HITGuard User Guide - Benutzerbeiträge [de]

Workflow Risiko Chance/en

2026-02-12T09:59:07Z

Isan:

[[Datei:Risiko_allgemein.png||center|thumb|901px|Rough overview of the general risk and opportunity workflow]] 
====What is a risk?====
A risk is a collection of negative gaps that constitute a concrete danger for the linked entities.

====What is an opportunity?====
An opportunity is a collection of positive gaps that constitute a concrete potential for the linked entities.

====How can a risk/opportunity be created?====
Practitioners can submit risks and opportunities under My tasks > Risks. Experts and Professionals can freely create risks and opportunities or create them from the identified gaps in the course of reviews.In any case, risks and opportunities are set to the state "Active" by Experts or Professionals, which makes them ready for evaluation.

====How can a risk/an opportunity be evaluated?====
Risks and opportunities should be revaluated regularly. Experts and Professionals can do this by newly recording the probability of occurrence and extent of damage or benefit, and record a comment for the temporal development. They can also request an update from the advisor of the risk or opportunity. The advisor can also proactively submit an update themselves.

====How can a risk/opportunity be treated?====
Measures and controls for treatment can be created and linked for risks and opportunities. They either treat the gross risk/opportunity or the current risk/opportunity. When linked measures are completed, the tool sugggests a revaluation of the risk or opportunity.

====Who receives an e-mail when?====
Advisor:
*Receives an e-mail when the assessment of a risk or an opportunity has been requested from them.
*Receives an e-mail when their answer is no longer needed (e.g., the assessment has been revoked).
*Receives an e-mail when the answering of the assessment needs to be reworked.
Management system responsible:
*Receives an e-mail when a new risk/opportunity is submitted.

====Additional links====
Find more on the creation of risks and opportunities [[Special:MyLanguage/Risikobewertung#Risiko_oder_Chance_erfassen/bearbeiten|here]]. 
Find more on the submission of risks and opportunities for Practitioners [[Special:MyLanguage/Meine_Aufgaben_Gefährdungslagen#Risiko_oder_Chance_einreichen|here]].

Translations:Workflow Risiko Chance/4/en

2026-02-12T09:57:15Z

Isan:

====How can a risk/an opportunity be evaluated?====
Risks and opportunities should be revaluated regularly. Experts and Professionals can do this by newly recording the probability of occurrence and extent of damage or benefit, and record a comment for the temporal development. They can also request an update from the advisor of the risk or opportunity. The advisor can also proactively submit an update themselves.

Workflow Risiko Chance

2026-02-12T09:55:10Z

Isan: /* Wie kann ein Risiko/eine Chance bewertet werden? */

<translate>

[[Datei:Risiko_allgemein.png||center|thumb|901px|Grobe Übersicht des allgemeinen Risiken-/Chancenworkflow]] 
====Was ist ein Risiko?====
Ein Risiko ist eine Sammlung aus negativen Abweichungen, die eine konkrete Gefahr für die verknüpften Entitäten bilden.


====Was ist eine Chance?====
Eine Chance ist eine Sammlung aus positiven Abweichungen, die ein konkretes Potenzial für die verknüpften Entitäten bilden.


====Wie kann eine Risiko/eine Chance erstellt werden?====
Practitioner können Risiken und Chancen unter Meine Aufgaben > Risiken & Chancen einreichen. Experts und Professionals können Risiken und Chancen frei erstellen oder sie im Zuge von Überprüfungen aus den identifizierten Abweichungen bilden.Jedenfalls werden Risiken und Chancen von einem Expert oder Professional in den Status "Aktiv" versetzt, wodurch sie zur Bewertung bereit stehen.


====Wie kann ein Risiko/eine Chance bewertet werden?====
Risiken und Chancen sollten regelmäßig neu bewertet werden. Experts und Professionals können dies tun, indem sie Eintrittswahrscheinlichkeit und Schadensausmaß bzw. Nutzen neu erfassen und einen Kommentar für die Zeitliche Entwicklung erfassen. Sie können auch eine Aktualisierung vom Sachbearbeiter des Risikos bzw. der Chance anfordern. Sachbearbeiter können eine Aktualisierung auch proaktiv selbst einreichen.


====Wie kann ein Risiko/eine Chance behandelt werden?====
Für Risiken und Chancen können Maßnahmen und Kontrollen zur Behandlung erstellt und verknüpft werden. Diese tragen entweder zur Behandlung des Bruttorisikos/der Bruttochance oder zur Behandlung des aktuellen Risikos/der aktuellen Chance bei. Werden verknüpfte Maßnahmen erledigt, wird vom Tool eine Neubewertung des Risikos/der Chance vorgeschlagen.


====Wer bekommt wann ein E-Mail?====
Sachbearbeiter:
*Bekommt ein E-Mail, wenn die Überprüfung des Risikos/der Chance von ihm angefordert wird.
*Bekommt ein E-Mail, wenn seine Beantwortung nicht mehr nötig ist (z.B. die Überprüfung wurde zurückgezogen).
*Bekommt ein E-Mail, wenn die Beantwortung der Überprüfung überarbeitet werden soll.
Managementsystemverantwortlicher:
*Bekommt ein E-Mail, wenn ein neues Risiko/eine neue Chance eingereicht wird.


====Weiterführende Links====
Mehr zum Erstellen von Risiken und Chancen finden Sie [[Special:MyLanguage/Risikobewertung#Risiko_oder_Chance_erfassen/bearbeiten|hier]]. 
Mehr zum Einreichen von Risiken und Chancen für Practitioner finden Sie [[Special:MyLanguage/Meine_Aufgaben_Gefährdungslagen#Risiko_oder_Chance_einreichen|hier]].
</translate>

Datei:Risiko allgemein.png

2026-02-12T09:53:52Z

Isan: Isan lud eine neue Version von Datei:Risiko allgemein.png hoch

Erstellen einer Wissensdatenbank/en

2026-02-10T09:02:54Z

Isan:

TogetherSecure creates and provides knowledge bases. Also, any user with the expert role in risk management is able to create a new knowledge base or modify an existing one. In other words, a a knowledge base can be created or changed by any expert.

This means, experts can add and hierarchically sort topics. Topics are then assigned review questions, either newly created or from an existing pool of questions. In the next step, threats, justification templates, measures, and/or controls can be created or assigned from existing ones. If, for example, a knowledge base already includes measures and controls (as is the case with BSI IT-Grundschutz), that means appropriate measures and controls have already been thought up for the offered threats. Users are encouraged, however, to evaluate their respective scenarios and create additional measures and/or controls for the treatment of the threats.


== Create/edit knowledge base ==

To create or edit a knowledge base, navigate to "Administration → Knowledge bases".

Here, all knowledge bases are listed, whether they have been published or not. Only published knowledge bases can be used for reviews. Published knowledge bases are marked with a green tick. If there are multiple versions of a knowledge base, one can be declared the default version (see: edit). It is then marked with a red heart.

'''Create:''' 

* To create a new knowledge base, click the "Create new knowledge base" button. Then, enter the header information, create topics and their review questions, and finally assign measures, controls, justification templates, and threats. 

[[Datei:WDB Wissensdatenbanken.png|left|thumb|901px|Tab knowledge bases]] 

'''Edit:''' 

* To edit a KB, click on the desired KB. Published knowledge bases are read-only and can therefore no longer be modified. If a KB has been published, you need to create a superseding version or a user adaptation (of a vendor knowledge base). In the same interface, you can also set a KB as the default version if multiple versions of the KB exist. 
* The superseding version is unpublished and can therefore be edited.

[[Datei:WDB Maske Wissensdatenbank bearbeiten.png|left|thumb|900px|Interface of a published knowledge base]] 


=== Header information ===

----
In the header data, briefly describe the purpose of the knowledge base. Depending on whether it is a self developed knowledge base or one for a norm, you need to set the type accordingly, set the effective date, and add the creator (e.g. name or company). Caution: only KBs of the types vendor or norm or standard can be exported.

Type vendor and norm or standard

To create KBs of the type vendor or norm or standard, you need to have a vendor license! These KBs are also the only ones that can be exported.

[[Datei:WDB Kopfdaten.PNG|left|thumb|901px|Header data when creating a KB]] 

In self-developed knowledge bases, you can use the checkboxes to configure whether the short version of the copyright is to be displayed/printed in the review assistant and with the review question in a report.


=== Topics ===

----
Here, all the topics that are part of the KB are listed hierarchically. The purpose of topics is to give knowledge bases a meaningful structure.


==== '''Create/edit topic''' ====

To create a new topic, navigate to the tab "Topics" and click on "create new topic". Then fill out the displayed form.

[[Datei:WDB neues Thema erstellen.png|left|thumb|900px|Create new topic]] 

[[Datei:WDB Maske Thema erstellen.PNG|left|thumb|900px|Form for creating a new topic]] 

:Numbering and title: Here, set the numbering and the title. The numbering should help clarify the KB's structure, e.g. 1, 1.1, 1.2, etc. The title should be informative, so the user immediately knows what questions the topic covers. Note: The topics are automatically sorted alphabetically or in ascending numerical order, respectively. With a larger number of numbered topics, it is advisable to use a leading zero in order to have the sorting order match expectations (e.g., 01, 02, 03 ... 10, 11, etc.).

:Description: Here, describe the purpose of the topic. This text field supports HTML formatting.

:Supporting documents: Here, record references or links to documents that might be relevant for the preparation of auditing this topic. If the topic is used in a review by knowledge base, the supporting documents are shown in the review assistant. The supporting documents are also printed with the respective review object in audit and review reports.

:Parent topic: If the topic is a subordinate one, the parent topic has to be set here so the KB is structured properly.



:External ID: This is a unique ID of the data record in third party systems. It is required if data records are to be kept synchronous with a third party system.

:Effective date: This should be the date of the latest revision.


==== '''Assign review questions''' ====

Once you have created a topic, you need to assign it questions. For this, you may use existing review questions or [[#Prüffrage erstellen, bearbeiten und löschen|create new questions]]. When the question is assigned, you should in turn also [[#Maßnahmen, Kontrollen und Bedrohungen zu Prüffragen zuordnen|assign measures, controls, and threats to the question]].

Normally, the review questions are sorted according to the sort order (hidden column). This is also the order in which they are listed in gap analyses. The arrows next to the plus button can be used to adjust the sort order of the review questions.

[[Datei:WDB Prüffragen zuordnen.png|left|thumb|900px|Navigation: assign review questions to the topic]] 

[[Datei:WDB existierende Prüffragen zuordnen.PNG|left|thumb|900px|Form for assigning existing questions]] 


==== '''Configure sub-questions''' ====

To sort review questions hierarchically, double-click the questions you want to be subordinates and choose a parent question for them (only one layer is supported, meaning a sub-question cannot have further sub-questions). Then, you can choose how the sub-question is to behave depending on the parent question's answer.

[[Datei:WDB Prüffragen hierarchie.PNG|left|thumb|900px|Example: review question hierarchy]] 

[[Datei:WDB Unterfrage konfigurieren.png|left|thumb|900px|Example: configure sub-question]] 

In reports, structural questions are formatted in italics and their corresponding sub-questions are indented below them.


==== '''Assign and edit measures, controls, justification templates, and threats''' ====

Measures and controls that have been assigned to a review questions are suggested during risk treatment, if their question shows a gap during an assessment. Justification templates can be used as a justification for an answer. If threats are assigned, the question is listed with the threats for analysis purposes.

'''assign or create:'''
*The forms for assigning existing measures, controls, justification templates, and threats are the same as the one for assigning review questions, with the exception of the actual content.
*To create see [[#Maßnahme erstellen, bearbeiten und löschen|create measure]], [[#Kontrolle erstellen, bearbeiten und löschen|create control]], [[#Begründungsvorlage erstellen, bearbeiten und löschen|create justification template]], and [[#Bedrohung erstellen, bearbeiten und löschen|create threat]].

[[Datei:WDB Prüffrage M K B zuordnen.png|left|thumb|901px|Assign measures, controls, and threats to review question]] 

'''edit:'''
*As shown above, double-click an element to open its editing interface and edit its properties.

[[Datei:WDB Maßnahme bearbeiten.png|left|thumb|903px|Form for editing a control]] 


=== Review questions ===

----
This tab shows a list of all review questions that exist in the KB. However, they do not show a hierarchy here, this is only displayed under the topics. This tab also lets you create new review questions.

[[Datei:WDB Prüffragen.png|left|thumb|900px|KB tab Questions]] 


==== '''Create, edit, and delete a review question''' ====

To create a review question, click the "Create new question" button shown above.
To edit or delete a question, double-click the desired question. Then the question can be edited or deleted (via the "trash can" icon). The behaviour of sub-questions can only be changed in the topics tab.

'''Properties:'''

*Numbering and title: The numbering should be logical and comprehensible, e.g. an abbreviation of the topic and a serial number (DSO_01.00). The title should be informative, so the user immediately knows what the question is about.

*Question: Pose a clearly formulated question here.

*Description: If necessary, further describe the question here. For example, you might describe the basic conditions that need to be fulfilled for a question to be answered positively.



*Hint for auditors: Information for auditors can be recorded here. This could, for instance, be links to documents the answers should be compared to, or a checklist with the exam steps. This information is only shown in gap analyses that have been opened either in "Risk management → Vulnerabilities" or from an audit. (It is not displayed if the analysis has been opened in the context of "My tasks".)

*Type of question: Choose whether it is a technical or a process question, or an information gathering. Technical questions are answered with Yes, No, or Partly and process questions with a maturity level from 0 to 5.

::Note: Information gatherings in reviews are seen as answered if the comment was filled in and/or at least one file was uploaded as evidence.

*Answer types and unnecessary: This option allows you to limit the answer types for the question. This is only possible for technical questions. The option "unnecessary" dictates whether a question has to be answered or not. Note that setting a structural question as unnecessary will affect its sub-questions, as their behaviour in response to an unnecessary structural question can be configured. Information gatherings are not subject to evaluation, but can be marked as Unnecessary.

*Assigned protection targets and weightings (not for information gatherings): 
:: Choose, which protection targets are affected if a question reveals a gap. Example:
:::Review question about server room security
:::*Has the door been furnished with a security lock?
:::If this question is answered No, major risks concerning confidentiality, integrity, and availability can develop.
:::{| class="wikitable"
|-
! Protection target !! weighting!! explanation
|-
| Confidentiality
|style="text-align:center;"| 4
| break-in and theft of a hard-drive
|-
| Availability
|style="text-align:center;"| 4
| the burglar could destroy something
|-
| Integrity
|style="text-align:center;"| 3
| the burglar could make changes to a system
|}

*Norm mapping: If the question touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.

*Effective date: The effective date should be the date of creation or that of the latest revision.

*Author's notes: Clicking "Add note" allows the author to record a note for themselves. They could, for example, add to-dos or links to external sources. This information is only visible for the editor of a KB. It has no effect on assessments and is of a purely editorial nature. It is also not exported or imported with a KB.

*External ID: With this ID a review question can be updated through an import. For this, the ID needs to match the ID of the review question in the import. This field should only be set manually if the review question originates in an external system but the questions were created manually before the import and are now to be kept up to date with imports.

[[Datei:WDB Prüffrage erstellen.PNG|left|thumb|900px|Form for creating a review question]] 


=== Measures ===

----
This tab lists all measures in the KB. It also allows the creation of new measures.

[[Datei:WDB Maßnahmen.PNG|left|thumb|900px|KB tab Measures]] 


==== '''Create, edit, and delete measure''' ====

To create a measure, click the "Create new measure" button shown above.
To edit or delete a measure, double-click the desired measure. Then the measure can be edited or deleted (via the "trash can" icon).

[[Datei:WDB Maske Maßnahme erstellen.PNG|left|thumb|888px|Form for creating a measure]] 

'''Properties:'''

*Numbering and title: The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the measure is about.

*Description: Describe the measure here, i.e. explain what needs to be done to implement the measure.

*Norm mapping: If the measure touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.

*Effective date: The effective date should be the date of creation or that of the latest revision.

*External ID: With this ID a measure can be updated through an import. For this, the ID needs to match the ID of the measure in the import. This field should only be set manually if the measure originates in an external system but the measures were created manually before the import and are now to be kept up to date with imports.


=== Controls===

----
This tab lists all controls in the KB. It also allows the creation of new controls.

[[Datei:WDB Kontrollen.png|left|thumb|900px|KB tab Controls]] 


==== '''Create, edit, and delete control''' ====

To create a control, click the "Create new control" button shown above.
To edit or delete a control, double-click the desired control. Then the control can be edited or deleted (via the "trash can" icon).

[[Datei:WDB Maske Kontrolle erstellen.PNG|left|thumb|903px|Form for creating a control]] 

'''Properties:'''

*Numbering and title: The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the control examines.

*Description: Describe the control here, i.e. explain what needs to be done to implement the control.



*Recurring control: An interval can be set here to repeat the control every X years/months/etc.

*Norm mapping: If the control touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.

*Effective date: The effective date should be the date of creation or that of the latest revision.

*External ID: With this ID a control can be updated through an import. For this, the ID needs to match the ID of the control in the import. This field should only be set manually if the control originates in an external system but the controls were created manually before the import and are now to be kept up to date with imports.


=== Justification templates ===

----
This tab lists all justification templates in the KB. It also allows the creation of new justification templates.

[[Datei:WDB Begründungsvorlagen.png|left|thumb|900px|KB tab Justification templates]] 


==== '''Create, edit, and delete justification template''' ====

To create a justification template, click the "Create new justification template" button shown above.
To edit or delete a justification template, double-click the desired justification template. Then the justification template can be edited or deleted (via the "trash can" icon).

[[Datei:WDB Maske Begründungsvorlagen erstellen.PNG|left|thumb|903px|Form for creating a justification template]] 

'''Properties:'''

*Numbering and title: The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what purpose the justification template serves.

*Description: You can enter a text here that can be used as template for a justification in a gap analysis.

*Effective date: The effective date should be the date of creation or that of the latest revision.

*External ID: With this ID a justification template can be updated through an import. For this, the ID needs to match the ID of the justification template in the import. This field should only be set manually if the justification template originates in an external system but the justification templates were created manually before the import and are now to be kept up to date with imports.


=== Threats ===

----
This tab lists all threats in the KB. It also allows the creation of new threats.

[[Datei:WDB Bedrohungen.png|left|thumb|900px|KB tab Threats]] 


==== '''Create, edit, and delete threat''' ====

To create a threat, click the "Create new threat" button shown above.
To edit or delete a threat, double-click the desired threat. Then the threat can be edited or deleted (via the "trash can" icon).

[[Datei:WDB Maske Bedrohung erstellen.PNG|left|thumb|903px|Form for creating a threat]] 

'''Properties:'''

*Numbering and title: The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the threat is, e.g. missing or insufficient security when processing personal data.

*Description: Describe the threat here, i.e. explain what exactly it is that poses a threat.



*Assigned protection targets and weightings: 
:: Choose, which protection targets are affected if a threat were to occur. Example:
:::Threat: break-in
:::*A burglar could get into the server room and steal a hard-drive containing sensitive information.
:::If this happened, great damage concerning confidentiality, integrity, and availability could be done.
:::{| class="wikitable"
|-
! Protection target !! weighting!! explanation
|-
| Confidentiality
|style="text-align:center;"| 4
| break-in and theft of a hard-drive
|-
| Availability
|style="text-align:center;"| 4
| the burglar could destroy something
|-
| Integrity
|style="text-align:center;"| 3
| the burglar could make changes to a system
|}

*Norm mapping: If the threat touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.

*Effective date: The effective date should be the date of creation or that of the latest revision.

*External ID: With this ID a threat can be updated through an import. For this, the ID needs to match the ID of the threat in the import. This field should only be set manually if the threat originates in an external system but the threats were created manually before the import and are now to be kept up to date with imports.

Translations:Erstellen einer Wissensdatenbank/42/en

2026-02-10T09:00:36Z

Isan:

'''edit:'''
*As shown above, double-click an element to open its editing interface and edit its properties.

Erstellen einer Wissensdatenbank

2026-02-10T08:59:41Z

Isan:

<translate>



Von TogetherSecure werden Wissensdatenbanken erstellt und ausgeliefert. Aber auch jeder Risikomanagement Expert ist in der Lage, eine Wissensdatenbank zu erstellen bzw. bestehende zu modifizieren. Die Wissensdatenbank kann also von jedem Expert erstellt und überarbeitet werden.


Dies bedeutet, dass man die Themen anlegen und auch hierarchisch reihen kann. Den Themen werden dann Prüffragen zugeteilt, indem sie zum Thema angelegt werden oder aus dem vorhandenen Pool der Prüffragen verknüpft werden. Zu den Prüffragen können im nächsten Schritt Bedrohungen, Begründungsvorlagen, Maßnahmen und/oder Kontrollen neu angelegt oder aus bestehenden zugeteilt werden. Werden beispielsweise schon Bedrohungen und Maßnahmen/Kontrollen mitgeliefert, dann ist das (wie im BSI IT-Grundschutz vorgesehen) so zu sehen, dass für die angebotenen Gefährdungen bereits adäquate Maßnahmen bzw. Kontrollen überlegt wurden. Dem User ist aber ans Herz zu legen, weitere Gefährdungen in der eigenen Konstellation zu überdenken und ggf. zusätzliche Maßnahmen und/oder Kontrollen, zur Behandlung dieser weiteren Gefährdungen zu erfassen.

== Wissensdatenbank erstellen/bearbeiten == 


Um eine Wissensdatenbank zu erstellen oder zu bearbeiten müssen Sie zum Menüpunkt "Administration → Wissensdatenbanken" navigieren.


In diesem Reiter werden alle Wissensdatenbanken angezeigt egal ob veröffentlicht oder nicht. Nur veröffentlichte Wissensdatenbanken können für Überprüfungen verwendet werden. Veröffentlichte Wissensdatenbanken sind durch ein grünes Häkchen gekennzeichnet. Gibt es von einer Wissensdatenbank mehrere Versionen kann eine als bevorzugt deklariert werden (siehe bearbeiten). Dies wird durch das rote Herz erkennbar gemacht.


'''Erstellen:''' 


*Zum Erstellen einer neuen WDB auf den "neue Wissensdatenbank erstellen" Button klicken. Im Anschluss müssen Sie Kopfdaten eintragen, Themen erstellen und diesen Prüffragen zuteilen. Dann werden den Prüffragen Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen zugeteilt. 


[[Datei:WDB Wissensdatenbanken.png|left|thumb|901px|Reiter Wissensdatenbanken]] 


'''Bearbeiten:''' 


*Zum Bearbeiten einer WDB müssen Sie auf die gewünschte WDB klicken. Veröffentlichte Wissensdatenbanken sind schreibgeschützt und können deshalb nicht mehr verändert werden. Wurde eine WDB bereits veröffentlicht, müssen Sie, um die WDB zu bearbeiten, eine Nachfolgeversion oder eine Benutzeradaptionen (von Hersteller-WDB) erstellen. Sie können in dieser Maske auch, falls von der WDB mehrere Versionen existieren, festlegen, ob diese Version die bevorzugte Version ist. 
* Die Nachfolge Version ist unveröffentlicht und kann daher bearbeitet werden.


[[Datei:WDB Maske Wissensdatenbank bearbeiten.png|left|thumb|900px|Maske einer veröffentlichten Wissensdatenbank]] 

=== Kopfdaten === 


----
In den Kopfdaten sollten Sie kurz den Zweck der Wissensdatenbank beschreiben. Weiters müssen Sie, je nachdem ob es sich um eine eigens kreierte oder eine Wissensdatenbank nach Norm handelt, den Typ dementsprechend einstellen, den aktuellen Stand angeben und den Hersteller eintragen (z.B. Benutzer oder Firma). Achtung: nur WDBs vom Typ Hersteller oder Standard/Norm können exportiert werden.


Typ Hersteller und Standard oder Norm


Um WDBs vom Typ Hersteller oder Standard/Norm zu erstellen, müssen Sie im Besitz einer Hersteller Lizenz sein! Diese WDBs sind auch die einzigen, welche exportiert werden können.


[[Datei:WDB Kopfdaten.PNG|left|thumb|901px|Kopfdaten beim Erstellen einer WDB]] 


In selbst erstellten Wissensdatenbanken können Sie anhand der Checkboxen entscheiden, ob die Kurzform des Copyrights im Überprüfungsassistenten und bei der Prüffrage in Berichten angezeigt/angedruckt werden soll.

=== Themen === 


----
In diesem Reiter werden alle Themen, die in einer WDB enthalten sind, hierarchisch aufgelistet.
Themen erfüllen den Zweck, eine Wissensdatenbank sinnvoll zu strukturieren.

==== '''Thema erstellen/bearbeiten''' ==== 


Um ein neues Thema zu erstellen, müssen Sie auf die "Themen" Maske navigieren und auf "neues Thema erstellen" klicken. Dann ist die angezeigte Maske auszufüllen.


[[Datei:WDB neues Thema erstellen.png|left|thumb|900px|Neues Thema erstellen]] 


[[Datei:WDB Maske Thema erstellen.PNG|left|thumb|900px|Maske zum Erstellen eines neuen Themas]] 


:Gliederung und Titel: Hier legen Sie die Gliederung und den Titel fest. Als Gliederung sollten Sie etwas nehmen, das bei der Strukturierung der WDB Sinn ergibt, z.B. 1, 1.1, 1.2, etc. Der Titel sollte aussagekräftig sein, sodass man sofort weiß, welche Frage in diesem Thema behandelt wird. Hinweis: Die Reihung der Themen erfolgt automatisch alphabetisch bzw. aufsteigend nach Nummerierung. Bei einer größeren Anzahl numerisch bezeichneter Themen empfiehlt sich eine führende Null, damit die Reihenfolge der Erwartung entspricht (d.h. 01, 02, 03 ... 10, 11 etc.).


:Beschreibung: Hier sollten Sie beschreiben, welchen Zweck das Thema erfüllt. Dieses Textfeld unterstützt HTML Texte.


:Nachweisdokumente: Hier können Sie Referenzen oder Links auf Dokumente hinterlegen, die für die Auditvorbereitung hinsichtlich dieses Themas relevant sind. Wird das Thema in einer Überprüfung nach Wissensdatenbank verwendet, werden die Nachweisdokumente im Überprüfungsassistenten angezeigt. Die Nachweisdokumente werden auch beim Prüfobjekt im jeweiligen Bericht zu Audit oder Überprüfung angegeben.


:Übergeordnetes Thema: Handelt es sich bei dem Thema um ein untergeordnetes, müssen Sie hier das übergeordnete Thema angeben, damit die Strukturierung der WDB richtig ist.

:Verpflichtend: 
:: Ist dieses Thema ein Pflichtthema, dann ist dies ein verpflichtend notwendiges Thema, z.B. Thema Backup bei einer ISO 27001 Wissensdatenbank. Wenn ein Experte diesen Katalog verwendet, dann sollte er die Pflichtthemen, die der Katalogersteller vorgibt, auf jeden Fall betrachten. Wenn er gewisse Pflichtthemen nicht betrachten will, ist dies dokumentiert zu begründen. Soll ein Thema verpflichtend sein, müssen Sie es hier einstellen.


:Detailebene: 
:: Die Detailebene bestimmt, mit welcher Ebene der Struktur sich das Thema befasst. (Ressource, Ressourcen Gruppe, Modellsegment)


:Wiedervorlagerhythmus: 
:: Stellen Sie hier ein Intervall ein, dann wird dieses Thema wiederholend bei Auditplanungen vorgeschlagen.
-->


:ID in Drittsystem: Das ist eine eindeutige ID des Datensatzes in Drittsystemen. Diese wird benötigt, wenn Datensätze mit einem Drittsystem synchron gehalten werden sollen.


:Stand: Beim Stand sollten Sie das Datum der letzten Änderung eintragen.

==== '''Prüffragen zuordnen''' ==== 


Haben sie ein Thema erstellt, müssen Sie diesem noch Prüffragen zuweisen. Dafür können sie dem Thema bereits existierende Prüffragen zuordnen oder [[#Prüffrage erstellen, bearbeiten und löschen|neue Prüffragen anlegen]]. Wollen Sie eine hierarchische Struktur der Prüffragen, müssen Sie [[#Unterfragen konfigurieren:|Unterfragen konfigurieren]]. Haben Sie eine Prüffrage zugeordnet, sollten Sie dieser auch noch [[#Maßnahmen, Kontrollen und Bedrohungen zu Prüffragen zuordnen|Maßnahmen, Kontrollen und Bedrohungen zuordnen]].


