächlich noch recherchiert werden müssen. Genau dazu dient die Ansicht „Abklärungsbedarf“.

Klicken Sie auf eine Prüffrage/Prüfergebnis werden Sie zu der Überprüfung in der Sie gekennzeichnet wurde weitergeleitet.

Es ist ebenso möglich, eine Auflistung alle abklärungsbedürftigen Prüffragen/Ergebnisse über den Export Button zu exportieren. (neben der Suchleiste) Dies bietet den Vorteil, dass man eine einfach verwendbare Auflistung der abklärungsbedürftigen Prüffragen erhält.

[[Datei:Abklärungsbedarf Übersicht.png|left|thumb|900px|Übersicht der abklärungsbedürftigen Prüffragen / Prüfergebnisse]]

Auditprogramm erstellen

2019-10-01T15:15:08Z

ChKe:

<translate>
__FORCETOC__

Um ein Auditprogramm zu erstellen, müssen Sie zuerst zu der Maske "Auditprogramm erstellen" navigieren. 
Dafür:
# über das Menü zu Auditverwaltung navigieren. ("Risikomanagement → Auditverwaltung")
# anschließend müssen Sie, wie im unten dargestellten Screenshot, von Audits auf Auditprogramm wechseln.
# nun müssen Sie nur noch den Button "Auditprogramm erstellen" klicken. 
[[Datei:Auditprogramm erstellen 1.png|left|thumb|901px|Auditprogramm erstellen: Navigation]] 

== Auditprogramm erstellen ==
Haben Sie die Maske erfolgreich geöffnet, müssen Sie diese mit den entsprechenden Informationen befüllen und speichern um ein Auditprogramm zu erstellen.
[[Datei:Auditprogramm erstellen 2.PNG|left|thumb|901px|Maske zum erstellen eines Auditprogramms]] 

Organisationseinheit: 
* Hier muss die Organisationseinheit eingetragen werden, bei der die Audits für das Auditprogramm geplant werden.

Kürzel und Bezeichnung: 
* Beim Kürzel tragen Sie ein, wie das Auditprogramm abgekürzt wird.
* Bei der Bezeichnung muss eingetragen werden, wie das Auditprogramm heißen soll.

Beschreibung: 
* Hier sollten Sie eintragen welchen Zweck, die in der folge des Auditprogramms geplanten Audits haben.

Beginn und Enddatum: 
* Hier muss eingetragen werden, in welchen Zeitraum, in einem Auditprogramm, Audits geplant werden.

== Zugeordnete Audits==

Hier werden alle bereits geplanten Audits angezeigt. Dabei ist egal ob diese Entwürfe, in Durchführung, in Nachbearbeitung oder bereits abgeschlossen sind. 

Es besteht ebenso die Möglichkeit hier neue Audits für ein Auditprogramm zu planen oder bereits existierende Audits dem Auditprogramm zuzuordnen.

Für das Erstellen/Zuordnen eines neuen Audits auf den jeweiligen Button klicken. 
Wie Audits erstellt werden, finden Sie unter [[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen</>|User Guide: Audit erstellen]].

[[Datei:Zugeordnete Audits.png|left|thumb|800px|Beispiel: Zugeordnete Audits]] 

[[Datei:Audits zuordnen.png|left|thumb|800px|Maske zum hinzufügen von existierenden Audits]] 

</translate>

Auditprogramm erstellen

2019-10-01T15:10:52Z

ChKe:

<translate>
__FORCETOC__

Um ein Auditprogramm zu erstellen, müssen Sie zuerst zu der Maske "Auditprogramm erstellen" navigieren. 
Dafür:
# über das Menü zu Auditverwaltung navigieren. ("Security Assessor → Auditverwaltung")
# anschließend müssen Sie, wie im unten dargestellten Screenshot, von Audits auf Auditprogramm wechseln.
# nun müssen Sie nur noch den Button "Auditprogramm erstellen" klicken. 
[[Datei:Auditprogramm erstellen 1.png|left|thumb|901px|Auditprogramm erstellen: Navigation]] 

== Auditprogramm erstellen ==
Haben Sie die Maske erfolgreich geöffnet, müssen Sie diese mit den entsprechenden Informationen befüllen und speichern um ein Auditprogramm zu erstellen.
[[Datei:Auditprogramm erstellen 2.PNG|left|thumb|901px|Maske zum erstellen eines Auditprogramms]] 

Organisationseinheit: 
* Hier muss die Organisationseinheit eingetragen werden, bei der die Audits für das Auditprogramm geplant werden.

Kürzel und Bezeichnung: 
* Beim Kürzel tragen Sie ein, wie das Auditprogramm abgekürzt wird.
* Bei der Bezeichnung muss eingetragen werden, wie das Auditprogramm heißen soll.

Beschreibung: 
* Hier sollten Sie eintragen welchen Zweck, die in der folge des Auditprogramms geplanten Audits haben.

Beginn und Enddatum: 
* Hier muss eingetragen werden, in welchen Zeitraum, in einem Auditprogramm, Audits geplant werden.

== Zugeordnete Audits==

Hier werden alle bereits geplanten Audits angezeigt. Dabei ist egal ob diese Entwürfe, in Durchführung, in Nachbearbeitung oder bereits abgeschlossen sind. 

Es besteht ebenso die Möglichkeit hier neue Audits für ein Auditprogramm zu planen oder bereits existierende Audits dem Auditprogramm zuzuordnen.

Für das Erstellen/Zuordnen eines neuen Audits auf den jeweiligen Button klicken. 
Wie Audits erstellt werden, finden Sie unter [[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen</>|User Guide: Audit erstellen]].

[[Datei:Zugeordnete Audits.png|left|thumb|800px|Beispiel: Zugeordnete Audits]] 

[[Datei:Audits zuordnen.png|left|thumb|800px|Maske zum hinzufügen von existierenden Audits]] 

</translate>

Managementsysteme

2019-10-01T14:36:09Z

ChKe:

<translate>


Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten. Wobei Experten nur die Managementsysteme bearbeiten können, für die Sie verantwortlich sind.


'''Was ist ein Managementsystem?''' 
:Ein Managementsystem ist eine inhaltliche Bündelung von z.B. Feststellungen, Fortschrittsmeldungen sowie Kontrollen (im Progress Monitor) oder Auditprogrammen (im Security Assessor).


:Dabei werden die Elemente zu einem Team an verantwortlichen Experts und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. Information Security Management-Team oder Datenschutz-Team). Auf der anderen Seite werden alle darin verwalteten Elemente, im Sinne der Analysezeiträume, historisiert und dadurch auch vergleichbar gemacht.


'''Welchen Zweck erfüllen Managementsysteme?''' 
:Managementsysteme haben zwei zentrale Funktionen:
:# Sie dienen dazu Maßnahmen, Kontrollen, Risikoidentifikationen etc. ausgewählter Abteilungen, Themenbereichen zuzuteilen und dafür verantwortliche Experts zu definieren, die z.B. die Fortschrittserhebung zu den Maßnahmen betreuen. Beispiel:
:#* Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau XY verwaltet
:#* Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet 
:#:
:# Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können. Beispiel:
:#* Herr Mustermann erhebt Fortschritte über 10 Abteilungen halbjährlich.
:#* Frau Moser erhebt Fortschritte über 2 Abteilungen quartalsweise.


:Dass heißt:
:*Maßnahmen zur Risikobehandlung können von Mitarbeitern aus unterschiedlichen Verantwortungsbereichen umgesetzt werden. Experten aus den einzelnen Managementsystemen können laufend den Fortschritt der Maßnahmenentwicklungen erheben und über mehrere Analysezeiträume hinweg berichten.


:*Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen. Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden. Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentiert.


'''Löschen eines Managementsystems:'''
*Das Löschen eines Managementsystems kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Managementsystemen nur dann unterstützt, wenn keine Analysezeiträume enthalten sind.

== Stammdaten == 


In den Stammdaten wird ein Managementsystem konfiguriert. 
Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus. 


:Stammdaten bearbeiten: 
:*Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt, eingetragen. Pro Managementsystem kann es nur einen Verantwortlichen geben. Nur Professionals und Experten können für ein Managementsystem verantwortlich sein Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.


::[[Datei:Stammdaten bearbeiten.PNG|left|thumb|800px|Stammdaten bearbeiten]] 


: Email Einstellungen: 
:* Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet. Wird hier keine Email konfiguriert, so werden alle Emails von der Email-Adresse versandt die in den globalen Einstellungen konfiguriert ist.(siehe [[<tvar|A_GE_email>Special:MyLanguage/Globale Einstellungen#Email Einstellungen</>|Globale Email]])


::[[Datei:ManSys Email Einstellungen.PNG|left|thumb|800px|Email Einstellungen]] 


: Intervallschema definieren: 
::Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden. Analysezeiträume können:
::*manuell angelegt werden (Eingrenzung von-bis Datum bei der Anlage)
::*im vorhinein konfiguriert werden (z.B. Unterteilung des Jahres in 3 Analysezeiträume beginnend mit 1.2.2017 => 1.2.-31.5.2017; 1.6. – 30.09.2017; 1.10.- 31.1.2018)


::[[Datei:Intervallschema definieren.PNG|left|thumb|800px|Intervallschema definieren]] 


:Optionale Maßnahmeneigenschaften: 
::Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen. 
::*siehe [[<tvar|A_GE_opma>Special:MyLanguage/Globale Einstellungen#glop_opme</>|Optionale Maßnahmeneigenschaften]]
::[[Datei:Optionale Maßnahmeneigenschaften.PNG|left|thumb|500px|Optionale Maßnahmeneigenschaften]] 


:Verwendete Schutzziele: 
::Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert. Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Denn diese Schutzziele sind dann innerhalb des Managementsystems verwendbar. Schutzziele können von Experten unter "Security Assessor → Risikopolitik" verwaltet und erstellt werden. (siehe [[<tvar|SA_RP_Schutz>Special:MyLanguage/Risikopolitik#protar</>|Schutzziele]]) 


::[[Datei:Verwendete Schutzziele.PNG|left|thumb|500px|Verwendete Schutzziele.PNG]] 


:Allgemeine Einstellungen: 
:: Data Protector:
:::Legt fest ob der Data Protector für dieses Managementsystem verwendet wird.

== Analysezeitraum und Historie == 


Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor bzw. im Data Protector, einzelnen Perioden, Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen. Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe [[#int|Intervallschema definieren]])
Abhängig davon, ob sie manuell oder automatisch angelegt wurden, wird der verantwortliche Expert zum jeweiligen Stichtag aufgefordert die nicht erledigten Maßnahmen in den nächsten Analysezeitraum zu überführen.

=== Aktiver Analysezeitraum === 


:Redaktionsschluß: 
:*Relevant für den Progress Monitor. Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten. Fortschrittsmeldungen können über "Progress Monitor → Fortschrittsmeldungen" aber auch jederzeit manuell angefordert werden.


:Zielreifegrad: 
:*Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen. Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt. Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.


:Enthaltene OrgEhs: 
:*Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig. D.h. sie müssen zum Redaktionsschluß Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben. Eine Organisationseinheit kann zeitgleich auch in mehreren Managementsystemen bzw. Analysezeiträume berichten.


:In Nachfolge-Analysezeitraum überführen: 
:*Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor, alle nicht auf Status „erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und dem jeweiligen Status entsprechend adabtiert. Die erledigten Maßnahmen werden im nächsten Zeitraum natürlich nicht mehr weiterverfolgt.

=== Löschen eines Analysezeitraums === 
*Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Analysezeiträumen nur dann unterstützt, solange noch keine Fortschrittsmeldungen erstellt wurden.
*Es kann immer nur der aktuelle Analysezeitraum gelöscht werden, abgeschlossene nicht mehr.
[[Datei:Aktiver Analysezeitraum.PNG|left|thumb|800px|Aktiver Analysezeitraum]] 

=== Historie === 
*In der Historie werden die Analysezeiträume welche schon abgeschlossen wurden mit Beginn, Ende und Redaktionsschluß aufgelistet.
[[Datei:Managementsysteme Historie.png|left|thumb|900px|Aktiver Analysezeitraum]] 
</translate>

Audit erstellen

2019-10-01T14:31:27Z

ChKe:

<translate>
__FORCETOC__
Um ein Audit zu erstellen müssen Sie zuerst zu der Maske "Audit erstellen" navigieren. 
Dafür:
# über das Menü zu Auditverwaltung navigieren. ("Risikomanagement→ Auditverwaltung")
# anschließend sehen Sie bereits, wie im unten gezeigten Screenshot zu sehen ist, die Auflistung der Audits.
# nun müssen Sie nur noch den Button "Audit erstellen" klicken. 

[[Datei:Audit erstellen 1.png|left|thumb|900px|Auditerstellen: Navigation]] 

== Audit erstellen ==

Haben Sie die Maske erfolgreich geöffnet, müssen Sie diese ausfüllen und speichern um ein neues Audit zu erstellen.
[[Datei:Audit erstellen 2.PNG|left|thumb|900px|Maske zum erstellen eines Audits]] 

Organisationseinheit: 
* Hier muss die Organisationseinheit eingetragen werden, bei der das geplante Audit anfällt.

Status: 
* Der Status eines Audits sollte zur Erstellung auf "Entwurf" stehen und erst auf "in Durchführung" gestellt werden, wenn das Audit auch wirklich begonnen hat.

Kürzel und Bezeichnung: 
* Beim Kürzel tragen Sie ein, wie das Audit abgekürzt wird.
* Bei der Bezeichnung muss eingetragen werden, wie das Audit heißen soll.

Beschreibung: 
* Hier sollten Sie eintragen, welchen Zweck das Audit hat.

Hauptprüfer und weitere Prüfer: 
* Der Hauptprüfer ist für die Durchführung des Audits zuständig.
* Die weiteren Prüfer sind während des Interviews mit dem Hauptprüfer anwesend, müssen aber nicht unbedingt Einfluss auf ein Interview haben.

Verantwortliche: 
* Die hier eingetragenen Personen werden bei der Durchführung der Audits befragt.

Beginn und Enddatum: 
* Hier muss eingetragen werden wann das Audit beginnt.
* Ein Audit muss ein Beginndatum, aber kein Enddatum haben.

Detailebene: 
* Hier muss ausgewählt werden, auf welcher Detailebene sich das Audit befindet.
* Zur Auswahl stehen die Ressource, Ressourcen Gruppe oder die Modelsegment Ebene.

Typ: 
* Hier wählen Sie aus ob dieses Audit eine Erstbewertung oder eine Neubewertung ist.

Externes Audit: 
* Handelt es sich bei diesem Audit um ein externes, dann wählen Sie das hier aus.

Auditprogramm: 
* Ist dieses Audit teil eines Auditprogramms, dann wählen Sie dieses Programm hier aus.

== Zugeordnete Überprüfungen ==

Hier werden alle Überprüfungen zu einem Audit angezeigt. Dabei ist egal, ob diese Entwürfe in Bearbeitung oder bereits abgeschlossen sind. 

Weiters ist es hier möglich neue Überprüfungen/Analysen für ein Audit zu erstellen. Es besteht ebenso die Möglichkeit dem Audit schon existierende Überprüfungen/Analysen zuzuordnen. 

Für das Anlegen/Zuordnen einer neuen Überprüfung/Abweichungsanalyse auf den jeweiligen Button klicken. Dabei müssen Sie nur beachten, dass Überprüfungen nur geplant bzw. hinzugefügt werden können, wenn der Status nicht abgeschlossen ist. Für bereits abgeschlossene Audits müssen Sie zuerst den Status auf "in Nachbearbeitung" stellen. Wie Überprüfungen angelegt werden, finden sie unter [[Schwachstellen#.C3.9Cberpr.C3.BCfungen|Überprüfungen]].

[[Datei:Zugeordnete Überprüfungen.png|left|thumb|901px|Beispiel: Zugeordnete Überprüfungen]] 

[[Datei:Überprüfungen zuordnen.png|left|thumb|901px|Maske zum zuordnen von existierende Überprüfungen]] 

</translate>

Funktionalität der Tabellen

2019-09-30T13:56:16Z

ChKe:

== Symbolbeschreibung==

Die Symbole aus dem Bild sind immer im Kontext des Arbeitens mit Tabellen zu sehen. Diese Symbole stehen dort in der Regel zur Verfügung und erfüllen dort die beschriebene Funktion im Kontext des jeweiligen Menüpunkts. D.h. beispielsweise, dass ein Klick auf den Plus-Button in der Audit Übersicht in diesem Kontext ein neues Audit und kein Auditprogramm erstellt.

[[Datei:Iconbeschreibung.png|left|thumb|900px|Iconbeschreibung ]] 

== Gruppieren ==

Es kann jede Tabelle nach Spalten gruppiert werden. Dies bietet den Vorteil, das Sie z.b. einen Überblick darüber bekommen, wie viele angeforderte Überprüfungen in einer Organisationseinheit existieren.

Zum Gruppieren müssen Sie lediglich den Spaltenkopf in die Zeile über der Tabelle ziehen. Es kann nach beliebig vielen Spalten gruppiert werden.

[[Datei:Group Funktion.gif|left|thumb|900px|Gruppieren einer Tabelle]] 

== Filtern ==

Es kann in jeder Tabelle, in der das Trichter Symbol zur Verfügung steht, nach bestimmten Items gefiltert werden. Dies hat den Vorteil, das Sie z.b. gewiße Status ausblenden können, da Sie gerade nicht sehen wollen, ob es Entwürfe von Überprüfungen gibt, sondern ihr Interesse darauf liegt, welche sich in Bearbeitung befinden.

Um nach Items filtern zu können müssen Sie auf das Trichter Symbol einer Spaltenbezeichnung klicken. Anschließend können Sie wählen welche Items angezeigt werden sollen.

[[Datei:Filter Funktion.gif|left|thumb|900px|Tabelle nach Items filtern]] 

Filter können entweder wieder entfernt werden, in dem Sie alle Filter abwählen oder den "Filter löschen"-Button klicken. Durch den Button werden alle Filter gelöscht.

Achtung!
* Bei Filtern sollten Sie aufpassen, da man schnell vergisst, dass man einen Filter in Verwendung hat. Deswegen sollten Sie daran denken, den "Filter löschen" Button zu klicken, wenn Sie den Eindruck haben, dass zu wenig Datenzeilen angezeigt werden.

[[Datei:Filter Löschen.gif|left|thumb|900px| Alle Filter löschen]] 

== Sortieren ==

Es kann in jeder Tabelle nach jeder Spalte aufsteigend oder absteigend sortiert werden. Dies ist vor allem bei Risiken praktisch, da Sie dort direkt nach der Risikokennzahl sortieren können und sofort das größte Risiko ausfindig machen können.

Zum Sortieren müssen Sie auf eine Spaltenbezeichnung klicken. Danach wechselt bei jedem Klick auf die Spaltenbezeichnung die Sortierung. Zum Aufheben müssen Sie einen Rechtsklick machen und auf "Sortierung aufheben" klicken.

[[Datei:Sort Funktion.gif|left|thumb|900px|Tabelle nach Spalte aufsteigend und absteigend sortieren]] 

==Spaltenauswahl==

Sie können in jeder Tabelle entscheiden welche Informationen angezeigt werden sollen. Dies unterscheidet sich natürlich je nach Tabelle.

Um die Spalten zu ändern, müssen Sie auf das Icon zwischen Suchleiste und "Filter löschen" klicken.

[[Datei:Spaltenauswahl.gif|left|thumb|900px|Auswählen welche Spalten angezeigt werden sollen]] 

==Spaltenbreite ändern==

Sie können in jeder Tabelle die Breite einer Spalte anpassen.

Zum Ändern der Spaltenbreite müssen Sie auf den Trennstrich zwischen zwei Spalten mit der Maus fahren und warten bis sich der Mauszeiger ändert. Anschließend können Sie die Spalte beliebig groß ziehen.

[[Datei:Spaltenbreite ändern.gif|left|thumb|900px|Spaltnebreite ändern]]

Module

2019-09-30T13:50:42Z

ChKe:

Über den Reiter "Administration -> Module" können die verschiedenen Module wie Progress Monitor oder Security Assessor verwaltet werden. 
Hier besteht ebenso die Möglichkeit die Module anhand von Lizenzen zu aktivieren.
Besitzen Sie noch keine Lizenz können sie diese per Telefon oder Email anfordern. Hierfür einfach das gewünschte Modul auswählen, Laufzeit einstellen und den entsprechenden Button zum Anfordern klicken.

Besitzen Sie bereits eine Lizenzdatei, kann diese ebenfalls über dieses Interface eingespielt werden.

Standards und Normen

2019-09-30T13:49:00Z

ChKe:

Es gibt unterschiedlichste Normen mit deren Inhalten Wissensdatenbanken in Beziehung stehen können, hinsichtlich Prüffragen oder Bedrohungen, Maßnahmen bzw. Kontrollen. Beispiele für Normen: BSI, ISO 27001, ISO 80001, EU-DSGVO, usw.

Standards und Normen gliedern sich in Kapitel, welche wiederum Sub-Kapitel enthalten können. Diese Kapitel (bzw. Sub-Kapitel) können andere Kapitel (und Sub-Kapitel) referenzieren, wobei grundsätzlich eine Referenz unidirektional ist (bidirektionale Referenzen können erstellt werden). Ebenso können Kapitel auf Kapitel und Sub-Kapitel anderer Normen referenzieren. Dies ermöglicht es eine Norm von einer anderen abzuleiten. Weiters bedeutet dies, dass z.B eine Prüffrage die auf ein solches Normkapitel referenzeit automatisch auch mit dem Kapitel einer anderen Norm in Beziehung steht.

Wissensdatenbanken können Prüffragen, Kontrollen, Bedrohungen oder Maßnahmen auf Standards und Normen mappen. Dieses Mapping führt dazu, dass gewisse Auswertungen gegen Standards und Normen z.B. über bereits umgesetzten Maßnahmen und Kontrollen gemacht werden können. Damit wird dann ersichtlich in welchen Normbereichen besonders viele Aktivitäten durch ein Unternehmen gesetzt werden. Das lässt Aussagen über Erfüllungsgrad der Norm und Reifegrad des Managemetnsystems in diesem Bereich ableiten.

Die von TogetherSecure gelieferten Normen und Standards können von Benutzern nicht verändert werden. Eine Referenzierung dieser "Hersteller-Kapitel" von eigens erstellten Normen und Standards ist zulässig.

[[Datei:Standards und Normen Übersicht.png|left|thumb|900px| Standards und Normen]] 

== Standard oder Norm erfassen ==

Standards und Normen können von Administratoren und Experten unter "Administration → Standards und Normen" erfasst und bearbeitet werden. Das Ziel beim Erfassen einer Norm oder eines Standards ist es, die Struktur der Norm ohne Inhalt zu erfassen.

=== Standard / Norm ===

Hier werden die Kopfdaten der Norm oder des Standards erfasst.

Kurzbezeichnung:
* Die Kurzbezeichnung der Norm oder des Standards z.b ISO/IEC 27001:2017.

Langbezeichnung:
* Die Langbezeichnung der Norm oder des Standards z.b Information technology - Security techniques - Information security management systems - Requirements.

Beschreibung:
* Beschreibung der Norm.

Stand:
* Stand der Norm.

=== Kapitel ===

Hier wird die Kapitelstruktur der Norm erfasst. Auf der linken Seite wird die Struktur hierarchisch angezeigt. Über den Plus-Button werden neue Kapitel erstellt. Auf der rechten Seite geben Sie die Kopfdaten, übergeordnete Kapitel und ausgehende Mappings an.

Übergeordnetes Kapitel:
* Handelt es sich um ein Unterkapitel, muss hier das übergeordnete Kapitel angegeben werden. Hiermit wird die Struktur der Norm nachgebaut.

Gliederung:
* Hier wird eine Gliederung für die Kapitel vergeben. Die Gliederung entspricht im Normalfall der der Norm z.b 01 Kap. I, 02 Kap II,etc.

Kurzbezeichnung:
* Die Bezeichnung des Kapitels laut Norm oder Standard.

Beschreibung:
* Die Beschreibung des Kapitels laut Norm.

Eingehende Mappings:
* Hier werden alle Normen oder Standard Kapitel angeführt welche auf dieses Kapitel mappen.

Eingehende Mappings:
* Hier kann das Norm/Standard Kapitel auf ein Norm/ Standard Kapitel anderer Normen/Standards gemappt werden.
[[Datei:Norm erstellen.png|left|thumb|900px| Standard / Norm erfassen]]

Standards und Normen

2019-09-30T13:47:33Z

ChKe:

Es gibt unterschiedlichste Normen mit deren Inhalten Wissensdatenbanken in Beziehung stehen können, hinsichtlich Prüffragen oder Bedrohungen, Maßnahmen bzw. Kontrollen. Beispiele für Normen: BSI, ISO 27001, ISO 80001, EU-DSGVO, usw.

Standards und Normen gliedern sich in Kapitel, welche wiederum Sub-Kapitel enthalten können. Diese Kapitel (bzw. Sub-Kapitel) können andere Kapitel (und Sub-Kapitel) referenzieren, wobei grundsätzlich eine Referenz unidirektional ist (bidirektionale Referenzen können erstellt werden). Ebenso können Kapitel auf Kapitel und Sub-Kapitel anderer Normen referenzieren. Dies ermöglicht es eine Norm von einer anderen abzuleiten. Weiters bedeutet dies, dass z.B eine Prüffrage die auf ein solches Normenkapitel mappt automatisch auch mit dem Kapitel einer anderen Norm in Beziehung steht.

Wissensdatenbanken können Prüffragen, Kontrollen, Bedrohungen oder Maßnahmen auf Standards und Normen mappen. Dieses Mapping führt dazu, dass gewisse Auswertungen gegen Standards und Normen z.B. über bereits umgesetzten Maßnahmen und Kontrollen gemacht werden können. Damit wird dann ersichtlich in welchen Normbereichen besonders viele Aktivitäten durch ein Unternehmen gesetzt werden. Das lässt Aussagen über Erfüllungsgrad der Norm und Reifegrad des Managemetnsystems in diesem Bereich ableiten.

Die von TogetherSecure gelieferten Normen und Standards können von Benutzern nicht verändert werden. Eine Referenzierung dieser "Hersteller-Kapitel" von eigens erstellten Normen und Standards ist zulässig.

[[Datei:Standards und Normen Übersicht.png|left|thumb|900px| Standards und Normen]] 

== Standard oder Norm erfassen ==

Standards und Normen können von Administratoren und Experten unter "Administration → Standards und Normen" erfasst und bearbeitet werden. Das Ziel beim erfassen einer Norm oder eines Standards ist es, die Struktur der Norm ohne Inhalt zu erfassen.

=== Standard / Norm ===

Hier werden die Kopfdaten der Norm oder des Standards erfasst.

Kurzbezeichnung:
* Die Kurzbezeichnung der Norm oder des Standards z.b ISO/IEC 27001:2017.

Langbezeichnung:
* Die Langbezeichnung der Norm oder des Standards z.b Information technology - Security techniques - Information security management systems - Requirements.

Beschreibung:
* Beschreibung der Norm.

Stand:
* Stand der Norm.

=== Kapitel ===

Hier wird die Kapitelstruktur der Norm erfasst. Auf der linken Seite wird die Struktur hierarchisch angezeigt. Über den Plus-Button werden neue Kapitel erstellt. Auf der rechten Seite geben Sie die Kopfdaten, übergeordnete Kapitel und ausgehende Mappings an.

Übergeordnetes Kapitel:
* Handelt es sich um ein Unterkapitel, muss hier das übergeordnete Kapitel angegeben werden. Hiermit wird die Struktur der Norm nachgebaut.

Gliederung:
* Hier wird eine Gliederung für die Kapitel vergeben. Die Gliederung entspricht im Normalfall der der Norm z.b 01 Kap. I, 02 Kap II,etc.

Kurzbezeichnung:
* Die Bezeichnung des Kapitels laut Norm oder Standard.

Beschreibung:
* Die Beschreibung des Kapitels laut Norm.

Eingehende Mappings:
* Hier werden alle Normen oder Standard Kapitel angeführt welche auf dieses Kapitel mappen.

Eingehende Mappings:
* Hier kann das Norm/Standard Kapitel auf ein Norm/ Standard Kapitel anderer Normen/Standards gemappt werden.
[[Datei:Norm erstellen.png|left|thumb|900px| Standard / Norm erfassen]]

Wissensdatenbanken

2019-09-30T13:43:41Z

ChKe:

Wissensdatenbanken enthalten portierbares Know-how zur Risikoidentifikation (durch Themen, Prüffragen, Bedrohungen) und Risikobehandlung (Maßnahmen, Kontrollen). Neben den von TogetherSecure mitgelieferten WDB-Wissensdatenbanken können von Administratoren, Experten Wissensdatenbanken erstellt werden.

Die vom TogetherSecure gelieferten Wissensdatenbanken können nicht von Benutzern umgeändert werden. Es ist jedoch möglich von ihnen Benutzeradaptionen zu erstellen. Die von TogetherSecure definierten Themen und Prüffragen können lediglich auf entbehrlich gesetzt werden.

*[[Importieren von Wissensdatenbanken]]
*[[Erstellen einer Wissensdatenbank]]
*[[Bearbeitung von Wissensdatenbanken]]
*[[Nachfolgeversionen von Wissensdatenbanken]]
*[[Aktualisieren von Prüfobjekten]]
*[[Zusammenführen von Wissensdatenbanken]]

== Typen von Wissensdatenbanken ==

Hersteller/Norm oder Standard

Hersteller und Norm oder Standard Wissensdatenbanken können importiert werden. Die importierten WDBs können grundsätzlich nicht bearbeitet werden! Es ist allerdings möglich von ihnen Benutzeranpassungen zu erstellen. Anpassen einer WDB macht dann Sinn, wenn gewisse Themen oder Fragen nicht behandelt werden, welche für Ihr Unternehmen wichtig oder interessant wären, oder Sie gewisse Themen nicht behandeln möchten. Eine Hersteller-WDB kann von Benutzern nicht direkt angepasst werden. Um eine Hersteller-WDB anzupassen, muss zuerst eine Benutzeranpassung erstellt werden!

Durch den Besitz einer Herstellerlizenz, sind Sie weiters in der Lage WDB vom Typ Hersteller und Standard oder Norm zu erstellen und diese zu exportieren.

Eigenentwicklung

Jene Wissensdatenbanken welche von Benutzern erstellt wurden. Diese WDBs können ohne weiteres angepasst werden, solange sie nicht veröffentlicht sind. Einmal veröffentlicht, muss zum Bearbeiten eine Nachfolge Version erstellt werden.

=Versionsnummer=

Die Versionsnummer X.Y bei importierten Wissensdatenbanken verhält sich folgend:
* X: importierte Wissensdatenbanken haben immer eine Zahl. D.h z.b. 1,2 oder 3 aber nicht 1.1,2.1 oder 3.3
* Y: wird eine Eigenanpassung einer importierten WDB erstellt, so wird die Zahl nach dem Punkt um 1 erhöht.
In der Übersicht wird dann z.b. angezeigt WDB Z in Version 5 und WDB W in Version 2.3. In der Wissensdatenbank selber sehen Sie dann z.b WDB W in der Version 2 Eigenanpassung Nr. 3.

Eigen-entwickelte WDBs bestehen aus nur einer Zahl X. Nachfolgeversionen erhöhen diese Nummer um 1.