Normalerweise werden die Prüffragen nach der Sortierreihenfolge sortiert (ausgeblendete Spalte). Das ist auch die Reihenfolge wie sie dann in Abweichungsanalysen angeführt werden. Die Pfeile neben dem Plus Button können verwendet werden um die Sortierreihenfolge der Prüffragen anzupassen.


[[Datei:WDB Prüffragen zuordnen.png|left|thumb|900px|Navigation: Prüffragen zum Thema zuordnen]] 


[[Datei:WDB existierende Prüffragen zuordnen.PNG|left|thumb|900px|Maske zum Zuordnen von bereits existierenden Prüffragen ]] 

==== '''Unterfragen konfigurieren''' ==== 


Um Prüffragen hierarchisch zu gliedern, müssen Sie auf die Prüffrage, welche untergeordnet werden soll, doppelklicken und die übergeordnete Strukturfrage auswählen (es wird nur eine Ebene unterstützt, d.h. Unterfragen können keine weiteren Unterfragen haben). Anschließend können Sie, je nachdem wie die Strukturfrage beantwortet wird, auswählen, wie sich die untergeordnete Frage verhalten soll.


[[Datei:WDB Prüffragen hierarchie.PNG|left|thumb|900px|Beispiel: Prüffragen-Hierarchie]] 


[[Datei:WDB Unterfrage konfigurieren.png|left|thumb|900px|Beispiel: Unterfrage konfigurieren]] 


In Berichten werden Strukturfragen kursiv dargestellt und ihre dazugehörigen untergeordneten Fragen sind darunter eingerückt.

==== '''Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen zu Prüffragen zuordnen und bearbeiten''' ==== 


Maßnahmen und Kontrollen, die einer Frage zugeordnet sind, werden bei der Risikobehandlung vorgeschlagen, wenn diese bei einer Überprüfung eine Abweichung aufweisen. Begründungsvorlagen können als Begründung für eine Antwort verwendet werden. Werden Bedrohungen zugeteilt, wird diese Prüffrage unter diesen Bedrohungen für Analysezwecke gelistet.


'''zuordnen oder neu erstellen:'''
*Die Masken zum Zuordnen von existierenden Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen sind bis auf den Inhalt ident mit der Maske zum Zuordnen von Prüffragen.
*Zum Erstellen siehe [[#Maßnahme erstellen, bearbeiten und löschen|Maßnahme erstellen]], [[#Kontrolle erstellen, bearbeiten und löschen|Kontrolle erstellen]], [[#Begründungsvorlage erstellen, bearbeiten und löschen|Begründungsvorlage erstellen]] und [[#Bedrohung erstellen, bearbeiten und löschen|Bedrohung erstellen]].


[[Datei:WDB Prüffrage M K B zuordnen.png|left|thumb|901px|Prüffrage Maßnahmen, Kontrollen und Bedrohungen zuordnen]] 


'''bearbeiten:'''
*Doppelklicken Sie, wie in der oben gezeigten Maske, auf ein Element, wird die Bearbeiten Maske des jeweiligen Elements aufgerufen und Sie können die Eigenschaften dieses Elements bearbeiten.


[[Datei:WDB Maßnahme bearbeiten.png|left|thumb|903px|Maske zum Bearbeiten einer Kontrolle]] 

=== Prüffragen === 


----
In diesem Reiter werden alle Prüffragen, welche in der WDB existieren, aufgelistet. Sie haben in diesem Reiter aber keine Hierarchie, diese existiert nur bei den Themen. Dieser Reiter bietet auch die Option, neue Prüffragen zu erstellen.


[[Datei:WDB Prüffragen.png|left|thumb|900px|Wissensdatenbank Reiter Prüffragen]] 

==== '''Prüffrage erstellen, bearbeiten und löschen''' ==== 


Um eine Prüffrage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Prüffrage erstellen" Button klicken.
Um eine Prüffrage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Prüffrage doppelklicken. Anschließend kann die Prüffrage über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol). Das Verhalten von Unterfragen ist nur bei den Themen änderbar.


'''Eigenschaften:'''


*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden, z.B. Abkürzung des Themas + laufende Nummer (DSO_01.00). Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Frage geht.


*Fragestellung: Hier sollten Sie eine klar formulierte Frage stellen.


*Beschreibung: Hier sollten Sie, falls nötig, die Frage genauer beschreiben, d.h. beispielsweise erklären, welche Rahmenbedingungen mindestens erfüllt sein müssen, damit eine Frage als positiv erfüllt zu sehen ist.



*Detailebene: 
::Die Detailebene bestimmt, auf welcher Ebene der Struktur die Frage auftritt. (Ressource, Ressourcen Gruppe, Modellsegment)
-->
*Hinweis für Prüfer: Hier können Informationen für den Prüfer hinterlegt werden. Dabei könnte es sich beispielsweise um Links zu Dokumenten, mit denen die Ausarbeitung verglichen werden soll, oder eine Checkliste mit zu überprüfenden Schritten handeln. Diese Information wird nur bei Abweichungsanalysen angezeigt, welche entweder unter "Risikomanagement → Schwachstellen" oder aus einem Audit heraus geöffnet werden. (Sie wird nicht angezeigt, wenn die Abweichungsanalysen im Kontext von "Meine Aufgaben" geöffnet wird.)


*Art der Frage: Hier müssen Sie auswählen, ob es sich bei einer Frage um eine Technikfrage, eine Prozessfrage oder eine Informationserhebung handelt. Technikfragen können mit Ja, Nein oder Teilweise beantwortet werden und Prozessfragen mit Reifegraden von 0 bis 5.


::Hinweis: Informationserhebungen gelten in Überprüfungen als beantwortet, wenn der Kommentar ausgefüllt und/oder mindestens eine Datei als Evidenz hochgeladen wurde.


*Antwortmöglichkeiten und Entbehrlich: Mit dieser Option können Sie die Antwortmöglichkeiten der Frage begrenzen. Dies ist nur bei Technikfragen erlaubt. Die Option "Entbehrlich" bestimmt, ob eine Frage beantwortet werden muss oder nicht. Zu beachten ist dabei, dass, falls eine Strukturfrage als Entbehrlich gekennzeichnet ist, sich das auf deren Unterfragen auswirken kann, da bei Unterfragen das Verhalten bei einer entbehrlichen Strukturfrage eingestellt werden kann. Informationserhebungen werden keiner Bewertung unterzogen, können aber als Entbehrlich markiert werden.



*Zugewiesene Schutzziele und Gewichtungen (nicht bei Informationserhebungen): 
:: Hier sollten Sie auswählen, welche Schutzziele betroffen sind, wenn bei der Frage eine Abweichung auftritt. Beispiel:
:::Prüffrage zur Serverraumsicherheit
:::*Wurde die Türe mit einem Sicherheitsschloss ausgestattet?
::: Wird diese Frage mit Nein beantwortet, können große Risiken im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
:::{| class="wikitable"
|-
! Schutzziel !! Gewichtung!! Erklärung
|-
| Vertraulichkeit
|style="text-align:center;"| 4
| Einbruch und Diebstahl einer Festplatte
|-
| Verfügbarkeit
|style="text-align:center;"| 4
| Der Einbrecher könnte etwas zerstören
|-
| Integrität
|style="text-align:center;"| 3
| Er könnte auch am System etwas ändern
|}


*Norm-Mapping: Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.


*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*Notizen des Autors: Durch Klicken auf "Notiz hinzufügen" kann der Autor Notizen für sich selbst erfassen. Er könnte z.B. TODOs oder Links auf externe Quellen erfassen. Diese Information ist nur hier für den Bearbeiter der WDB ersichtlich. Sie hat keinerlei Auswirkungen auf Überprüfungen und ist rein redaktioneller Natur. Sie wird auch nicht exportiert, wenn die WDB exportiert wird, oder importiert, falls eine WDB importiert wird.


*ID in Drittsystemen: Durch diese ID kann die Prüffrage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Prüffrage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Prüffrage eigentlich aus einem Drittsystem stammt, aber die Prüffrage vor einem Import bereits manuell angelegt wurde und die Prüffrage in Zukunft durch Imports aktualisiert werden soll.


[[Datei:WDB Prüffrage erstellen.PNG|left|thumb|900px|Maske zum Erstellen einer Prüffrage]] 

=== Maßnahmen === 


----
In diesem Reiter werden alle Maßnahmen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Maßnahmen zu erstellen.


[[Datei:WDB Maßnahmen.PNG|left|thumb|900px|WDB Reiter Maßnahmen]] 

==== '''Maßnahme erstellen, bearbeiten und löschen''' ==== 


Um eine Maßnahme zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Maßnahme erstellen" Button klicken.
Um eine Maßnahme zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Maßnahme doppelklicken. Anschließend kann die Maßnahme über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).


[[Datei:WDB Maske Maßnahme erstellen.PNG|left|thumb|888px|Maske zum Erstellen einer Maßnahme]] 


'''Eigenschaften:'''


*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Maßnahme geht.


*Beschreibung: Hier sollten Sie die Maßnahme genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Maßnahme genau zu erledigen ist.


*Norm-Mapping: Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.


*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*ID in Drittsystemen: Durch diese ID kann die Maßnahme durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Maßnahme des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Maßnahme eigentlich aus einem Drittsystem stammt, aber die Maßnahme vor einem Import bereits manuell angelegt wurde und die Maßnahme in Zukunft durch Imports aktualisiert werden soll.

=== Kontrollen === 


----
In diesem Reiter werden alle Kontrollen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Kontrollen zu erstellen.


[[Datei:WDB Kontrollen.png|left|thumb|900px|WDB Reiter Kontrollen]] 

==== '''Kontrolle erstellen, bearbeiten und löschen''' ==== 


Um eine Kontrolle zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Kontrolle erstellen" Button klicken.
Um eine Kontrolle zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Kontrolle Doppelklicken. Anschließend kann die Kontrolle über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).


[[Datei:WDB Maske Kontrolle erstellen.PNG|left|thumb|903px|Maske zum erstellen einer Kontrolle]] 


'''Eigenschaften:'''


*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein damit klar ist, was die Kontrolle kontrolliert.


*Beschreibung: Hier sollten Sie die Kontrolle genauer beschreiben, d.h. erklären Sie, was bei der Durchführung der Kontrolle genau zu erledigen ist.



*Detailebene: 
::Die Detailebene bestimmt, auf welcher Ebene der Struktur die Kontrolle durchgeführt werden soll. (Ressource, Ressourcen Gruppe, ModelSegment)
-->


*Wiederkehrende Kontrolle: Hier kann ein Intervall festgelegt werden, welches dafür sorgt, dass diese Kontrolle alle x Jahre/Monate/etc. durchgeführt werden soll.


*Norm-Mapping: Beschäftigt sich die Kontrolle mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Dadurch lässt sich ein Managementsystem auf Compliance Deckung analysieren.


*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*ID in Drittsystemen: Durch diese ID kann die Kontrolle durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Kontrolle des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Kontrolle eigentlich aus einem Drittsystem stammt, aber die Kontrolle vor einem Import bereits manuell angelegt wurde und die Kontrolle in Zukunft durch Imports aktualisiert werden soll.

=== Begründungsvorlagen === 


----
In diesem Reiter werden alle Begründungsvorlagen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Begründungsvorlagen zu erstellen.


[[Datei:WDB Begründungsvorlagen.png|left|thumb|900px|WDB Reiter Begründungsvorlagen]] 

==== '''Begründungsvorlage erstellen, bearbeiten und löschen''' ==== 


Um eine Begründungsvorlage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Begründungsvorlage erstellen" Button klicken.
Um eine Begründungsvorlage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Begründungsvorlage doppelklicken. Anschließend kann die Begründungsvorlage über die Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).


[[Datei:WDB Maske Begründungsvorlagen erstellen.PNG|left|thumb|903px|Maske zum Erstellen einer Begründungsvorlage]] 


'''Eigenschaften:'''


*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist, welchem Zweck die Begründungsvorlage dient.


*Beschreibung: Hier können Sie einen Text eingeben, der in Abweichungsanalysen als Vorlage für eine Begründung verwendet werden kann.


*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*ID in Drittsystemen: Durch diese ID kann die Begründungsvorlage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Begründungsvorlage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Begründungsvorlage eigentlich aus einem Drittsystem stammt, aber die Begründungsvorlage vor einem Import bereits manuell angelegt wurde und die Begründungsvorlage in Zukunft durch Imports aktualisiert werden soll.

=== Bedrohungen === 


----
In diesem Reiter werden alle Bedrohungen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Bedrohungen zu erstellen.


[[Datei:WDB Bedrohungen.png|left|thumb|900px|WDB Reiter Bedrohungen]] 

==== '''Bedrohung erstellen, bearbeiten und löschen''' ==== 


Um eine Bedrohung zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Bedrohung erstellen" Button klicken.
Um eine Bedrohung zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Bedrohung doppelklicken. Anschließend kann die Bedrohung über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).


[[Datei:WDB Maske Bedrohung erstellen.PNG|left|thumb|903px|Maske zum Erstellen einer Bedrohung]] 


'''Eigenschaften:'''


*Gliederung und Titel: Die Gliederung sollte logisch und nachvollziehbar gewählt werden. Der Titel sollte schlagkräftig sein, damit klar ist was die Bedrohung ist, z.B. fehlende oder unzureichende Absicherung bei der Verarbeitung personenbezogener Daten.


*Beschreibung: Hier sollten Sie die Bedrohung genauer beschreiben, d.h. erklären, was genau die Bedrohung ist.



*Detailebene: 
::Die Detailebene bestimmt auf welcher Ebene der Struktur die Kontrolle durchgeführt werden soll. (Ressource, Ressourcen Gruppe, ModelSegment)


*Schadensverlauf: 
:: Hier stellen Sie ein wie der Schaden der Bedrohung auftritt. Ein Schaden kann rasant oder schleichend auftreten.


*Vermutlicher Entdeckungszeitpunkt: 
:: Hier sollten Sie auswählen wann eine Bedrohung vermutlich entdeckt wird.
-->


*Zugewiesene Schutzziele und Gewichtungen: 
:: Hier sollten Sie auswählen, welche Schutzziele betroffen wären, wenn diese Bedrohung auftreten würde. Beispiel:
:::Bedrohung Einbruch
:::*Ein Einbrecher könnte in den Serverraum vordringen, um dort eine Festplatte mit sensiblen Informationen zu entwenden.
::: Geschieht dies, können große Schäden im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
:::{| class="wikitable"
|-
! Schutzziel !! Gewichtung!! Erklärung
|-
| Vertraulichkeit
|style="text-align:center;"| 4
| Einbruch und Diebstahl einer Festplatte
|-
| Verfügbarkeit
|style="text-align:center;"| 4
| Der Einbrecher könnte etwas zerstören
|-
| Integrität
|style="text-align:center;"| 3
| Er könnte auch am System etwas ändern
|}


*Norm-Mapping: Beschäftigt sich die Bedrohung mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.


*Stand: Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*ID in Drittsystemen: Durch diese ID kann die Bedrohung durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Bedrohung des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Bedrohung eigentlich aus einem Drittsystem stammt, aber die Bedrohung vor einem Import bereits manuell angelegt wurde und die Bedrohung in Zukunft durch Imports aktualisiert werden soll.

</translate>

Datei:WDB Unterfrage konfigurieren.png

2026-02-10T08:58:31Z

Isan: Isan lud eine neue Version von Datei:WDB Unterfrage konfigurieren.png hoch

Datei:WDB Prüffragen zuordnen.png

2026-02-10T08:43:33Z

Isan: Isan lud eine neue Version von Datei:WDB Prüffragen zuordnen.png hoch

== Beschreibung ==
Naviagtion: dem Thema Prüffragen zuordnen

Datei:WDB neues Thema erstellen.png

2026-02-10T08:40:41Z

Isan: Isan lud eine neue Version von Datei:WDB neues Thema erstellen.png hoch

== Beschreibung ==
WDB neues Thema erstellen

Datei:WDB Maske Wissensdatenbank bearbeiten.png

2026-02-10T08:31:19Z

Isan: Isan lud eine neue Version von Datei:WDB Maske Wissensdatenbank bearbeiten.png hoch

== Beschreibung ==
Maske zum bearbeiten einer WDB

Risikomanagement Einstellungen/en

2026-01-27T12:09:25Z

Isan: Die Seite wurde neu angelegt: „“

In "Risk management → Settings", experts can configure the risk management and add further configurations in addition to the risk policy, to adapt the risk management to the requirements of the management system.

[[Datei:RM_Einstellungen.png|thumb|left|900px]] 

===Risk/opportunity/impact:===
*Used categories of risks and opportunities:
::Define which categories of risks and opportunities are to be used in this management system.
* Extent of damage classification:
:: Here, define the classification used in this management system to assess potential damage. If you do not make a selection, the default extent of damage classification will be used.
:: A use case for your own extent of damage classification would be, for example, to assess potential damage in the data protection management system from the perspective of the affected party. As a result, the Risk Management dashboard, hazard situations, and structural analysis will by default only display hazard situations and SBA weightings for the associated extent of damage classification.
:: Caution: Changing the extent of damage classification potentially affects the meaningfulness of previously evaluated risks as well as protection needs analyses made in the management system.
*Show gaps tab
::Define whether the list of assigned gaps should be included in the view of risks and opportunities.
*Show threats tab
::Define whether the list of assigned threats should be included in the view of risks and opportunities.
*Show monetary impact in risks & opportunities
::Define whether you want to record the monetary impact of risks and opportunities in their creation forms.

===Modules===
Define here whether the ESG management is to be included in the risk management, and whether you want to allow reviews to be sent to suppliers as self assessments.The authorizations of the experts and professionals for both are distributed under [[Special:MyLanguage/Benutzer_und_Benutzerrollen#Benutzerrollen_zuordnen|Administration → User roles]].

===Menus===
*Show structural analysis
*Show protection needs
*Show vulnerabilities
*Show threats
Define here which menu items are to be included in the risk management and hide those you do not need in your management system. Depending on which menu items you have in use, the corresponding report pages are also shown or hidden, respectively.

===ESG thresholds===
The thresholds for the KPI "Double materiality" can be set here. For financial and impact materiality, you can set from what value on a field of action is seen as material and therefore to be reported. This is shown graphically in the KPI.

===Protection needs===
A naming template for protection needs analyses can be configured and its use be activated. If activated, new protection needs analyses are automatically named after the configured schema, but can be renamed at any time (unless they are closed).
[[Datei:SBA_Bezeichnungsvorlage.png|left|thumb|900px]] 

Furthermore you can configure resources of which model segment can be used in the protection needs analysis.

Lieferanten/en

2026-01-27T12:06:12Z

Isan: Die Seite wurde neu angelegt: „“

Under "Administration → Suppliers" you find all suppliers, regardless of the selected management system.



For the menu item to be available, one needs to have a Supplier Risk Management license and be assigned the role Expert in SRM.

SRM Experts find an overview of all suppliers on this page with their protection needs class, code, name, country, state (active or deactivated), and optionally their expiration date.

[[Datei:SM_Lieferanten_Übersicht.png||left|thumb|900px|Overview of the suppliers]] 

The displayed protection needs class can be limited to the current management system or shown across all management systems. Per se, the protection needs corresponds to the classification configured in Risk management > Settings. If you select the display of all management systems, that means those that use the same protection needs classification. Therefore, the protection need can look different depending on which management system you are currently in.

===Create/edit suppliers===
Suppliers can be created and their basic data recorded here. Other than the code and name, this also includes details on their address and general contact.Special fields:
{| class="wikitable"
!Expiration date
|A date can be entered from here, after which the supplier is no longer able to respond to or view assessments. A month before the expiration date, any supplier users are informed of this. The date can be modified at any time. Expired suppliers are shown as such in overviews. If you set an expiration date that lies before the answer deadline of a sent assessment, you receive a warning. The expiration date can also be set automatically. For this, define a period under Administration > Global Settings > Security settings for supplier risk managmeent, then the expiration date will be preset by HITGuard accordingly. Note:Expired suppliers do not use up a license.
|-
!Deactivated
|This switch is visible as soon as the supplier is created (after the first save). When deactivating, the expiration date is set to the current date. A deactivated supplier is no longer able to respond to or view assessments. Any of the supplier's users are informed of this. Deactivated suppliers are marked as such in overviews and reviews. <brNote: Deactivated suppliers do not use up a license.
|-
!External ID
|This is the ID of the supplier in other systems. It is especially relevant when im- and exporting via the REST API.
|-
!Score
|Here you can give the supplier a score per the CMMI degree of maturity model.
|-
!Protection needs
|Here you can record the supplier's protection needs, which is especially important for the structural analysis. Note: The overview of the suppliers shows the protection need derived from the structural analysis and based on the risk management settings. That can either consider the current management system or all management systems.
|-
!Supplier categories
|You can assign suppliers to different categories in order to better order and sort them.
|-
!External metric
|You can record an evaluation metric from another system in this text field. This can also be done via the importer.
|-
!Justification
|Here you can justify the scores and assessments you gave the supplier.
|-|}

[[Datei:LieferantErstellen.png||left|thumb|900px|Create/edit supplier]] 

===Create/edit supplier users===
Supplier users for the individual suppliers can be created/edited here.For every user, record first name, last name and e-mail address. The e-mail address is a mandatory field, as it also serves as the username for the user's login. Users that have already logged in once using the welcome link (sent automatically when creating the user) and created their password are marked as "verified" in the overview. Users who have entered their password incorrectly too many times and locked themselves out, are marked as "locked out" in the overview. This can be remedied by resending the welcome e-mail.Important: Supplier users can only be created if a company name has been entered in "Administration → Global Settings".Special fields:
{| class="wikitable"
!Administrator
|A supplier user can be made into a supplier administrator with a checkmark here (not for the entire application). This user (multiples possible) then has the possibility to create and edit users themselves in their own supplier portal. The checkmark can be removed as well.
|-
!Deactivated
|A deactivated supplier user is no longer able to respond to or view assessments. A supplier user can be deactivated or reactivated at any time. They are informed of this via e-mail. When deactivating a user there is the option to pseudonymize them. This cannot be undone. If the user was an administrator, those rights are withdrawn upon pseudonymization.
|-
!Button: Resend welcome mail
|Upon creation every supplier user receives a welcome mail, through which they can log in for the first time and create their password. From this moment on, their login works. The link for the initial login is valid for 48 hours and can be resent if the user has not logged in within that timeframe. Resending the welcome mail also resets the password and any 2-factor-authentication.
|-
!Button: Delete user
|A supplier user can be deleted with this button. They can then no longer log in and are not able to respond to or view assessments. They are informed of this via e-mail. Note: Verified supplier users cannot be deleted but only deactivated.
|-
|}
[[Datei:LieferantBenutzer.png||left|thumb|900px|Create/edit supplier user]] 

When deactivating or deleting a user the system warns you if
* the user is assigned to a not-deleted assessment, and/or
* the user is the last administrator user of the supplier.

The deactivation including pseudonymization can be undone so long as one has not clicked Save. When deleting, the system asks back whether one is sure one wants to delete the user.

===Suppliers as interview partners===
If the option "Supplier evaluation" is activated under Risk management → Settings, then the checkbox "Supplier assessent" is available when creating a gap analysis or review result. Then the created suppliers are available as interview partners instead of regular HITGuard users. Suppliers are also saved as linked entities in all review objects. If the review is created as a self assessment, the supplier's users can see it in their portal. This is not the case with interviews.
[[Datei:Checkbox_Lieferantenüberprüfung.png|left|thumb|500px|Checkbox for supplier assessments]] 
The users of a selected supplier have the option in their portal to view the self assessment, respond to it, and return it. This works the same as the response by an interview partner or responsible im a regular self assessment. Interviews are available for the use case of a supplier risk manager wanting to enter the review information into the system themselves, without any assessment being sent to the supplier at all.If a supplier has no users, HITGuard warns about this circumstance.
====Notifications====
* The users of the selected supplier receive an e-mail with an invitation to respond to the review.
* The users of the selected supplier receive an e-mail with a warning if the response deadline is up.
* The users of the selected supplier (or just the administrator) receive an e-mail with a warning when the expiration date of their accounts is nigh.
* The optionally entered internal team responsible for handling the supplier receives an e-mial with a warning when the expiration dates of the accounts is nigh.

===Supplier portal===
Using your regular link for HITGuard, configured for your organization, with the addition of "/Supplier", supplier users can log into HITGuard.Suppliers who have forgotten their password can also reset it here. Any 2-factor-authentication is also reset along with it.
[[Datei:SM_LIeferantenportal.png||left|thumb|900px|Supplier login]] 
In this portal supplier users see the reviews assigned to them and can also manage their 2-factor-authentication. Find more on 2-factor-authentication [[Special:MyLanguage/2FA|here]]. Administrators additionally see the tab "User management", in which they can create further users and edit existing ones.Badges beside the folders show how many reviews in which state are waiting for interaction. These are also highlighted in bold. Overdue reviews, meaning whose response deadline has passed, are also especially highlighted with a badge.Supplier users can view assessments here, respond to them, and retourn them to the risk manager.
[[Datei:SM_Supplierportal_Überprüfungen_TM.png||left|thumb|900px|Supplier portal]] 

===Supplier categories===
Here you can create and manage categories for your suppliers. Alternatively, you can also create supplier categories by typing them directly into the respective field on the supplier page and confirm the creation. All categories are then shown in this list.
[[Datei:Lieferantenkategorien.png||left|thumb|900px|Supplier categories]] 

===Online help for supplier users===
A help page you can share with the supplier users can be found [[Special:MyLanguage/Lieferantenportal|here]]. 
A link to the help page for supplier users is also found in their welcome e-mail.

Translations:Risikomanagement Einstellungen/9/en

2026-01-27T12:05:16Z

Isan: Die Seite wurde neu angelegt: „“

Translations:Lieferanten/15/en

2026-01-27T12:05:01Z

Isan: Die Seite wurde neu angelegt: „“

Translations:Datenimport/-export Schnittstelle/31/en

2026-01-27T09:56:13Z

Isan:

{| class="wikitable"
! colspan="2" | Overview
|-
!Structural analysis edges
|PUT /api/v2/asset-edges → Adds relationships in the structural analysis between resources, organizational units, processes, and data categories. DELETE /api/v2/asset-edges → Deletes manually set relationships between resources and resources, organizational units, processes, and data categories.
|-
!Tickets
|PUT /api/tickets → Creates a new ticket in a management system or updates it. DELETE/api/tickets/{id} → Deletes a ticket by its external ID.
|-
!Management systems
|GET /api/management-systems → Produces a list of the available management systems. This list contains the management system IDs.
|-
!Users
|DELETE /api/users/deactivate/{userName} → Deactivates or deactivates and anonymizes a user by the username.
|-
!Data categories
|PUT /api/data-categories → Creates new data categories or updates them. GET/api/data-categories → Produces a list of the available data categories. GET/api/data-categories/data-classes → Produces a list of the available data classes. DELETE/api/data-categories/{id} → Deletes a data category by the external key.
|-
!Measures
|PUT /api/v2/measures → Creates a new measure or updates it. PUT/api/measures/close/{id} → Puts a measure into the state "Completed" by the ID. PUT/api/measures/close/byKey/{id} → Puts a measure into the state "Completed" by the external ID. DELETE/api/measures/{id} → Löscht eine Maßnahme anhand der ID. GET/api/measures/{state} → Produces a list of all measures in a specific state.
|-
!Organizational units
|PUT /api/org-units → Creates an organizational unit or updates it. GET/api/org-units → Produces a list of organizational units. DELETE/api/org-units/{id} → Deletes an organizational unit by the ID.
|-
!Processes
|PUT /api/processes → Creates a process or updates it. GET/api/processes → Produces a list of processes. DELETE/api/processes/{id} → Deletes a process by the ID.
|-
!Resources
|PUT /api/resources → Creates a resource or updates it. GET/api/v2/resources → Produces a list of resources. GET/api/v2/resources/{id} → Retrieves the information of a specific resource by the ID. DELETE/api/resources/{id} → Deletes a resource by the ID.
|-
!Risks
|PUT /api/risks → Creates a risk in a management system or updates it. GET/api/v2/risks/ → Produces a list of all available risks. GET/api/v2/risks/{id} → Retrieves the information of a specific risk by the ID. DELETE/api/risks/{id} → Deletes a risk by the ID.
|-
!Suppliers
|PUT /api/suppliers → Creates or updates a supplier.
|-
!Users
|PUT /api/v2/users → Creates or updates one or multiple users. Caution: updating users only works if the AD integration is deactivated.
|}

Datenimport/-export Schnittstelle

2026-01-27T09:54:40Z

Isan:

<translate>

Bei der Datenimport/-export Schnittstelle von HITGuard handelt es sich um eine REST Schnittstelle, die sich an die OpenAPI 3.0 Spezifikation hält. Es handelt sich dabei also um eine Schnittstelle, die von Applikationen angesprochen werden kann.