== Elemente einer Wissensdatenbank ==

Die Wissensdatenbank unterteilt sich in fünf zentrale Elemente:
*Themen
*Prüffragen
*Bedrohungen
*Maßnahmen
*Kontrollen

Diese Elemente stehen wie folgt miteinander in Beziehung: 

*Eine Wissensdatenbank hält eine Menge an Themen. Diese Themen können untereinander hierarchisch strukturiert sein. Ein Thema muss keine Prüffragen enthalten, wenn es z.B. nur der Strukturierung von Themen dienen soll. Die Themen jeder Hierarchie-Ebene können aber Prüffragen enthalten. 

*Die Prüffragen dienen bei der Beantwortung (ja/nein, teilweise, entbehrlich, Reifegrad) dazu, zu erkennen, ob eine potenzielle Schwachstelle in diesem Bereich vorliegt. Abweichungen (Antworten mit nein, teilweise oder Reifegrad Abweichung) müssen im Risikobewertungsschritt genauer untersucht werden. 

*Wenn eine Abweichung erkannt wird, dann wird diese in der Regel von einer speziellen Bedrohung mehr oder weniger stark adressiert. Daher sollte Sie mit Maßnahmen behandelt bzw. mit Kontrollen langfristig abgesichert werden. Daher sind einer Prüffrage im Rahmen der Wissensdatenbank eine oder mehrere Bedrohungen, Maßnahmen und Kontrollen zugewiesen.

=== Themen ===

In der Wissensdatenbank enthaltene Themen dienen zur Strukturierung einer Wissensdatenbank. Sie sind die Einheiten innerhalb einer Schicht (z. B. IT-Systeme, Netze). Sie beschreiben z.B. technische Komponenten (wie Verkabelung) oder organisatorische Verfahren (wie Notfallvorsorge-Konzept).

Jedem Thema können Prüffragen zugeteilt werden.

Zum Erstellen von Themen siehe [[Erstellen_einer_Wissensdatenbank#topi|Themen erstellen]]

=== Prüffragen ===
Prüffragen dienen dazu, im Rahmen einer Überprüfung, mögliche Schwachstellen festzustellen.
Eine Prüffrage kann mehreren Themen zugeteilt sein. Prüffragen können durch die Verwendung von Strukturfragen hierarchisch aufgebaut werden.

Zum Erstellen einer Prüffrage siehe [[Erstellen_einer_Wissensdatenbank#ques|Prüffrage erstellen]]

Einer Prüffrage können Maßnahmen, Kontrollen und Bedrohungen zugeordnet werden. Das sorgt dafür, dass bei einer Abweichung der beantworteten Frage vom gewünschten Zielzustand, Maßnahmen und Kontrollen zur Behandlung des damit verbundenen potenziellen Risikos vorgeschlagen werden.

==== Strukturfragen ====

*Prüffragen die Themen zugewiesen sind können in der Wissensdatenbank um sogenannte Unterfragen erweitert werden. Hat eine Frage eine oder mehrere Unterfragen so wird die Oberfrage zur Strukturfrage und dient lediglich zur Strukturierung. D.h. eine mit "Nein" oder "Teilweise" beantwortete Strukturfrage stellt '''keine''' Abweichung dar! 
*Abhängig von der Beantwortung der Strukturfrage können verschiedene Prüffragen angezeigt werden. Es können z.B. im Falle einer Beantwortung mit "Ja" zwei spezifische Prüffragen angezeigt werden und im Falle der Beantwortung mit "Nein" drei andere spezifische Prüffragen angezeigt werden. Eine negative Beantwortung von Unterfragen führt jedoch zu Abweichungen.

[[Datei:WDB Unterfrage.PNG|left|thumb|900px|Unterfrage Optionen Sieht je nach Art der Frage anders aus(Bei Technikfragen würde Ja/Nein/Teilweise/Entbehrlich angezeigt werden)]] 

Wird eine übergeordnete Frage angelegt so stehen die Optionen "Wird angezeigt wenn" und "Antwort wenn nicht angezeigt" zur Verfügung.
*Die Option "Wird angezeigt wenn" definiert welche Beantwortung die Überfrage erfahren muss, damit die Unterfrage zur Beantwortung angeboten wird. D.h. wenn bei der Prüffrage unter "Wird angezeigt wenn" nur die Option "Ja" ausgewählt wird, so wird diese Unterfrage nur zur Beantwortung angezeigt wenn die Oberfrage mit "Ja" beantwortet wird.
*Die Option "Antwort wenn nicht angezeigt" definiert welche Beantwortung die Unterfrage erfahren soll, wenn sie nicht zur Beantwortung angezeigt wird. Wird hier keine Auswahl getroffen, wird die Prüffrage in diesem Fall nicht automatisch beantwortet.

=== Maßnahmen ===

Maßnahmen einer Wissensdatenbank sind mögliche Maßnahmen, die aufgrund der, im Rahmen einer Überprüfung festgestellten Abweichung, im Kontext der zu behandelnden Risiken zur Wahl stehen. Sie sollen dabei helfen eine oder mehrere Abweichungen zu reduzieren bzw. zu beheben. Mögliche Maßnahmen können in laufende Maßnahmen überführt werden.

Zum erstellen einer Prüffrage siehe [[Erstellen_einer_Wissensdatenbank#meas|Maßnahme erstellen]]

=== Kontrollen ===

Kontrollen einer Wissensdatenbank sind mögliche Kontrollen die Aufgrund der festgestellten Abweichung für das zugewiesene Risiko zur Wahl stehen. Sie sollen dabei helfen das Risiko zu überwachen bzw. die Durchführung umgesetzter Maßnahmen zu kontrollieren. Mögliche Kontrollen können in laufende Kontrollen überführt werden.

Zum Erstellen einer Prüffrage siehe [[Erstellen_einer_Wissensdatenbank#con|Kontrolle erstellen]]

=== Bedrohungen ===

Bedrohungen werden hauptsächlich für Analysen verwendet. Es kann z.B. einen Bericht generiert werden bei dem zu einer Bedrohung alle abweichenden Prüffragen aufgelistet werden.

Zum Erstellen einer Prüffrage siehe [[Erstellen_einer_Wissensdatenbank#threa|Bedrohung erstellen]]

Prozesse

2019-09-30T13:33:38Z

ChKe:

Ein Prozess ist eine Reihe von miteinander verbundenen Aktivitäten, welche Inputs in Outputs umwandeln. Ein Prozess kann gekapselt und Teil eines anderen Prozesses sein und/oder andere Prozesse enthalten bzw. diese anstoßen. Prozesse gehen oft über Abteilungs- und Betriebsgrenzen hinweg und gehören zur Ablauforganisation eines Betriebs. Diese Prozessstrukturen können in der Strukturanalyse dargestellt und analysiert werden.

[[Datei:Prozesse Beispiel.PNG|left|thumb|900px|Beispiel: Darstellung der Prozesse in der Strukturanalyse im Risikomanagement]] 

== Prozess erstellen / bearbeiten / löschen ==

Unter "Administration → Prozesse" können Sie als Admin oder Experte die Prozesse verwalten.

Um einen Prozess zu erstellen, klicken sie auf den Plus-Button.

Um einen Prozess zu bearbeiten, doppelklicken Sie auf den entsprechenden Prozess.

[[Datei:Prozesse Übersicht.png|left|thumb|900px|Übersicht der Prozesse]] 

'''Bezeichnung und Abkürzung:'''
: Bezeichnung: Der Name des Prozesses.
: Abkürzung: Abkürzung des Prozesses.

'''Beschreibung:'''
: Dient zur Beschreibung des Prozesses.

'''Teilprozess von:'''
: Existiert ein übergeordneter Prozess, wird dieser hier eingetragen.

'''Typ:'''
: [https://de.wikipedia.org/wiki/Gesch%C3%A4ftsprozess Prozesse] können in Kernprozesse, unterstützende Prozesse und Managementprozesse unterteilt werden.
: Kernprozess:
:* Der Kernprozess umfasst alle Tätigkeiten, die der Wertschöpfung des Unternehmens dienen. Er leitet sich aus der Kernkompetenz einer Organisation ab. (siehe [https://de.wikipedia.org/wiki/Kernprozess Wikipedia Kernprozesse])
: Managementprozess:
:* Managementprozesse umfassen die Steuerung von Kernprozessen in Organisationen, mit dem Fokus auf die Strukturierung der organisatorischen Rollen und deren Aufgaben. (siehe [https://de.wikipedia.org/wiki/Managementprozess Wikipedia Managementprozesse])
: Unterstützungsprozess:
:* Unterstützungsprozesse sind betriebliche Prozesse, die den Kernprozess unterstützen, aber selbst keinen direkten Kundennutzen erzeugen. Typische unterstützende Prozesse sind beispielsweise Personalwesen (Personalprozess), Buchhaltung, Datenverarbeitung, Instandhaltung, Kantine. (siehe [https://de.wikipedia.org/wiki/Supportprozess Wikipedia Unterstützungsprozesse])

'''Verantwortlicher:'''
: Der Benutzer welcher inhaltlich für die Ressource verantwortlich ist.

'''Verknüpfte Risiken:'''
: Der Benutzer welcher für den Prozess verantwortlich ist.

'''Verarbeitungstätigkeit:'''
: Hier kann eine noch nicht zugewiesene Verarbeitungstätigkeit dem Prozess zugewiesen werden.

[[Datei:Prozess bearbeiten.PNG|left|thumb|900px|Maske zum Bearbeiten und Erstellen eines Prozess]] 

'''Prozess löschen:'''
* Zum Löschen in der bearbeiten Maske auf den Roten Mülleimer klicken.

Prozesse

2019-09-30T13:33:14Z

ChKe:

Ein Prozess ist eine Reihe von miteinander verbundenen Aktivitäten, welche Inputs in Outputs umwandeln. Ein Prozess kann gekapselt und Teil eines anderen Prozesses sein und/oder andere Prozesse enthalten bzw. diese anstoßen. Prozesse gehen oft über Abteilungs- und Betriebsgrenzen hinweg und gehören zur Ablauforganisation eines Betriebs. Diese Prozessstrukturen können in der Strukturanalyse dargestellt und analysiert werden.

[[Datei:Prozesse Beispiel.PNG|left|thumb|900px|Beispiel: Darstellung der Prozesse in der Strukturanalyse im Risikomanagement]] 

== Prozess erstellen / bearbeiten / löschen ==

Unter "Administration → Prozesse" können Sie als Admin oder Experte die Prozesse verwalten.

Um einen Prozess zu erstellen, klicken sie auf den Plus-Button.

Um einen Prozess zu bearbeiten, doppelklicken Sie auf den entsprechenden Prozess.

[[Datei:Prozesse Übersicht.png|left|thumb|900px|Übersicht der Prozesse]] 

'''Bezeichnung und Abkürzung:'''
: Bezeichnung: Der Name des Prozesses.
: Abkürzung: Abkürzung des Prozesses.

'''Beschreibung:'''
: Dient zur Beschreibung des Prozesses.

'''Teilprozess von:'''
: Existiert ein übergeordneter Prozess, wird dieser hier eingetragen.

'''Typ:'''
: [https://de.wikipedia.org/wiki/Gesch%C3%A4ftsprozess Prozesse] können in Kernprozesse, unterstützende Prozesse und Managementprozesse unterteilt werden.
: Kernprozess:
:* Der Kernprozess umfasst alle Tätigkeiten, die der Wertschöpfung des Unternehmens dienen. Er leitet sich aus der Kernkompetenz einer Organisation ab. (siehe [https://de.wikipedia.org/wiki/Kernprozess Wikipedia Kernprozesse])
: Managementprozess:
:* Managementprozesse umfassen die Steuerung von Kernprozessen in Organisationen, mit dem Fokus auf die Strukturierung der organisatorischen Rollen und deren Aufgaben. (siehe [https://de.wikipedia.org/wiki/Managementprozess Wikipedia Managementprozesse])
: Unterstützungsprozess:
:* Unterstützungsprozesse sind betriebliche Prozesse, die den Kernprozess unterstützen, aber selbst keinen direkten Kundennutzen erzeugen. Typische unterstützende Prozesse sind beispielsweise Personalwesen (Personalprozess), Buchhaltung, Datenverarbeitung, Instandhaltung, Kantine. (siehe [https://de.wikipedia.org/wiki/Supportprozess Wikipedia Unterstützungsprozesse])

'''Verantwortlicher:'''
: Der Benutzer welcher inhaltlich für die Ressource verantwortlich ist.

'''Verknüpfte Risiken:'''
: Der Benutzer welcher für den Prozess verantwortlich ist.

'''Verarbeitungstätigkeit:'''
: Hier kann eine noch nicht zugewiesene Verarbeitungstätigkeit dem Prozess zugewiesen werden.

[[Datei:Prozess bearbeiten.PNG|left|thumb|900px|Maske zum bearbeiten / erstellen eines Prozess]] 

'''Prozess löschen:'''
* Zum Löschen in der bearbeiten Maske auf den Roten Mülleimer klicken.

Datenkategorien

2019-09-30T13:29:50Z

ChKe:

Datenkategorien werden verwendet, um Daten für die Verwendung in HITGuard zu kategorisieren. Z.b Es gibt eine Datenkategorie Mitarbeiterdaten, welche als Unterkategorie Daten wie zum Beispiel Kontaktdaten, Bankdaten oder Vertragsdaten des Mitarbeiters hat.

[[Datei:Datenkategorien Beispiel.PNG|left|thumb|900px|Beispiel: Darstellung der Datenkategorien in der Strukturanalyse im Risikomanagement]] 

Zu den Datenkategorien kann dann in der Strukturanalyse eingesehen werden, in welchen Applikationen, über welche Verarbeitungstätigkeiten und in welchen Fachbereichen sie verarbeitet werden.

== Datenkategorie erstellen/bearbeiten/löschen ==

Unter "Administration → Datenkategorien" können Sie als Admin oder Experte die Datenkategorien verwalten.

Um eine Datenkategorie zu erstellen, klicken sie auf den Plus-Button.

Um eine Datenkategorie zu bearbeiten, doppelklicken Sie auf die entsprechende Kategorie.

[[Datei:Datenkategorien.png|left|thumb|900px|Datenkategorien]] 

'''Bezeichnung:'''
: Der Name der Kategorie z.B: Bewerbungsunterlagen, Kundendaten oder Personaldaten.

'''Beschreibung:'''
: Dient zur Beschreibung des Inhaltes einer Datenkategorie z.B. Bild der Maske einfügen

'''Überkategorie:'''
: Dient zur hierarchischen Strukturierung der Datenkategorien

'''Datenklasse:'''
: Bestimmt ob Daten in einer Kategorie z.B: öffentlich, intern oder als geheim zu handhaben sind. Diese Klassen sind von Experten systemübergreifend frei definierbar.(siehe [[Risikopolitik#dataclass|Datenklassen]])

'''Verantwortlicher:'''
: Der Benutzer welcher für den Umgang der Daten in der jeweiligen Kategorie verantwortlich ist.

'''Verwendbar für:'''
:Schutzbedarfanalyse:
:* Um einen Überblick darüber zur erhalten welche Auswirkungen es auf Ihr Unternehmen hat, wenn mit diesen Daten etwas passiert. (z.B. Festplatte mit Kundendaten wird gestohlen)

:Personenbezogen:
:* Personenbezogen Datenkategorien sind für das Datenschutzmodul wichtig, da diese sensible sein können und in Verartbeitungstätigkeiten behandelt werden.

'''Verknüpfte Risiken:'''
: Hier sollten die Risiken eingetragen werden welche für gewisse Daten bestehen. z.B: fehlendes Bewusstsein für Informationssicherheit bei Personaldaten

[[Datei:Datenkategorie bearbeiten.PNG|left|thumb|900px|Maske zum bearbeiten / erstellen einer Datenkategorie]] 

'''Datenkategorie löschen:'''
* Zum Löschen in der bearbeiten Maske auf den Roten Mülleimer klicken.