Diese Seite beschreibt, wie die REST Schnittstelle aktiviert werden kann, wie man die Berechtigung zum Verwenden der REST Schnittstelle bekommt (ApiKeys) und wo die Dokumentation der REST Schnittstelle zu finden ist (SwaggerUI).


Erfolgreich durchgeführte Imports erzeugen im Menüpunkt Datenimport auch ein Importprotokoll ([[Special:MyLanguage/Datenimport|"Administration → Datenimport | Importprotokolle]])!


[[Datei:REST API Importprotokoll.png|thumb|left|900px]] 

== Konfiguration == 


Um die REST Schnittstelle zu aktivieren, muss in der Konfigurationsdatei "appsettings.production.json" folgendes Property gesetzt sein:


* <code>"RestApi": { "Enabled": true } </code>


Existiert dieses Property nicht oder es ist auf "false" gesetzt, ist die REST Schnittstelle vollkommen deaktiviert und Administratoren sehen weder den Abschnitt "ApiKey" unter ihrem Profil noch die Einstellungen der REST Schnittstelle unter den Globalen Einstellungen.

== Einstellungen == 


Wurde die REST Schnittstelle im "appsettings.production.json" aktiviert, finden Administratoren einen neuen Bereich in den Globalen Einstellungen, über den die REST Schnittstelle jederzeit aktiviert und deaktiviert werden kann.


[[Datei:REST API Einstellungen.png|thumb|left|902px]] 


* REST Schnittstelle aktivieren:
:: Diese Option aktiviert die Endpunkte der REST Schnittstelle. Ist diese Option deaktiviert, dann nimmt die REST Schnittstelle keine Requests entgegen.


* SwaggerUI aktivieren:
:: Diese Option aktiviert die SwaggerUI. Dabei handelt es sich um eine interaktive Dokumentation der REST Schnittstelle. Sie kann unter "/swagger" erreicht werden.
::Diese Option hat keine Auswirkung auf die Funktionalität der REST Schnittstelle. Wird sie deaktiviert, funktioniert die REST Schnittstelle, sofern sie aktiviert ist, trotzdem.
:: Diese Seite ist nur für Entwickler relevant, die mit der REST Schnittstelle kommunizieren möchten.
:: Wird die Dokumentation nicht mehr benötigt, sollte die SwaggerUI Seite deaktiviert werden.

== Swagger/OpenAPI Dokumentation == 


Wie vorher beschrieben, findet man die Dokumentation der REST Schnittstelle unter "/swagger", wenn die SwaggerUI aktiviert ist.


Auf dieser Seite finden Entwickler alle Informationen, die sie benötigen, um die REST Schnittstelle anzusprechen.


Auf dieser Seite ist auch die JSON Beschreibung der REST Schnittstelle zu finden. Diese Beschreibung kann von Tools (z.B. [https://editor.swagger.io editor.swagger.io]) verwendet werden, um automatisch Clients für die REST Schnittstelle zu generieren.


'''Wichtig''': ID Parameter, die in der Dokumentation erwähnt werden, beziehen sich im Kontext der REST API nicht auf HITGuard interne IDs, sondern auf die in HITGuard hinterlegte "ID in Drittsystem".


[[Datei:REST API Swagger.png|thumb|left|900px|SwaggerUI]] 


{| class="wikitable"
! colspan="2" | Überblick
|-
!Kanten der Strukturanalyse
|PUT /api/v2/asset-edges → Fügt Beziehungen in der Strukturanalyse hinzu zwischen Ressourcen, Organisationseinheiten, Prozessen und Datenkategorien. DELETE /api/v2/asset-edges → Löscht manuell gesetzte Beziehungen in der Strukturanalyse zwischen Ressourcen und Ressourcen, Organisationseinheiten, Prozessen und Datenkategorien.
|-
!Meldungen
|PUT /api/tickets → Erstellt neue Meldungen in einem Managementsystem bzw. aktualisiert diese. DELETE/api/tickets/{id} → Löscht Meldungen anhand der ID im Drittsystem.
|-
!Managementsysteme
|GET /api/management-systems → Erzeugt eine Liste der vorhandenen Managementsysteme. Diese Liste enthält die IDs der Managementsysteme.
|-
!Benutzer
|DELETE /api/users/deactivate/{userName} → Deaktiviert bzw. deaktiviert und anonymisiert einen Benutzer anhand des Usernamens.
|-
!Datenkategorien
|PUT /api/data-categories → Erstellt neue Datenkategorien bzw. aktualisiert diese. GET /api/data-categories → Erzeugt eine Liste der vorhandenen Datenkategorien. GET /api/data-categories/data-classes → Erzeugt eine Liste der vorhandenen Datenklassen. DELETE /api/data-categories/{id} → Löscht eine Datenkategorie anhand der ID im Drittsystem.
|-
!Maßnahmen
|PUT /api/v2/measures → Erstellt neue Maßnahmen bzw. aktualisiert diese. GET /api/measures → Erzeugt eine Liste aller vorhandenen Maßnahmen. PUT /api/measures/close/{id} → Versetzt eine Maßnahme anhand der ID in den Status "Erledigt". PUT /api/measures/close/byKey/{id} → Versetzt eine Maßnahme anhand der ID im Drittsystem in den Status "Erledigt". DELETE /api/measures/{id} → Löscht eine Maßnahme anhand der ID. GET /api/measures/{state} → Erzeugt eine Liste aller Maßnahmen in einem bestimmten Status.
|-
!Organisationseinheiten
|PUT /api/org-units → Erstellt eine Organisationseinheit bzw. aktualisiert diese. GET /api/org-units → Erzeugt eine Liste der Organisationseinheiten. DELETE /api/org-units/{id} → Löscht eine Organisationseinheit anhand der ID.
|-
!Prozesse
|PUT /api/processes → Erstellt einen Prozess bzw. aktualisiert diesen. GET /api/processes → Erzeugt eine Liste der Prozesse. DELETE /api/processes/{id} → Löscht einen Prozess anhand der ID.
|-
!Ressourcen
|PUT /api/v2/resources → Erstellt eine Ressource bzw. aktualisiert diese. GET /api/v2/resources → Erstellt eine Liste der Ressourcen. GET /api/v2/resources/{id} → Holt die Information zu einer bestimmten Ressource anhand der ID. DELETE /api/v2/resources/{id} → Löscht eine Ressource anhand der ID.
|-
!Risiken
|PUT /api/risks → Erstellt ein Risiko in einem Managementsystem bzw. aktualisiert dieses. GET /api/v2/risks/ → Erzeugt eine Liste aller vorhandenen Risiken. GET /api/v2/risks/{id} → Holt die Information zu einem bestimmten Risiko anhand der externen ID. DELETE /api/risks/{id} → Löscht ein Risiko anhand der ID.
|-
!Lieferanten
|PUT /api/suppliers → Erstellt oder aktualisiert einen Lieferanten.
|-
!Benutzer
|PUT /api/v2/users → Erstellt oder aktualisiert einen oder mehrere Benutzer. Achtung: Die Aktualisierung funktioniert nur, wenn die AD Integration deaktiviert ist.
|}


== Versionierung ==
Aktuell gibt es 2 Versionen der API: "v1" und "v2". In Swagger kann zwischen den Versionen hin und her gewechselt werden.
[[Datei:Swagger version wechseln.png|ohne|mini|Wechseln der Version im Swagger]]
Zur Zeit sind die Endpunkte auf diese beiden Versionen aufgeteilt und man sollte aktuell beide Versionen verwenden.


Endpunkte, die in "v1" als veraltet ("'''Deprecated"''') markiert sind, sollten nicht mehr verwendet und werden in Zukunft entfernt. Verwenden Sie stattdessen die Endpunkte in "v2" dafür.

=== Changelog === 

==== Änderungen "v1" auf "v2" ==== 


* Maßnahmen (Measures)
** PUT /api/v2/measures ersetzt PUT /api/measures
*** Einstellungen zur Wirksamkeitspüfung können nicht mehr gesetzt oder verändert werden, da dies auf interne IDs angewiesen ist
*** Der "ID" Parameter verweist jetzt auf die in HITGuard hinterlegte "ID in Drittsystem" und nicht mehr die interne ID
** PUT /api/measures/close/{id}
*** wurde als veraltet markiert, da dies eine interne ID verwendet hat → nur noch PUT /api/measures/close/byKey verwenden!
** Generell
*** Der Parameter "state" verwendet jetzt Enumerationswerte
* Kanten der Strukturanalyse (AssetEdges)
** PUT /api/v2/asset-edges ersetzt PUT /api/asset-edges
*** Die Parameter "sourceType" und "targetType" verwenden jetzt Enumerationswerte
* Ressourcen (Resources)
** alle Endpunkte wurden in "v1" als veraltet markiert
*** Der Parameter "modelSegment" verwendet jetzt Enumerationswerte
* Risiken (Risks)
** GET /api/v2/risks ersetzt GET /api/risks/{managementSystemId}
*** Der Pfad-Parameter "managementSystemId" wurde entfernt. Stattdessen können jetzt die optionalen Query-Parameter "managementSystemId" und "includePublicRisks" verwendet werden um Risiken abzufragen und zu filtern.
** GET /api/v2/risks/{id} ersetzt GET /api/risks/byKey/{id}
*** Endpunkt wurde angepasst um konsistent zu den anderen Endpunkten zu sein.


Alle anderen Endpunkte werden zurzeit nur über "v1" angeboten. Bevor "v1" wirklich entfernt wird, werden alle Endpunkte in "v2" angeboten.

== ApiKeys == 


Alle Endpunkte der REST Schnittstelle sind über ApiKeys gesichert!


Damit Requests an die REST Schnittstelle erfolgreich durchgeführt werden können, muss in jedem Request ein gültiger ApiKey im Authorization Header mitgesendet werden.


ApiKeys können dabei nur von Administratoren unter ihrem Profil (klicken auf das Profilbild) erstellt werden. Jeder Administrator kann zu jedem Zeitpunkt nur einen gültigen ApiKey haben.


[[Datei:REST API ApiKey Abschnitt.png|thumb|left|900px| Abschnitt zum Verwalten des ApiKeys]] 


ApiKeys können mit einem Ablaufdatum erstellt werden. Wenn der ApiKey abläuft, können mit ihm keine Requests mehr durchgeführt werden.


[[Datei:REST API ApiKey generieren.png|thumb|left|900px| ApiKey generieren]] 


Der ApiKey wird nur ein einziges Mal angezeigt! Wenn Sie ihn hier nicht kopieren, müssen Sie einen neuen ApiKey erzeugen. Durch Klick auf den Button links neben dem ApiKey, wird der ApiKey in Ihre Zwischenablage kopiert. Stellen Sie sicher, dass sie den ApiKey an einem sicheren Ort ablegen.


[[Datei:REST API ApiKey kopieren.png|thumb|left|900px| ApiKey kopieren]] 


Ein Administrator kann seinen eigenen ApiKey jederzeit widerrufen, wodurch über den ApiKey anschließend keine Requests mehr durchgeführt werden können.


[[Datei:REST API ApiKey widerrufen.png|thumb|left|900px| ApiKey Widerrufen]] 


Um ApiKeys zu verwalten empfiehlt es sich, pro Applikation, die die REST Schnittstelle ansteuert, einen Administrator anzulegen, um einen ApiKey pro Applikation zu bekommen. Dadurch kann einer Applikation jederzeit der Zugriff enthoben werden.

</translate>

Risikomanagement Einstellungen

2026-01-26T09:35:51Z

Isan:

<translate>


Unter "Risikomanagement → Einstellungen" können Experten das Risikomanagement konfigurieren und weitere Einstellungen treffen, die zusätzlich zur Risikopolitik das Risikomanagement an die Anforderungen des Managementsystems anpassen.


[[Datei:RM_Einstellungen.png|thumb|left|900px]] 


===Risiko/Chance/Auswirkung:===
*Verwendete Kategorien von Risiken/Chancen:
::Definieren Sie hier, welche Kategorien von Risiken und Chancen in diesem Management verwendet werden sollen.
*Klassifikation von Schadensausmaß und Nutzen:
:: Definieren Sie hier die in diesem Managementsystem verwendete Klassifikation zur Bewertung von potenziellen Schäden und Nutzen. Treffen Sie keine Auswahl, wird die Standard-Klassifikation verwendet.
:: Ein Anwendungsfall für eine eigene Klassifikation für Schadensausmaß und Nutzen wäre z.B. potenzielle Schäden und Nutzen im Datenschutzmanagementsystem aus Sicht des Betroffenen zu bewerten. Dadurch werden im Risikomanagement-Dashboard, bei Risiken und Chancen und in der Strukturanalyse standardmäßig nur noch Risiken/Chancen und SBA-Gewichtungen zur zugehörigen Klassifikation angezeigt.
:: Achtung: Die Änderung der Klassifikation wirkt sich gegebenenfalls auf den Aussagegehalt bereits bewerteter Risiken oder Chancen sowie durchgeführter Schutzbedarfsanalysen des Managementsystems aus.
*Reiter Abweichungen einblenden
::Definieren Sie hier, ob die Auflistung der zugehörigen Abweichungen in der Ansicht der Risiken und Chancen enthalten sein soll.
*Reiter Bedrohungen einblenden
::Definieren Sie hier, ob die Auflistung der zugehörigen Bedrohungen in der Ansicht der Risiken und Chancen enthalten sein soll.
*Monetäre Auswirkung in Risiken & Chancen einblenden
::Definieren Sie hier, ob Sie für Risiken und Chancen auch deren monetäre Auswirkung in der Eingabemaske erfassen möchten.


===Erweiterungen===
Definieren Sie hier, ob das ESG-Management im Risikomanagement inkludiert werden soll und ob Sie es ermöglichen möchten, Überprüfungen als Self Assessments an Lieferanten zu versenden.Die Berechtigungen der Experts und Professionals für beides werden unter [[Special:MyLanguage/Benutzer_und_Benutzerrollen#Benutzerrollen_zuordnen|Administration → Benutzerrollen]] vergeben.


===Menüpunkte===
*Strukturanalyse einblenden
*Schutzbedarfe einblenden
*Schwachstellen einblenden
*Bedrohungen einblenden
Definieren Sie hier, welche Menüpunkte im Risikomanagement enthalten sein sollen und blenden Sie jene aus, die Sie für Ihr Managementsystem nicht benötigen. Je nachdem, welche Menüpunkte Sie verwenden, werden auch die dazugehörigen Berichtsseiten entsprechend ein- oder ausgeblendet.


===ESG Schwellwerte===
Hier können die Schwellwerte für das KPI "Doppelte Wesentlichkeit" eingestellt werden. Für die finanzielle und die Auswirkungswesentlichkeit kann eingestellt werden, ab wann ein Handlungsfeld als wesentlich und damit berichtspflichtig gilt. Dies wird im KPI grafisch dargestellt.


===Schutzbedarf===
Hier kann eine Bezeichnungsvorlage für Schutzbedarfsanalyse konfiguriert und ihre Verwendung aktiviert werden. Wenn aktiviert, werden neue Schutzbedarfsanalysen automatisiert nach dem konfigurierten Schema benannt, können jedoch jederzeit umbenannt werden (solange sie nicht abgeschlossen sind).
[[Datei:SBA_Bezeichnungsvorlage.png|left|thumb|900px]] 


Weiters kann konfiguriert werden, Ressourcen welcher Modellsegmente in der Schutzbedarfsanalyse verwendet werden können sollen.

</translate>

Risikomanagement Einstellungen

2026-01-26T09:30:05Z

Isan: Diese Seite wurde zum Übersetzen freigegeben

Risikomanagement Einstellungen

2026-01-26T09:29:55Z

Isan:

Lieferanten

2026-01-22T10:57:13Z

Isan:

<translate>

Unter "Administration → Lieferanten" finden Sie alle Lieferanten, unabhängig vom gewählten Managementsystem.


Damit der Menüpunkt verfügbar ist, muss man über eine Supplier Risk Management-Lizenz verfügen und die Rolle Experte im SRM zugewiesen haben.


Experten des SRM finden auf dieser Seite eine Übersicht der Lieferanten mit deren Schutzbedarfsklasse, Kürzel, Bezeichnung, Land, Status (Aktiv oder Deaktiviert) und optional auch dem Ablaufdatum.


[[Datei:SM_Lieferanten_Übersicht.png||left|thumb|900px|Übersicht der Lieferanten]] 


Man kann die angezeigte Schutzbedarfsklasse auf das aktuelle Managementsystem beschränken, oder sie über alle Managementsysteme hinweg anzeigen. Prinzipiell entspricht der Schutzbedarf der Klassifikation, die unter Risikomanagement > Einstellungen konfiguriert ist. Wählt man die Anzeige aller Managementsysteme aus, bezieht sich das auf alle Managementsysteme mit der selben Schutzbedarfsklassifikation. Dementsprechend kann der Schutzbedarf anders aussehen, je nachdem in welchem Managementsystem man sich befindet.


===Lieferanten erstellen/bearbeiten===
Hier können Lieferanten erstellt und ihre Stammdaten erfasst werden. Dazu gehören neben Kürzel und Bezeichnung auch Details zu Anschrift und allgemeinem Kontakt.Besondere zusätzliche Felder:
{| class="wikitable"
!Ablaufdatum
|Hier kann ein Datum eingetragen werden, ab dem der Lieferant nicht mehr berechtigt ist, Überprüfungen zu beantworten oder diese einzusehen. Das Datum kann jederzeit angepasst werden. Abgelaufene Lieferanten werden in Übersichten und Überprüfungen als solche gekennzeichnet. Stellen Sie ein Ablaufdatum ein, das vor der Beantwortungsfrist einer ausgeschickten Lieferantenbewertung liegt, erhalten Sie eine Warnung. Das Ablaufdatum kann auch automatisch hinterlegt werden. Definieren Sie dazu eine Frist unter Administration > Globale Einstellungen im Abschnitt Sicherheitseinstellungen für Lieferanten-Risikomanagement, dann wird das Ablaufdatum von HITGuard entsprechend vorbesetzt. Hinweis: Abgelaufene Lieferanten verbrauchen keine Lizenzen.
|-
!Deaktiviert
|Dieser Schalter ist sichtbar, sobald der Lieferant angelegt ist (nach dem ersten Speichern). Beim Deaktivieren wird das Ablaufdatum auf den aktuellen Tag gesetzt. Ein deaktivierter Lieferant ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Ein Lieferant kann jederzeit deaktiviert oder wieder aktiviert werden. Etwaige Lieferantenbenutzer werden über dies informiert. Deaktivierte Lieferanten werden in Übersichten und Überprüfungen als solche gekennzeichnet. Hinweis: Deaktivierte Lieferanten verbrauchen keine Lizenzen.
|-
!ID in Drittsystem
|Dies ist die ID des Lieferanten in anderen Systemen. Besonders beim Im- und Export über die REST API ist diese ID relevant.
|-
!Score
|Hier kann dem Lieferanten ein Score nach dem CMMI-Reifegradmodell gegeben werden.
|-
!Schutzbedarfsklasse
|Hier kann die Schutzbedarfsklasse des Lieferanten festgehalten werden, was vor allem für die Strukturanalyse wichtig ist. Hinweis: In der Übersicht der Lieferanten wird der Schutzbedarf gezeigt, der sich aus der Strukturanalyse ergibt und den Einstellungen des Risikomanagements entspricht. Dieser kann entweder das aktuelle Managementsystem oder alle Managementsysteme berücksichtigen.
|-
!Lieferantenkategorien
|Sie können Lieferanten verschienen Kategorien zuweisen, um sie besser einordnen und sortieren zu können.
|-
!Metrik aus Drittsystem
|In diesem Textfeld kann eine Bewertungsmetrik aus einem anderen System hinterlegt werden. Dies kann auch über den Importer gemacht werden.
|-
!Begründung
|Hier hat man die Möglichkeit, die vergebenen Scores und Bewertungen zu begründen.
|-
|}


[[Datei:LieferantErstellen.png||left|thumb|900px|Lieferanten erstellen/bearbeiten]] 


===Lieferantenbenutzer erstellen/bearbeiten===
Hier können für die einzelnen Lieferanten Lieferantenbenutzer angelegt und verwaltet werden.Für jeden Benutzer werden Vorname, Nachname und E-Mail-Adresse erfasst. Die E-Mail Adresse ist ein Pflichtfeld, weil sie zugleich als Username für das Login des Benutzers fungiert. Benutzer, die sich bereits einmal über den Willkommenslink angemeldet (wird beim Erstellen des Benutzers automatisch verschickt) und ihr Passwort erstellt haben, sind in der Übersicht als "verifiziert" gekennzeichnet. User, die ihr Passwort zu oft falsch eingegeben und sich gesperrt haben, sind in der Übersicht als "gesperrt" gekennzeichnet. Dies kann mit erneutem Aussenden des Willkommensmails behoben werden. Wichtig: Lieferantenbenutzer können nur angelegt werden, wenn unter "Administration → Globale Einstellungen" ein Firmenname eingetragen ist.Besondere Felder:
{| class="wikitable"
!Administrator
|Hier kann ein Lieferantenbenutzer mit einem Häkchen zum Administrator seitens des Lieferanten gemacht werden (nicht für die gesamte Applikation). Dieser Benutzer (auch mehrfach möglich) hat dann die Möglichkeit, in seinem eigenen Lieferantenportal selbst Benutzer anzulegen und zu bearbeiten. Das Häkchen kann auch wieder entfernt werden.
|-
!Deaktiviert
|Ein deaktivierter Lieferantenbenutzer ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Ein Lieferantenbenutzer kann jederzeit deaktiviert oder wieder aktiviert werden. Er wird per E-Mail über dies informiert. Beim Deaktivieren besteht auch die Möglichkeit, den Benutzer zu pseudonymisieren. Dies kann nicht mehr rückgängig gemacht werden. War der Benutzer Administrator, werden diese Rechte beim Pseudonymisieren entzogen.
|-
!Button: Willkommensmail erneut aussenden
|Jeder Lieferantenbenutzer erhält beim Erstellen ein Willkommensmail, über das er sich erstmals anmelden und sein eigenes Passwort erstellen kann. Ab diesem Zeitpunkt funktioniert sein Login. Der Link für die Erstanmeldung ist 48 Stunden gültig und kann neu geschickt werden, sollte sich der Benutzer in dieser Zeit noch nicht angemeldet haben. Mit dem erneuten Versenden des Willkommensmails werden auch das Passwort und eine etwaige 2-Faktor-Authentifizierung zurückgesetzt.
|-
!Button: Benutzer löschen
|Mit diesem Button kann ein Lieferantenbenutzer gelöscht werden. Er kann sich dann nicht mehr anmelden und ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Er wird per E-Mail über dies informiert. Hinweis: Verifizierte Lieferantenbenutzer können nicht gelöscht werden, sondern nur deaktiviert.
|-
|}
[[Datei:LieferantBenutzer.png||left|thumb|900px|Lieferantenbenutzer erstellen/bearbeiten]] 


Beim Deaktivieren sowie beim Löschen von Benutzern wird man vom System gewarnt, wenn
* der Benutzer einer nicht gelöschten Überprüfung zugewiesen ist und/oder
* der Benutzer der letzte Administrator-Benutzer des Lieferanten ist.


Das Deaktivieren inklusive Pseudonymisierung kann rückgängig gemacht werden, solange man noch nicht gespeichert hat. Beim Löschen wird man vom System rückgefragt, ob man sich sicher ist, dass man den Benutzer löschen möchte.


===Lieferanten als Interviewpartner===
Wenn die Option "Lieferantenbewertung" unter Risikomanagement → Einstellungen aktiviert ist, dann steht beim Erstellen von Abweichungsanalysen und Prüfergebnissen die Checkbox "Lieferantenüberprüfung" zur Verfügung. Dann stehen für die Interviewpartner anstelle von regulären HITGuard Usern die erstellten Lieferanten zur Verfügung. Lieferanten werden auch in allen Prüfobjekten als verknüpfte Entitäten gespeichert. Wird die Überprüfung als Self Assessment angelegt, dann sehen etwaige Benutzer des Lieferanten sie in ihrem Portal. Bei Interviews ist dies nicht der Fall.
[[Datei:Checkbox_Lieferantenüberprüfung.png|left|thumb|500px|Checkbox für Lieferantenüberprüfungen]] 
Die Benutzer des eingetragenen Lieferanten haben dann in ihrem Portal die Möglichkeit, die Self Assessment Überprüfung einzusehen, zu beantworten und zu retournieren. Dies funktioniert genau so wie die Beantwortung durch einen Interviewpartner oder Verantwortlichen bei einem regulären Self Assessment. Interviews sind für den Anwendungsfall vorgesehen, dass der Lieferantenrisikomanager die Daten der Überprüfung selbst einpflegt und gar keine Überprüfung an die Benutzer des Lieferanten ausgeschickt werden soll.Hat ein Lieferant keine Benutzer und kann ein Self Assessment daher niemandem direkt zugeschickt werden, weist HITGuard auf diesen Umstand hin.
====Benachrichtigungen====
* Die Benutzer des eingetragenen Lieferanten erhalten ein E-Mail mit einer Einladung, die Überprüfung zu beantworten.
* Die Benutzer des eingetragenen Lieferanten erhalten ein E-Mail mit einer Warnung, wenn die Beantwortungsfrist abläuft.
* Die Benutzer des eingetragenen Lieferanten (oder nur der Administrator) erhalten ein E-Mail mit einer Warnung, wenn das Ablaufdatum ihres Accounts näher kommt.
* Das optional eingetragene interne Team, das für den Lieferanten zuständig ist, erhält ein E-Mail mit einer Warnung, wenn das Ablaufdatum der Accounts näher kommt.


===Lieferantenportal===
Unter dem regulären HITGuard-Link, den Sie für Ihre Organisation konfiguriert haben, mit dem Zusatz "/Supplier" können sich Lieferantenbenutzer in einem eigenen Portal an HITGuard anmelden.Lieferanten, die ihr Passwort vergessen haben, können dieses hier auch zurücksetzen. Eine etwaige 2-Faktor-Authentifizierung wird damit auch zurückgesetzt.
[[Datei:SM_LIeferantenportal.png||left|thumb|900px|Login für Lieferanten]] 
In diesem Portal sehen Lieferantenbenutzer die ihnen zugewiesenen Überprüfungen und haben auch die Möglichkeit, ihre 2-Faktor-Authentifizierung zu verwalten. Mehr zur 2-Faktor-Authentifizierung finden Sie [[Special:MyLanguage/2FA|hier]]. Administratoren sehen zusätzlich auch den Reiter "Benutzerverwaltung", in dem sie weitere Benutzer anlegen und die bestehenden bearbeiten können.Badges bei den Ordnern zeigen, wie viele Überprüfungen in welchem Status auf Bearbeitung warten. In der Übersicht sind diese auch fett hervorgehoben. Überfällige Überprüfungen, deren Beantwortungsfrist also abgelaufen ist, sind ebenfalls mit einem Badge besonders hervorgehoben.Lieferantenbenutzer können die Überprüfungen hier einsehen, beantworten und wieder an den Risikomanager retournieren.
[[Datei:SM_Supplierportal_Überprüfungen_TM.png||left|thumb|900px|Lieferantenportal]] 


===Lieferantenkategorien===
Hier können Sie die Kategorien für Ihre Lieferanten erstellen und verwalten. Alternativ können Sie Lieferantenkategorien auch erstellen, indem Sie sie direkt beim Lieferanten in das entsprechende Feld eintragen und die Erstellung bestätigen. Alle Kategorien scheinen dann in dieser Liste auf.
[[Datei:Lieferantenkategorien.png||left|thumb|900px|Lieferantenkategorien]] 


===Online Hilfe für Lieferantenbenutzer===
Eine Hilfeseite, die Sie mit den Lieferantenbenutzern teilen können, finden Sie [[Special:MyLanguage/Lieferantenportal|hier]]. 
Ein Link zur Hilfeseite für Lieferantenbenutzer findet sich auch in ihrem Willkommensmail.
</translate>

Lieferanten

2026-01-22T10:55:54Z

Isan: Diese Seite wurde zum Übersetzen freigegeben

<translate>

Unter "Administration → Lieferanten" finden Sie alle Lieferanten, unabhängig vom gewählten Managementsystem.


Neuer Absatz im Text.


Damit der Menüpunkt verfügbar ist, muss man über eine Supplier Risk Management-Lizenz verfügen und die Rolle Experte im SRM zugewiesen haben.


Experten des SRM finden auf dieser Seite eine Übersicht der Lieferanten mit deren Schutzbedarfsklasse, Kürzel, Bezeichnung, Land, Status (Aktiv oder Deaktiviert) und optional auch dem Ablaufdatum.


[[Datei:SM_Lieferanten_Übersicht.png||left|thumb|900px|Übersicht der Lieferanten]] 


Man kann die angezeigte Schutzbedarfsklasse auf das aktuelle Managementsystem beschränken, oder sie über alle Managementsysteme hinweg anzeigen. Prinzipiell entspricht der Schutzbedarf der Klassifikation, die unter Risikomanagement > Einstellungen konfiguriert ist. Wählt man die Anzeige aller Managementsysteme aus, bezieht sich das auf alle Managementsysteme mit der selben Schutzbedarfsklassifikation. Dementsprechend kann der Schutzbedarf anders aussehen, je nachdem in welchem Managementsystem man sich befindet.


===Lieferanten erstellen/bearbeiten===
Hier können Lieferanten erstellt und ihre Stammdaten erfasst werden. Dazu gehören neben Kürzel und Bezeichnung auch Details zu Anschrift und allgemeinem Kontakt.Besondere zusätzliche Felder:
{| class="wikitable"
!Ablaufdatum
|Hier kann ein Datum eingetragen werden, ab dem der Lieferant nicht mehr berechtigt ist, Überprüfungen zu beantworten oder diese einzusehen. Das Datum kann jederzeit angepasst werden. Abgelaufene Lieferanten werden in Übersichten und Überprüfungen als solche gekennzeichnet. Stellen Sie ein Ablaufdatum ein, das vor der Beantwortungsfrist einer ausgeschickten Lieferantenbewertung liegt, erhalten Sie eine Warnung. Das Ablaufdatum kann auch automatisch hinterlegt werden. Definieren Sie dazu eine Frist unter Administration > Globale Einstellungen im Abschnitt Sicherheitseinstellungen für Lieferanten-Risikomanagement, dann wird das Ablaufdatum von HITGuard entsprechend vorbesetzt. Hinweis: Abgelaufene Lieferanten verbrauchen keine Lizenzen.
|-
!Deaktiviert
|Dieser Schalter ist sichtbar, sobald der Lieferant angelegt ist (nach dem ersten Speichern). Beim Deaktivieren wird das Ablaufdatum auf den aktuellen Tag gesetzt. Ein deaktivierter Lieferant ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Ein Lieferant kann jederzeit deaktiviert oder wieder aktiviert werden. Etwaige Lieferantenbenutzer werden über dies informiert. Deaktivierte Lieferanten werden in Übersichten und Überprüfungen als solche gekennzeichnet. Hinweis: Deaktivierte Lieferanten verbrauchen keine Lizenzen.
|-
!ID in Drittsystem
|Dies ist die ID des Lieferanten in anderen Systemen. Besonders beim Im- und Export über die REST API ist diese ID relevant.
|-
!Score
|Hier kann dem Lieferanten ein Score nach dem CMMI-Reifegradmodell gegeben werden.
|-
!Schutzbedarfsklasse
|Hier kann die Schutzbedarfsklasse des Lieferanten festgehalten werden, was vor allem für die Strukturanalyse wichtig ist. Hinweis: In der Übersicht der Lieferanten wird der Schutzbedarf gezeigt, der sich aus der Strukturanalyse ergibt und den Einstellungen des Risikomanagements entspricht. Dieser kann entweder das aktuelle Managementsystem oder alle Managementsysteme berücksichtigen.
|-
!Lieferantenkategorien
|Sie können Lieferanten verschienen Kategorien zuweisen, um sie besser einordnen und sortieren zu können.
|-
!Metrik aus Drittsystem
|In diesem Textfeld kann eine Bewertungsmetrik aus einem anderen System hinterlegt werden. Dies kann auch über den Importer gemacht werden.
|-
!Begründung
|Hier hat man die Möglichkeit, die vergebenen Scores und Bewertungen zu begründen.
|-
|}


[[Datei:LieferantErstellen.png||left|thumb|900px|Lieferanten erstellen/bearbeiten]] 


===Lieferantenbenutzer erstellen/bearbeiten===
Hier können für die einzelnen Lieferanten Lieferantenbenutzer angelegt und verwaltet werden.Für jeden Benutzer werden Vorname, Nachname und E-Mail-Adresse erfasst. Die E-Mail Adresse ist ein Pflichtfeld, weil sie zugleich als Username für das Login des Benutzers fungiert. Benutzer, die sich bereits einmal über den Willkommenslink angemeldet (wird beim Erstellen des Benutzers automatisch verschickt) und ihr Passwort erstellt haben, sind in der Übersicht als "verifiziert" gekennzeichnet. User, die ihr Passwort zu oft falsch eingegeben und sich gesperrt haben, sind in der Übersicht als "gesperrt" gekennzeichnet. Dies kann mit erneutem Aussenden des Willkommensmails behoben werden. Wichtig: Lieferantenbenutzer können nur angelegt werden, wenn unter "Administration → Globale Einstellungen" ein Firmenname eingetragen ist.Besondere Felder:
{| class="wikitable"
!Administrator
|Hier kann ein Lieferantenbenutzer mit einem Häkchen zum Administrator seitens des Lieferanten gemacht werden (nicht für die gesamte Applikation). Dieser Benutzer (auch mehrfach möglich) hat dann die Möglichkeit, in seinem eigenen Lieferantenportal selbst Benutzer anzulegen und zu bearbeiten. Das Häkchen kann auch wieder entfernt werden.
|-
!Deaktiviert
|Ein deaktivierter Lieferantenbenutzer ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Ein Lieferantenbenutzer kann jederzeit deaktiviert oder wieder aktiviert werden. Er wird per E-Mail über dies informiert. Beim Deaktivieren besteht auch die Möglichkeit, den Benutzer zu pseudonymisieren. Dies kann nicht mehr rückgängig gemacht werden. War der Benutzer Administrator, werden diese Rechte beim Pseudonymisieren entzogen.
|-
!Button: Willkommensmail erneut aussenden
|Jeder Lieferantenbenutzer erhält beim Erstellen ein Willkommensmail, über das er sich erstmals anmelden und sein eigenes Passwort erstellen kann. Ab diesem Zeitpunkt funktioniert sein Login. Der Link für die Erstanmeldung ist 48 Stunden gültig und kann neu geschickt werden, sollte sich der Benutzer in dieser Zeit noch nicht angemeldet haben. Mit dem erneuten Versenden des Willkommensmails werden auch das Passwort und eine etwaige 2-Faktor-Authentifizierung zurückgesetzt.
|-
!Button: Benutzer löschen
|Mit diesem Button kann ein Lieferantenbenutzer gelöscht werden. Er kann sich dann nicht mehr anmelden und ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Er wird per E-Mail über dies informiert. Hinweis: Verifizierte Lieferantenbenutzer können nicht gelöscht werden, sondern nur deaktiviert.
|-
|}
[[Datei:LieferantBenutzer.png||left|thumb|900px|Lieferantenbenutzer erstellen/bearbeiten]] 


Beim Deaktivieren sowie beim Löschen von Benutzern wird man vom System gewarnt, wenn
* der Benutzer einer nicht gelöschten Überprüfung zugewiesen ist und/oder
* der Benutzer der letzte Administrator-Benutzer des Lieferanten ist.


Das Deaktivieren inklusive Pseudonymisierung kann rückgängig gemacht werden, solange man noch nicht gespeichert hat. Beim Löschen wird man vom System rückgefragt, ob man sich sicher ist, dass man den Benutzer löschen möchte.


===Lieferanten als Interviewpartner===
Wenn die Option "Lieferantenbewertung" unter Risikomanagement → Einstellungen aktiviert ist, dann steht beim Erstellen von Abweichungsanalysen und Prüfergebnissen die Checkbox "Lieferantenüberprüfung" zur Verfügung. Dann stehen für die Interviewpartner anstelle von regulären HITGuard Usern die erstellten Lieferanten zur Verfügung. Lieferanten werden auch in allen Prüfobjekten als verknüpfte Entitäten gespeichert. Wird die Überprüfung als Self Assessment angelegt, dann sehen etwaige Benutzer des Lieferanten sie in ihrem Portal. Bei Interviews ist dies nicht der Fall.
[[Datei:Checkbox_Lieferantenüberprüfung.png|left|thumb|500px|Checkbox für Lieferantenüberprüfungen]] 
Die Benutzer des eingetragenen Lieferanten haben dann in ihrem Portal die Möglichkeit, die Self Assessment Überprüfung einzusehen, zu beantworten und zu retournieren. Dies funktioniert genau so wie die Beantwortung durch einen Interviewpartner oder Verantwortlichen bei einem regulären Self Assessment. Interviews sind für den Anwendungsfall vorgesehen, dass der Lieferantenrisikomanager die Daten der Überprüfung selbst einpflegt und gar keine Überprüfung an die Benutzer des Lieferanten ausgeschickt werden soll.Hat ein Lieferant keine Benutzer und kann ein Self Assessment daher niemandem direkt zugeschickt werden, weist HITGuard auf diesen Umstand hin.
====Benachrichtigungen====
* Die Benutzer des eingetragenen Lieferanten erhalten ein E-Mail mit einer Einladung, die Überprüfung zu beantworten.
* Die Benutzer des eingetragenen Lieferanten erhalten ein E-Mail mit einer Warnung, wenn die Beantwortungsfrist abläuft.
* Die Benutzer des eingetragenen Lieferanten (oder nur der Administrator) erhalten ein E-Mail mit einer Warnung, wenn das Ablaufdatum ihres Accounts näher kommt.
* Das optional eingetragene interne Team, das für den Lieferanten zuständig ist, erhält ein E-Mail mit einer Warnung, wenn das Ablaufdatum der Accounts näher kommt.


===Lieferantenportal===
Unter dem regulären HITGuard-Link, den Sie für Ihre Organisation konfiguriert haben, mit dem Zusatz "/Supplier" können sich Lieferantenbenutzer in einem eigenen Portal an HITGuard anmelden.Lieferanten, die ihr Passwort vergessen haben, können dieses hier auch zurücksetzen. Eine etwaige 2-Faktor-Authentifizierung wird damit auch zurückgesetzt.
[[Datei:SM_LIeferantenportal.png||left|thumb|900px|Login für Lieferanten]] 
In diesem Portal sehen Lieferantenbenutzer die ihnen zugewiesenen Überprüfungen und haben auch die Möglichkeit, ihre 2-Faktor-Authentifizierung zu verwalten. Mehr zur 2-Faktor-Authentifizierung finden Sie [[Special:MyLanguage/2FA|hier]]. Administratoren sehen zusätzlich auch den Reiter "Benutzerverwaltung", in dem sie weitere Benutzer anlegen und die bestehenden bearbeiten können.Badges bei den Ordnern zeigen, wie viele Überprüfungen in welchem Status auf Bearbeitung warten. In der Übersicht sind diese auch fett hervorgehoben. Überfällige Überprüfungen, deren Beantwortungsfrist also abgelaufen ist, sind ebenfalls mit einem Badge besonders hervorgehoben.Lieferantenbenutzer können die Überprüfungen hier einsehen, beantworten und wieder an den Risikomanager retournieren.
[[Datei:SM_Supplierportal_Überprüfungen_TM.png||left|thumb|900px|Lieferantenportal]] 


===Lieferantenkategorien===
Hier können Sie die Kategorien für Ihre Lieferanten erstellen und verwalten. Alternativ können Sie Lieferantenkategorien auch erstellen, indem Sie sie direkt beim Lieferanten in das entsprechende Feld eintragen und die Erstellung bestätigen. Alle Kategorien scheinen dann in dieser Liste auf.
[[Datei:Lieferantenkategorien.png||left|thumb|900px|Lieferantenkategorien]] 


===Online Hilfe für Lieferantenbenutzer===
Eine Hilfeseite, die Sie mit den Lieferantenbenutzern teilen können, finden Sie [[Special:MyLanguage/Lieferantenportal|hier]]. 
Ein Link zur Hilfeseite für Lieferantenbenutzer findet sich auch in ihrem Willkommensmail.
</translate>

Lieferanten

2026-01-22T10:55:22Z

Isan:

<translate>

Unter "Administration → Lieferanten" finden Sie alle Lieferanten, unabhängig vom gewählten Managementsystem.

Neuer Absatz im Text.


Damit der Menüpunkt verfügbar ist, muss man über eine Supplier Risk Management-Lizenz verfügen und die Rolle Experte im SRM zugewiesen haben.


Experten des SRM finden auf dieser Seite eine Übersicht der Lieferanten mit deren Schutzbedarfsklasse, Kürzel, Bezeichnung, Land, Status (Aktiv oder Deaktiviert) und optional auch dem Ablaufdatum.


[[Datei:SM_Lieferanten_Übersicht.png||left|thumb|900px|Übersicht der Lieferanten]] 


Man kann die angezeigte Schutzbedarfsklasse auf das aktuelle Managementsystem beschränken, oder sie über alle Managementsysteme hinweg anzeigen. Prinzipiell entspricht der Schutzbedarf der Klassifikation, die unter Risikomanagement > Einstellungen konfiguriert ist. Wählt man die Anzeige aller Managementsysteme aus, bezieht sich das auf alle Managementsysteme mit der selben Schutzbedarfsklassifikation. Dementsprechend kann der Schutzbedarf anders aussehen, je nachdem in welchem Managementsystem man sich befindet.


===Lieferanten erstellen/bearbeiten===
Hier können Lieferanten erstellt und ihre Stammdaten erfasst werden. Dazu gehören neben Kürzel und Bezeichnung auch Details zu Anschrift und allgemeinem Kontakt.Besondere zusätzliche Felder:
{| class="wikitable"
!Ablaufdatum
|Hier kann ein Datum eingetragen werden, ab dem der Lieferant nicht mehr berechtigt ist, Überprüfungen zu beantworten oder diese einzusehen. Das Datum kann jederzeit angepasst werden. Abgelaufene Lieferanten werden in Übersichten und Überprüfungen als solche gekennzeichnet. Stellen Sie ein Ablaufdatum ein, das vor der Beantwortungsfrist einer ausgeschickten Lieferantenbewertung liegt, erhalten Sie eine Warnung. Das Ablaufdatum kann auch automatisch hinterlegt werden. Definieren Sie dazu eine Frist unter Administration > Globale Einstellungen im Abschnitt Sicherheitseinstellungen für Lieferanten-Risikomanagement, dann wird das Ablaufdatum von HITGuard entsprechend vorbesetzt. Hinweis: Abgelaufene Lieferanten verbrauchen keine Lizenzen.
|-
!Deaktiviert
|Dieser Schalter ist sichtbar, sobald der Lieferant angelegt ist (nach dem ersten Speichern). Beim Deaktivieren wird das Ablaufdatum auf den aktuellen Tag gesetzt. Ein deaktivierter Lieferant ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Ein Lieferant kann jederzeit deaktiviert oder wieder aktiviert werden. Etwaige Lieferantenbenutzer werden über dies informiert. Deaktivierte Lieferanten werden in Übersichten und Überprüfungen als solche gekennzeichnet. Hinweis: Deaktivierte Lieferanten verbrauchen keine Lizenzen.
|-
!ID in Drittsystem
|Dies ist die ID des Lieferanten in anderen Systemen. Besonders beim Im- und Export über die REST API ist diese ID relevant.
|-
!Score
|Hier kann dem Lieferanten ein Score nach dem CMMI-Reifegradmodell gegeben werden.
|-
!Schutzbedarfsklasse
|Hier kann die Schutzbedarfsklasse des Lieferanten festgehalten werden, was vor allem für die Strukturanalyse wichtig ist. Hinweis: In der Übersicht der Lieferanten wird der Schutzbedarf gezeigt, der sich aus der Strukturanalyse ergibt und den Einstellungen des Risikomanagements entspricht. Dieser kann entweder das aktuelle Managementsystem oder alle Managementsysteme berücksichtigen.
|-
!Lieferantenkategorien
|Sie können Lieferanten verschienen Kategorien zuweisen, um sie besser einordnen und sortieren zu können.
|-
!Metrik aus Drittsystem
|In diesem Textfeld kann eine Bewertungsmetrik aus einem anderen System hinterlegt werden. Dies kann auch über den Importer gemacht werden.
|-
!Begründung
|Hier hat man die Möglichkeit, die vergebenen Scores und Bewertungen zu begründen.
|-
|}


[[Datei:LieferantErstellen.png||left|thumb|900px|Lieferanten erstellen/bearbeiten]] 


===Lieferantenbenutzer erstellen/bearbeiten===
Hier können für die einzelnen Lieferanten Lieferantenbenutzer angelegt und verwaltet werden.Für jeden Benutzer werden Vorname, Nachname und E-Mail-Adresse erfasst. Die E-Mail Adresse ist ein Pflichtfeld, weil sie zugleich als Username für das Login des Benutzers fungiert. Benutzer, die sich bereits einmal über den Willkommenslink angemeldet (wird beim Erstellen des Benutzers automatisch verschickt) und ihr Passwort erstellt haben, sind in der Übersicht als "verifiziert" gekennzeichnet. User, die ihr Passwort zu oft falsch eingegeben und sich gesperrt haben, sind in der Übersicht als "gesperrt" gekennzeichnet. Dies kann mit erneutem Aussenden des Willkommensmails behoben werden. Wichtig: Lieferantenbenutzer können nur angelegt werden, wenn unter "Administration → Globale Einstellungen" ein Firmenname eingetragen ist.Besondere Felder:
{| class="wikitable"
!Administrator
|Hier kann ein Lieferantenbenutzer mit einem Häkchen zum Administrator seitens des Lieferanten gemacht werden (nicht für die gesamte Applikation). Dieser Benutzer (auch mehrfach möglich) hat dann die Möglichkeit, in seinem eigenen Lieferantenportal selbst Benutzer anzulegen und zu bearbeiten. Das Häkchen kann auch wieder entfernt werden.
|-
!Deaktiviert
|Ein deaktivierter Lieferantenbenutzer ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Ein Lieferantenbenutzer kann jederzeit deaktiviert oder wieder aktiviert werden. Er wird per E-Mail über dies informiert. Beim Deaktivieren besteht auch die Möglichkeit, den Benutzer zu pseudonymisieren. Dies kann nicht mehr rückgängig gemacht werden. War der Benutzer Administrator, werden diese Rechte beim Pseudonymisieren entzogen.
|-
!Button: Willkommensmail erneut aussenden
|Jeder Lieferantenbenutzer erhält beim Erstellen ein Willkommensmail, über das er sich erstmals anmelden und sein eigenes Passwort erstellen kann. Ab diesem Zeitpunkt funktioniert sein Login. Der Link für die Erstanmeldung ist 48 Stunden gültig und kann neu geschickt werden, sollte sich der Benutzer in dieser Zeit noch nicht angemeldet haben. Mit dem erneuten Versenden des Willkommensmails werden auch das Passwort und eine etwaige 2-Faktor-Authentifizierung zurückgesetzt.
|-
!Button: Benutzer löschen
|Mit diesem Button kann ein Lieferantenbenutzer gelöscht werden. Er kann sich dann nicht mehr anmelden und ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Er wird per E-Mail über dies informiert. Hinweis: Verifizierte Lieferantenbenutzer können nicht gelöscht werden, sondern nur deaktiviert.
|-
|}
[[Datei:LieferantBenutzer.png||left|thumb|900px|Lieferantenbenutzer erstellen/bearbeiten]] 


Beim Deaktivieren sowie beim Löschen von Benutzern wird man vom System gewarnt, wenn
* der Benutzer einer nicht gelöschten Überprüfung zugewiesen ist und/oder
* der Benutzer der letzte Administrator-Benutzer des Lieferanten ist.


Das Deaktivieren inklusive Pseudonymisierung kann rückgängig gemacht werden, solange man noch nicht gespeichert hat. Beim Löschen wird man vom System rückgefragt, ob man sich sicher ist, dass man den Benutzer löschen möchte.


===Lieferanten als Interviewpartner===
Wenn die Option "Lieferantenbewertung" unter Risikomanagement → Einstellungen aktiviert ist, dann steht beim Erstellen von Abweichungsanalysen und Prüfergebnissen die Checkbox "Lieferantenüberprüfung" zur Verfügung. Dann stehen für die Interviewpartner anstelle von regulären HITGuard Usern die erstellten Lieferanten zur Verfügung. Lieferanten werden auch in allen Prüfobjekten als verknüpfte Entitäten gespeichert. Wird die Überprüfung als Self Assessment angelegt, dann sehen etwaige Benutzer des Lieferanten sie in ihrem Portal. Bei Interviews ist dies nicht der Fall.
[[Datei:Checkbox_Lieferantenüberprüfung.png|left|thumb|500px|Checkbox für Lieferantenüberprüfungen]] 
Die Benutzer des eingetragenen Lieferanten haben dann in ihrem Portal die Möglichkeit, die Self Assessment Überprüfung einzusehen, zu beantworten und zu retournieren. Dies funktioniert genau so wie die Beantwortung durch einen Interviewpartner oder Verantwortlichen bei einem regulären Self Assessment. Interviews sind für den Anwendungsfall vorgesehen, dass der Lieferantenrisikomanager die Daten der Überprüfung selbst einpflegt und gar keine Überprüfung an die Benutzer des Lieferanten ausgeschickt werden soll.Hat ein Lieferant keine Benutzer und kann ein Self Assessment daher niemandem direkt zugeschickt werden, weist HITGuard auf diesen Umstand hin.
====Benachrichtigungen====
* Die Benutzer des eingetragenen Lieferanten erhalten ein E-Mail mit einer Einladung, die Überprüfung zu beantworten.
* Die Benutzer des eingetragenen Lieferanten erhalten ein E-Mail mit einer Warnung, wenn die Beantwortungsfrist abläuft.
* Die Benutzer des eingetragenen Lieferanten (oder nur der Administrator) erhalten ein E-Mail mit einer Warnung, wenn das Ablaufdatum ihres Accounts näher kommt.
* Das optional eingetragene interne Team, das für den Lieferanten zuständig ist, erhält ein E-Mail mit einer Warnung, wenn das Ablaufdatum der Accounts näher kommt.


===Lieferantenportal===
Unter dem regulären HITGuard-Link, den Sie für Ihre Organisation konfiguriert haben, mit dem Zusatz "/Supplier" können sich Lieferantenbenutzer in einem eigenen Portal an HITGuard anmelden.Lieferanten, die ihr Passwort vergessen haben, können dieses hier auch zurücksetzen. Eine etwaige 2-Faktor-Authentifizierung wird damit auch zurückgesetzt.
[[Datei:SM_LIeferantenportal.png||left|thumb|900px|Login für Lieferanten]] 
In diesem Portal sehen Lieferantenbenutzer die ihnen zugewiesenen Überprüfungen und haben auch die Möglichkeit, ihre 2-Faktor-Authentifizierung zu verwalten. Mehr zur 2-Faktor-Authentifizierung finden Sie [[Special:MyLanguage/2FA|hier]]. Administratoren sehen zusätzlich auch den Reiter "Benutzerverwaltung", in dem sie weitere Benutzer anlegen und die bestehenden bearbeiten können.Badges bei den Ordnern zeigen, wie viele Überprüfungen in welchem Status auf Bearbeitung warten. In der Übersicht sind diese auch fett hervorgehoben. Überfällige Überprüfungen, deren Beantwortungsfrist also abgelaufen ist, sind ebenfalls mit einem Badge besonders hervorgehoben.Lieferantenbenutzer können die Überprüfungen hier einsehen, beantworten und wieder an den Risikomanager retournieren.
[[Datei:SM_Supplierportal_Überprüfungen_TM.png||left|thumb|900px|Lieferantenportal]] 


===Lieferantenkategorien===
Hier können Sie die Kategorien für Ihre Lieferanten erstellen und verwalten. Alternativ können Sie Lieferantenkategorien auch erstellen, indem Sie sie direkt beim Lieferanten in das entsprechende Feld eintragen und die Erstellung bestätigen. Alle Kategorien scheinen dann in dieser Liste auf.
[[Datei:Lieferantenkategorien.png||left|thumb|900px|Lieferantenkategorien]] 


===Online Hilfe für Lieferantenbenutzer===
Eine Hilfeseite, die Sie mit den Lieferantenbenutzern teilen können, finden Sie [[Special:MyLanguage/Lieferantenportal|hier]]. 
Ein Link zur Hilfeseite für Lieferantenbenutzer findet sich auch in ihrem Willkommensmail.
</translate>

Lieferanten

2026-01-22T10:53:21Z

Isan:

<translate>

Unter "Administration → Lieferanten" finden Sie alle Lieferanten, unabhängig vom gewählten Managementsystem.



Damit der Menüpunkt verfügbar ist, muss man über eine Supplier Risk Management-Lizenz verfügen und die Rolle Experte im SRM zugewiesen haben.


Experten des SRM finden auf dieser Seite eine Übersicht der Lieferanten mit deren Schutzbedarfsklasse, Kürzel, Bezeichnung, Land, Status (Aktiv oder Deaktiviert) und optional auch dem Ablaufdatum.


[[Datei:SM_Lieferanten_Übersicht.png||left|thumb|900px|Übersicht der Lieferanten]] 


Man kann die angezeigte Schutzbedarfsklasse auf das aktuelle Managementsystem beschränken, oder sie über alle Managementsysteme hinweg anzeigen. Prinzipiell entspricht der Schutzbedarf der Klassifikation, die unter Risikomanagement > Einstellungen konfiguriert ist. Wählt man die Anzeige aller Managementsysteme aus, bezieht sich das auf alle Managementsysteme mit der selben Schutzbedarfsklassifikation. Dementsprechend kann der Schutzbedarf anders aussehen, je nachdem in welchem Managementsystem man sich befindet.