Datenkategorien

2019-09-30T13:29:18Z

ChKe:

Datenkategorien werden verwendet, um Daten für die Verwendung in HITGuard zu kategorisieren. Z.b Es gibt eine Datenkategorie Mitarbeiterdaten, welche als Unterkategorie Daten wie zum Beispiel Kontaktdaten, Bankdaten oder Vertragsdaten des Mitarbeiters hat.

[[Datei:Datenkategorien Beispiel.PNG|left|thumb|900px|Beispiel: Darstellung der Datenkategorien in der Strukturanalyse im Risikomanagement]] 

Zu den Datenkategorien kann dann in der Strukturanalyse eingesehen werden, in welchen Applikationen, über welche Verarbeitungstätigkeiten und in welchen Fachbereichen sie verarbeitet werden.

== Datenkategorie erstellen / bearbeiten / löschen ==

Unter "Administration → Datenkategorien" können Sie als Admin oder Experte die Datenkategorien verwalten.

Um eine Datenkategorie zu erstellen, klicken sie auf den Plus-Button.

Um eine Datenkategorie zu bearbeiten, doppelklicken Sie auf die entsprechende Kategorie.

[[Datei:Datenkategorien.png|left|thumb|900px|Datenkategorien]] 

'''Bezeichnung:'''
: Der Name der Kategorie z.B: Bewerbungsunterlagen, Kundendaten oder Personaldaten.

'''Beschreibung:'''
: Dient zur Beschreibung des Inhaltes einer Datenkategorie z.B. Bild der Maske einfügen

'''Überkategorie:'''
: Dient zur hierarchischen Strukturierung der Datenkategorien

'''Datenklasse:'''
: Bestimmt ob Daten in einer Kategorie z.B: öffentlich, intern oder als geheim zu handhaben sind. Diese Klassen sind von Experten systemübergreifend frei definierbar.(siehe [[Risikopolitik#dataclass|Datenklassen]])

'''Verantwortlicher:'''
: Der Benutzer welcher für den Umgang der Daten in der jeweiligen Kategorie verantwortlich ist.

'''Verwendbar für:'''
:Schutzbedarfanalyse:
:* Um einen Überblick darüber zur erhalten welche Auswirkungen es auf Ihr Unternehmen hat, wenn mit diesen Daten etwas passiert. (z.B. Festplatte mit Kundendaten wird gestohlen)

:Personenbezogen:
:* Personenbezogen Datenkategorien sind für das Datenschutzmodul wichtig, da diese sensible sein können und in Verartbeitungstätigkeiten behandelt werden.

'''Verknüpfte Risiken:'''
: Hier sollten die Risiken eingetragen werden welche für gewisse Daten bestehen. z.B: fehlendes Bewusstsein für Informationssicherheit bei Personaldaten

[[Datei:Datenkategorie bearbeiten.PNG|left|thumb|900px|Maske zum bearbeiten / erstellen einer Datenkategorie]] 

'''Datenkategorie löschen:'''
* Zum Löschen in der bearbeiten Maske auf den Roten Mülleimer klicken.

Ressourcen

2019-09-30T13:07:06Z

ChKe:

Ressourcen sind Systeme, Personen, Gebäude oder andere Entitäten, welche für die Durchführung von Prozessen, oder für die Funktionalität einer Organisationseinheit benötigt werden. HITGuard bietet über die Strukturanalyse die Möglichkeit Ressourcenstrukturen aufzubauen und dessen Auswirkungen und Abhängigkeiten auf andere Systeme grafisch darzustellen.

[[Datei:Ressourcen Beispiel.PNG|left|thumb|900px|Beispiel: Darstellung der Ressourcen in der Strukturanalyse im Risikomanagement]] 

== Ressourcen erstellen/bearbeiten/löschen ==

Unter "Administration → Ressourcen" können Sie als Admin oder Experte die Ressourcen verwalten.

Um eine Ressource zu erstellen klicken sie auf den Plus-Button.

Um eine Ressource zu bearbeiten, doppelklicken Sie auf die entsprechende Ressource.

[[Datei:Ressourcen Übersicht.png|left|thumb|900px|Übersicht der Ressourcen]] 

'''Bezeichnung:'''
: Der Name der Ressource.

'''Beschreibung:'''
: Dient zur Beschreibung der Ressource.

'''Typ:'''
: Ressourcen werden in Modellsegmente gegliedert. In den einzelnen Modellsegmenten, können Ressourcen über Rssourcengruppen weiter strukturiert werden, wobei Ressourcen Gruppen wirklich nur der Struktur dienen und nicht für Bewertungen oder anderes verwendet werden können.

'''Gruppenfarbe:'''
: Die Farbe mit der die Ressource in der Strukturanalyse umrandet wird.

'''Modellsegment:'''
: Modellsegmente dienen zur allgemeinen Gruppierung der Strukturelemente. Sie werden von HITGuard vorgegeben und sind:
:* Anwendungsebene
:* IT-Infrastruktur Ebene
:* Physische Sicherheit
:* Prozessebene

'''Verantwortlicher:'''
: Der Benutzer welcher inhaltlich für die Ressource verantwortlich ist.

'''Sachbearbeiter:'''
: Der Benutzer welcher auf Ressourcen-ebene (z.b IT-ebene oder physische Sicherheit) für diese verantwortlich ist.

'''Reifegrad:'''
:* Der Reifegrad, mit dem die Ressource bewertet ist.

'''Knotenfarbe:'''
: Die Hintergrundfarbe der Ressource.

'''Schutzbedarfsklasse:'''
: Der Schutzbedarf der Ressource. Die Schutzbedarfsklassen können von Experten unter "Risikomanagement → Risikopolitik → Schutzbedarf" konfiguriert werden.

[[Datei:Ressource bearbeiten.PNG|left|thumb|900px|Maske zum bearbeiten / erstellen einer Ressource]] 

'''Ressource löschen:'''
* Zum Löschen in der bearbeiten Maske auf den roten Mülleimer klicken.

OrgEh - Organisationseinheiten

2019-09-30T13:04:00Z

ChKe:

Ein Unternehmen besteht aus Organisationseinheiten, welche sich an den einzelnen Verarbeitungsprozessen beteiligen, die wiederum in einer bis mehreren Organisationseinheiten stattfinden. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT gestützt unter Verwendung von IT-Systemen. 
Je kritischer die Organisationseinheit, desto größer der potenzielle Schaden, umso größer die Anforderungen an Verfügbarkeit, Vertraulichkeit und Integrität der Daten bzw. Systeme.

Der Aufbau einer OrgEh sollte hierarchisch sein.

[[Datei:Organisationsstruktur.PNG|left|thumb|900px|Darstellung aus der Strukturanalyse vom Security Assessor ]] 

== Organisationseinheit erstellen / bearbeiten / löschen==

Organisationseinheiten können von Administratoren und Experten über "Administration -> OrgEhs" angelegt oder bearbeitet werden.

Um eine neue Organisationseinheit anzulegen, müssen Sie auf den Plus-Button klicken.

Um eine bestehende Organisationseinheit zu bearbeiten, müssen Sie auf die entsprechende Organisationseinheit doppelklicken.

[[Datei:Organisationsstruktur Maske.png|left|thumb|900px|Maske der Organisationsstrukturen]] 

Abkürzung und Bezeichnung: 
* Bei der Abkürzung tragen Sie ein wie die OrgEh abgekürzt werden soll.
* Bei der Bezeichnung tragen sie die Bezeichnung der OrgEh ein.

Sortierreihenfolge: 
* Legt fest wie die OrgEh in linearen Listen (z.b. Bericht) aufgelistet werden.

Typ: 
* Hier legen Sie fest um welche Art von Organisationseinheit es sich handelt.
:- Konzern
:- Gesellschaft
:- Abteilung
:- Entity

Übergeordnete OrgEh: 
* Hier tragen Sie z.b. ein zu welcher GmbH eine Abteilung gehört.

Verantwortlich: 
* Die hier eingetragene Personen ist für die OrgEh verantwortlich. Z.b. Abteilungsleiter einer Abteilung

Beschreibung: 
* Hier sollten Sie eintragen was die OrgEh ist.

Aktiv von / bis 
* Hier können Sie eintragen von wann bis wann eine OrgEh in HITGuard aktiv sein soll.

Anschrift: 
* Hier können Sie die Anschrift der OrgEh eintragen.

Verknüpfte Risiken: 
* Hier können Sie eintragen welche Risiken mit der OrgEh verknüpft sind.

[[Datei:OrgEH bearbeiten.PNG|left|thumb|900px|Maske zum bearbeiten / erstellen einer Organisationseinheit]] 

'''OrgEh löschen:'''
* Zum Löschen in der bearbeiten Maske auf den roten Mülleimer klicken.
* Um eine OrgEh löschen zu können, müssen zuvor alle zugeordneten Maßnahmen, Kontrolldefinitionen und Verarbeitungs-Meldungen gelöscht werden

Managementsysteme

2019-09-30T12:26:17Z

ChKe:

<translate>


Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten. Wobei Experten nur die Managementsysteme bearbeiten können, für die Sie verantwortlich sind.


'''Was ist ein Managementsystem?''' 
:Ein Managementsystem ist eine inhaltliche Bündelung von z.B. Feststellungen, Fortschrittsmeldungen sowie Kontrollen (im Progress Monitor) oder Auditprogrammen (im Security Assessor).


:Dabei werden die Elemente zu einem einem Team an verantwortlichen Experts und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. Information Security Management-Team oder Datenschutz-Team). Auf der anderen Seite werden alle darin verwalteten Elemente, im Sinne der Analysezeiträume, historisiert und dadurch auch vergleichbar gemacht.


'''Welchen Zweck erfüllen Managementsysteme?''' 
:Managementsysteme haben zwei zentrale Funktionen:
:# Sie dienen dazu Maßnahmen, Kontrollen, Risikoidentifikationen etc. ausgewählter Abteilungen, Themenbereichen zuzuteilen und dafür verantwortliche Experts zu definieren, die z.B. die Fortschrittserhebung zu den Maßnahmen betreuen. Beispiel:
:#* Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau XY verwaltet
:#* Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet 
:#:
:# Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können. Beispiel:
:#* Herr Mustermann erhebt Fortschritte über 10 Abteilungen halbjährlich.
:#* Frau Moser erhebt Fortschritte über 2 Abteilungen quartalsweise.


:Dass heißt:
:*Maßnahmen zur Risikobehandlung können von Mitarbeitern aus unterschiedlichen Verantwortungsbereichen umgesetzt werden. Experten aus den einzelnen Managementsystemen können laufend den Fortschritt der Maßnahmenentwicklungen erheben und über mehrere Analysezeiträume hinweg berichten.


:*Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen. Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden. Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentiert.


'''Löschen eines Managementsystems:'''
*Das Löschen eines Managementsystems kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Managementsystemen nur dann unterstützt, wenn keine Analysezeiträume enthalten sind.

== Stammdaten == 


In den Stammdaten wird ein Managementsystem konfiguriert. 
Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus. 


:Stammdaten bearbeiten: 
:*Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt, eingetragen. Pro Managementsystem kann es nur einen Verantwortlichen geben. Nur Professionals und Experten können für ein Managementsystem verantwortlich sein Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.


::[[Datei:Stammdaten bearbeiten.PNG|left|thumb|800px|Stammdaten bearbeiten]] 


: Email Einstellungen: 
:* Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet. Wird hier keine Email konfiguriert, so werden alle Emails von der Email-Adresse versandt die in den globalen Einstellungen konfiguriert ist.(siehe [[<tvar|A_GE_email>Special:MyLanguage/Globale Einstellungen#Email Einstellungen</>|Globale Email]])


::[[Datei:ManSys Email Einstellungen.PNG|left|thumb|800px|Email Einstellungen]] 


: Intervallschema definieren: 
::Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden. Analysezeiträume können:
::*manuell angelegt werden (Eingrenzung von-bis Datum bei der Anlage)
::*im vorhinein konfiguriert werden (z.B. Unterteilung des Jahres in 3 Analysezeiträume beginnend mit 1.2.2017 => 1.2.-31.5.2017; 1.6. – 30.09.2017; 1.10.- 31.1.2018)


::[[Datei:Intervallschema definieren.PNG|left|thumb|800px|Intervallschema definieren]] 


:Optionale Maßnahmeneigenschaften: 
::Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen. 
::*siehe [[<tvar|A_GE_opma>Special:MyLanguage/Globale Einstellungen#glop_opme</>|Optionale Maßnahmeneigenschaften]]
::[[Datei:Optionale Maßnahmeneigenschaften.PNG|left|thumb|500px|Optionale Maßnahmeneigenschaften]] 


:Verwendete Schutzziele: 
::Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert. Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Denn diese Schutzziele sind dann innerhalb des Managementsystems verwendbar. Schutzziele können von Experten unter "Security Assessor → Risikopolitik" verwaltet und erstellt werden. (siehe [[<tvar|SA_RP_Schutz>Special:MyLanguage/Risikopolitik#protar</>|Schutzziele]]) 


::[[Datei:Verwendete Schutzziele.PNG|left|thumb|500px|Verwendete Schutzziele.PNG]] 


:Allgemeine Einstellungen: 
:: Data Protector:
:::Legt fest ob der Data Protector für dieses Managementsystem verwendet wird.

== Analysezeitraum und Historie == 


Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor bzw. im Data Protector, einzelnen Perioden, Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen. Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe [[#int|Intervallschema definieren]])
Abhängig davon, ob sie manuell oder automatisch angelegt wurden, wird der verantwortliche Expert zum jeweiligen Stichtag aufgefordert die nicht erledigten Maßnahmen in den nächsten Analysezeitraum zu überführen.

=== Aktiver Analysezeitraum === 


:Redaktionsschluß: 
:*Relevant für den Progress Monitor. Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten. Fortschrittsmeldungen können über "Progress Monitor → Fortschrittsmeldungen" aber auch jederzeit manuell angefordert werden.


:Zielreifegrad: 
:*Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen. Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt. Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.


:Enthaltene OrgEhs: 
:*Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig. D.h. sie müssen zum Redaktionsschluß Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben. Eine Organisationseinheit kann zeitgleich auch in mehreren Managementsystemen bzw. Analysezeiträume berichten.


:In Nachfolge-Analysezeitraum überführen: 
:*Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor, alle nicht auf Status „erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und dem jeweiligen Status entsprechend adabtiert. Die erledigten Maßnahmen werden im nächsten Zeitraum natürlich nicht mehr weiterverfolgt.

=== Löschen eines Analysezeitraums === 
*Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Expert ausgelöst werden.
*Es wird das Löschen von Analysezeiträumen nur dann unterstützt, solange noch keine Fortschrittsmeldungen erstellt wurden.
*Es kann immer nur der aktuelle Analysezeitraum gelöscht werden, abgeschlossene nicht mehr.
[[Datei:Aktiver Analysezeitraum.PNG|left|thumb|800px|Aktiver Analysezeitraum]] 

=== Historie === 
*In der Historie werden die Analysezeiträume welche schon abgeschlossen wurden mit Beginn, Ende und Redaktionsschluß aufgelistet.
[[Datei:Managementsysteme Historie.png|left|thumb|900px|Aktiver Analysezeitraum]] 
</translate>

Globale Einstellungen

2019-09-30T12:05:06Z

ChKe:

<translate>


Globale Einstellungen können nur als Administrator oder Expert geändert werden!

== Allgemeine Einstellungen == 


* Standard Sprache
:: Hier wird die Sprache ausgewählt, in der die Applikation standardmäßig angezeigt werden soll. Jeder Benutzer kann sich aber über das Flaggensymbol, rechts oben, die Sprache einstellen, welche er standardmäßig verwenden möchte.
* Organisationsform
:: Hier kann festgelegt werden, ob Unternehmungen eher Funktionsorientiert (Einkauf, Produktion, Vertrieb, etc) oder Prozessorientiert sind. Dies hat Auswirkungen auf die Einstellung von Business Impact Analysen

== Lightweight Directory Access Protocol (LDAP) == 


Diese Einstellung aktiviert die LDAP Integration. 
Dadurch können Benutzer sich über ihre Active Directory Credentials anmelden.