===Lieferanten erstellen/bearbeiten===
Hier können Lieferanten erstellt und ihre Stammdaten erfasst werden. Dazu gehören neben Kürzel und Bezeichnung auch Details zu Anschrift und allgemeinem Kontakt.Besondere zusätzliche Felder:
{| class="wikitable"
!Ablaufdatum
|Hier kann ein Datum eingetragen werden, ab dem der Lieferant nicht mehr berechtigt ist, Überprüfungen zu beantworten oder diese einzusehen. Das Datum kann jederzeit angepasst werden. Abgelaufene Lieferanten werden in Übersichten und Überprüfungen als solche gekennzeichnet. Stellen Sie ein Ablaufdatum ein, das vor der Beantwortungsfrist einer ausgeschickten Lieferantenbewertung liegt, erhalten Sie eine Warnung. Das Ablaufdatum kann auch automatisch hinterlegt werden. Definieren Sie dazu eine Frist unter Administration > Globale Einstellungen im Abschnitt Sicherheitseinstellungen für Lieferanten-Risikomanagement, dann wird das Ablaufdatum von HITGuard entsprechend vorbesetzt. Hinweis: Abgelaufene Lieferanten verbrauchen keine Lizenzen.
|-
!Deaktiviert
|Dieser Schalter ist sichtbar, sobald der Lieferant angelegt ist (nach dem ersten Speichern). Beim Deaktivieren wird das Ablaufdatum auf den aktuellen Tag gesetzt. Ein deaktivierter Lieferant ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Ein Lieferant kann jederzeit deaktiviert oder wieder aktiviert werden. Etwaige Lieferantenbenutzer werden über dies informiert. Deaktivierte Lieferanten werden in Übersichten und Überprüfungen als solche gekennzeichnet. Hinweis: Deaktivierte Lieferanten verbrauchen keine Lizenzen.
|-
!ID in Drittsystem
|Dies ist die ID des Lieferanten in anderen Systemen. Besonders beim Im- und Export über die REST API ist diese ID relevant.
|-
!Score
|Hier kann dem Lieferanten ein Score nach dem CMMI-Reifegradmodell gegeben werden.
|-
!Schutzbedarfsklasse
|Hier kann die Schutzbedarfsklasse des Lieferanten festgehalten werden, was vor allem für die Strukturanalyse wichtig ist. Hinweis: In der Übersicht der Lieferanten wird der Schutzbedarf gezeigt, der sich aus der Strukturanalyse ergibt und den Einstellungen des Risikomanagements entspricht. Dieser kann entweder das aktuelle Managementsystem oder alle Managementsysteme berücksichtigen.
|-
!Lieferantenkategorien
|Sie können Lieferanten verschienen Kategorien zuweisen, um sie besser einordnen und sortieren zu können.
|-
!Metrik aus Drittsystem
|In diesem Textfeld kann eine Bewertungsmetrik aus einem anderen System hinterlegt werden. Dies kann auch über den Importer gemacht werden.
|-
!Begründung
|Hier hat man die Möglichkeit, die vergebenen Scores und Bewertungen zu begründen.
|-
|}


[[Datei:LieferantErstellen.png||left|thumb|900px|Lieferanten erstellen/bearbeiten]] 


===Lieferantenbenutzer erstellen/bearbeiten===
Hier können für die einzelnen Lieferanten Lieferantenbenutzer angelegt und verwaltet werden.Für jeden Benutzer werden Vorname, Nachname und E-Mail-Adresse erfasst. Die E-Mail Adresse ist ein Pflichtfeld, weil sie zugleich als Username für das Login des Benutzers fungiert. Benutzer, die sich bereits einmal über den Willkommenslink angemeldet (wird beim Erstellen des Benutzers automatisch verschickt) und ihr Passwort erstellt haben, sind in der Übersicht als "verifiziert" gekennzeichnet. User, die ihr Passwort zu oft falsch eingegeben und sich gesperrt haben, sind in der Übersicht als "gesperrt" gekennzeichnet. Dies kann mit erneutem Aussenden des Willkommensmails behoben werden. Wichtig: Lieferantenbenutzer können nur angelegt werden, wenn unter "Administration → Globale Einstellungen" ein Firmenname eingetragen ist.Besondere Felder:
{| class="wikitable"
!Administrator
|Hier kann ein Lieferantenbenutzer mit einem Häkchen zum Administrator seitens des Lieferanten gemacht werden (nicht für die gesamte Applikation). Dieser Benutzer (auch mehrfach möglich) hat dann die Möglichkeit, in seinem eigenen Lieferantenportal selbst Benutzer anzulegen und zu bearbeiten. Das Häkchen kann auch wieder entfernt werden.
|-
!Deaktiviert
|Ein deaktivierter Lieferantenbenutzer ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Ein Lieferantenbenutzer kann jederzeit deaktiviert oder wieder aktiviert werden. Er wird per E-Mail über dies informiert. Beim Deaktivieren besteht auch die Möglichkeit, den Benutzer zu pseudonymisieren. Dies kann nicht mehr rückgängig gemacht werden. War der Benutzer Administrator, werden diese Rechte beim Pseudonymisieren entzogen.
|-
!Button: Willkommensmail erneut aussenden
|Jeder Lieferantenbenutzer erhält beim Erstellen ein Willkommensmail, über das er sich erstmals anmelden und sein eigenes Passwort erstellen kann. Ab diesem Zeitpunkt funktioniert sein Login. Der Link für die Erstanmeldung ist 48 Stunden gültig und kann neu geschickt werden, sollte sich der Benutzer in dieser Zeit noch nicht angemeldet haben. Mit dem erneuten Versenden des Willkommensmails werden auch das Passwort und eine etwaige 2-Faktor-Authentifizierung zurückgesetzt.
|-
!Button: Benutzer löschen
|Mit diesem Button kann ein Lieferantenbenutzer gelöscht werden. Er kann sich dann nicht mehr anmelden und ist nicht mehr berechtigt, Überprüfungen zu beantworten oder diese einzusehen. Er wird per E-Mail über dies informiert. Hinweis: Verifizierte Lieferantenbenutzer können nicht gelöscht werden, sondern nur deaktiviert.
|-
|}
[[Datei:LieferantBenutzer.png||left|thumb|900px|Lieferantenbenutzer erstellen/bearbeiten]] 


Beim Deaktivieren sowie beim Löschen von Benutzern wird man vom System gewarnt, wenn
* der Benutzer einer nicht gelöschten Überprüfung zugewiesen ist und/oder
* der Benutzer der letzte Administrator-Benutzer des Lieferanten ist.


Das Deaktivieren inklusive Pseudonymisierung kann rückgängig gemacht werden, solange man noch nicht gespeichert hat. Beim Löschen wird man vom System rückgefragt, ob man sich sicher ist, dass man den Benutzer löschen möchte.


===Lieferanten als Interviewpartner===
Wenn die Option "Lieferantenbewertung" unter Risikomanagement → Einstellungen aktiviert ist, dann steht beim Erstellen von Abweichungsanalysen und Prüfergebnissen die Checkbox "Lieferantenüberprüfung" zur Verfügung. Dann stehen für die Interviewpartner anstelle von regulären HITGuard Usern die erstellten Lieferanten zur Verfügung. Lieferanten werden auch in allen Prüfobjekten als verknüpfte Entitäten gespeichert. Wird die Überprüfung als Self Assessment angelegt, dann sehen etwaige Benutzer des Lieferanten sie in ihrem Portal. Bei Interviews ist dies nicht der Fall.
[[Datei:Checkbox_Lieferantenüberprüfung.png|left|thumb|500px|Checkbox für Lieferantenüberprüfungen]] 
Die Benutzer des eingetragenen Lieferanten haben dann in ihrem Portal die Möglichkeit, die Self Assessment Überprüfung einzusehen, zu beantworten und zu retournieren. Dies funktioniert genau so wie die Beantwortung durch einen Interviewpartner oder Verantwortlichen bei einem regulären Self Assessment. Interviews sind für den Anwendungsfall vorgesehen, dass der Lieferantenrisikomanager die Daten der Überprüfung selbst einpflegt und gar keine Überprüfung an die Benutzer des Lieferanten ausgeschickt werden soll.Hat ein Lieferant keine Benutzer und kann ein Self Assessment daher niemandem direkt zugeschickt werden, weist HITGuard auf diesen Umstand hin.
====Benachrichtigungen====
* Die Benutzer des eingetragenen Lieferanten erhalten ein E-Mail mit einer Einladung, die Überprüfung zu beantworten.
* Die Benutzer des eingetragenen Lieferanten erhalten ein E-Mail mit einer Warnung, wenn die Beantwortungsfrist abläuft.
* Die Benutzer des eingetragenen Lieferanten (oder nur der Administrator) erhalten ein E-Mail mit einer Warnung, wenn das Ablaufdatum ihres Accounts näher kommt.
* Das optional eingetragene interne Team, das für den Lieferanten zuständig ist, erhält ein E-Mail mit einer Warnung, wenn das Ablaufdatum der Accounts näher kommt.


===Lieferantenportal===
Unter dem regulären HITGuard-Link, den Sie für Ihre Organisation konfiguriert haben, mit dem Zusatz "/Supplier" können sich Lieferantenbenutzer in einem eigenen Portal an HITGuard anmelden.Lieferanten, die ihr Passwort vergessen haben, können dieses hier auch zurücksetzen. Eine etwaige 2-Faktor-Authentifizierung wird damit auch zurückgesetzt.
[[Datei:SM_LIeferantenportal.png||left|thumb|900px|Login für Lieferanten]] 
In diesem Portal sehen Lieferantenbenutzer die ihnen zugewiesenen Überprüfungen und haben auch die Möglichkeit, ihre 2-Faktor-Authentifizierung zu verwalten. Mehr zur 2-Faktor-Authentifizierung finden Sie [[Special:MyLanguage/2FA|hier]]. Administratoren sehen zusätzlich auch den Reiter "Benutzerverwaltung", in dem sie weitere Benutzer anlegen und die bestehenden bearbeiten können.Badges bei den Ordnern zeigen, wie viele Überprüfungen in welchem Status auf Bearbeitung warten. In der Übersicht sind diese auch fett hervorgehoben. Überfällige Überprüfungen, deren Beantwortungsfrist also abgelaufen ist, sind ebenfalls mit einem Badge besonders hervorgehoben.Lieferantenbenutzer können die Überprüfungen hier einsehen, beantworten und wieder an den Risikomanager retournieren.
[[Datei:SM_Supplierportal_Überprüfungen_TM.png||left|thumb|900px|Lieferantenportal]] 


===Lieferantenkategorien===
Hier können Sie die Kategorien für Ihre Lieferanten erstellen und verwalten. Alternativ können Sie Lieferantenkategorien auch erstellen, indem Sie sie direkt beim Lieferanten in das entsprechende Feld eintragen und die Erstellung bestätigen. Alle Kategorien scheinen dann in dieser Liste auf.
[[Datei:Lieferantenkategorien.png||left|thumb|900px|Lieferantenkategorien]] 


===Online Hilfe für Lieferantenbenutzer===
Eine Hilfeseite, die Sie mit den Lieferantenbenutzern teilen können, finden Sie [[Special:MyLanguage/Lieferantenportal|hier]]. 
Ein Link zur Hilfeseite für Lieferantenbenutzer findet sich auch in ihrem Willkommensmail.
</translate>

Hauptseite/en

2026-01-22T08:33:04Z

Isan:

<big><big>Welcome to HITGuard Help!</big></big>

HITGuard offers you comprehensive support in managing and monitoring your risks and compliance requirements. In the menu navigation of HITGuard you will find various modules that support you in meeting your IT governance, risk management and compliance requirements.

This user help provides you with detailed information on how to use each of the HITGuard modules and describes the contents of the entire available menu.

We have designed this user help to be useful for beginners and experienced users alike. If you have any questions or need help, our support team will be happy to assist you if you contact us under support@hitguard.at.

We hope that this user guide will help you to get the most out of HITGuard. Thank you for choosing our solution!

=== The HITGuard menu ===
Find the help pages for all possible menu items of the individual modules here:

{{Card
|column=3
|count = 9

|title1=Risk management

|text1=*[[Special:MyLanguage/Risikopolitik|Risk policy]]
*[[Special:MyLanguage/Strukturanalyse|Structural analysis]]
*[[Special:MyLanguage/Schutzbedarf|Protection needs]]
*[[Special:MyLanguage/Schwachstellen|Vulnerabilities]]
*[[Special:MyLanguage/Bedrohungen|Threats]]
*[[Special:MyLanguage/Risikobewertung|Risks & opportunities]]
*[[Special:MyLanguage/Auswirkungen|Impacts]]
*[[Special:MyLanguage/ESG_Themen|ESG topics]]
*[[Special:MyLanguage/Risikobehandlung|Treatment R&O]]
*[[Special:MyLanguage/Berichte für das Risikomanagement|Reports]]
*[[Special:MyLanguage/Risikomanagement_Einstellungen|Settings]]

|title2=Audit management

|text2=*[[Special:MyLanguage/Auditkalender|Audit calendar]]
*[[Special:MyLanguage/Auditplanung|Audit planning]]
*[[Special:MyLanguage/Auditdurchführung|Audit execution]]
*[[Special:MyLanguage/Auditbehandlung|Audit treatment]]
*[[Special:MyLanguage/Externe_Auditoren|External auditors]]
*[[Special:MyLanguage/Auditcluster|Audit clusters]]
*[[Special:MyLanguage/Funktionen|Functions]]
*[[Special:MyLanguage/Berichte für das Auditmanagement|Reports]]
*[[Special:MyLanguage/Auditmanagement_Einstellungen|Settings]]

|title3=Case management

|text3=*[[Special:MyLanguage/Vorfall_melden|Report incident]]
*[[Special:MyLanguage/Fristen|Periods]]
*[[Special:MyLanguage/Meldungen|Tickets]]
*[[Special:MyLanguage/Akten|Dossiers]]
*[[Special:MyLanguage/Berichte für das Fallmanagement|Reports]]
*[[Special:MyLanguage/Fallmanagement-Einstellungen|Settings]]
*[[Special:MyLanguage/Hinweisgebersystem|Whistleblower system]]

|title4=Measures

|text4=*[[Special:MyLanguage/Aktuelle Maßnahmen|Current measures]]
*[[Special:MyLanguage/Fortschrittsmeldungen|Progress reports]]
*[[Special:MyLanguage/Historie|History]]
*[[Special:MyLanguage/Auswertungen|Analysis]]
*[[Special:MyLanguage/Berichte für Maßnahmen|Reports]]
*[[Einstellungen|Settings]]

|title5=Controls

|text5=*[[Special:MyLanguage/Kontrolldefinitionen|Control definitions]]
*[[Special:MyLanguage/Berichte für Kontrollen| Reports]]

|title6=Data protection

|text6=*[[Special:MyLanguage/Verarbeitungsregister|Processing registers]]
*[[Special:MyLanguage/Datenschutz-Folgenabschätzung|DPIA]]
*[[Special:MyLanguage/Externe|Externals]]
*[[Special:MyLanguage/TOMs|TOMs]]
*[[Special:MyLanguage/Betroffenenkategorien|Data subject categories]]
*[[Special:MyLanguage/Berichte für den Datenschutz|Reports]]
*[[Special:MyLanguage/Datenschutz Einstellungen|Settings]]

|title7=Doc management

|text7=*[[Special:MyLanguage/Dokumentenmanagement|Documents]]
*[[Special:MyLanguage/Dokumente|Uploaded attachments]]
*[[Special:MyLanguage/Berichtsarchiv|Report archive]]

|title8=Administration 1

|text8=*[[Special:MyLanguage/Benutzer und Benutzerrollen|Users and user roles]]
*[[Special:MyLanguage/Teams|Teams]]
*[[Special:MyLanguage/Globale Einstellungen|Global settings]]
*[[Special:MyLanguage/Managementsysteme|Management systems]]
*[[Special:MyLanguage/OrgEh - Organisationseinheiten|OrgUnits - Organizational units]]
*[[Special:MyLanguage/Ressourcen|Resources]]
*[[Special:MyLanguage/Datenkategorien|Data categories]]
*[[Special:MyLanguage/Prozesse|Processes]]
*[[Special:MyLanguage/Lieferanten|Suppliers]]

|title9=Administration 2

|text9=*[[Special:MyLanguage/Wissensdatenbanken|Knowledge bases]]
*[[Special:MyLanguage/Standards und Normen|Standards and norms]]
*[[Special:MyLanguage/Dokumente|Documents]]
*[[Special:MyLanguage/Berichtsarchiv|Report archive]]
*[[Special:MyLanguage/Textbausteine|Text blocks]]
*[[Special:MyLanguage/Datenimport|Data import]]
*[[Special:MyLanguage/Lizenzierung|Licensing]]

*[[Special:MyLanguage/Jobs|Jobs]]
}}

====HITGuard basic modules====
The Risk management, Measures, and Controls, as well as Administration are always available in HITGuard and form the basis of the tool:
{| class="wikitable"
!Risk management
|The ''Risk management'' module helps you identify and assess risks and opportunities, and provides you with a central platform to manage your risk assessments. You can freely configure your risk policy and use different workflows that support you in your risk management. Find a rough overview of the risk and opportunity workflow [[Special:MyLanguage/Workflow_Risiko Chance|here]]. Find information on risks and opportunities for Practitioners [[Special:MyLanguage/Meine_Aufgaben_Gefährdungslagen|here]].
|-
!Measures
|The ''Measures'' module helps you implement measures to eliminate or reduce risks and security gaps. You can monitor the implementation of your measures with progress reports and test their effectiveness. Find a rough overview of the measure workflow [[Special:MyLanguage/Workflow_Maßnahme|here]]. Find information on measures for Practitioners [[Special:MyLanguage/Maßnahmenstatus|here]].
|-
!Controls
|The ''Controls'' module allows you to manage and evaluate your controls and their effectiveness. You can create control definitions and track the execution of the corresponding controls. Find a rough overview of the control workflow [[Special:MyLanguage/Workflow_Kontrolle|here]]. Find information on controls for Practitioners [[Special:MyLanguage/Kontrollen|hier]].
|-
!Administration
|In the ''Administration'' module, you can configure HITGuard and adapt it to your specific requirements. Here you will also find functions for managing user accounts, roles and teams as well as for integrating HITGuard into existing systems and processes.
|-
|}

====HITGuard Add-ons====
There are various extensions for HITGuard in order to cover further use cases.
{| class="wikitable"
!Data protection
|The ''Data Protection'' module helps you comply with data protection regulations and policies. With an activated data protection add-on you receive the menu item "Data protection", the contents of which you can find below. Data protection is licensed separately and can be activated under Administration > Management systems for one management system. Find a rough overview of the PA workflow [[Special:MyLanguage/Workflow_VT|here]]. Find more on working with PAs for Practitioners [[Special:MyLanguage/Meine_Verarbeitungstätigkeiten#Verarbeitungstätigkeit_bearbeiten/erstellen/updaten|here]].
|-
!Audit management
|The ''Audit management'' module allows you to conduct internal and external audits, track the results and generate reports. With an activated audit management add-on you receive the menu item "Audit management", the contents of which you can find below. Audit management is licensed separately and can be activated under Administration > Management systems for one or more management systems.
|-
!Case management
|The ''Case management'' module supports you in handling security incidents and breaches of policies and regulations. With an activated case management add-on you receive the menu item "Case management", the contents of which you can find below. Case management is licensed separately and can be activated under Administration > Management systems for one or more management systems.
|-
!Doc management
|The module ''Doc management'' encapsulates document control, uploaded attachments, and the report archive. With an activated doc management add-on you receive the menu item "Doc management", the contents of which you can find below. Doc management is licensed separately and can be activated for you by your contact person at TogetherSecure. Find a rough overview of the doc management workflow [[Special:MyLanguage/Workflow_Doku-Management|here]]. Find information on the review and approval workflow [[Special:MyLanguage/Freigabeworkflow|here]].
|-
!ESG management
|The ''ESG'' module supports you in the execution of the double materiality analysis. With an activated ESG management add-on your risk management is extended by a few menu items. ESG management is licensed separately and can be activated for you by your contact person at TogetherSecure. Find more on ESG management [[Special:MyLanguage/ESG Management|here]].
|-
!Supplier risk management
|The ''Supplier Risk Management'' module allows you to send reviews to suppliers and thus include them in your audit processes. With an activated supplier risk management add-on your administration and reviews are extended by a few menu items and options. Supplier risk management is licensed separately and can be activated for you by your contact person at TogetherSecure. Find more on supplier risk management [[Special:MyLanguage/Supplier Risk Management|here]].
|-
|}

Under [[Special:MyLanguage/Hauptseite#How_To_Start|How To Start]] you find the first steps for implementing a management system and for all the add-ons.


== The HITGuard interface ==

[[Datei:Oberflächenbeschreibung2.png|right|701px|Click to enlarge]]

The screenshot gives information about the various areas of the HITGuard interface. In the top left corner you find the profile area of the logged-in user and below it the main menu. A click onto the profile picture takes you to the page [[Special:MyLanguage/Profil|Manage account]]. There, a user can modify their data, update their profile picture, or change the password.

The marked areas in the image show:

# Intro for the current page: If the current page has an interactive introduction, it can be started via this icon.
# Collapse/expand menu: With this button, the navigation menu can be collapsed, or expanded again.
# Switch management system: If the user is authorized for multiple management systems, they can switch between them here. This option is not shown for practitioners or users only authorized for a single management system.
# Current management tasks, logout, and change language:
#* You receive information about your [[#cur_man_act|current management tasks]] via the envelope.
#* You can configure HITGuard's [[Special:MyLanguage/Barrierefreiheit|accessibility]] with the person-symbol.
#* The flag can be used to switch between English and German.
#* The logout button logs you out.


== Main menu ==

The menu starts off with the "personal" menu items [[#my_act|My tasks]] and [[#my_dashboards|My dashboards]]. These are follows by the menu items of the individual HITGuard modules. The user only sees those modules they are authorized for. Following the module menu items is the menu item [[#hilfe|Help]].


==== My tasks====

[[Datei:Meine Aufgaben Badges2.png|right|frameless|My tasks]]

Under "My tasks" you will find the tasks you have to complete in your role as a practitioner. The menu on the left shows you at a glance if you have any pending tasks (orange number badge). This menu shows all items that are activated in at least one management system.

A click into the ''My tasks'' menu opens the [[Special:MyLanguage/Dashboard|Task dashboard]]. Here, you find a summary of all the tasks pending completion. In addition, clicking on ''My tasks'' opens a submenu that lets you view the tasks by type. There, you also find tasks you have already completed. Orange badges show how many taks you need to work on (e.g., requested progress reports or PAs to be reviewed). Blue badges show how many tasks, for which you are also responsible, somebody else needs to work on (e.g., reviews for which you are responsible but not an interview partner).The states of the different elements are also explained here:

{| class="wikitable" style="border-style: solid; border-width: 0px 0px 0px 0px"
!
|-
!Menu items:
|[[Special:MyLanguage/Maßnahmenstatus|Measures]]
|[[Special:MyLanguage/Kontrollen|Controls]]
|[[Special:MyLanguage/Überprüfungen|Reviews]]
|[[Special:MyLanguage/Meine Verarbeitungstätigkeiten|PAs]]
|[[Special:MyLanguage/Meine_Aufgaben_Gefährdungslagen|Risks & opportunities]]
|[[Special:MyLanguage/Meine_Aufgaben_Meldungen|Tickets]]
|}


==== My dashboards ====

[[Datei:Rn233 DB KPI-Report hinzufügen.png|right|frameless|300px]]
Dashboards are for getting an overview of the management systems by using key performance indicators (KPIs) and for preparing the reports that are needed regularly. By default, each management system has a dashboard for information related to risk management, to measures, and to controls. Data protection management systems also have a dedicated data protection dashboard, case management systems have a case management dashboard, and audit management systems have an audit management dashboard. However, only dashboards, KPIs, and reports for which the user is authorized are displayed.

In order for a user to access a dashboard and the KPIs and reports of the respective section, they need the "Expert", "Professional" or "Observer" role in the respective module. Thus, to view the risk management dashboard, at least the "Professional" role in risk management is required.

Additional dashboards can also be created and configured. It is possible to make these accessible only to oneself by marking them as "private". Dashboards that are not marked as "private" are visible to all authorized members of the management system. Default dashboards, as in dashboards that are delivered with HITGuard by default, can be edited and reset into their original state, but not deleted. They are marked as vendor-specific dashboards with a "tool" icon. Self-created dashboards can be deleted.

[[Datei:DB Favoriten Markierung.png|right|frameless|380px]]

Users can mark a dashboard as a favorite in each management system. This dashboard will be ranked first for the user and displayed when the user logs in. To mark it, click the star next to the dashboard configuration.

How to create and edit dashboards as well as information on the KPIs can be found here:
{| class="wikitable" style="border-style: solid; border-width: 0px 0px 0px 0px"
!
|-
!Sections:
|[[Special:MyLanguage/Dashboards|Create/edit dashboards]]
|[[Special:MyLanguage/Risikomanagement_Dashboard|Risk management]]
|[[Special:MyLanguage/ESG_Dashboard|ESG]]
|[[Special:MyLanguage/Maßnahmen_Dashboard|Measures]]
|[[Special:MyLanguage/Kontrollen_Dashboard|Controls]]
|[[Special:MyLanguage/Datenschutz_Dashboard|Data protection]]
|[[Special:MyLanguage/Fallmanagement_Dashboard|Case management]]
|[[Special:MyLanguage/Auditmanagement_Dashboard|Audit management]]
|}

The reports that can be created on dashboards are the same as those in the respective menu items in terms of their content and their report options. The explanations for them are found on the help pages of the reports per menu item.
Reports on dashboards offer the following additional functions:
*Prepare multiple versions of one report: Just like KPIs, reports can be added to dashboards multiple times. The "filter" button allows you to save different configurations of the report options in order to then have access to various iterations of the same type of report at the click of a button.
:Example: A risk report called "Risk report - details", with details on measures and control definitions, the overview of the gaps assigned to the risk, and its temporal evolution; so that risk owners can periodically file a detailed status of their risks. And a risk report for the top managers called "Board risk report", containing just a rough overview of the open measures and active controls; for board members to get a grasp on the current risk treatment efforts.
*Set as default report settings: Experts and Professionals can save the option configuration of one report per report type on non-private dashboards (e.g. one risk report or one gross-net-risk report). In doing so, the report is then automatically generated with these settings from index pages (e.g. on the page Risk management → Risk evaluation, where there aren't any report options available). On the report page itself (e.g., Risk management → Reports → Risks → General) the report is also generated with these settings, but users can make individual changes to these settings. The report set as the default is marked with a star on top of the report icon.
:Example: user A configures a risk report on the dashboard and sets the settings as default. User B generates a risk report from the overview on the page Risk management → risk evaluation and the contents match the default settings. User C has already adjusted the settings the way they need them on the page Risk management → Reports → Risk → General. Their individual settings are not overwritten by the default. User D is using the page Risk management → Reports → Risk → General for the very first time and sees that the report options are set the same way as defined by User A's default.

====Module-specific menu items====
Right after the dashboard menu items, you find the [[#modules|module-specific menu items]]. Which modules are shown here depends on the user's authorizations as well as on the features activated for the management system.

====AI features====
[[Datei:SternchenbuttonKI.png|thumb|right|60px]] HITGuard offers a multitude of possibilities of AI support across the application. In html-editable fields, meaning fields in which you can format the text, you find a "starlet" button with which you can call up AI functions. With the help of AI you can
*summarize,
*proofread,
*extend,
*shorten,
*change the style of,
*change the tone of,
*and translate texts between English and German. 
Furthermore, you can ask AI questions using your own prompts and thus generate your own texts.A special function is available in gap analyses and review results, where the AI functions can be used in the non-html-editable field of the justification.


==== Help====

Under this menu item you will find the introduction "Getting started", which gives an introduction to HITGuard's interface.

Under the menu item "Online Help" you will find our help directly integrated in HITGuard.

If there is an info icon in the lower left corner, it can be clicked to start a short introduction to the current page.


=== The letter: current management tasks ===

[[Datei:Management Briefchen.png|right|thumb|500px|Management tasks]]

The envelope in the upper right corner informs professionals and experts about tasks that have been reported completed and are waiting for completion/review. The tasks always refer to the ''current management system'' only. Thre is also a notice if the current analysis period has expired.

In addition, the tasks are only displayed to users who are authorized to edit them. For example, answered processing activities are displayed only to users who are Data Protection professionals or experts and are currently in the Data Protection management system.

The tasks are divided into the following items:

{| class="wikitable"
!Section
!Description
|-
!Progress reports
|Progress reports for measures that have been answered.
|-
!Risks
|Newly submitted or returned risks.
|-
!Protection needs analyses
|Answered protection needs analyses.
|-
!Gap analyses
|Answered gap analyses.
|-
!Tickets assigned to me
|Open tickets that are assigned to you. Closed and answered tickets are not displayed.
|-
!Not assigned tickets
|Tickets that have not yet been assigned an advisor. If a support team is configured, these tickets are only shown to members of that team.
|-
!Processing activities
|Answered processing activities.
|-
|}


== User guides==

=== FAQ ===
:*[[Special:MyLanguage/FAQ|FAQ]]

=== Glossary ===
:*[[Special:MyLanguage/Glossar|Glossary]]


=== Working with HITGuard ===

:*[[Special:MyLanguage/Profil|User profile]]
:*[[Special:MyLanguage/Funktionalität der Tabellen|Table functionality and symbols]]
:*[[Special:MyLanguage/Icons und Buttons|Explanation of the various icons and buttons in HITGuard]]
:*[[Special:MyLanguage/FAQ#Tips,_Tricks_&_Best_Practice|Tips, tricks & best practice]]


===Experts or Professionals===

:*[[Special:MyLanguage/Audit erstellen|Create/edit audit]]
:*[[Special:MyLanguage/Auditprogramm erstellen|Create/edit audit programs]]
:*[[Schwachstellen#create_überprüfung|Create/edit reviews (create gap analyses/record review results)]]
:*[[Special:MyLanguage/Risikobewertung#create_rsik|Enter/edit risk]]
:*[[Special:MyLanguage/Maßnahmen#create_measure|Create/edit measure]]
:*[[Special:MyLanguage/Kontrolldefinitionen#create_check|Create/edit controls]]
:*[[Special:MyLanguage/Fortschrittsmeldungen#req_progress|Request progress reports]]
:*[[Special:MyLanguage/Externe#create_external|Create/edit externals]]


===Administrators or Experts===

:*[[Special:MyLanguage/Risikopolitik| Manage risk policy]]
:*[[Special:MyLanguage/Einstellungen| Manage settings of measures and controls]]
:*[[Special:MyLanguage/Betroffenenkategorien#create_affected|Create/edit data subject categories]]
:*[[Special:MyLanguage/Datenimport#import|import Data]]

=== Administrators ===
:*[[Special:MyLanguage/REST API| REST API: Data import/export interface]]

===External users===
:*[[Special:MyLanguage/Lieferantenportal| HITGuard portal for suppliers]]

===How To Start===

*[[Special:MyLanguage/Was sind die ersten Schritte des Aufbaus eines Managementsystems in HITGuard?|What are the first steps towards implementing a management system in HITGuard?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Data Protector setzen?|Which first steps should I take to start working with the data protection module?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Auditmanagement setzen?|Which first steps should I take to start working with the audit management module?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Fallmanagement setzen?|Which first steps should I take to start working with the case management module?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Doku-Management setzen?|Which first steps should I take to start working with the doc management?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem ESG Modul setzen?|Which first steps should I take to start working with the ESG module?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Supplier Risk Management setzen?|Which first steps should I take to start working with the supplier risk management?]]
*[[Special:MyLanguage/Wie aktiviere ich die diversen Mailings, wenn ich mit meinen Einstiegstests fertig bin?|How do I activate the various mailings after I've completed my initial tests?]]

===Giudes and rough overview of the workflows===
*[[Special:MyLanguage/Workflow Maßnahme|What does the general workflow for measures look like?]]
*[[Special:MyLanguage/Workflow Kontrolle|What does the general workflow for controls look like?]]
*[[Special:MyLanguage/Workflow Überprüfung|What does the general workflow for reviews look like?]]
*[[Special:MyLanguage/Workflow VT|What does the general workflow for processing activities look like?]]
*[[Special:MyLanguage/Workflow Risiko Chance|What does the general workflow for risk and opportunities look like?]]
*[[Special:MyLanguage/Workflow Meldung|What does the general workflow for tickets look like?]]
*[[Special:MyLanguage/Workflow Doku-Management|What does the general doc management workflow look like?]]
*[[Special:MyLanguage/Wie sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?|How should I proceed if I want to perform a protection needs analysis?]]

== Release Notes ==

{| class="wikitable"
!Year
! colspan="3" |Month
|-
!2026
|
|
|
-
!2025
|[[Special:MyLanguage/HITGuard Release April 2025 |April]]
|[[Special:MyLanguage/HITGuard Release August 2025 |August]]
|[[Special:MyLanguage/HITGuard Release November 2025 |November]]
|-
!2024
|[[Special:MyLanguage/HITGuard Release März 2024 |March]]
|[[Special:MyLanguage/HITGuard Release August 2024 |August]]
|[[Special:MyLanguage/HITGuard Release Dezember 2024 |December]]
|-
!2023
|[[Special:MyLanguage/HITGuard Release Februar 2023 |February]]
|[[Special:MyLanguage/HITGuard Release Juni 2023 |June]]
|[[Special:MyLanguage/HITGuard Release Oktober 2023 |October]]
|-
! 2022
|[[Special:MyLanguage/HITGuard Release Jänner 2022 |January]]
|[[Special:MyLanguage/HITGuard Release Juni 2022 |June]]
|[[Special:MyLanguage/HITGuard Release Oktober 2022 |October]]
|-
!2021
|[[Special:MyLanguage/HITGuard Release Jänner 2021|January]]
|[[Special:MyLanguage/HITGuard Release April 2021|April]]
|[[Special:MyLanguage/HITGuard Release September 2021 |September]]
|-
!2020
|[[Special:MyLanguage/HITGuard Release April 2020|April]]
|[[Special:MyLanguage/HITGuard Release Juli 2020|July]]
|[[Special:MyLanguage/HITGuard Release Oktober 2020|October]]
|-
!2019
|[[Special:MyLanguage/HITGuard Release März 2019|March]], [[Special:MyLanguage/HITGuard Release April 2019|April]]
|[[Special:MyLanguage/HITGuard Release Juli 2019|July]]
|[[Special:MyLanguage/HITGuard Release Dezember 2019|December]]
|}

Release Notes from the years 2017 and 2018 were directly integrated into the help.

==Login options and supported authentication providers==
* [[Special:MyLanguage/Login Möglichkeiten|Login options]]
* [[Special:MyLanguage/Passkeys|Passkeys]]
* [[Special:MyLanguage/2FA|2-factor-authentication]]

== Installation assistance ==
*[[Special:MyLanguage/Installationshilfe |Installation assistance]]

Translations:Hauptseite/38/en

2026-01-22T08:23:43Z

Isan:

{| class="wikitable"
!Year
! colspan="3" |Month
|-
!2026
|
|
|
-
!2025
|[[Special:MyLanguage/HITGuard Release April 2025 |April]]
|[[Special:MyLanguage/HITGuard Release August 2025 |August]]
|[[Special:MyLanguage/HITGuard Release November 2025 |November]]
|-
!2024
|[[Special:MyLanguage/HITGuard Release März 2024 |March]]
|[[Special:MyLanguage/HITGuard Release August 2024 |August]]
|[[Special:MyLanguage/HITGuard Release Dezember 2024 |December]]
|-
!2023
|[[Special:MyLanguage/HITGuard Release Februar 2023 |February]]
|[[Special:MyLanguage/HITGuard Release Juni 2023 |June]]
|[[Special:MyLanguage/HITGuard Release Oktober 2023 |October]]
|-
! 2022
|[[Special:MyLanguage/HITGuard Release Jänner 2022 |January]]
|[[Special:MyLanguage/HITGuard Release Juni 2022 |June]]
|[[Special:MyLanguage/HITGuard Release Oktober 2022 |October]]
|-
!2021
|[[Special:MyLanguage/HITGuard Release Jänner 2021|January]]
|[[Special:MyLanguage/HITGuard Release April 2021|April]]
|[[Special:MyLanguage/HITGuard Release September 2021 |September]]
|-
!2020
|[[Special:MyLanguage/HITGuard Release April 2020|April]]
|[[Special:MyLanguage/HITGuard Release Juli 2020|July]]
|[[Special:MyLanguage/HITGuard Release Oktober 2020|October]]
|-
!2019
|[[Special:MyLanguage/HITGuard Release März 2019|March]], [[Special:MyLanguage/HITGuard Release April 2019|April]]
|[[Special:MyLanguage/HITGuard Release Juli 2019|July]]
|[[Special:MyLanguage/HITGuard Release Dezember 2019|December]]
|}

Hauptseite

2026-01-22T07:52:56Z

Isan:

<translate>
<big><big>Willkommen in der Hilfe von HITGuard!</big></big>


HITGuard bietet Ihnen eine umfassende Unterstützung bei der Steuerung und Überwachung Ihrer Risiken und Compliance-Anforderungen. In der Menüführung von HITGuard finden Sie verschiedene Module, die Sie bei der Erfüllung Ihrer IT-Governance-, Risikomanagement- und Compliance-Anforderungen unterstützen.


Diese Benutzerhilfe bietet Ihnen detaillierte Informationen darüber, wie Sie jedes der HITGuard Module nutzen können und beschreibt die Inhalte des gesamten verfügbaren Menüs.


Wir haben diese Benutzerhilfe so gestaltet, dass sie für Einsteiger und erfahrene Benutzer gleichermaßen nützlich ist. Wenn Sie Fragen haben oder Hilfe benötigen, steht Ihnen unser Support-Team gerne unter support@hitguard.at zur Verfügung, um Ihnen weiterzuhelfen.


Wir hoffen, dass diese Benutzerhilfe Ihnen dabei hilft, HITGuard optimal zu nutzen. Vielen Dank, dass Sie sich für unsere Lösung entschieden haben!


=== Das HITGuard Menü ===
Nachfolgend finden Sie die Hilfen zu allen möglichen Menüpunkten der einzelnen Module:


{{Card
|column=3
|count = 9


|title1=Risikomanagement


|text1=*[[Special:MyLanguage/Risikopolitik|Risikopolitik]]
*[[Special:MyLanguage/Strukturanalyse|Strukturanalyse]]
*[[Special:MyLanguage/Schutzbedarf|Schutzbedarf]]
*[[Special:MyLanguage/Schwachstellen|Schwachstellen]]
*[[Special:MyLanguage/Bedrohungen|Bedrohungen]]
*[[Special:MyLanguage/Risikobewertung|Risiken & Chancen]]
*[[Special:MyLanguage/Auswirkungen|Auswirkungen]]
*[[Special:MyLanguage/ESG_Themen|ESG Themen]]
*[[Special:MyLanguage/Risikobehandlung|Behandlung R&C]]
*[[Special:MyLanguage/Berichte für das Risikomanagement|Berichte]]
*[[Special:MyLanguage/Risikomanagement_Einstellungen|Einstellungen]]


|title2=Auditmanagement


|text2=*[[Special:MyLanguage/Auditkalender|Auditkalender]]
*[[Special:MyLanguage/Auditplanung|Auditplanung]]
*[[Special:MyLanguage/Auditdurchführung|Auditdurchführung]]
*[[Special:MyLanguage/Auditbehandlung|Auditbehandlung]]
*[[Special:MyLanguage/Externe_Auditoren|Externe Auditoren]]
*[[Special:MyLanguage/Auditcluster|Auditcluster]]
*[[Special:MyLanguage/Funktionen|Funktionen]]
*[[Special:MyLanguage/Berichte für das Auditmanagement|Berichte]]
*[[Special:MyLanguage/Auditmanagement_Einstellungen|Einstellungen]]


|title3=Fallmanagement


|text3=*[[Special:MyLanguage/Vorfall_melden| Vorfall melden]]
*[[Special:MyLanguage/Fristen|Fristen]]
*[[Special:MyLanguage/Meldungen|Meldungen]]
*[[Special:MyLanguage/Akten|Akten]]
*[[Special:MyLanguage/Berichte für das Fallmanagement|Berichte]]
*[[Special:MyLanguage/Fallmanagement-Einstellungen|Einstellungen]]
*[[Special:MyLanguage/Hinweisgebersystem|Hinweisgebersystem]]


|title4=Maßnahmen


|text4=*[[Special:MyLanguage/Aktuelle Maßnahmen|Aktuelle Maßnahmen]]
*[[Special:MyLanguage/Fortschrittsmeldungen|Fortschrittsmeldungen]]
*[[Special:MyLanguage/Historie|Historie]]
*[[Special:MyLanguage/Auswertungen|Auswertungen]]
*[[Special:MyLanguage/Berichte für Maßnahmen| Berichte]]
*[[Einstellungen|Einstellungen]]


|title5=Kontrollen


|text5=*[[Special:MyLanguage/Kontrolldefinitionen|Kontrolldefinitionen]]
*[[Special:MyLanguage/Berichte für Kontrollen| Berichte]]


|title6=Datenschutz


|text6=*[[Special:MyLanguage/Verarbeitungsregister|Verarbeitungsregister]]
*[[Special:MyLanguage/Datenschutz-Folgenabschätzung|DSFA]]
*[[Special:MyLanguage/Externe|Externe]]
*[[Special:MyLanguage/TOMs|TOMs]]
*[[Special:MyLanguage/Betroffenenkategorien|Betroffenenkategorien]]
*[[Special:MyLanguage/Berichte für den Datenschutz|Berichte]]
*[[Special:MyLanguage/Datenschutz Einstellungen|Einstellungen]]


|title7=Doku-Management


|text7=*[[Special:MyLanguage/Dokumentenmanagement|Dokumente]]
*[[<tvar|A_doc>Special:MyLanguage/Dokumente</>|Hochgeladene Anhänge]]
*[[<tvar|A_report>Special:MyLanguage/Berichtsarchiv</>|Berichtsarchiv]]


|title8=Administration 1


|text8=*[[<tvar|A_users>Special:MyLanguage/Benutzer und Benutzerrollen</>|Benutzer und Benutzerrollen]]
*[[<tvar|A_teams>Special:MyLanguage/Teams</>|Teams]]
*[[<tvar|A_options>Special:MyLanguage/Globale Einstellungen</>|Globale Einstellungen]]
*[[<tvar|A_manSys>Special:MyLanguage/Managementsysteme</>|Managementsysteme]]
*[[<tvar|A_orgUnits>Special:MyLanguage/OrgEh - Organisationseinheiten</>|OrgEhs - Organisationseinheiten]]
*[[Special:MyLanguage/Ressourcen|Ressourcen]]
*[[<tvar|A_datacategories>Special:MyLanguage/Datenkategorien</>|Datenkategorien]]
*[[<tvar|A_processes>Special:MyLanguage/Prozesse</>|Prozesse]]
*[[Special:MyLanguage/Lieferanten|Lieferanten]]


|title9=Administration 2


|text9=*[[Special:MyLanguage/Wissensdatenbanken|Wissensdatenbanken]]
*[[<tvar|A_standards_norms>Special:MyLanguage/Standards und Normen</>|Standards und Normen]]
*[[<tvar|A_doc>Special:MyLanguage/Dokumente</>|Hochgeladene Anhänge]]
*[[<tvar|A_report>Special:MyLanguage/Berichtsarchiv</>|Berichtsarchiv]]
*[[<tvar|A_textblock>Special:MyLanguage/Textbausteine</>|Textbausteine]]
*[[<tvar|A_dataimp>Special:MyLanguage/Datenimport</>|Datenimport]]
*[[<tvar|A_licenses>Special:MyLanguage/Lizenzierung</>|Lizenzierung]]

*[[<tvar|A_jobs>Special:MyLanguage/Jobs</>|Jobs]]
}}


====HITGuard Basismodule====
Das Risikomanagement, Maßnahmen und Kontrollen sowie die Administration sind in HITGuard immer verfügbar und bilden die Basis des Tools:
{| class="wikitable"
!Risikomanagement
|Das Modul ''Risikomanagement'' hilft Ihnen bei der Identifizierung und Bewertung von Risiken und Chancen und bietet Ihnen eine zentrale Plattform zur Verwaltung Ihrer Bewertungen und Behandlungen. Sie können Ihre Risikopolitik frei konfigurieren und verschiedene Workflows nutzen, die Sie in Ihrem Risikomanagement unterstützen. Eine grobe Übersicht des Workflows für Risiken und Chancen finden Sie [[Special:MyLanguage/Workflow_Risiko_Chance|hier]]. Information zu Risiken und Chancen für Practitioner finden Sie [[Special:MyLanguage/Meine_Aufgaben_Gefährdungslagen|hier]].
|-
!Maßnahmen
|Das Modul ''Maßnahmen'' hilft Ihnen bei der Umsetzung von Maßnahmen, um Risiken und Sicherheitslücken zu beseitigen oder zu reduzieren. Sie können die Umsetzung Ihrer Maßnahmen mit Fortschrittsmeldungen verfolgen und ihre Wirksamkeit prüfen. Eine grobe Übersicht des Maßnahmenworkflows finden Sie [[Special:MyLanguage/Workflow_Maßnahme|hier]]. Information zu Maßnahmen für Practitioner finden Sie [[Special:MyLanguage/Maßnahmenstatus|hier]].
|-
!Kontrollen
|Im Modul ''Kontrollen'' können Sie Ihre Kontrollen und deren Wirksamkeit verwalten und bewerten. Sie können Kontrolldefinitionen erstellen und die Durchführung der dazugehörigen Kontrollen tracken. Eine grobe Übersicht des Kontrollenworkflows finden Sie [[Special:MyLanguage/Workflow_Kontrolle|hier]]. Information zu Kontrollen für Practitioner finden Sie [[Special:MyLanguage/Kontrollen|hier]].
|-
!Administration
|Im Modul ''Administration'' können Sie HITGuard konfigurieren und an Ihre spezifischen Anforderungen anpassen. Hier finden Sie auch Funktionen zur Verwaltung von Benutzerkonten, Rollen und Teams sowie zur Integration von HITGuard in bestehende Systeme und Prozesse.
|-
|}


====HITGuard Add-ons====
Es gibt diverse Erweiterungen für HITGuard, um weitere Use Cases abdecken zu können.
{| class="wikitable"
!Datenschutz
|Das Modul ''Datenschutz'' unterstützt Sie bei der Einhaltung der Datenschutzvorschriften und -richtlinien. Bei aktiviertem Datenschutz Add-on erhalten Sie den Menüpunkt "Datenschutz", dessen Inhalte unten zu finden sind. Der Datenschutz wird separat lizenziert und kann dann unter Administration > Managementsysteme für ein Managementsystem aktiviert werden. Eine grobe Übersicht des VT-Workflows finden Sie [[Special:MyLanguage/Workflow_VT|hier]]. Mehr zum Arbeiten mit VTs für Practitioner finden Sie [[Special:MyLanguage/Meine_Verarbeitungstätigkeiten#Verarbeitungstätigkeit_bearbeiten/erstellen/updaten|hier]].
|-
!Auditmanagement
|Das Modul ''Auditmanagement'' ermöglicht es Ihnen, interne und externe Audits durchzuführen, die Ergebnisse zu verfolgen und Berichte zu generieren. Bei aktiviertem Auditmanagement Add-on erhalten Sie den Menüpunkt "Auditmanagement", dessen Inhalte unten zu finden sind. Das Auditmanagement wird separat lizenziert und kann dann unter Administration > Managementsysteme für ein oder mehrere Managementsysteme aktiviert werden.
|-
!Fallmanagement
|Das Modul ''Fallmanagement'' unterstützt Sie bei der Bearbeitung von Sicherheitsvorfällen und Verstößen gegen Richtlinien und Vorschriften. Bei aktiviertem Fallmanagement Add-on erhalten Sie den Menüpunkt "Fallmanagement", dessen Inhalte unten zu finden sind. Das Fallmanagement wird separat lizenziert und kann dann unter Administration > Managementsysteme für ein oder mehrere Managementsysteme aktiviert werden. Eine grobe Übersicht des Meldungsworkflows finden Sie [[Special:MyLanguage/Workflow_Meldung|hier]]. Mehr zum Erstellen von Meldungen für Practitioner finden Sie [[Special:MyLanguage/Meine_Aufgaben_Meldungen|hier]]. Mehr zum Hinweisgebersystem finden Sie [[Special:MyLanguage/Hinweisgebersystem|hier]].
|-
!Doku-Management
|Das Modul ''Doku-Management'' fasst Dokumentenlenkung, hochgeladenen Anhänge und das Berichtsarchiv zusammen. Bei aktiviertem Doku-Management Add-on erhalten Sie den Menüpunkt "Doku-Management", dessen Inhalte unten beschrieben sind. Das Doku-Management wird separat lizenziert und kann von Ihrem Ansprechpartner bei TogetherSecure für Sie aktiviert werden. Eine grobe Übersicht des Doku-Managementworkflows finden Sie [[Special:MyLanguage/Workflow_Doku-Management|hier]]. Information zum Prüf- und Freigabeworkflow finden Sie [[Special:MyLanguage/Freigabeworkflow|hier]].
|-
!ESG Management
|Das ''ESG'' Modul unterstützt Sie bei der Durchführung der doppelten Wesentlichkeitsanalyse. Bei aktiviertem ESG Management Add-on wird Ihr Risikomanagment um neue Menüpunkte erweitert. Das ESG Management wird separat lizenziert und kann von Ihrem Ansprechpartner bei TogetherSecure für Sie aktiviert werden. Mehr zum ESG Management finden Sie [[Special:MyLanguage/ESG Management|hier]].
|-
!Supplier Risk Management
|Das ''Supplier Risk Management'' Modul erlaubt es Ihnen, Überprüfungen an Lieferanten zu versenden und sie damit in Ihre Auditabläufe einzubinden. Bei aktiviertem Supplier Risk Management Add-on werden Ihre Administration und Ihre Überprüfungen um neue Menüpunkte und Optionen erweitert. Das Supplier Risk Management wird separat lizenziert und kann von Ihrem Ansprechpartner bei TogetherSecure für Sie aktiviert werden. Mehr zum Supplier Risk Management finden Sie [[Special:MyLanguage/Supplier Risk Management|hier]].
|-
|}


Unter [[Special:MyLanguage/Hauptseite#How_To_Start|How To Start]] finden Sie die ersten Schritte für das Erstellen eines Managementsystems und für alle Add-ons.

== Die HITGuard Oberfläche == 


[[Datei:Oberflächenbeschreibung2.png|right|701px|Klicken um zu vergrößern]]


Der Screenshot gibt Auskunft über verschiedene Bereiche der Oberfläche von HITGuard. In der linken oberen Ecke finden Sie den Profilbereich des angemeldeten Benutzers und darunter das Hauptmenü. Ein Klick auf das Profilbild wechselt auf die [[<tvar|A_profil>Special:MyLanguage/Profil</>|Konto verwalten]] Seite. Dort kann ein Benutzer seine Daten überarbeiten, das Profilbild aktualisieren oder das Passwort ändern.


Die markierten Bereiche im Bild zeigen:


# Intro für die aktuelle Seite: Verfügt die aktuelle Seite über eine interaktive Einführung, kann diese über dieses Icon gestartet werden.
# Menü einklappen/aufklappen: Durch diesen Button kann das Navigationsmenü eingeklappt beziehungsweise wieder aufgeklappt werden.
# Managementsystem wechseln: Ist der Benutzer für mehrere Managementsysteme berechtigt, kann hier zwischen den Managementsystemen gewechselt werden. Diese Option wird nicht angezeigt, wenn Sie Practitioner oder nur einem Managementsystem zugewiesen sind.
# Aktuelle Managementaufgaben, Barrierefreiheit, Sprache wechseln und Abmelden.
#* Über den Brief bekommen Sie Informationen zu den [[#cur_man_act|Aktuellen Managementaufgaben]].
#* Mit dem Personen-Symbol können Sie die [[Special:MyLanguage/Barrierefreiheit|Barrierefreiheit]] von HITGuard konfigurieren.
#* Die Flagge kann verwendet werden um zwischen Deutsch und Englisch zu wechseln.
#* Durch Abmelden werden sie ausgeloggt.

=== Hauptmenü === 


Das Menü beginnt mit den "persönlichen" Menüpunkten [[#my_act|Meine Aufgaben]] und [[#my_dashboards|Meine Dashboards]]. Darauf folgen die Menüpunkte der einzelnen Module von HITGuard. Der Benutzer sieht dabei nur Module für die er auch berechtigt ist. An die Menüpunkte der Module schließt der Menüpunkt [[#hilfe|Hilfe]] an.

==== Meine Aufgaben==== 


[[Datei:Meine Aufgaben Badges2.png|right|frameless|Meine Aufgaben]]


Unter "Meine Aufgaben" finden Sie die Aufgaben, die Sie in Ihrer Rolle als Practitioner zu erledigen haben. Das Menü auf der linken Seite zeigt Ihnen auf einen Blick, welche Aufgaben für Sie anstehen (orange Badge mit Zahl). In diesem Menü sind alle Punkte verfügbar, die in mindestens einem Managementsystem aktiviert sind.


Ein Klick auf das ''Meine Aufgaben'' Menü öffnet das [[Special:MyLanguage/Dashboard|Aufgaben Dashboard]]. Hier finden Sie eine Zusammenfassung aller Aufgaben die auf Ihre Bearbeitung warten. Zusätzlich öffnet sich bei Klick auf ''Meine Aufgaben'' ein Untermenü, über das Sie die Aufgaben nach deren Typ einsehen können. Dort finden Sie auch die bereits erledigten Aufgaben. Orange Badges zeigen, wie viele Aufgaben Sie zu bearbeiten haben (z.B. angeforderte Fortschrittsmeldungen oder zu überprüfende VTs). Blaue Badges zeigen, wie viele Aufgaben, für die Sie mitverantwortlich sind, durch jemand anderen zu bearbeiten sind (z.B. Überprüfungen, für die Sie Verantwortlicher aber nicht Interviewpartner sind).Hier werden Ihnen auch die diversen Status der Elemente erklärt:


{| class="wikitable" style="border-style: solid; border-width: 0px 0px 0px 0px"
!
|-
!Menüpunkte:
|[[Special:MyLanguage/Maßnahmenstatus|Maßnahmen]]
|[[Special:MyLanguage/Kontrollen|Kontrollen]]
|[[Special:MyLanguage/Überprüfungen|Überprüfungen]]
|[[Special:MyLanguage/Meine Verarbeitungstätigkeiten|VTs]]
|[[Special:MyLanguage/Meine_Aufgaben_Gefährdungslagen|Risiken & Chancen]]
|[[Special:MyLanguage/Meine_Aufgaben_Meldungen|Meldungen]]
|}

==== Meine Dashboards ==== 


[[Datei:Rn233 DB KPI-Report hinzufügen.png|right|frameless|300px]]
Dashboards dienen dazu, anhand von Key-Performance-Indikatoren (KPIs) einen Überblick über die Managementsysteme zu erhalten und sich Berichte bereitzulegen, die man für das Reporting benötigt. Es gibt standardmäßig für jedes Managementsystem ein Dashboard mit KPIs des Risikomanagements, der Maßnahmen und der Kontrollen. Datenschutzmanagementsysteme haben zusätzlich ein dediziertes Datenschutz Dashboard, Fallmanagementsysteme ein Fallmanagement Dashboard und Auditmanagementsysteme ein Auditmanagement Dashboard. Es werden aber nur Dashboards, KPIs und Berichte angezeigt, für die der User berechtigt ist.


Damit ein User auf ein Dashboard bzw. die KPIs und Berichte des Bereichs zugreifen kann, benötigt er die Rolle "Expert", "Professional" oder "Beobachter" in dem jeweiligen Modul. Um das Risikomanagement Dashboard zu sehen, wird also mindestens die Rolle "Professional" im Risikomanagement benötigt.


Es können auch weitere Dashboards erstellt und konfiguriert werden. Dabei besteht die Möglichkeit, diese nur für sich zugreifbar zu machen, indem sie als "Privat" gekennzeichnet werden. Dashboards, die nicht als "Privat" gekennzeichnet werden, sind für alle berechtigten Mitglieder des Managementsystems sichtbar. Standarddashboards, also standardmäßig mit HITGuard ausgelieferte Dashboards, können bearbeitet und auch in ihren Originalzustand zurückversetzt, aber nicht gelöscht werden. Sie sind mit einem "Werkzeug" Icon als herstellerspezifische Dashboards gekennzeichnet. Selbst erstellte Dashboards können gelöscht werden.


[[Datei:DB Favoriten Markierung.png|right|frameless|380px]]


User können in jedem Managementsystem ein Dashboard als Favorit markieren. Dieses Dashboard wird dadurch für den User als erstes gereiht und angezeigt wenn sich der User anmeldet. Zum Markieren den Stern neben der Dashboard Konfiguration klicken.