*Automatische Benutzeranlage:
::Diese Option ermöglicht es Benutzerinformationen, bei erstmaliger Anmeldung, aus einem Active Directory zu laden. Dadurch ersparen Sie sich die Arbeit alle Benutzer in HITGuard neu anzulegen. Es müssen den Benutzern lediglich noch Benutzerrollen zugeordnet werden.

*Lokale Anmeldung deaktiviert:
::Falls LDAP Integration aktiviert ist, kann die lokale Anmeldung deaktiviert werden. Benutzer können sich dann nur mehr über Ihre LDAP Anmeldedaten am System anmelden.
::Sind beide Anmeldemodi(LDAP und Lokal) aktiviert können sich Benutzer sowohl mit Ihren LDAP als auch mit Ihren Lokalen Anmeldedaten am System anmelden.


Ist die LDAP Integration aktiviert, müssen sie die Domäne sowie den Root Container Ihres Active Directorys angeben. 
 
[[Datei:LDAP LightweightDirectoryAccessProtocol.PNG|thumb|left|800px]] 

== Email Einstellungen == 


Hier werden die Einstellungen für das automatische Mailing getroffen. Es kann die Absenderadresse sowie der SMTP Server eingestellt werden. Wenn Sie möchten, dann ändern Sie die Einstellungen für das Mailing auf eine '''Unternehmensadresse''', am besten auch für Testzwecke auf die Adresse einer Ressource Mailbox, denn sie müssen auch das Passwort hier hinterlegen. Es kann für jedes Managementsystem eine eigene Email-Adresse gewählt werden (siehe [[Managementsysteme#masy_email| Managementsystem Email]]). 


[[Datei:Email_Einstellungen.PNG|thumb|left|800px]] 

== Benutzerauswahlfeld == 


Hier kann eingestellt werden, welche Informationen bei der Auswahl eines Verantwortlichen angezeigt werden sollen. 
Beispielsweise kann angezeigt werden in welchem Unternehmen und welcher Abteilung ein Benutzer ist.


[[Datei:Benutzerauswahlfeld.PNG||Benutzerauswahlfeld|thumb|left|800px]] 

== Optionale Maßnahmeneigenschaften == 


Hiermit lässt sich konfigurieren, welche Optionen beim Erstellen von Managementsystemen standardmäßig aktiviert sein sollen. Unter "Administration → Managementsysteme" ist es möglich diese Optionen für jedes Managementsystem einzeln zu konfigurieren. Dies hat Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystem.


*Aufwand und Auswirkung:
:: Der Aufwand beschreibt wie viel Ressourcen( personell, monetär, Zeit, etc.) es bedarf um eine Maßnahme umzusetzen Hierzu können unter "Progress Monitor → Einstellungen → Aufwandsklassen" sogenannte [[Einstellungen#aufkla|Aufwandsklassen]] definiert werden.


:: Die Auswirkung beschreibt wie hoch das Risiko bzw. wie stark die Auswirkung auf Geschäftsprozesse ist. Hierzu können unter "Progress Monitor → Einstellungen → Auswirkungsklassen" sogenannte [[Einstellungen#auskla|Auswirkungsklassen]] definiert werden.


*Automatische Fristermittlung:
::Falls aktiviert wird für die Maßnahme nach der Eingabe von "Aufwand", "Auswirkung" und "Fristbeginn" ein Vorschlagswert für das Feld "Fristende" berechnet. Als Berechnungsgrundlage dient hierzu die in der Administration verwaltete "Matrix zu Fristermittlung". Dies soll eine neutrale und möglichst objektive Ermittlung der Umsetzungsdauer ermöglichen.


::"Aufwand und Auswirkung" muss hierfür aktiviert sein.


*Plandatum:
::Ermöglicht die Eingabe eines "Plandatums". Dieses kann vom "Fristende"-Datum abweichen und datiert den Tag bis zu dem der Verantwortliche die Maßnahme voraussichtlich umgesetzt haben wird. Falls aktiviert, wird auch bei Fortschrittsmeldungen vom Verantwortlichen die Eingabe eines Plandatums erwartet.


::Falls aktiviert ist Plandatum ein Pflichtfeld!


*Verschoben:
::Hiermit können Maßnahmen als "verschoben" gekennzeichnet werden. Wird das "Plandatum" einer Maßnahme nachträglich geändert, unterstützt HITGuard dies indem es vorschlägt die Maßnahme als "verschoben" zu kennzeichnen.


*Risikoreduktion:
::Wurde eine Maßnahme in Teilen umgesetzt und fand dadurch eine Reduktion des durch die Maßnahme zu behebenden Risikos statt, so kann für die Maßnahme der Kennzeichner "Risikoreduktion" gesetzt werden. Die Ampel wird dadurch im laufenden Analysezeitraum um eine Stufe heruntergesetzt (z.B. von Rot auf Gelb). Der Kennzeichner wird im nächsten Analysezeitraum automatisch wieder entfernt.


*KO-Kriterium:
::Hiermit können Maßnahmen als kritisch gekennzeichnet werden. Sie werden in Berichten gesondert dargestellt.


*Neu geplant:
::Ermöglicht ein neues einplanen der Maßnahme. Wird die Maßnahme als "neu geplant" gekennzeichnet und die Frist der Maßnahme geändert, so wird die Ampel für diese Maßnahme auf Grün zurückgestellt.


*Maßnahmen-ID Generierung:
::Falls aktiviert, wird bei Neuanlage von Maßnahmen automatisch eine ID vorgeschlagen. Diese ist abhängig von der gewählten Organisationseinheit und nach dem Schema: [OrgEh-Kürzel]_[Laufende Nummer] aufgebaut.
*Korrektur-& Verbesserungsmaßnahme:
::Falls aktiviert können Maßnahmen als Korrektur und/oder Verbesserungsmaßnahmen gekennzeichnet werden. Nach diesen Kennzeichnern kann in der Maßnahmenliste gefiltert werden und sie werden auf Berichten abgedruckt.

</translate>

Teams

2019-09-30T11:55:29Z

ChKe:

'''Was sind Teams? '''
:Teams bestehen aus mindestens einem Mitglied und sind für die Umsetzung der Ihnen zugeteilten Aufgaben (Maßnahmen, Kontrollen, Audits, Business Impact Analysen, etc) verantwortlich. Die Mitglieder eines Teams sind dabei für die Bearbeitung der Ihnen zugewiesenen Aufgaben verantwortlich und bekommen daher per Email die Aufforderung die ihnen zugeteilten Aufgaben umzusetzen.

:Der Teamleiter, sofern nicht auch als Mitglied eingetragen, hat nur die Aufgabe einen Überblick über sein Team zu haben. Er kann daher ansehen welche Aufgaben seinem Team zugeteilt sind, ist aber nicht für die Umsetzung (außer er ist Mitglied) dieser Aufgaben verantwortlich und erhält deshalb auch keine Emails die ihn auffordern eine Aufgabe umzusetzen. Er kann aber, falls nötig, die Aufgaben dennoch umsetzen. Teamleiter werden nur bei Überschreitung der Deadline z.B. von Kontrollen oder Fortschrittsmeldungen informiert.

'''Wer kann Teams erstellen?''' 
:Teams können durch Administratoren oder Experten über "Administration → Teams" erstellt werden. Hier besteht ebenso die Möglichkeit Teams zu deaktivieren. 

'''Wo können Teams zugeteilt werden?''' 
:Teams können überall dort zugeteilt werden, wo Zuständigkeiten definiert werden können. 

:Das heißt Teams können zu: 
::*Maßnahmen,
::*Kontrollen,
::*Risiken,
::*Risikoidentifikationen,
::*Business Impact Analysen,
::*Audits und
::*Ressourcen
:zugeteilt werden.

'''Zu Beachten:'''
*Teams benötigen keinen Teamleiter, aber mindestens ein Mitglied. Wenn gewünscht kann dieses Mitglied ebenfalls der Teamleiter sein.

*Ausnahmen gibt es nur bei dem Prüfverhalten „Alle müssen in Reihenfolge akzeptieren“. Bei diesem Verhalten können nur Einzelpersonen zugeteilt werden.

*In Berichten wird nur mehr die Team-Bezeichnung angeführt. Es werden aber nicht die einzelnen Personen im Team aufgelistet.

*Teams können nicht gelöscht werden. Nur deaktivieren ist möglich!

*Das Deaktivieren von Teams ist nur dann möglich, wenn diese in keinen aktiven Arbeitsschritten verantwortlich sind bzw. für aktive Strukturelemente verantwortlich sind.

*Deaktivierte Teams können nicht mehr zugeteilt werden.

*Deaktivierte Teams sind in der Teamliste als solche gekennzeichnet.

== Rollenbeschreibung ==

'''Teamleiter:'''
:Die Teamleiter sind nicht für die Bearbeitung der Maßnahmen, Kontrollen, Abweichungsanalysen usw. des Teams zuständig, müssen aber einen Überblick darüber haben bzw. reaktiv eingreifen können. Teamleiter haben daher Zugriff auf Maßnahmen, Kontrollen, Abweichungsanalysen usw. die dem Team zugewiesen sind, sie werden aber nicht in die operative Abwicklung von Workflows involviert.
:Teamleiter bekommen z.B. keine Aufforderung per Email eine Maßnahme, Kontrolle oder Abweichungsanalyse umzusetzen. Bei Deadline Überschreitungen z.B. von Kontrollen oder Fortschrittsmeldungen werden Sie im Sinne einer Eskalation informiert.
:Das wird weiters in der Form unterstützt, dass für Practitioner in deren Dashboard-Anzeige anstehende Kontrollen oder Fortschrittsmeldungen nur Teammitgliedern, nicht aber Teamleitern angezeigt werden. Ein Teamleiter hat aber Zugriff auf Kontrollen und Fortschrittsmeldungen über die Menüpunkte „Meine Kontrollen“ und „Meine Fortschritte“ und kann damit notfalls handelnd eingreifen. Der blaue Kennzeichner, welcher ausstehende Kontrollen und Fortschrittsmeldungen signalisiert, die einer Bearbeitung bedürfen, wird Teamleitern ebenfalls nicht angezeigt. Das ist deshalb so gelöst, weil der blaue Kennzeichner für eine zu setzende Aktion steht, der Teamleiter aber nicht für die operative Umsetzung verantwortlich ist, sondern nur reaktiv eingreifen können soll. 

'''Mitglieder:'''
:Mitglieder eines Teams haben Zugriff auf Maßnahmen, Kontrollen, Abweichungsanalysen usw. die dem Team zugewiesen sind und sind für die operative Abwicklung von Workflows verantwortlich. Sie erhalten daher alle die Aufforderung per Email z.B. eine Maßnahme, Kontrolle oder Abweichungsanalyse umzusetzen.
:Eskalations-Mails bzgl. zeitlicher Überschreitungen zu Umsetzungen werden ebenfalls allen Teammitgliedern übermittelt.




== Rollenbeschreibung erstellen / bearbeiten ==

Experten sehen unter "Administration → Teams" alle Teams, welche angelegt wurden. Ebenso können Sie hier neue Teams erstellen oder alte deaktivieren.

Um ein Team zu erstellen müssen Sie auf den Plus-Button klicken.

[[Datei:Teamliste.PNG|left|thumb|900px|Team erstellen]]
 
[[Datei:Team erstellen.PNG|left|thumb|900px|Team erstellen]]

Benutzer und Benutzerrollen

2019-09-30T11:41:13Z

ChKe:

<translate>

== Benutzerrollen in HITGuard == 


Jede Benutzerolle hat eigene Berechtigungen und Funktionen. 
Benutzerrollen können für jedes Modul einzeln vergeben werden. Die einzige Ausnahme ist der Practitioner, da diese Rolle modulübergreifend ist. D.h. ein Benutzer kann im Security Assessor Expert sein, im Progress Monitor aber Professional oder Practitioner.
</translate>

<translate>


'''Admin:'''


Diese Rolle ist für die Administration sowie für die Verwaltung anderer Benutzer zuständig. Administratoren haben keinen Einblick in Daten. Zum Beispiel können Administratoren zwar '''alle''' Managementsysteme verwalten und erstellen, haben aber weder Einblick in deren Daten noch können sie als Verantwortliche festgelegt werden.
* Bei Erstinstallation der Software ist min. ein Administrator zu definieren.
* Es kann mehrere Administratoren geben.
* Erfüllt rein administrative Aufgaben.


'''Expert:'''


Diese Rolle verantwortet ein oder mehrere [[<tvar|A_manSys>Special:MyLanguage/Managementsysteme</>|Managementsysteme]] in Ihrem Unternehmen.
* Security Assessor (Risikomanagement):
**Kann Bewertungen, Risiken erstellen und auch Feststellungen administrieren.
** verantwortet die Administration der Risikopolitik
* Progress Monitor (Maßnahmen und Kontrollen)
** Kann Maßnahmen und Kontrollen erstellen und administrieren.
** verantwortet die Administration der Einstellungen im Progress Monitor
* Data Protector (Datenschutz)
** Kann Verarbeitungstätigkeiten erstellen, TOMs zuweisen, Externe und Betroffene administrieren.
* kann Managementsysteme erstellen und verwalten
* Kann die Zugriffsberechtigungen und Basiskonfigurationen vornehmen
* kann die Administration verwalten


'''Professional:'''


User dieser Rolle unterstützen die Experten der Managementsysteme in der Erfüllung ihrer Aufgaben. Ein Professional hat Zugriff auf alle Aufgaben, in den Managementsystemen denen er zugeteilt ist, mit eingeschränkten Bearbeitungsrechten
* Security Assessor (Risikomanagement):
**Kann Bewertungen, Risiken erstellen und auch Feststellungen administrieren.
* Progress Monitor (Maßnahmen und Kontrollen)
** Kann Maßnahmen und Kontrollen erstellen und administrieren.
* Data Protector (Datenschutz)
** Kann Verarbeitungstätigkeiten erstellen, TOMs zuweisen und Externe verwalten.


'''Practitioner:'''


Diese Rolle verfügt über Detailinformationen und Umsetzungskompetenzen, die aus dem Managementsystem heraus benötigt werden. Dass Practitioner ihr Wissen mit den HITGuard Experten teilen ist für ein lebendiges Managementsystem unbedingt erforderlich.
* hat Überblick über alle ihm zugeteilten Maßnahmen, Kontrollen, Verarbeitungstätigkeiten und Bewertungen zur Beantwortung
* wird an die Erledigung seiner Aufgaben erinnert
* ist die Standardrolle die jeder Benutzer modulübergreifend besitzt.

== Benutzerverwaltung == 


Das Anlegen eines neuen Benutzers wird in 3 Schritte unterteilt:
# Benutzer inklusive initialem Passwort anlegen:
#:Zum Anlegen eines Benutzers gibt es 2 Möglichkeiten
#:* Möglichkeit 1: Benutzerliste
#::: Administration → Benutzer
#::: In der Benutzerliste, am rechten Rand, auf den Plus-Button "Benutzer hinzufügen" klicken und den Benutzer mit den relevanten Daten anlegen (siehe [[<tvar|A_profil>Profil</>|Profil]]).
#:* Möglichkeit 2: Schnellerfassung
#::: Im Kontext der Verwendung kann bei [[Globale_Einstellungen#ldap|Active Directory]] Integration über eine Personenauswahlmaske ein neuer Benutzer mit minimalen Berechtigungen für das aktive Modul erstellt werden. Z.B. bei der Maßnahmenanlage
# Benutzerrollen zuordnen:
#: Benutzerrollen können nur von Administratoren oder Experts vergeben werden. Hierfür unter "Administration → Benutzerrollen-Zuordnung" für den gewünschten Benutzer die jeweiligen Rollen zuordnen. Zu Beachten: Nur Administratoren können die Rolle Expert vergeben. Wichtig: Experts und Professionals müssen anschließend einem Managementsystem zugeteilt werden um ihre Aufgaben erfüllen zu können. (siehe [[<tvar|UG_user_to_manSys>Benutzer zu Managementsystemen zuteilen</>|Benutzer zu Managementsystemen zuteilen]])
# Passwort ändern:
#: Eigenes Passwort ändern:
#:# Auf das Profilbild oder den Profilnamen klicken
#:# unten rechts auf "Passwort ändern" klicken
#:# altes und neues Passwort eingeben und bestätigen
#: Als Administrator oder Expert ein Passwort ändern/zurücksetzen:
#:# Unter Administration → Benutzer den gewünschten Benutzer auswählen
#:# unten rechts auf "Passwort ändern" klicken
#:# neues Passwort eingeben und bestätigen
#: Zu Beachten: Nur Administratoren können Passwörter von Experten zurücksetzen. Experten können User anlegen und berechtigen und sie können Passwörter für Professionals und Practitioner zurücksetzen. Die Administrator-Rolle kann auch an mehrere User vergeben werden.
</translate>

Betroffenenkategorien

2019-09-30T11:11:31Z

ChKe: /* Betroffenenkategorie erstellen / bearbeiten */

__TOC__

Unter "Datenschutz → Betroffenenkategorien | Vorkommen von Betroffenenkategorien" definieren Datenschutz Experten wie Betroffene kategorisiert werden. Diese Kategorien werden anschließend den Verarbeitungstätigkeiten zugeteilt, welche sich mit der Verarbeitung personenbezogener Daten dieser Kategorie befassen. Ein Beispiel hierfür wäre die Verarbeitungstätigkeit Personaladministration, welche personenbezogene Daten der Betroffenenkategorie Mitarbeiter verarbeitet.

[[Datei:Betroffenen Übersicht.png|left|thumb|900px|Übersicht der Externen]]
 

=== Betroffenenkategorie erstellen oder bearbeiten===

Um eine Betroffenenkategorie zu erstellen, klicken Sia auf den Plus-Button in der Übersicht.

Um eine Betroffenenkategorie zu bearbeiten, doppelklicken Sie auf diese in der Übersicht.

Achtung!: Einmal erstellt können Betroffenenkategorien nur gelöscht werden, solange Sie in keiner Verarbeitungstätigkeit vorkommt.

Bezeichnung:
* Bezeichnung der Kategorie z.b Mitarbeiter, Bewerber, Kunden, Lieferanten, etc.

Beschreibung:
* Hier erklären Sie, worum es sich bei der Kategorie handelt. Kunden könnten z.b Personen oder Firmen sein oder Sie legen für jeden Fall eine spezielle Betroffenenkategorie an.

[[Datei:Betroffenen bearbeiten.png|left|thumb|900px|Betroffenenkategorie erstellen / bearbeiten]]
 

== Vorkommen von Betroffenenkategorien ==

Aufgrund der DSGVO hat jeder Betroffene das Recht Auskunft darüber zu bekommen. welche Daten von ihm aktuell in Ihrem Unternehmen verarbeitet werden. Aus diesem Grund bietet HITGuard Datenschutz Experten die Möglichkeit unter "Datenschutz → Betroffenenkategorien → Vorkommen von Betroffenenkategorien" zu sehen. wo Daten des Betroffenen verarbeitet werden. Da hier auch erkenntlich ist, in welchen Applikationen diese Daten vorhanden sind, kann im Falle einer Löschaufforderung schnell herausgefunden werden, wo diese Daten zu löschen sind.

[[Datei:Vorkommen von Betroffenenkategorien.png|left|thumb|900px|Vorkommen der Betroffenenkategorien]]
 

Um gezielt nach einer Betroffenenkategorie zu Suchen gibt es 2 Möglichkeiten:
# Sie benutzen die Suchleiste rechts oben und suchen nach der Betroffenenkategorie.
# Sie Filtern über das "Trichter" Icon gezielt nach der gewünschten Betroffenenkategorie.

Anschließend wird Ihnen angezeigt, welche Verarbeitungstätigkeiten welche Daten des Betroffenen verarbeiten sowie in welchen Prozessen diese Daten verarbeitet werden. In Klammer steht immer welche Daten verarbeitet werden, bzw. die übergeordneten Datenkategorien.

[[Datei:Vorkommen von Betroffennekategorie Filtern.gif|left|thumb|900px|Nach Betroffenenkategorie filtern]]

Betroffenenkategorien

2019-09-30T11:11:16Z

ChKe:

__TOC__

Unter "Datenschutz → Betroffenenkategorien | Vorkommen von Betroffenenkategorien" definieren Datenschutz Experten wie Betroffene kategorisiert werden. Diese Kategorien werden anschließend den Verarbeitungstätigkeiten zugeteilt, welche sich mit der Verarbeitung personenbezogener Daten dieser Kategorie befassen. Ein Beispiel hierfür wäre die Verarbeitungstätigkeit Personaladministration, welche personenbezogene Daten der Betroffenenkategorie Mitarbeiter verarbeitet.

[[Datei:Betroffenen Übersicht.png|left|thumb|900px|Übersicht der Externen]]
 

=== Betroffenenkategorie erstellen / bearbeiten===

Um eine Betroffenenkategorie zu erstellen, klicken Sia auf den Plus-Button in der Übersicht.

Um eine Betroffenenkategorie zu bearbeiten, doppelklicken Sie auf diese in der Übersicht.

Achtung!: Einmal erstellt können Betroffenenkategorien nur gelöscht werden, solange Sie in keiner Verarbeitungstätigkeit vorkommt.

Bezeichnung:
* Bezeichnung der Kategorie z.b Mitarbeiter, Bewerber, Kunden, Lieferanten, etc.

Beschreibung:
* Hier erklären Sie, worum es sich bei der Kategorie handelt. Kunden könnten z.b Personen oder Firmen sein oder Sie legen für jeden Fall eine spezielle Betroffenenkategorie an.

[[Datei:Betroffenen bearbeiten.png|left|thumb|900px|Betroffenenkategorie erstellen / bearbeiten]]
 

== Vorkommen von Betroffenenkategorien ==

Aufgrund der DSGVO hat jeder Betroffene das Recht Auskunft darüber zu bekommen. welche Daten von ihm aktuell in Ihrem Unternehmen verarbeitet werden. Aus diesem Grund bietet HITGuard Datenschutz Experten die Möglichkeit unter "Datenschutz → Betroffenenkategorien → Vorkommen von Betroffenenkategorien" zu sehen. wo Daten des Betroffenen verarbeitet werden. Da hier auch erkenntlich ist, in welchen Applikationen diese Daten vorhanden sind, kann im Falle einer Löschaufforderung schnell herausgefunden werden, wo diese Daten zu löschen sind.

[[Datei:Vorkommen von Betroffenenkategorien.png|left|thumb|900px|Vorkommen der Betroffenenkategorien]]
 

Um gezielt nach einer Betroffenenkategorie zu Suchen gibt es 2 Möglichkeiten:
# Sie benutzen die Suchleiste rechts oben und suchen nach der Betroffenenkategorie.
# Sie Filtern über das "Trichter" Icon gezielt nach der gewünschten Betroffenenkategorie.

Anschließend wird Ihnen angezeigt, welche Verarbeitungstätigkeiten welche Daten des Betroffenen verarbeiten sowie in welchen Prozessen diese Daten verarbeitet werden. In Klammer steht immer welche Daten verarbeitet werden, bzw. die übergeordneten Datenkategorien.

[[Datei:Vorkommen von Betroffennekategorie Filtern.gif|left|thumb|900px|Nach Betroffenenkategorie filtern]]

TOMs

2019-09-30T10:49:38Z

ChKe:

TOMs sind technische und organisatorische Maßnahmen oder Kontrollen, welche für den Umgang mit personenbezogenen Daten angelegt wurden. Diese Maßnahmen und Kontrollen müssen unter "Datenschutz → TOMs" den technischen und organisatorischen Maßnahmen bzw. Kontrollen zugewiesen werden, damit Sie in einer Verarbeitunsgsmeldung an Behörden erkenntlich sind.

Zu beachten:
: Es gibt allgemeine TOMs, welche für jede Verarbeitungstätigkeit gelten. Diese finden und weisen Sie unter "Datenschutz → TOMs" jemandem zu.
: Es gibt spezifische TOMs, dies sind technische und organisatorische Maßnahmen und Kontrollen, welche speziell für eine Verarbeitungstätigkeit durchzuführen sind. Diese weisen Sie bei Verarbeitungstätigkeiten direkt zu.

Nur Datenschutz Experten und Professionals können unter "Datenschutz → TOMs" die allgemeinen TOMs verwalten.

== Maßnahmen ==

Hier sehen DP Experten und Professionals alle Maßnahmen welche für '''jede''' Verarbeitungstätigkeiten durchzuführen sind.

[[Datei:Allgemeine TOMs Maßnahmen.png|left|thumb|900px|allgemeine technische und organisatorische Kontrollen Maßnahmen]]
 

Es besteht hier die Möglichkeit bereits existierende Maßnahmen zuzuordnen bzw. die Zuordnung bestehender Maßnahmen aufzuheben.

[[Datei:Allgemeine TOMs Maßnahmen zuweisen.png|left|thumb|900px|Maßnahmen zu TOMs zuweisen]]
 

== Kontrolldefinitionen ==

Hier sehen DP Experten und Professionals alle Kontrollen welche für '''alle''' Verarbeitungstätigkeiten durchzuführen sind.

Es besteht hier die Möglichkeit bereits existierende Kontrollen zuzuordnen bzw. die Zuordnung bestehender Kontrollen aufzuheben.

[[Datei:Allgemeine TOMs Kontrollen.png|left|thumb|900px|allgemeine technische und organisatorische Kontrollen]]

TOMs

2019-09-30T10:49:07Z

ChKe:

TOMs sind technische und organisatorische Maßnahmen oder Kontrollen, welche für den Umgang mit personenbezogenen Daten angelegt wurden. Diese Maßnahmen und Kontrollen müssen unter "Datenschutz → TOMs" den technischen und organisatorischen Maßnahmen bzw. Kontrollen zugewiesen werden, damit Sie in einer Verarbeitunsgsmeldung an Behörden erkenntlich sind.

Zu beachten:
: Es gibt allgemeine TOMs, welche für jede Verarbeitungstätigkeit gelten. Diese finden und weisen Sie unter "Datenschutz → TOMs" jemandem zu.
: Es gibt spezifische TOMs, dies sind technische und organisatorische Maßnahmen und Kontrollen, welche speziell für eine Verarbeitungstätigkeit durchzuführen sind. Diese weisen Sie bei Verarbeitungstätigkeiten direkt zu.

Nur Datenschutz Experten und Professionals können unter "Datenschutz → TOMs" die allgemeinen TOMs verwalten.

== Maßnahmen ==

Hier sehen DP Experten und Professionals alle Maßnahmen welche für '''jede''' Verarbeitungstätigkeiten durchzuführen sind.

[[Datei:Allgemeine TOMs Maßnahmen.png|left|thumb|900px|allgemeine technische und organisatorische Kontrollen Maßnahmen]]
 

Es besteht hier die Möglichkeit bereits existierende Maßnahmen zuzuordnen bzw. die Zuordnung bestehender Maßnahmen aufzuheben.

[[Datei:Allgemeine TOMs Maßnahmen zuweisen.png|left|thumb|900px|Maßnahmen zu TOMs zuweisen]]
 

== Kontrolldefinitionen ==

Hier sehen DP Experten und Professionals alle Kontrollen welche für '''jede''' Verarbeitungstätigkeit durchzuführen sind.

Es besteht hier die Möglichkeit bereits existierende Kontrollen zuzuordnen bzw. die Zuordnung bestehender Kontrollen aufzuheben.

[[Datei:Allgemeine TOMs Kontrollen.png|left|thumb|900px|allgemeine technische und organisatorische Kontrollen]]

Externe

2019-09-30T10:44:23Z

ChKe:

Externe sind betriebsfremde, welche von ihrem Unternehmen personenbezogene Daten erhalten. Externe sind für die Einhaltung der DSGVO grundlegend. Als Unternehmen müssen Sie Auskunft darüber geben können, welche betriebsfremden Personen von Ihnen personenbezogene Daten erhalte habenn. Ersichtlich wird dies aus einer Verarbeitungsmeldung, welche aus Verarbeitungstätigkeiten erstellt werden können. In der Verarbeitungstätigkeit selber geben Sie dann an, welche Daten welcher Externer von Ihnen erhält.

Als DS Experte oder Professional sehen sie unter "Datenschutz → Externe" alle im Datenshutzmanagementsystem angelegten Externen.

Hier können Sie ebenso neue Externe erfassen oder existierende bearbeiten.

[[Datei:Externe Übersicht.png|left|thumb|900px|Übersicht der Externen]]
 

== Externe erstellen / bearbeiten==

Um einen Externen zu erstellen, klicken Sie auf den Plus-Button in der Übersicht.

Um einen Externen zu bearbeiten, doppelklicken Sie auf ihn in der Übersicht.

Achtung!: Einmal erstellt können Externe nicht mehr gelöscht werden. Sie können dann nur mehr von aktiv auf deaktiviert umgestellt werden.

Kürzel und Bezeichnung:
* Kürzel: interne Abkürzung des Externen.
* Bezeichnung: z.B Name des Unternehmens welche personenbezogene Daten erhält.

Beschreibung:
* Hier erklären Sie, was der Empfänger für Sie tut, dafür das er personenbezogene Daten erhält.

Branche:
* Die Branche in der Externe tätig ist.

Empfänger nicht in EU:
* Ist der Empfänger nicht in der EU sitzhaft, muss dies gekennzeichnet werden. Zusätzlich müssen auch geeignete Garantien für diesen Fall angegeben werden, damit diese Externen DSGVO konform personenbezogene Daten erhalten dürfen.

Empfänger ist Auftragsverarbeiter:
* „Auftragsverarbeiter“ sind eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag ihres Unternehmens verarbeiten. In diesem Zuge müssen Sie auch Auskunft darüber geben was im Umfang dieser Bearbeitung ist und Dokumente wie Verträge und Vereinbarungen mit dem Verarbeiter hochladen.

Anschrift:
* Die Anschrift des Externen.

Kontakt:
* Kontaktdaten des Externen.

Ansprechperson:
* Die Ansprechperson beim Externen.

[[Datei:Externe bearbeiten.png|left|thumb|900px|Externen erstellen / bearbeiten]]

Verarbeitungsregister

2019-09-30T10:37:02Z

ChKe:

== Verarbeitungstätigkeiten (VTs) ==

Verarbeitungstätigkeiten sind Prozesse einer Organisationseinheit welche personenbezogene Daten verarbeiten.

Unter "Datenschutz → Verarbeitungsregister → Verarbeitungstätigkeiten | Organisationsregister | Gesellschaftsregister" sieht ein DS Experte (Datenschutz Experte) alle VTs welche im Datenschutzmanagementsystem existieren. Ein DS Professional sieht hier alle VTs für welche er in irgendeiner Form verantwortlich ist.

Hier können neue VTs erfasst, bestehende VTs aktualisiert und nicht mehr aktive VTs deaktiviert werden. 
Ebenso besteht die Möglichkeit hier DSGVO konforme Verarbeitungsmeldungen für Behörden zu generieren.