Wie man Dashboards erstellt und bearbeitet sowie Informationen zu den KPIs finden Sie hier:
{| class="wikitable" style="border-style: solid; border-width: 0px 0px 0px 0px"
!
|-
!Sektionen:
|[[Special:MyLanguage/Dashboards|Dashboards erstellen/bearbeiten]]
|[[Special:MyLanguage/Risikomanagement_Dashboard|Risikomanagement]]
|[[Special:MyLanguage/ESG_Dashboard|ESG]]
|[[Special:MyLanguage/Maßnahmen_Dashboard|Maßnahmen]]
|[[Special:MyLanguage/Kontrollen_Dashboard|Kontrollen]]
|[[Special:MyLanguage/Datenschutz_Dashboard|Datenschutz]]
|[[Special:MyLanguage/Fallmanagement_Dashboard|Fallmanagement]]
|[[Special:MyLanguage/Auditmanagement_Dashboard|Auditmanagement]]
|}


Die Berichte, die man auf Dashboards erstellen kann entsprechen inhaltlich und bezüglich ihrer Berichtsoptionen den Berichten, die man im jeweiligen Menüpunkt findet. Die Erklärungen dazu finden sich auf den jeweiligen Hilfeseiten der Berichte je Menüpunkt.
Berichte auf Dashboards bieten folgende zusätzliche Funktionen:
*Mehrere Versionen eines Berichts vorbereiten: Wie KPIs können auch Berichte mehrfach auf einem Dashboard hinzugefügt werden. Über den "Filter" Button haben Sie die Möglichkeit, verschiedene Konfigurationen der Berichtsoptionen zu speichern, damit Sie dann auf Knopfdruck verschiedene Ausführungen eines Berichts zur Verfügung haben.
:Beispiel: Ein Risikobericht mit Maßnahmen- und Kontrolldetails, genannt "Risikobericht - Details", der Übersicht der Abweichungen des Risikos und seiner zeitlichen Entwicklung, damit Risk Owner periodisch einen genauen Status ihrer Risiken ablegen können. Und ein Risikobericht für den Vorstand, genannt "Vorstandsbericht Risiken", der nur grobe Übersichten der offenen Maßnahmen und aktiven Kontrollen beinhaltet, damit man sich ein Bild über die aktuellen Tätigkeiten zur Risikobehandlung machen kann.
*Als Standard-Berichtseinstellung festlegen: Auf nicht-privaten Dashboards können Experts und Professionals die Konfiguration der Optionen zu je einem Bericht eines Berichtstyps (z.B. ein Risikobericht oder ein Brutto-Netto-Risikobericht) als Standard-Berichtseinstellung festzulegen. Dadurch wird der Bericht in Übersichtslisten automatisch in der hier hinterlegten Konfiguration erstellt (z.B. unter Risikomanagement → Risikobewertung, wo es generell keine Berichtsoptionen gibt). Auf der Berichtsseite selbst (z.B. unter Risikomanagement → Berichte → Risiken → Allgemein) wird der Bericht ebenfalls in dieser Standardkonfiguration erstellt, kann aber von Usern individuell angepasst werden. Der als Standard markierte Bericht ist am Dashboard mit einem Stern am Bericht Icon gekennzeichnet.
:Beispiel: User A konfiguriert einen Risikobericht am Dashboard und setzt die Einstellungen als Standard. User B erstellt einen Risikobericht aus der Übersicht unter Risikomanagement → Risikobewertung und der Inhalt entspricht dem gesetzten Standard. User C hat sich bereits auf der Seite Risikomanagement → Berichte → Risiken → Allgemein die Einstellungen so konfiguriert, wie er sie immer verwenden möchte. Seine individuellen Einstellungen werden vom Standard nicht überschrieben. User D verwendet die Seite Risikomanagement → Berichte → Risiken → Allgemein zum ersten Mal und sieht, dass die Berichtsoptionen so gesetzt sind, wie sie der von User A konfigurierte Standard definiert.


====Modulmenüeinträge ====
Direkt nach den Dashboard Menüeinträgen schließen die [[#modules|modulbezogenen Menüeinträge]] an. Welche Module hier angezeigt werden hängt einerseits von den Berechtigungen des Benutzers und andererseits von den aktivierten Features des Managementsystems ab.


====KI Features====
[[Datei:SternchenbuttonKI.png|thumb|right|60px]] HITGuard bietet eine Vielzahl an Möglichkeiten der Unterstützung durch KI in der Applikation. In html-editierbaren Feldern, d.h. Felder, in denen Sie den Text formatieren können, finden Sie einen "Sternchen" Button, mit dem Sie die KI-Funktionen aufrufen können. Sie können mithilfe der KI Texte
*zusammenfassen,
*korrekturlesen,
*erweitern,
*kürzen,
*ihren Stil ändern,
*ihren Ton ändern
*und sie zwischen Englisch und Deutsch übersetzen. 
Weiters können Sie der KI anhand eigener Prompts Fragen stellen und so eigene Texte generieren.
Eine besondere Funktion findet sich in der Abweichungsanalyse und dem Prüfergebnis, wo die KI-Funktionen auch in dem nicht-html-editierbaren Feld der Begründung genutzt werden können.

==== Hilfe==== 


Unter diesem Menüpunkt finden Sie die Einführung "Erste Schritte", welche Ihnen die Oberfläche von HITGuard näher bringt.


Unter dem Menüpunkt "Online-Hilfe" ist diese Hilfe direkt in HITGuard integriert.


Ist in der linken unteren Ecke ein Info-Symbol zu sehen, dann kann dies angeklickt werden, um eine kurze Einführung in die aktuelle Seite zu starten.

=== Das Briefchen: aktuelle Managementaufgaben === 


[[Datei:Management Briefchen.png|right|thumb|500px|Management Aufgaben]]


Der Brief in der rechten oberen Ecke informiert Professionals und Experts über Aufgaben, die fertig gemeldet wurden und auf Abschluss/Überprüfung warten. Ein Klick auf den Brief öffnet die Aufgabenliste wie im Bild dargestellt. Die Aufgaben beziehen sich dabei immer nur auf das ''aktuelle Managementsystem''. Es wird auch darauf hingewiesen, wenn der aktuelle Analysezeitraum abgelaufen ist.


Außerdem werden die Aufgaben nur Benutzern angezeigt, die auch berechtigt sind, diese zu bearbeiten. Zum Beispiel werden beantwortete Verarbeitungstätigkeiten nur Usern angezeigt, die im Datenschutz Professional- oder Expertenrechte besitzen und aktuell im Datenschutzmanagementsystem sind.
 


Die Aufgaben werden in folgende Sektionen unterteilt:


{| class="wikitable"
!Sektion
!Beschreibung
|-
!Fortschrittsmeldungen
|Fortschrittsmeldungen zu Maßnahmen, die beantwortet wurden.
|-
!Risiken
|Risiken, die neu eingereicht oder retourniert wurden.
|-
!Schutzbedarfsanalysen
|Schutzbedarfsanalysen, die beantwortet wurden.
|-
!Schwachstellenanalysen
|Schwachstellenanalysen, die beantwortet wurden.
|-
!Mir zugewiesene Meldungen
|Offene Meldungen, die Ihnen zugewiesen sind. Geschlossene und beantwortete Meldungen werden nicht angezeigt.
|-
!Nicht zugewiesene Meldungen
|Meldungen, denen noch keinem User zugewiesen wurden. Ist ein Betreuungsteam hinterlegt, werden diese nur den Teammitgliedern angezeigt.
|-
!Verarbeitungstätigkeiten
|Verarbeitungstätigkeiten, die beantwortet wurden.
|-
|}

== Benutzer Anleitungen == 


=== FAQ ===
:*[[Special:MyLanguage/FAQ|FAQ]]


=== Glossar ===
:*[[Special:MyLanguage/Glossar|Glossar]]

=== Arbeiten mit HITGuard === 


:*[[Special:MyLanguage/Profil|Benutzerprofil]]
:*[[Special:MyLanguage/Funktionalität der Tabellen|Funktionalität und Symbole der Tabellen]]
:*[[Special:MyLanguage/Icons und Buttons|Erklärung der diversen Icons und Buttons in HITGuard]]
:*[[Special:MyLanguage/FAQ#Tips,_Tricks_&_Best_Practice|Tips, Tricks & Best Practice]]

===Experten oder Professionals=== 


:*[[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen</>|Audit erstellen/bearbeiten]]
:*[[<tvar|UG_create audit programs>Special:MyLanguage/Auditprogramm erstellen</>|Auditprogramm erstellen/bearbeiten]]
:*[[Schwachstellen#create_überprüfung|Überprüfungen erstellen/bearbeiten (Abweichungsanalysen erstellen/Prüfergebisse einpflegen)]]
:*[[Special:MyLanguage/Risikobewertung#create_rsik|Risiko erfassen/bearbeiten]]
:*[[Special:MyLanguage/Maßnahmen#create_measure|Maßnahme anlegen/bearbeiten]]
:*[[Special:MyLanguage/Kontrolldefinitionen#create_check|Kontrollen anlegen/bearbeiten]]
:*[[Special:MyLanguage/Fortschrittsmeldungen#req_progress|Fortschrittsmeldungen anfordern]]
:*[[Special:MyLanguage/Externe#create_external|Externe erstellen/bearbeiten]]

===Administratoren oder Experten=== 


:*[[Special:MyLanguage/Risikopolitik| Risikopolitik verwalten]]
:*[[Special:MyLanguage/Einstellungen| Einstellungen der Maßnahmen und Kontrollen verwalten]]
:*[[Special:MyLanguage/Betroffenenkategorien#create_affected|Betroffenenkategorien erstellen/bearbeiten]]
:*[[<tvar|A_dodataimp>Special:MyLanguage/Datenimport#import</>|Daten importieren]]


===Administratoren ===
:*[[Special:MyLanguage/REST API| REST API: Datenimport/-export Schnittstelle]]


===Externe User===
:*[[Special:MyLanguage/Lieferantenportal| HITGuard-Portal für Lieferanten]]

===How To Start=== 


*[[Special:MyLanguage/Was sind die ersten Schritte des Aufbaus eines Managementsystems in HITGuard?|Was sind die ersten Schritte des Aufbaus eines Managementsystems in HITGuard?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Data Protector setzen?|Welche ersten Schritte sollte ich zum Arbeiten mit dem Datenschutzmodul setzen?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Auditmanagement setzen?|Welche ersten Schritte sollte ich zum Arbeiten mit dem Auditmanagementmodul setzen?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Fallmanagement setzen?|Welche ersten Schritte sollte ich zum Arbeiten mit dem Fallmanagementmodul setzen?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Doku-Management setzen?|Welche ersten Schritte sollte ich zum Arbeiten mit dem Doku-Management setzen?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem ESG Modul setzen?|Welche ersten Schritte sollte ich zum Arbeiten mit dem ESG Modul setzen?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Supplier Risk Management setzen?|Welche ersten Schritte sollte ich zum Arbeiten mit dem Supplier Risk Management setzen?]]
*[[Special:MyLanguage/Wie aktiviere ich die diversen Mailings, wenn ich mit meinen Einstiegstests fertig bin?|Wie aktiviere ich die diversen Mailings, wenn ich mit meinen Einstiegstests fertig bin?]]


===Anleitungen und grobe Übersicht der Workflows===
*[[Special:MyLanguage/Workflow Maßnahme|Wie sieht der allgemeine Workflow der Maßnahme aus?]]
*[[Special:MyLanguage/Workflow Kontrolle|Wie sieht der allgemeine Workflow der Kontrolle aus?]]
*[[Special:MyLanguage/Workflow Überprüfung|Wie sieht der allgemeine Workflow der Überprüfung aus?]]
*[[Special:MyLanguage/Workflow VT|Wie sieht der allgemeine Workflow der Verarbeitungstätigkeit aus?]]
*[[Special:MyLanguage/Workflow Risiko Chance|Wie sieht der allgemeine Workflow des Risikos/der Chance aus?]]
*[[Special:MyLanguage/Workflow Meldung|Wie sieht der allgemeine Workflow der Meldung aus?]]
*[[Special:MyLanguage/Workflow Doku-Management|Wie sieht der allgemeine Workflow im Doku-Management aus?]]
*[[Special:MyLanguage/Wie sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?|Wie sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?]]

== Release Notes == 


{| class="wikitable"
!Jahr
! colspan="3" |Monat
|-
!2026
|
|
|
|-
!2025
|[[Special:MyLanguage/HITGuard Release April 2025 |April]]
|[[Special:MyLanguage/HITGuard Release August 2025 |August]]
|[[Special:MyLanguage/HITGuard Release November 2025 |November]]
|-
!2024
|[[Special:MyLanguage/HITGuard Release März 2024 |März]]
|[[Special:MyLanguage/HITGuard Release August 2024 |August]]
|[[Special:MyLanguage/HITGuard Release Dezember 2024 |Dezember]]
|-
!2023
|[[Special:MyLanguage/HITGuard Release Februar 2023 |Februar]]
|[[Special:MyLanguage/HITGuard Release Juni 2023 |Juni]]
|[[Special:MyLanguage/HITGuard Release Oktober 2023 |Oktober]]
|-
! 2022
|[[Special:MyLanguage/HITGuard Release Jänner 2022 |Jänner]]
|[[Special:MyLanguage/HITGuard Release Juni 2022 |Juni]]
|[[Special:MyLanguage/HITGuard Release Oktober 2022 |Oktober]]
|-
!2021
|[[Special:MyLanguage/HITGuard Release Jänner 2021|Jänner]]
|[[Special:MyLanguage/HITGuard Release April 2021|April]]
|[[Special:MyLanguage/HITGuard Release September 2021 |September]]
|-
!2020
|[[Special:MyLanguage/HITGuard Release April 2020|April]]
|[[Special:MyLanguage/HITGuard Release Juli 2020|Juli]]
|[[Special:MyLanguage/HITGuard Release Oktober 2020|Oktober]]
|-
!2019
|[[Special:MyLanguage/HITGuard Release März 2019|März]], [[Special:MyLanguage/HITGuard Release April 2019|April]]
|[[Special:MyLanguage/HITGuard Release Juli 2019|Juli]]
|[[Special:MyLanguage/HITGuard Release Dezember 2019|Dezember]]
|}


Release Notes aus den Jahren 2017 und 2018 wurden direkt in die Hilfe eingearbeitet.


== Login Möglichkeiten und unterstützte Authentication Provider ==
* [[Special:MyLanguage/Login Möglichkeiten|Login Möglichkeiten]]
* [[Special:MyLanguage/Passkeys|Passkeys]]
* [[Special:MyLanguage/2FA|2-Faktor-Authentifizierung]]


== Installationshilfe ==
*[[Special:MyLanguage/Installationshilfe |Installationshilfe]]

</translate>

Hauptseite

2026-01-22T07:14:06Z

Isan:

Hauptseite

2026-01-22T07:04:45Z

Isan:

Datei:SM Lieferanten Übersicht.png

2026-01-20T11:46:48Z

Isan: Isan lud eine neue Version von Datei:SM Lieferanten Übersicht.png hoch

Translations:Benutzer und Benutzerrollen/9/en

2026-01-20T11:32:40Z

Isan:

This role is responsible for administration as well as for managing other users. Administrators have no insight into data. So, although administrators can manage and create '''all''' management systems, they do not have access to their data, nor can they be defined as responsible persons.
* At the first installation of the software, at least one administrator must be defined.
* There can be several administrators.
* Performs purely administrative tasks like creating users and configuring an Active Directory.
* An admin can import knowledge bases, create a superseding version, and set it as the default version.

Benutzer und Benutzerrollen

2026-01-20T11:31:03Z

Isan:

<translate>

== Benutzerrollen in HITGuard == 


Jede Benutzerrolle hat eigene Berechtigungen und Funktionen. 
Benutzerrollen können für jedes Modul einzeln vergeben werden. Die einzige Ausnahme ist der Practitioner, da diese Rolle modulübergreifend ist. Das heißt: Ein Benutzer kann im Security Assessor (Risikomanagement) Experte sein, im Progress Monitor (Maßnahmen und Kontrollen) aber Professional oder Practitioner.

=== Admin === 


Diese Rolle ist für die Administration sowie für die Verwaltung anderer Benutzer zuständig. Administratoren haben keinen Einblick in Daten. Zum Beispiel können Administratoren zwar '''alle''' Managementsysteme verwalten und erstellen, haben aber weder Einblick in deren Daten noch können sie als Verantwortliche festgelegt werden.
* Bei Erstinstallation der Software ist mindestens ein Administrator zu definieren.
* Es kann mehrere Administratoren geben.
* Ein Admin erfüllt rein administrative Aufgaben wie z.B. das Anlegen eines Benutzers oder das Konfigurieren eines Active Directory etc.
* Ein Admin kann Wissensdatenbanken importieren, Nachfolgeversionen anlegen und sie als bevorzugte Version setzen.

=== Expert === 


Diese Rolle kann in einem oder mehreren [[<tvar|A_manSys>Special:MyLanguage/Managementsysteme</>|Managementsystemen]] in Ihrem Unternehmen mitarbeiten.
* Risikomanagement:
** Ein Experte kann Analysen durchführen und Risiken erstellen.
** Experten verantworten die Administration der Risikopolitik und die Einstellungen des Risikomanagements.
* Auditmanagement
** Ein Experte kann Audits/Auditprogramme erstellen, verwalten und durchführen.
** Experten verantworten die Administration der Einstellungen des Auditmanagements.
* Maßnahmen und Kontrollen
** Ein Experte kann Maßnahmen und Kontrollen erstellen und administrieren.
** Experten verantworten die Administration der Einstellungen im Progress Monitor.
* Datenschutz
** Ein Experte kann Verarbeitungstätigkeiten erstellen, TOMs zuweisen, Externe und Betroffene administrieren.
* Fallmanagement
** Ein Experte kann Meldungen verarbeiten und Fristen erstellen und verwalten.
** Experten verantworten die Einstellungen des Fallmanagements.
* Doku-Management
** Ein Experte kann Verzeichnisse erstellen und bearbeiten.
** Ein Experte kann Dateien hochladen und bearbeiten.
* ESG Management
** Ein Experte kann den Menüpunkt aktivieren und deaktivieren.
** Ein Experte kann Auswirkungen und ESG Themen erstellen und verwalten.
* Supplier Risk Management
** Ein Experte kann den Menüpunkt aktivieren und deaktivieren.
** Ein Experte kann Lieferanten anlegen und verwalten.
* Experten können Managementsysteme erstellen und verwalten.
* Experten können auf den Punkt Administration zugreifen und somit auch Assets oder Benutzer anlegen.

=== Professional === 


User dieser Rolle unterstützen die Experten der Managementsysteme in der Erfüllung ihrer Aufgaben. Ein Professional hat Zugriff auf alle Aufgaben in den Managementsystemen, zu denen er zugeteilt ist, hat aber eingeschränkte Bearbeitungsrechte.
* Risikomanagement:
** Ein Professional kann Analysen und Risiken erstellen und verwalten.
* Auditmanagement
** Ein Professional kann Audits/Auditprogramme erstellen, verwalten und durchführen.
* Maßnahmen und Kontrollen
** Er kann Maßnahmen und Kontrollen erstellen und verwalten.
* Datenschutz
** Ein Professional kann Verarbeitungstätigkeiten erstellen, TOMs zuweisen und Externe verwalten.
* Fallmanagement
** Ein Professional kann Meldungen verarbeiten und mit Fristen versehen.
* Doku-Management
** Ein Professional kann Verzeichnisse erstellen und bearbeiten.
** Ein Professional kann Dateien hochladen und bearbeiten.
* ESG Management
** Ein Professional kann Auswirkungen und ESG Themen erstellen und verwalten.
* Supplier Risk Management
** Ein Professional kann eine Überprüfung einem Lieferanten als Interviewpartner zuweisen.

=== Observer (Beobachter) === 


User dieser Rolle haben hinsichtlich der Sichtbarkeit von Menüpunkten ähnliche Berechtigungen wie Professionals. Sie können aber, im Gegensatz zu Professionals, keine Änderungen am System vornehmen. Sie haben rein lesenden Zugriff auf die Software. Um Einsicht in ein Managementsystem zu bekommen, muss er wie ein Professional oder Experte zum Team des Managementsystems hinzugefügt werden.
* Risikomanagement:
** Ein Beobachter kann Schutzbedarfs- und Schwachstellenanalysen, Gefährdungslagen, Maßnahmen und Dashboards einsehen und Berichte generieren.
* Auditmanagement
** Ein Beobachter kann Audits und Auditprogramme einsehen.
* Maßnahmen
** Ein Beobachter kann Maßnahmen, Berichte, Auswertungen und Dashboards einsehen.
* Kontrollen
** Ein Beobachter kann Kontrollen, Berichte und das Dashboard einsehen.
* Datenschutz
** Ein Beobachter kann Verarbeitungstätigkeiten einsehen und Berichte erzeugen. TOMs und Externe sind ohne Details einsehbar. Datenschutz-Folgenabschätzungen können nicht eingesehen werden.
* Fallmanagement
** Ein Beobachter kann Meldungen und Fristen einsehen.
* Doku-Management
** Ein Beobachter kann Verzeichnisse und Dateien einsehen.
* ESG Management
** Ein Beobachter kann Auswirkungen und ESG Themen einsehen.

=== Practitioner (Workflow-Benutzer) === 


Diese Rolle verfügt über Detailinformationen und Umsetzungskompetenzen, die aus dem Managementsystem heraus benötigt werden. Dass Practitioner ihr Wissen mit den HITGuard Experten teilen, ist für ein lebendiges Managementsystem unbedingt erforderlich.
* Ein Practitioner hat Überblick über alle ihm zugeteilten Maßnahmen, Kontrollen, Verarbeitungstätigkeiten und Bewertungen zur Beantwortung
* Er wird an die Erledigung seiner Aufgaben erinnert.
* Practitioner ist die Standardrolle, die jeder Benutzer modulübergreifend besitzt.

== Benutzerverwaltung == 


[[Datei:Benutzer anlegen.PNG|thumb|right|500px|600px|Benutzer anlegen]]


=== Benutzer anlegen ===
Zum Anlegen eines Benutzers gibt es drei Möglichkeiten
* Möglichkeit 1: Einen Benutzer über die Benutzerliste (für Lokale Anmeldungen ohne Active Directory) anlegen
: Administration → Benutzer: In der Benutzerliste, am rechten Rand, klicken Sie auf den Button "Plus" um einen Benutzer hinzuzufügen. Anschließend können Sie den Benutzer mit den relevanten Daten anlegen. 
: Hinweis zur Oberfläche: "Im Verzeichnisdienst suchen", wird nur angezeigt, wenn LDAP in den globalen Einstellungen aktiviert ist und ein Active Directory konfiguriert ist. Dies ermöglicht es, Benutzer aus dem Active Directory zu suchen und mit ihren Daten in HITGuard anzulegen.
: Hinweis für Azure Active Directory (AAD): Benutzer die schon vor LDAP Aktivierung angelegt wurden, können im Nachhinein mit ihrem Azure Active Directory Account verknüpft werden. Dies ermöglicht es, Single-Sign-On (SSO) zu verwenden. Dies kann von jedem User unter seinem Profil durchgeführt werden. (siehe [[<tvar|A_profil>Special:MyLanguage/Profil</>|Profil]]) Administratoren können weiters mittels eines Buttons rechts neben dem Benutzernamen aktuelle Daten aus dem AAD laden. Diese ersetzen unterschiedliche Informationen aus HITGuard. Dafür muss der Benutzer allerdings bereits mit einem AAD-Account verknüpft sein.
* Möglichkeit 2: Schnellerfassung
: Im Kontext der Verwendung kann bei [[Special:MyLanguage/Globale_Einstellungen#ldap|Active Directory]] Integration über eine Personenauswahlmaske ein neuer Benutzer mit minimalen Berechtigungen für das aktive Modul erstellt werden. Um dies zu verwenden, tippen Sie in einem Benutzerauswahlfeld den Namen der Person oder dessen Kürzel ein. Dadurch wird der Benutzer aus dem Active Directory geladen. Dieser kann sich im Anschluss mit seinen Active Directory Daten anmelden. Die Benutzerrollen können im Nachgang erweitert werden, sofern gewünscht.


* Möglichkeit 3: Verwenden eines Active Directory
: Dies ist nur dann möglich, wenn ein [[<tvar|A_profil>Special:MyLanguage/Login_Möglichkeiten</>|Active Directory]] konfiguriert ist. Zuerst muss ein Benutzer, wie in Punkt 1 beschrieben wird, erstellt werden. Die angegebene E-Mail muss mit der seines Active Directory-User übereinstimmen. Anschließend kann sich der Benutzer mit seinem Active Directory-User anmelden, sofern dies in den globalen Einstellungen aktiviert ist.

=== Benutzerrollen zuordnen === 


Unter "Administration → Benutzerrollen" ist es möglich, für den gewünschten Benutzer die jeweiligen Rollen zuzuordnen.


Lizenzen:


In den Spaltenüberschriften Experten und Professionals wird außerdem angezeigt, wie viele Lizenzen aktuell vorhanden sind, und wie viele verwendet werden. Dadurch ist auf einen Blick ersichtlich, wo man über- bzw. unterlizensiert ist. Mehr Informationen zu den Lizenzen sind unter [[Special:MyLanguage/Lizenzierung | "Administration → Lizenzierung"]] zu finden.


Zuordnen:


Benutzerrollen können nur von Administratoren oder Experten vergeben werden.


*Administratoren können jede Rolle vergeben.
*Experten können alle Rollen bis auf Administrator und Compliance Manager vergeben.
*Verantwortlichen eines Managementsystems kann die Rolle "Expert" nicht entzogen werden solange sie für zumindest ein Managementsystem verantwortlich sind.


Wichtig: Experten und Professionals müssen nach Rollenzuweisung einem Managementsystem zugeteilt werden, um ihre Aufgaben erfüllen zu können.
[[Datei:Benutzerrollen Zuordnung.png|left|thumb|900px|Benutzerrollen-Zuordnung]] 
{| class="wikitable"
! colspan="3" | Module für Experts, Professionals und Beobachter
|-
!M&K
|Maßnahmen und Kontrollen
|in jeder Lizenz enthalten
|-
!RM
|Risikomanagement
|in jeder Lizenz enthalten
|-
!DS
|Datenschutz
|Add-on
|-
!AM
|Auditmanagement
|Add-on
|-
!FM
|Fallmanagement
|Add-on
|-
!DM
|Doku-Management
|Add-on
|-
!ESG
|ESG Management
|Add-on
|-
!SRM
|Supplier Risk Management
|Add-on
|-
|}


=== Passwort ändern/zurücksetzen ===
Achtung: Das Ändern eines Passworts funktioniert nur, wenn die lokale Anmeldung aktiv ist. Das heißt: entweder es ist kein Active Directory konfiguriert oder die lokale Anmeldung ist in den globalen Einstellungen aktiviert.
Eigenes Passwort ändern:
# auf das Profilbild oder den Profilnamen → Profil klicken
# unten rechts auf "Passwort ändern" klicken
# altes und neues Passwort eingeben und bestätigen
Als Administrator oder Expert ein Passwort ändern/zurücksetzen:
# unter Administration → Benutzer den gewünschten Benutzer auswählen
# unten rechts auf "Passwort ändern" klicken
# neues Passwort eingeben und bestätigen
: Zu Beachten: Nur Administratoren können Passwörter von Experten zurücksetzen. Experten können User anlegen sowie berechtigen und sie können Passwörter für Professionals und Practitioner zurücksetzen. Die Administrator-Rolle kann auch an mehrere User vergeben werden.

=== Benutzer deaktivieren === 


Experten und Administratoren können Benutzer über die Benutzer Maske deaktivieren. Ein deaktivierter Benutzer kann in der Applikation nicht mehr selektiert werden.


Damit ein Benutzer deaktiviert werden kann, müssen nicht alle Managementsystem und Teammitgliedschaften des Benutzers aufgelöst werden. Der Benutzer wird in Managementsystemen und Teams, in denen er bereits enthalten ist, als "deaktiviert" angezeigt.


Beim Deaktivieren besteht die Möglichkeit, den Benutzer im System zu anonymisieren.


Achtung: Durch die Anonymisierung werden alle Daten des Benutzers entfernt. Dies kann nicht mehr rückgängig gemacht werden! Wenn beim Deaktivieren im Dialog "Nein" ausgewählt wird, wird der Benutzer deaktiviert aber nicht anonymisiert. 
 
Alternativ zur Anonymisierung kann ein Experte oder Administrator einen User beim Deaktivieren auch Pseudonymisieren, indem manuell Benutzername, Vorname, Nachname und E-Mailadresse des Benutzers nach einer ihm bekannten Logik verändert werden.


[[Datei:Profilbild zurücksetzten.png|right|thumb|400px|Profilbild zurücksetzen]]

=== Profilbild zurücksetzen === 


Experten und Administratoren können das Profilbild eines Benutzers durch Klick auf das Icon neben dem Profilbild zurücksetzen.


 

</translate>

Prüfergebnisse/en

2026-01-19T12:09:02Z

Isan:

== Add/answer new review results==

To add a new review result, click on the "Plus" button in the overview of the review object. Further review results can added with the "Plus" in addition to any existing review results. Via the radio buttons it can be decided whether a question or an information gathering should be added.

The order of the review results can also be added after the fact. For this, simply select the respective review results and adjust its position using the arrows to the right of the "Plus".