[[Media:Beispiel Verarbeitungsmeldung.pdf | Beispiel Verarbeitungsmeldung]]

[[Datei:Verarbeitungsregister Übersicht.png|left|thumb|900px|Übersicht der Verarbeitungstätigkeiten]] 

=== Verarbeitungstätigkeit erstellen / bearbeiten / updaten / deaktivieren===

erstellen
*Um eine Verarbeitungstätigkeit zu erstellen, müssen Sie in der Übersicht auf den "Plus"-Button klicken und anschließend die Verarbeitungstätigkeit ausfüllen oder vom Sachbearbeiter ausfüllen lassen.
*[[Verarbeitungstätigkeit|VT erstellen]]

bearbeiten
* Um eine Verarbeitungstätigkeit zu bearbeiten, müssen Sie auf die gewünschte Verarbeitungstätigkeit doppelklicken. Anschließend werden Sie zu der "bearbeiten" Maske weitergeleitet.
* Zu Beachten: Es können nur nicht abgeschlossene VTs bearbeitet werden.
*[[Verarbeitungstätigkeit|VT bearbeiten]]

Aktualisieren
* Ist eine VT in der aktuellsten Version nicht mehr aktuell und muss deswegen angepasst werden, besteht die Möglichkeit die VT zu aktualisieren.
* Um eine Verarbeitungstätigkeit zu aktualisieren, müssen Sie die gewünschte Verarbeitungstätigkeit durch einfaches Klicken markieren. Anschließend müssen Sie oben auf "VT updaten" klicken. Dadurch wird die VT kopiert, auf eine neue Version gehoben, in den Status "Entwurf" gesetzt und Sie werden zur neuen VT weitergeleitet. Solange diese VT nicht abgeschlossen wird, gilt die alte Version!
* Die neue Version kann durch Benutzer bearbeitet werden.
* [[Verarbeitungstätigkeit|VT bearbeiten]]

deaktivieren
* Um eine Verarbeitungstätigkeit zu deaktivieren, müssen Sie die gewünschte Verarbeitungstätigkeit durch einfaches Klicken markieren. Anschließend müssen Sie oben auf "VT deaktiviren" klicken.
* VTs können nur deaktiviert werden. Da eine Historie gepflegt wird, ist das Löschen unterbunden.
* Das deaktivieren einer VT bedeutet, dass die personenbezogenen Daten, welche die VT behandelt, entweder gar nicht mehr verarbeitet werden oder anders aussehen.

== Organisationsregister ==

Ein Organisationsregister ist ein Register einer Organisationseinheit, in welchem alle Prozesse ersichtlich sind, welche in der Organisationseinheit personenbezogenen Daten verarbeiten. Ein Organisationsregister steht in der Hierarchie unter einem Gesellschaftsregister. Dieses Model sollte ihrer Unternehmensstruktur ähneln. (z.b. Register des Konzerns steht über dem Register der Personalabteilung)

Unter "Datenschutz → Verarbeitungsregister → Verarbeitungstätigkeiten | Organisationsregister | Gesellschaftsregister" sieht ein DS Experte alle Organisationsregister, welche im Datenschutzmanagementsystem existieren. Ein DS Professional sieht hier alle Organisationsregister für welche er verantwortlich ist.

Hier können neue Organisationsregister erfasst, bestehende Organisationsregister bearbeitet und nicht mehr benötigte Organisationsregister gelöscht werden.

Es besteht hier die Möglichkeit eine DSGVO konforme Verarbeitungsmeldung für Behörden zu generieren, in welcher alle Verarbeitungstätigkeiten, welche einem Organisationsregister zugewiesen sind aufgelistet werden.

[Beispiel Report]

[[Datei:Organisationsregister Überischt.png|left|thumb|900px|Übersicht der Organisationsregister]] 

=== Organisationsregister erstellen / bearbeiten / löschen===

erstellen
*Um ein Organisationsregister zu erstellen, müssen Sie in der Übersicht auf den Plus-Button klicken und anschließend die Maske ausfüllen.

bearbeiten
*Um ein Organisationsregister zu bearbeiten, müssen Sie auf das gewünschte Organisationsregister doppelklicken. Anschließend werden Sie zu der "bearbeiten" Maske weitergeleitet.

löschen
*Um ein Organisationsregister zu löschen, müssen Sie auf das gewünschte Organisationsregister doppelklicken und anschließend den roten Mülleimer-Button klicken.
* Zu Beachten: wenn Sie ein Organisationsregister löschen, werden alle Verknüpfungen zu den Verarbeitungstätigkeiten sowie die Zuordnung zum Gesellschaftsregister aufgehoben.

==== Daten des Organisationsregisters ====

OrgEh:
* Hier wird eingetragen, von welcher Organisationseinheit dieses Register ist.

Kürzel und Bezeichnung:
* Kürzel: Wie das Register abgekürzt werden soll.
* Bezeichnung: Wie das Register heißen soll.

Beschreibung:
* Hier sollte beschrieben werden, um was sich das Register kümmert. Z.b. könnte es sich um ein Mitarbeiterregister der Personalabteilung handeln, welches personenbezogenen Mitarbeiterdaten verarbeitet.

Verantwortlicher:
* Die Person welche für dieses Register Verantwortung trägt.

Gesellschaftsregister:
* Hier sollte das Register der überliegenden Organisationseinheit eingetragen sein (z.b das Register des Konzerns).

==== Zugeordnete Verarbeitungstätigkeiten ====

Hier werden alle Verarbeitungstätigkeiten, welche dem Organisationsregister zugeordnet sind angeführt.

Hier besteht die Möglichkeit durch Klicken des Kettensymbols bereits existierende Verarbeitungstätigkeiten ohne Organisationsregister diesem Organisationsregister zuzuordnen oder durch klicken des Plus-Buttons eine neue Verarbeitungstätigkeit für dieses Organisationsregister zu erstellen. Durch Klicken des roten Kettensymbols, kann die Zuordnung der Verarbeitungstätigkeit zum Organisationsregister aufgehoben werden.

[[Datei:Organisationsregister bearbeiten.png|left|thumb|900px|Organisationsregister bearbeiten]] 

== Gesellschaftsregister==

Ein Gesellschaftsregister ist ein Register einer Gesellschaft, in welchem alle Organisationsregister ersichtlich sind, welche in der Gesellschaft personenbezogenen Daten verarbeiten.

Unter "Datenschutz → Verarbeitungsregister → Verarbeitungstätigkeiten | Organisationsregister | Gesellschaftsregister" sieht ein DS Experte alle Gesellschaftsregister, welche im Datenschutzmanagementsystem existieren. Ein DS Professional sieht hier alle Gesellschaftsregister für welche er verantwortlich ist.

Hier können neue Gesellschaftsregister erfasst, bestehende Gesellschaftsregister bearbeitet und nicht mehr benötigte Gesellschaftsregister gelöscht werden.

Es besteht hier die Möglichkeit eine DSGVO konforme Verarbeitungsmeldung für Behörden zu generieren, in welcher alle Verarbeitungstätigkeiten, welche dem Gesellschaftsregister oder der zugeteilten Organisationsregister zugewiesen sind aufgelistet werden.

[[Datei:Gesellschaftsregister Überischt.png|left|thumb|900px|Übersicht der Gesellschaftsregister]] 

=== Gesellschaftsregister erstellen / bearbeiten / löschen===

erstellen
*Um ein Gesellschaftsregister zu erstellen, müssen Sie in der Übersicht auf den Plus-Button klicken und anschließend die Maske ausfüllen.

bearbeiten
*Um ein Gesellschaftsregister zu bearbeiten, müssen Sie auf das gewünschte Gesellschaftsregister doppelklicken. Anschließend werden Sie zu der "bearbeiten" Maske weitergeleitet.

löschen
*Um ein Gesellschaftsregister zu löschen, müssen Sie auf das gewünschte Gesellschaftsregister doppelklicken und anschließend den roten Mülleimer-Button klicken.
* Zu Beachten: wenn Sein Gesellschaftsregister löschen, werden alle Verknüpfungen zu den Verarbeitungstätigkeiten und Organisationsregister aufgehoben.

==== Daten des Gesellschaftsregisters ====

OrgEh:
* Hier wird eingetragen von welcher Organisationseinheit dieses Register ist.
* Neben der Organisationseinheit wird angeführt, wer der Datenschutzbeauftragte dieser Organisationseinheit ist.

Kürzel und Bezeichnung:
* Kürzel: Wie das Register abgekürzt werden soll.
* Bezeichnung: Wie das Register heißen soll.

Beschreibung:
* Hier sollte beschrieben werden, um was sich das Register kümmert. Z.b. könnte es sich um ein Mitarbeiterregister der Personalabteilung handeln, welches personenbezogenen Mitarbeiterdaten verarbeitet.

Datenschutzkoordinator:
* Die Person, welche für dieses Register die Verantwortung trägt.

Vertreter der OrgEH:
* Hier werden die Personen eingetragen, welche die Organisationseinheit in Bezug auf das Register vertreten.

==== Zugeordnete Organisationsregister====

Hier werden alle Organisationsregister, welche dem Gesellschaftsregister zugeordnet sind angeführt.

Hier besteht die Möglichkeit durch klicken des Kettensymbols, bereits existierende Organisationsregister ohne Gesellschaftsregister diesem Gesellschaftsregister zuzuordnen oder durch klicken des Plus Buttons eine neues Organisationsregister für dieses Gesellschaftsregister zu erstellen. Durch Klicken des roten Kettensymbols kann die Zuordnung des Organisationsregisters zum Gesellschaftsregister aufgehoben werden.

[[Datei:Gesellschaftsregister bearbeiten.png|left|thumb|900px|Gesellschaftsregister bearbeiten]]

Maßnahmen Einstellungen

2019-09-30T08:59:57Z

ChKe:

Alle Einstellungen und Konfigurationen, die hier getroffen werden, sind global, d.h. sie wirken sich auf '''alle Managementsysteme''' aus und können nur von Administratoren oder Experten bearbeitet werden.

== Aufwandsklassen ==

Der Aufwand beschreibt wie viele Ressourcen (monetär, Zeit) es bedarf um eine Feststellung zu schließen bzw. die damit verbundene Maßnahme umzusetzen.
Die Aufwandsklassen können definiert werden können (z.B. groß, mittel, klein). Die Anzahl der Klassen, der Name der Klassen sowie deren Eigenschaften (monetär oder personeller Aufwand) ist dabei frei konfigurierbar.

[[Datei:Aufwandsklassen.png|left|thumb|801px|Aufwandsklassen]]
 

== Kriterien für Auswirkungsklassen ==

Auswirkungen sind nicht unbedingt immer monetärer Natur. Sie können z.B. zu Effektivitätsverlust, Imageschaden oder Patientenschaden führen. Aus diesem Grund bietet HITGuard die Möglichkeit Kriterien für Auswirkungen frei zu konfigurieren. Diese Kriterien können dann wiederum auf Auswirkungsklassen gemapped werden. 
Erstellt werden diese unter "Maßnahmen → Einstellungen → Kriterien für Auswirkungsklassen". 

[[Datei:Kriterien für Auswirkungsklassen.PNG|left|thumb|800px|Beispiel: Kriterien für Auswirkungsklassen]]
 

== Auswirkungsklassen ==

Auswirkungen werden in Klassen unterteilt. Die Auswirkungsklassen orientieren sich dabei an der Risikotragfähigkeit des Unternehmens. Die höchste Auswirkungsklasse sollte sich daher an dem maximalen für das Unternehmen tragbaren Schaden orientieren. Klassen können von Administratoren und Experten definiert werden.

Monetärer Schaden:
: Hier wird definiert, wie hoch ein monetärer Schaden in einer Klasse ausfällt.

Kriterium hinzufügen:
: Hier können die bereits erstellten Kriterien auf eine Auswirkungsklasse gemapped werden. Zudem sollten Sie im Kontext der Klasse beschreiben welcher Schaden auftreten muss um ein Kriterium zu erfüllen. 
 '''Beispiele für Auswirkungsklassen:''' 
{| class="wikitable"
|-
! Auswirkungsklasse
! Definition
|-
|rowspan = 4| Gering
| Monetärer Schaden: > 5T EUR und <= 25EUR
|-
| Patientenschaden: geringe und kurzzeitige Unannehmlichkeiten
|-
| Effektivitätsverlust: kein oder sehr begrenzter Einfluss auf Operationen/Prozeduren
|-
| Daten- und Systemsicherheit: Bekanntwerden einer entsprechenden Bedrohung oder Schwachstelle hat vernachlässigbaren Einfluss
|-
|rowspan = 4| Moderat
| Monetärer Schaden: > 25T EUR und <= 100T EUR
|-
| Patientenschaden: zeitlich begrenzte und geringere Verletzungen, medizinische Intervention erforderlich
|-
| Effektivitätsverlust: sehr begrenzter oder belästigender Effekt auf Operationen/Maßnahmen
|-
| Daten- und Systemsicherheit: Offenlegung sensibler Informationen könnte negative (finanzielle) Folgen haben und möglicherweise Ressourcenaufwand zur Beseitigung bedingen
|-
|rowspan = 4| Katastrophal
| Monetärer Schaden: > 10Mio EUR
|-
| Patientenschaden: Tod
|-
| Effektivitätsverlust: geplante Operationen/Prozeduren nicht mehr durchführbar
|-
| Daten- und Systemsicherheit: Kann zu vollständiger Offenlegung sensibler Informationen führen
|}

[[Datei:Auswirkungsklassen.PNG|left|thumb|800px|Beispiel: Auswirkungsklasse Niedrig]]
 

== Fristermittlung ==

Die Matrix zur Fristermittlung ergibt sich aus der Kombination von Aufwand und Auswirkung. Experts müssen für sämtliche Kombinationen aus Aufwand und Auswirkung definieren, wie lange die Dauer zur Umsetzung einer adäquaten Maßnahme zur Risikobehebung/-reduktion akzeptabel ist. Dadurch wird die Vorbesetzung der Deadline mit dem Termin des Abschlussberichts erhöht und auf den jeweils definierten Wert gesetzt. Dieser Wert kann aber auch noch manuell in der Maßnahme angepasst werden.

Klicken Sie auf eine Zelle in der Matrix um die Einstellungen zu ändern.

[[Datei:PM Fristermittlung.PNG|left|thumb|800px|Beispiel: Fristermittlung Klein * Niedrig]]

Auswertungen

2019-09-30T08:53:13Z

ChKe:

Experten sehen unter "Maßnahmen → Auswertungen" alle Organisationseinheiten des aktiven Managementsystems inklusive einer Auswertung der ihnen zugeordneten Maßnahmen eines Analysezeitraums.

[[Datei:Maßnahmen Auswertungen.PNG|left|thumb|900px|Auswertung eines Analysezeitraums]]

Fortschrittsmeldungen

2019-09-30T08:52:00Z

ChKe:

Experten und Professionals sehen unter "Maßnahmen → Fortschrittsmeldungen" '''alle''' Fortschrittsmeldungen, welche im aktuellen Analysezeitraum des aktiven Managementsystems existieren und können Fortschrittsmeldungen für Maßnahmen anfordern.

[[Datei:Fortschrittsmeldungen Übersicht.png|left|thumb|800px|Übersicht der Fortschrittsmeldungen]]
 

== Fortschrittsmeldungen anfordern ==

Klicken Sie auf den "Anfordern"-Button werden Sie zu einer Maske weitergeleitet, in der Sie alle Organisationseinheiten des Managementsystems mit allen Maßnahmen des aktuellen Analysezeitraums sehen. Anschließend können Sie hier für Maßnahmen, für die noch keine Fortschrittsmeldungen angefordert wurden eine Meldung anfordern. Dazu wählen Sie aus, bis wann Sie die Fortschrittsmeldung haben wollen und setzten für jede Maßnahme von der Sie eine Fortschrittsmeldung haben möchten das Häkchen. Danach klicken Sie auf den "Anfordern"-Button. Im Anschluss öffnet sich eine Übersicht der angeforderten Fortschrittsmeldungen.

[[Datei:Fortschrittsmeldungen Anfordern.gif|left|thumb|900px|Fortschrittsmeldungen anfordern]]
 

== Fortschrittsmeldungen bearbeiten ==

Durch Klicken auf eine Fortschrittsmeldung können Experten und Professionals in den Ablauf einer Fortschrittsmeldung eingreifen.

Dies kann nötig sein wenn:
* eine Fortschrittsmeldung abzuschließen ist, da nicht fristgerecht geantwortet wurde.
* eine Fortschrittsmeldung abzuschließen ist, da man sich nicht einig wurde und Sie nun entscheiden, wie die Bewertung der Maßnahme sein soll.
* die Fortschrittsmeldung bereits akzeptiert wurde , nun aber nochmals ergänzt werden soll.

Experten und Professionals können Fortschrittsmeldungen akzeptieren und zurückrufen wenn dies nötig ist.

'''Wichtig:''' Nur Experten können Fortschrittsmeldungen im Machhinein bearbeiten, falls dies erforderlich ist.

=== angeforderte bearbeiten ===

Angeforderte Fortschrittsmeldungen können zurückgerufen oder kommentiert werden. Sie können nicht akzeptiert werden, da der Verantwortliche seine Beantwortung nicht retourniert hat.

[[Datei:FM Angefordert bearbeiten.png|left|thumb|800px|angeforderte Fortschrittsmeldung bearbeiten]]
 

=== beantwortete bearbeiten ===

Beantwortete Fortschrittsmeldungen können akzeptiert oder erneut angefordert werden. Sie können dem Verantwortlichen im Kommentarfeld anmerken, was Sie geändert oder ergänzt haben möchten.

[[Datei:FM Beantwortet bearbeiten.png|left|thumb|800px|beantwortete Fortschrittsmeldung bearbeiten]]
 

=== akzeptierte bearbeiten ===

Akzeptierte Fortschrittsmeldungen können, falls erforderlich, von Experten im Nachhinein bearbeitet oder ergänzt werden. Zum Beispiel um ein Kommentar für einen Bericht zu ergänzen.

[[Datei:FM Akzeptiert bearbeiten.png|left|thumb|800px|akzeptierte Fortschrittsmeldung bearbeiten]]

Aktuelle Maßnahmen

2019-09-30T08:46:15Z

ChKe:

Experten und Professionals sehen unter "Maßnahmen → Maßnahmen" '''alle''' Maßnahmen des aktiven Managementsystems welche im aktuellen Analysezeitraum angelegt wurden.

[[Datei:Maßnahmen aktives Mms.png|left|thumb|800px|Managementsystem wählen]]
 

'''Ampel:'''

Die Ampeln, welche links neben den Maßnahmen angezeigt werden, geben Auskunft über den Status einer Maßnahme in Bezug auf ihre Frist und Analysezeiträume.

Bedeutung der Symbole:
* Häkchen: Die Maßnahme wurde fertiggestellt.
* Plus: Die Maßnahme wurde im aktuellen Analysezeitraum hinzugefügt.
* Kreis: Die Maßnahme wurde in einem älteren Analysezeitraum hinzugefügt.
Bedeutung der Farben:
* Grün: Die Maßnahme liegt innerhalb der Frist.
* Orange: Die Maßnahme ist einen Analysezeitraum über der Frist.
* Rot: Die Maßnahme ist mehrere Analysezeitraum über der Frist.

__TOC__

== Maßnahmen anlegen / bearbeiten ==

Beim Anlegen einer Maßnahme ist darauf zu achten, dass auch das richtige Managementsystem ausgewählt ist, da Maßnahmen nur für das aktive Managementsystem angelegt werden.

Um eine neue Maßnahme anzulegen, müssen Sie auf den "Plus-Button" klicken.

Zum Bearbeiten einer existierenden Maßnahme müssen Sie auf die gewünschte Maßnahme doppelklicken.

[[Datei:Maßnahme anlegen-bearbeiten.png|left|thumb|800px|Maßnahme anlegen / bearbeiten]]
 

OrgEh:
* Hier tragen Sie die Organisationseinheit ein, in welcher die Maßnahme umzusetzen ist.

Status:
*Offen: Die Maßnahme wurde noch nicht zu 100% umgesetzt.
*Ausgesetzt: Die Maßnahme wird bis auf Weiteres ausgesetzt.
*Erledigt: Die Maßnahme wurde durchgeführt und überprüft.

ID:
*Das Kürzel unter welchem die Maßnahme zu finden ist. (z.b Orgeh + laufende Nummer Per_001)

Thema:
* Hier sollten Sie kurz und bündig beschreiben, mit welcher Thematik sich die Maßnahme beschäftigt.

Beschreibung:
*Bei der Beschreibung sollten Sie die Maßnahme beschreiben bzw. erklären welche Schritte zur Umsetzung nötig sind.

Erkannt am Ereignis:
* Hier sollten Sie eintragen durch welches Ereignis Sie eine Maßnahme für nötig befunden haben. Zum Beispiel im Rahmen einer Besprechung.

Erkannt am:
* Hier tragen Sie ein, wann die Notwendigkeit dieser Maßnahme erkannt wurde.

Verantwortlicher:
* Hier tragen Sie die Person ein, welche für die Umsetzung der Maßnahme zuständig ist.

Norm-Mapping:
* Hier können Sie die Maßnahme auf eine Norm mappen. Im Normalfall wird dieses Feld aber befüllt, weil die Maßnahme aus einer Wissensdatenbank Vorlage ausgewählt wurde.(blauer Button neben ID Feld)

Evidenzen:
* Hier können Sie Dateien hochladen, welche Evidenzen für die Umsetzung der Maßnahme sind.

Optionale Maßnahmeneigenschaften:
* Alle anderen Optionen sind optional und von einem Experten für das jeweilige Managementsystem zu konfigurieren. (siehe [[Globale_Einstellungen#Optionale_Ma.C3.9Fnahmeneigenschaften|Optionale Maßnahmeneigenschaften]])

[[Datei:Maßnahme bearbeiten Maske.png|left|thumb|800px|Maske zum bearbeiten einer Maßnahme]]
 

== Fortschrittsmeldungen ==

Scrollen Sie in der Bearbeitungsmaske einer Maßnahme nach unten, so werden alle angeforderten Fortschrittsmeldungen angezeigt. (siehe [[Fortschrittsmeldungen|Fortschrittsmeldung anfordern]])

Als Experte können Sie hier auch die letzte Fortschrittsmeldung bearbeiten.

Es gibt folgende Situationen in denen es Sinn macht, eine Fortschrittsmeldung zu bearbeiten:
*Es ist die Fortschrittsmeldung abzuschließen, weil nicht fristgerecht eine Antwort gegeben wurde.
*Es ist die Fortschrittsmeldung abzuschließen, weil man sich nicht einig wurde und Sie nun entscheiden, wie die Bewertung der Maßnahme sein soll.
*Die Fortschrittsmeldung wurde bereits akzeptiert, soll nun aber nochmals ergänzt werden (z.B. es wurde noch eine Evidenz nachgesendet)

Der Verantwortliche und ggf. Sachbearbeiter werden per E-Mail informiert, dass die Fortschrittsmeldung im "Bearbeitungsmodus für autorisierte" bearbeitet wurde.

Die Fortschrittsmeldung wird dadurch auf den Status "beantwortet" gesetzt und muss ggf. erneut akzeptiert werden.

[[Datei:Maßanhme Fortschrittsmeldungen.png|left|thumb|800px|Fortschrittsmeldungen zur Maßnahme]]

Dashboard für Maßnahmen

2019-09-30T08:13:19Z

ChKe:

Experten und Professionals finden unter "Maßnahmen" ein Dashboard, welches Auskunft über die Maßnahmenerfüllung des aktiven Managementsystems gibt.

[[Datei:Maßnahmen Dashboard Übersicht.png|left|thumb|900px|Maßnahmen Dashboard]]
 

Hier sehen Sie, wie viele Maßnahmen im aktuellen Managementsystem existieren und wie viele davon offen, ausgesetzt oder schon durchgeführt wurden. Weiters bekommen Sie einen Überblick, wie viele davon kritisch und aufwändig sind und wie viele Maßnahmen überfällig sind.

[[Datei:Maßnahmen Dashboard Maßnahmen.png|left|thumb|900px|alle Maßnahmen]]
 

Wechseln Sie zur Ansicht "OEs - Zeitl. Entw." können Sie sehen wie viele Maßnahmen in den einzelnen Analysezeiträumen je Organisationseinheit angefallen sind.

Wechseln Sie zur Ansicht "OEs - Nach Status" bekommen Sie einen Überblick darüber, wie die Umsetzung der Maßnahmen im aktuellen Analysezeitraum aussieht.

Es besteht auch die Möglichkeit sich gezielt nur eine Organisationseinheit anzusehen, indem Sie unter der Ansichtsauswahl eine OrgEh auswählen.

Durch klicken auf das Menüsymbol neben der Ansichtsauswahl können Sie diese Diagramme exportieren.

[[Datei:Maßnahmen Dashboard Maßnahmen nach OrgEhs.png|left|thumb|900px|1. Maßnahmen nach OrgEhs in Analysezeiträume 2. Erfüllung der Maßnahmen des aktuellen Analysezeitraums]]
 

Hier sehen Sie, ob es Fortschrittsmeldungen von Maßnahmen zu begutachten gibt.

[[Datei:Maßnahmen Dashboard Nachrichten.png|left|thumb|900px|Benachrichtigung über Fortschrittsmeldungen]]

Kontrolldefinitionen

2019-09-27T11:02:49Z

ChKe:

Experten und Professionals sehen unter "Kontrollen → Kontrolldefinitionen" '''alle''' Kontrollen welche im aktiven Managementsystem angelegt wurden.

[[Datei:Kontrollen aktives Mms.png|left|thumb|900px|Managementsystem wählen]]
 

__TOC__

== Kontrolle anlegen / bearbeiten ==

Beim Anlegen einer Kontrolle ist darauf zu achten, dass auch das richtige Managementsystem ausgewählt ist, da Kontrollen nur für das aktive Managementsystem angelegt werden.

Um eine neue Kontrolle anzulegen, müssen Sie auf den "Plus-Button" klicken.

Zum Bearbeiten einer existierenden Kontrolle müssen Sie auf die gewünschte Kontrolle doppelklicken.

=== Kopfdaten ===

:OrgEh:
:* Hier tragen Sie die Organisationseinheit ein, in welcher die Kontrolle durchzuführen ist.

:Abkürzung:
:*Das Kürzel unter welchem die Kontrolle zu finden ist. (z.b Orgeh + laufende Nummer Per_K_001)

:Status:
:*Aktiv: Die Kontrolle ist durchzuführen wenn sie anfällt.
:*Ausgesetzt: Die Kontrolle ist aus irgendeinem Anlass nicht durchzuführen, sie kann aber wieder aktiviert werden.
:*Deaktiviert: Die Kontrolle wird im Normalfall nicht mehr aktiv. Dieser Status ist für Kontrollen welche aus Archivierungszwecke nicht mehr gelöscht werden können, da bereits Kontrollen durchgeführt wurden.

:Bezeichnung:
:* Hier sollten Sie kurz und bündig beschreiben, mit welcher Thematik sich die Kontrolle beschäftigt.

:Kontrollmaßnahme:
:*Bei der Kontrollmaßnahme sollten Sie die Kontrolle beschreiben bzw. erklären auf was bei der Durchführung zu achten ist.

:Anmerkung:
:*Hier tragen Sie sonstige Dinge ein, auf die bei der Kontrolldurchführung zu achten sind.

:Norm-Mapping:
:* Hier könne Sie die Kontrolle auf eine Norm mappen. Im Normalfall wird dieses Feld aber befüllt, weil die Kontrolle aus einer Wissensdatenbank Vorlage ausgewählt wurde.(blauer Button neben dem "Abkürzung" Feld)

:Kontrolltypen:
:*Organisatorisch: Es werden organisatorische Abläufe geprüft.
:*Technisch: Es werden technische Abläufe geprüft.
:*Vorbeugend: Die Kontrolle dient zur Vorbeugung eines Risikos/Schadens. (z.B. Überprüfen eines Feuerlöschers)
:*Korrigierend: Die Kontrolle dient zur Überprüfung eines bekannten Problems und beurteilt ob besagtes Problem verringert wurde.

:Priorität:
:*Schlüsselkontrolle: Diese Kontrolle wird bei jedem Fehlschlag an den Managementsystem-Verantwortlichen eskaliert!

:Schwellwert:
:*Alarmiert, falls der Schwellwert überschritten wurde: <ul><li>Managementsystem Verantwortliche(n)</li><li>sowie Personen und Teamleiter die im Eingabefeld "Funktionale Eskalation zu" eingetragen sind</li></ul> Abhängig vom gewählten Zeitraum ist der Prüfungszeitraum von Schnellwertverletzungen:<ul><li>Jahr: Seit Jahresbeginn,</li><li>Quartal: Seit letztem Quartalsbeginn,</li><li>Monat: Seit Monatsbeginn,</li><li>Woche: Seit Wochenbeginn,</li><li>Tag: Seit Tagesbeginn,</li><li>Stunde: Seit Stundenbeginn.</li></ul> Hinweis: Wird ein bereits verletzter Schwellwert innerhalb des Zeitraums wiederholt verletzt, so wird bei jeder neuerlichen Verletzung eskaliert.

=== Prüfungsdaten===

:Umsetzer:
:* Hier tragen Sie die Personen ein, welche für die Durchführung der Kontrolle zuständig sind.

:Prüfverhalten:
:* Hier entscheiden Sie, wie entschieden wird, ob eine Kontrolle als durchgeführt zählt, wenn mehrere Prüfer existieren.
::* Alle müssen akzeptieren
::* Erste Rückmeldung entscheidet
::* Die Mehrheit entscheidet
::* Alle müssen in Reihenfolge akzeptieren

:Prüfer:
:* Hier tragen Sie die Personen ein welche die Durchführung der Kontrolle prüfen.

:Erstmalig:
:* Hier stellen Sie das Datum der ersten Kontrolle ein. Weiters können Sie entscheiden, ob die Kontrolle Wiederkehrend ist und wenn ja in welchem Intervall die Kontrolle durchgeführt werden soll.

:Deadline:
:* Soll die Kontrolle eine Deadline haben, müssen Sie angeben wann diese ist, und welche Personen über das Überschreiten der Deadline informiert werden sollen.

:E-Mail Benachrichtigungen sobald anhängig:
:* Ist dies aktiviert wird sobald eine Kontrolle durchgeführt wurde der Umsetzer benachrichtigt. Dies kann unerwünscht sein, wenn eine Kontrolle z.B. täglich durchzuführen ist.

:Erinnerungen:
:* Hier können Sie mehrere E-Mail Erinnerungen für den Umsetzer konfigurieren.

:Anlagen:
:* Hier können Sie Dateien hochladen, welche der Umsetzer bei jeder Kontrolle die er durchführt sieht. Dies kann z.B eine Prüfprotokollvorlage sein, welche der Umsetzer bei jeder Kontrolle herunterladen kann, es ausfüllen kann und anschließend als Evidenz retournieren kann. Dabei zu beachten ist, dass der Umsetzer die hier hoch geladenen Dateien nicht verändern kann.

[[Datei:Kontrolle bearbeiten Maske.png|left|thumb|800px|Maske zum bearbeiten einer Kontrolle]]
 

== Durchgeführte Kontrollen ==

Wechseln Sie auf den Tab "Durchgeführte Kontrollen" bekommen Sie einen Überblick über die bereits durchgeführten Kontrollen.

[[Datei:Durchgeführte Kontrollen.PNG|left|thumb|900px|Übersicht der durchgeführten Kontrollen]]
 

Klicken Sie anschließend auf eine Kontrolle, öffnet sich ein Dialog in dem Sie die Details zur Kontrolldurchführung sehen.

[[Datei:Detail durchgeführte Kontrolle.PNG|left|thumb|900px|Details zu einer durchgeführten Kontrolle]]