If review results already exist and the current assessment is a revaluation, they can be assessed again by simply clicking on the review result or navigating forward with "Next".

[[Datei:Prüfergebnis einpflegen Schritt 3.1 Prüfergebnis beantworten.png|left|thumb|901px|Review question for the review object]]
[[Datei:PO_Info.png|left|thumb|901px|Information gathering for the review object]]
 

Name:
* The name of the review result should concisely state what is being reviewed.

Short description:
* Here, you should give a little more detail about what is being reviewed.

Evaluation:
* Here, choose how the review was evaluated. This can be done with Yes/No/Partly or with a score. Review objects can also be marked as Unnecessary.
* If you are doing a revaluation, you can see the previous assessment to the right of this section. Clicking on the previous answer opens the review result's answer history, which shows the answer from every revaluation as well as any document evidences.

Determination type:
* This option is only available if the [[Special:MyLanguage/Managementsysteme#general_settings|audit management add-on]] is activated in the current management system and the respective option was activated under [[Special:MyLanguage/Auditmanagement_Einstellungen|"Audit management → Settings"]].

Justification:
* Here, explain why the review was evaluated the way it was. If you have activated the option under Administration > Global settings and have linked your user account, then you can receive AI support at this point. For this there is a starlet button at the bottom right corner of the justification field.

Norm mapping:
* Here, it's possible to map the review to a norm.

Clarification needed:
* Something needs to be clarified before the review result can be assessed.
* These review results can later be found under [[Schwachstellen#Abkl.C3.A4rungsbedarf| "Risk management → Vulnerabilities → Clarification needed"]].

Protection targets & weightings:
* Here, you can assign protection targets to the review result, which show how a protection target is vulnerable if the review result is negative.

Evidence:
* It is also possible to upload evidences for the evaluation.

Add measure/control:

Click the respective button to open an overview. The overview lists all existing measures/controls you can link with the review question. Using the "plus" button, you can also create new measures/controls and link them.
[[Datei:Maßnahmenmodal.png|left|thumb|900px|Example measure list]] 
{| class="wikitable"
! colspan="2" | Measures/controls
|-
!Existing
|All existing measures/controls of the management system, sorted by their relevance for the current review question. The sorting order is described further down in this table. Measures/controls can be assigned one by one or in multiples. Measures/controls that have already been linked with the current review question are no longer shown in the list.
|-
! colspan="2" | Checkboxes
|-
!Linked standards/norms
|Shows only existing measures/controls that are linked via their norm-mapping to the same standard/norm chapters as the review question, as well as any parent chapters.
|-
!Related standards/norms
|Shows only existing measures/controls whose norm-mapping does not contain the same standard/norm chapters as the review question, but instead contains chapters that in turn reference the chapters of the review question (incoming and outgoing mappings between standards/norms). Parent chapters are not considered here.
|-
!Recently used
|Changes the order of the measure/controls as follows: 1. measures/controls created from templates 2. existing measures/controls, in descending order by the date of their most recent assignment
|-
! colspan="2" | Relationships
|-
| colspan="2" | This column explains the relationships of the listed measures/controls using badges. Explanations of the individual badges are given in tooltip. These can be displayed by hovering over a badge with the mouse. It is possible to search in this column, e.g. for standard/norm chapters mentioned in a badge.
|-
!Blue number
|Shows in how many reviews the measure/control has been linked with review questions or review results.
|-
!Green text
|For measures/controls created on the basis of templates from a knowledge base, this shows the name of the template. Additionally, the badge's tooltip shows the knowledge base and its version.
|-
!Purple text
|Shows onto which chapters (standard, numbering, and name) of a standard or norm a measure/control is mapped.
|-
!Pink text
|Shows the further, indirect mappings (standard, numbering, and name) of a measure/control.
|-
! colspan="2" | Sorting order
|-
| colspan="2" | For free review results, you see all existing measures/controls sorted by their relevance: those that have already been assigned to reviews multiple times; those that map onto the review question´s norm chapter; those that indirectly map the review question's norm chapter; all remaining measures/controls in alphabetical order.
|-
|}

Answer history:
* If you are doing a revaluation, this shows how the review result was assessed previously. Clicking on the previous answer opens a dialog that shows the answer history. [[Datei:Abweichungsanalyse Antworthistorie.PNG|left|thumb|900px|Answer history]]

Translations:Prüfergebnisse/10/en

2026-01-19T12:08:45Z

Isan: Übersetzungseinheit als nicht mehr veraltet markiert, ohne Änderungen

Justification:
* Here, explain why the review was evaluated the way it was. If you have activated the option under Administration > Global settings and have linked your user account, then you can receive AI support at this point. For this there is a starlet button at the bottom right corner of the justification field.

Prozesse/en

2026-01-19T12:08:29Z

Isan:

A process is a set of related activities that transform inputs into outputs. A process can be encapsulated and part of another process and/or contain or trigger other processes. Processes often cross departmental and operational boundaries and are part of the process organization of an operation. These process structures can be represented and analyzed in the structural analysis.

[[Datei:Prozesse Beispiel.PNG|left|thumb|900px|Example: Representation of the processes in the structural analysis in risk management]] 


== Create/edit/delete process ==

Under "Administration → Processes" you can manage the processes as an admin or expert.

[[Datei:Prozesse Übersicht.png|left|thumb|901px|Processes overview]] 

To create a process, click the "Plus" button.

To edit a process, double-click the corresponding process.

[[Datei:Prozess bearbeiten.PNG|left|thumb|750px|Mask for editing and creating a process]] 

'''Name and code:'''
: Name: The name of the process.
: Code: Abbreviation of the process.

'''Description:''' Used to describe the process.

'''Subprocess of:''' If a higher-level process exists, it is entered here. The available processes are displayed hierarchically.

'''Type:''' [https://de.wikipedia.org/wiki/Gesch%C3%A4ftsprozess processes] can be divided into core processes, supporting processes, and management processes.
: Core process: The core process includes all activities that serve to create value for the organization. It is derived from the core competence of an organization. (See [https://de.wikipedia.org/wiki/Kernprozess Wikipedia Core Processes])
: Management process: Management processes encompass the management of core processes in organizations, with a focus on structuring organizational roles and their tasks. (see [https://de.wikipedia.org/wiki/Managementprozess Wikipedia Management Processes])
: Support process: Supporting processes are operational processes that support the core process but do not themselves generate direct customer value. Typical supporting processes include human resources (personnel process), accounting, data processing, maintenance, cafeteria. (see [https://de.wikipedia.org/wiki/Supportprozess Wikipedia Supporting processes])

'''Person responsible:''' The user who is responsible for the content of the process.

'''Risks:''' All risks of the process are listed here. It is not possible to assign risks here. More about risks can be found [[Special:MyLanguage/Risk assessment|here]].

'''Processing activity (only visible in the data protection management system):'''
: If a processing activity is created, a process is automatically created for it as soon as the processing of it is completed. (default case) Normally, this dropdown is empty, because only processing activities are displayed here that are not linked to a process and a process is automatically created and linked for each processing activity.
:However, if a process has already been generated for this processing activity before it was completed, the generated process for the processing activity can optionally be deleted or the link to the processing activity can be removed. Subsequently, this allows the processing activity, which is now no longer associated with a process, to be associated with another process via this dropdown.

'''Delete process:''' To delete in the edit screen, click on the red trash can.


=== Gaps/measures/controls ===

Same as for resources. More about this [[Special:MyLanguage/Resources#entity_mc|here]].

Translations:Prozesse/14/en

2026-01-19T12:08:23Z

Isan:

'''Risks:''' All risks of the process are listed here. It is not possible to assign risks here. More about risks can be found [[Special:MyLanguage/Risk assessment|here]].

Translations:Prozesse/11/en

2026-01-19T12:08:01Z

Isan: Übersetzungseinheit als nicht mehr veraltet markiert, ohne Änderungen

'''Subprocess of:''' If a higher-level process exists, it is entered here. The available processes are displayed hierarchically.

Hauptseite/en

2026-01-19T12:07:54Z

Isan:

<big><big>Welcome to HITGuard Help!</big></big>

HITGuard offers you comprehensive support in managing and monitoring your risks and compliance requirements. In the menu navigation of HITGuard you will find various modules that support you in meeting your IT governance, risk management and compliance requirements.

This user help provides you with detailed information on how to use each of the HITGuard modules and describes the contents of the entire available menu.

We have designed this user help to be useful for beginners and experienced users alike. If you have any questions or need help, our support team will be happy to assist you if you contact us under support@hitguard.at.

We hope that this user guide will help you to get the most out of HITGuard. Thank you for choosing our solution!

=== The HITGuard menu ===
Find the help pages for all possible menu items of the individual modules here:

{{Card
|column=3
|count = 9

|title1=Risk management

|text1=*[[Special:MyLanguage/Risikopolitik|Risk policy]]
*[[Special:MyLanguage/Strukturanalyse|Structural analysis]]
*[[Special:MyLanguage/Schutzbedarf|Protection needs]]
*[[Special:MyLanguage/Schwachstellen|Vulnerabilities]]
*[[Special:MyLanguage/Bedrohungen|Threats]]
*[[Special:MyLanguage/Risikobewertung|Risks & opportunities]]
*[[Special:MyLanguage/Auswirkungen|Impacts]]
*[[Special:MyLanguage/ESG_Themen|ESG topics]]
*[[Special:MyLanguage/Risikobehandlung|Treatment R&O]]
*[[Special:MyLanguage/Berichte für das Risikomanagement|Reports]]
*[[Special:MyLanguage/Risikomanagement_Einstellungen|Settings]]

|title2=Audit management

|text2=*[[Special:MyLanguage/Auditkalender|Audit calendar]]
*[[Special:MyLanguage/Auditplanung|Audit planning]]
*[[Special:MyLanguage/Auditdurchführung|Audit execution]]
*[[Special:MyLanguage/Auditbehandlung|Audit treatment]]
*[[Special:MyLanguage/Externe_Auditoren|External auditors]]
*[[Special:MyLanguage/Auditcluster|Audit clusters]]
*[[Special:MyLanguage/Funktionen|Functions]]
*[[Special:MyLanguage/Berichte für das Auditmanagement|Reports]]
*[[Special:MyLanguage/Auditmanagement_Einstellungen|Settings]]

|title3=Case management

|text3=*[[Special:MyLanguage/Vorfall_melden|Report incident]]
*[[Special:MyLanguage/Fristen|Periods]]
*[[Special:MyLanguage/Meldungen|Tickets]]
*[[Special:MyLanguage/Akten|Dossiers]]
*[[Special:MyLanguage/Berichte für das Fallmanagement|Reports]]
*[[Special:MyLanguage/Fallmanagement-Einstellungen|Settings]]
*[[Special:MyLanguage/Hinweisgebersystem|Whistleblower system]]

|title4=Measures

|text4=*[[Special:MyLanguage/Aktuelle Maßnahmen|Current measures]]
*[[Special:MyLanguage/Fortschrittsmeldungen|Progress reports]]
*[[Special:MyLanguage/Historie|History]]
*[[Special:MyLanguage/Auswertungen|Analysis]]
*[[Special:MyLanguage/Berichte für Maßnahmen|Reports]]
*[[Einstellungen|Settings]]

|title5=Controls

|text5=*[[Special:MyLanguage/Kontrolldefinitionen|Control definitions]]
*[[Special:MyLanguage/Berichte für Kontrollen| Reports]]

|title6=Data protection

|text6=*[[Special:MyLanguage/Verarbeitungsregister|Processing registers]]
*[[Special:MyLanguage/Datenschutz-Folgenabschätzung|DPIA]]
*[[Special:MyLanguage/Externe|Externals]]
*[[Special:MyLanguage/TOMs|TOMs]]
*[[Special:MyLanguage/Betroffenenkategorien|Data subject categories]]
*[[Special:MyLanguage/Berichte für den Datenschutz|Reports]]
*[[Special:MyLanguage/Datenschutz Einstellungen|Settings]]

|title7=Doc management

|text7=*[[Special:MyLanguage/Dokumentenmanagement|Documents]]
*[[Special:MyLanguage/Dokumente|Uploaded attachments]]
*[[Special:MyLanguage/Berichtsarchiv|Report archive]]

|title8=Administration 1

|text8=*[[Special:MyLanguage/Benutzer und Benutzerrollen|Users and user roles]]
*[[Special:MyLanguage/Teams|Teams]]
*[[Special:MyLanguage/Globale Einstellungen|Global settings]]
*[[Special:MyLanguage/Managementsysteme|Management systems]]
*[[Special:MyLanguage/OrgEh - Organisationseinheiten|OrgUnits - Organizational units]]
*[[Special:MyLanguage/Ressourcen|Resources]]
*[[Special:MyLanguage/Datenkategorien|Data categories]]
*[[Special:MyLanguage/Prozesse|Processes]]
*[[Special:MyLanguage/Lieferanten|Suppliers]]

|title9=Administration 2

|text9=*[[Special:MyLanguage/Wissensdatenbanken|Knowledge bases]]
*[[Special:MyLanguage/Standards und Normen|Standards and norms]]
*[[Special:MyLanguage/Dokumente|Documents]]
*[[Special:MyLanguage/Berichtsarchiv|Report archive]]
*[[Special:MyLanguage/Textbausteine|Text blocks]]
*[[Special:MyLanguage/Datenimport|Data import]]
*[[Special:MyLanguage/Lizenzierung|Licensing]]

*[[Special:MyLanguage/Jobs|Jobs]]
}}

====HITGuard basic modules====
The Risk management, Measures, and Controls, as well as Administration are always available in HITGuard and form the basis of the tool:
{| class="wikitable"
!Risk management
|The ''Risk management'' module helps you identify and assess risks and opportunities, and provides you with a central platform to manage your risk assessments. You can freely configure your risk policy and use different workflows that support you in your risk management. Find a rough overview of the risk and opportunity workflow [[Special:MyLanguage/Workflow_Risiko Chance|here]]. Find information on risks and opportunities for Practitioners [[Special:MyLanguage/Meine_Aufgaben_Gefährdungslagen|here]].
|-
!Measures
|The ''Measures'' module helps you implement measures to eliminate or reduce risks and security gaps. You can monitor the implementation of your measures with progress reports and test their effectiveness. Find a rough overview of the measure workflow [[Special:MyLanguage/Workflow_Maßnahme|here]]. Find information on measures for Practitioners [[Special:MyLanguage/Maßnahmenstatus|here]].
|-
!Controls
|The ''Controls'' module allows you to manage and evaluate your controls and their effectiveness. You can create control definitions and track the execution of the corresponding controls. Find a rough overview of the control workflow [[Special:MyLanguage/Workflow_Kontrolle|here]]. Find information on controls for Practitioners [[Special:MyLanguage/Kontrollen|hier]].
|-
!Administration
|In the ''Administration'' module, you can configure HITGuard and adapt it to your specific requirements. Here you will also find functions for managing user accounts, roles and teams as well as for integrating HITGuard into existing systems and processes.
|-
|}

====HITGuard Add-ons====
There are various extensions for HITGuard in order to cover further use cases.
{| class="wikitable"
!Data protection
|The ''Data Protection'' module helps you comply with data protection regulations and policies. With an activated data protection add-on you receive the menu item "Data protection", the contents of which you can find below. Data protection is licensed separately and can be activated under Administration > Management systems for one management system. Find a rough overview of the PA workflow [[Special:MyLanguage/Workflow_VT|here]]. Find more on working with PAs for Practitioners [[Special:MyLanguage/Meine_Verarbeitungstätigkeiten#Verarbeitungstätigkeit_bearbeiten/erstellen/updaten|here]].
|-
!Audit management
|The ''Audit management'' module allows you to conduct internal and external audits, track the results and generate reports. With an activated audit management add-on you receive the menu item "Audit management", the contents of which you can find below. Audit management is licensed separately and can be activated under Administration > Management systems for one or more management systems.
|-
!Case management
|The ''Case management'' module supports you in handling security incidents and breaches of policies and regulations. With an activated case management add-on you receive the menu item "Case management", the contents of which you can find below. Case management is licensed separately and can be activated under Administration > Management systems for one or more management systems.
|-
!Doc management
|The module ''Doc management'' encapsulates document control, uploaded attachments, and the report archive. With an activated doc management add-on you receive the menu item "Doc management", the contents of which you can find below. Doc management is licensed separately and can be activated for you by your contact person at TogetherSecure. Find a rough overview of the doc management workflow [[Special:MyLanguage/Workflow_Doku-Management|here]]. Find information on the review and approval workflow [[Special:MyLanguage/Freigabeworkflow|here]].
|-
!ESG management
|The ''ESG'' module supports you in the execution of the double materiality analysis. With an activated ESG management add-on your risk management is extended by a few menu items. ESG management is licensed separately and can be activated for you by your contact person at TogetherSecure. Find more on ESG management [[Special:MyLanguage/ESG Management|here]].
|-
!Supplier risk management
|The ''Supplier Risk Management'' module allows you to send reviews to suppliers and thus include them in your audit processes. With an activated supplier risk management add-on your administration and reviews are extended by a few menu items and options. Supplier risk management is licensed separately and can be activated for you by your contact person at TogetherSecure. Find more on supplier risk management [[Special:MyLanguage/Supplier Risk Management|here]].
|-
|}

Under [[Special:MyLanguage/Hauptseite#How_To_Start|How To Start]] you find the first steps for implementing a management system and for all the add-ons.


== The HITGuard interface ==

[[Datei:Oberflächenbeschreibung2.png|right|701px|Click to enlarge]]

The screenshot gives information about the various areas of the HITGuard interface. In the top left corner you find the profile area of the logged-in user and below it the main menu. A click onto the profile picture takes you to the page [[Special:MyLanguage/Profil|Manage account]]. There, a user can modify their data, update their profile picture, or change the password.

The marked areas in the image show:

# Intro for the current page: If the current page has an interactive introduction, it can be started via this icon.
# Collapse/expand menu: With this button, the navigation menu can be collapsed, or expanded again.
# Switch management system: If the user is authorized for multiple management systems, they can switch between them here. This option is not shown for practitioners or users only authorized for a single management system.
# Current management tasks, logout, and change language:
#* You receive information about your [[#cur_man_act|current management tasks]] via the envelope.
#* You can configure HITGuard's [[Special:MyLanguage/Barrierefreiheit|accessibility]] with the person-symbol.
#* The flag can be used to switch between English and German.
#* The logout button logs you out.


== Main menu ==

The menu starts off with the "personal" menu items [[#my_act|My tasks]] and [[#my_dashboards|My dashboards]]. These are follows by the menu items of the individual HITGuard modules. The user only sees those modules they are authorized for. Following the module menu items is the menu item [[#hilfe|Help]].


==== My tasks====

[[Datei:Meine Aufgaben Badges2.png|right|frameless|My tasks]]

Under "My tasks" you will find the tasks you have to complete in your role as a practitioner. The menu on the left shows you at a glance if you have any pending tasks (orange number badge). This menu shows all items that are activated in at least one management system.

A click into the ''My tasks'' menu opens the [[Special:MyLanguage/Dashboard|Task dashboard]]. Here, you find a summary of all the tasks pending completion. In addition, clicking on ''My tasks'' opens a submenu that lets you view the tasks by type. There, you also find tasks you have already completed. Orange badges show how many taks you need to work on (e.g., requested progress reports or PAs to be reviewed). Blue badges show how many tasks, for which you are also responsible, somebody else needs to work on (e.g., reviews for which you are responsible but not an interview partner).The states of the different elements are also explained here:

{| class="wikitable" style="border-style: solid; border-width: 0px 0px 0px 0px"
!
|-
!Menu items:
|[[Special:MyLanguage/Maßnahmenstatus|Measures]]
|[[Special:MyLanguage/Kontrollen|Controls]]
|[[Special:MyLanguage/Überprüfungen|Reviews]]
|[[Special:MyLanguage/Meine Verarbeitungstätigkeiten|PAs]]
|[[Special:MyLanguage/Meine_Aufgaben_Gefährdungslagen|Risks & opportunities]]
|[[Special:MyLanguage/Meine_Aufgaben_Meldungen|Tickets]]
|}


==== My dashboards ====

[[Datei:Rn233 DB KPI-Report hinzufügen.png|right|frameless|300px]]
Dashboards are for getting an overview of the management systems by using key performance indicators (KPIs) and for preparing the reports that are needed regularly. By default, each management system has a dashboard for information related to risk management, to measures, and to controls. Data protection management systems also have a dedicated data protection dashboard, case management systems have a case management dashboard, and audit management systems have an audit management dashboard. However, only dashboards, KPIs, and reports for which the user is authorized are displayed.

In order for a user to access a dashboard and the KPIs and reports of the respective section, they need the "Expert", "Professional" or "Observer" role in the respective module. Thus, to view the risk management dashboard, at least the "Professional" role in risk management is required.

Additional dashboards can also be created and configured. It is possible to make these accessible only to oneself by marking them as "private". Dashboards that are not marked as "private" are visible to all authorized members of the management system. Default dashboards, as in dashboards that are delivered with HITGuard by default, can be edited and reset into their original state, but not deleted. They are marked as vendor-specific dashboards with a "tool" icon. Self-created dashboards can be deleted.

[[Datei:DB Favoriten Markierung.png|right|frameless|380px]]

Users can mark a dashboard as a favorite in each management system. This dashboard will be ranked first for the user and displayed when the user logs in. To mark it, click the star next to the dashboard configuration.

How to create and edit dashboards as well as information on the KPIs can be found here:
{| class="wikitable" style="border-style: solid; border-width: 0px 0px 0px 0px"
!
|-
!Sections:
|[[Special:MyLanguage/Dashboards|Create/edit dashboards]]
|[[Special:MyLanguage/Risikomanagement_Dashboard|Risk management]]
|[[Special:MyLanguage/ESG_Dashboard|ESG]]
|[[Special:MyLanguage/Maßnahmen_Dashboard|Measures]]
|[[Special:MyLanguage/Kontrollen_Dashboard|Controls]]
|[[Special:MyLanguage/Datenschutz_Dashboard|Data protection]]
|[[Special:MyLanguage/Fallmanagement_Dashboard|Case management]]
|[[Special:MyLanguage/Auditmanagement_Dashboard|Audit management]]
|}

The reports that can be created on dashboards are the same as those in the respective menu items in terms of their content and their report options. The explanations for them are found on the help pages of the reports per menu item.
Reports on dashboards offer the following additional functions:
*Prepare multiple versions of one report: Just like KPIs, reports can be added to dashboards multiple times. The "filter" button allows you to save different configurations of the report options in order to then have access to various iterations of the same type of report at the click of a button.
:Example: A risk report called "Risk report - details", with details on measures and control definitions, the overview of the gaps assigned to the risk, and its temporal evolution; so that risk owners can periodically file a detailed status of their risks. And a risk report for the top managers called "Board risk report", containing just a rough overview of the open measures and active controls; for board members to get a grasp on the current risk treatment efforts.
*Set as default report settings: Experts and Professionals can save the option configuration of one report per report type on non-private dashboards (e.g. one risk report or one gross-net-risk report). In doing so, the report is then automatically generated with these settings from index pages (e.g. on the page Risk management → Risk evaluation, where there aren't any report options available). On the report page itself (e.g., Risk management → Reports → Risks → General) the report is also generated with these settings, but users can make individual changes to these settings. The report set as the default is marked with a star on top of the report icon.
:Example: user A configures a risk report on the dashboard and sets the settings as default. User B generates a risk report from the overview on the page Risk management → risk evaluation and the contents match the default settings. User C has already adjusted the settings the way they need them on the page Risk management → Reports → Risk → General. Their individual settings are not overwritten by the default. User D is using the page Risk management → Reports → Risk → General for the very first time and sees that the report options are set the same way as defined by User A's default.

====Module-specific menu items====
Right after the dashboard menu items, you find the [[#modules|module-specific menu items]]. Which modules are shown here depends on the user's authorizations as well as on the features activated for the management system.

====AI features====
[[Datei:SternchenbuttonKI.png|thumb|right|60px]] HITGuard offers a multitude of possibilities of AI support across the application. In html-editable fields, meaning fields in which you can format the text, you find a "starlet" button with which you can call up AI functions. With the help of AI you can
*summarize,
*proofread,
*extend,
*shorten,
*change the style of,
*change the tone of,
*and translate texts between English and German. 
Furthermore, you can ask AI questions using your own prompts and thus generate your own texts.A special function is available in gap analyses and review results, where the AI functions can be used in the non-html-editable field of the justification.


==== Help====

Under this menu item you will find the introduction "Getting started", which gives an introduction to HITGuard's interface.

Under the menu item "Online Help" you will find our help directly integrated in HITGuard.

If there is an info icon in the lower left corner, it can be clicked to start a short introduction to the current page.


=== The letter: current management tasks ===

[[Datei:Management Briefchen.png|right|thumb|500px|Management tasks]]

The envelope in the upper right corner informs professionals and experts about tasks that have been reported completed and are waiting for completion/review. The tasks always refer to the ''current management system'' only. Thre is also a notice if the current analysis period has expired.

In addition, the tasks are only displayed to users who are authorized to edit them. For example, answered processing activities are displayed only to users who are Data Protection professionals or experts and are currently in the Data Protection management system.

The tasks are divided into the following items:

{| class="wikitable"
!Section
!Description
|-
!Progress reports
|Progress reports for measures that have been answered.
|-
!Risks
|Newly submitted or returned risks.
|-
!Protection needs analyses
|Answered protection needs analyses.
|-
!Gap analyses
|Answered gap analyses.
|-
!Tickets assigned to me
|Open tickets that are assigned to you. Closed and answered tickets are not displayed.
|-
!Not assigned tickets
|Tickets that have not yet been assigned an advisor. If a support team is configured, these tickets are only shown to members of that team.
|-
!Processing activities
|Answered processing activities.
|-
|}


== User guides==

=== FAQ ===
:*[[Special:MyLanguage/FAQ|FAQ]]

=== Glossary ===
:*[[Special:MyLanguage/Glossar|Glossary]]


=== Working with HITGuard ===

:*[[Special:MyLanguage/Profil|User profile]]
:*[[Special:MyLanguage/Funktionalität der Tabellen|Table functionality and symbols]]
:*[[Special:MyLanguage/Icons und Buttons|Explanation of the various icons and buttons in HITGuard]]
:*[[Special:MyLanguage/FAQ#Tips,_Tricks_&_Best_Practice|Tips, tricks & best practice]]


===Experts or Professionals===

:*[[Special:MyLanguage/Audit erstellen|Create/edit audit]]
:*[[Special:MyLanguage/Auditprogramm erstellen|Create/edit audit programs]]
:*[[Schwachstellen#create_überprüfung|Create/edit reviews (create gap analyses/record review results)]]
:*[[Special:MyLanguage/Risikobewertung#create_rsik|Enter/edit risk]]
:*[[Special:MyLanguage/Maßnahmen#create_measure|Create/edit measure]]
:*[[Special:MyLanguage/Kontrolldefinitionen#create_check|Create/edit controls]]
:*[[Special:MyLanguage/Fortschrittsmeldungen#req_progress|Request progress reports]]
:*[[Special:MyLanguage/Externe#create_external|Create/edit externals]]


===Administrators or Experts===

:*[[Special:MyLanguage/Risikopolitik| Manage risk policy]]
:*[[Special:MyLanguage/Einstellungen| Manage settings of measures and controls]]
:*[[Special:MyLanguage/Betroffenenkategorien#create_affected|Create/edit data subject categories]]
:*[[Special:MyLanguage/Datenimport#import|import Data]]

=== Administrators ===
:*[[Special:MyLanguage/REST API| REST API: Data import/export interface]]

===External users===
:*[[Special:MyLanguage/Lieferantenportal| HITGuard portal for suppliers]]

===How To Start===

*[[Special:MyLanguage/Was sind die ersten Schritte des Aufbaus eines Managementsystems in HITGuard?|What are the first steps towards implementing a management system in HITGuard?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Data Protector setzen?|Which first steps should I take to start working with the data protection module?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Auditmanagement setzen?|Which first steps should I take to start working with the audit management module?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Fallmanagement setzen?|Which first steps should I take to start working with the case management module?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Doku-Management setzen?|Which first steps should I take to start working with the doc management?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem ESG Modul setzen?|Which first steps should I take to start working with the ESG module?]]
*[[Special:MyLanguage/Welche ersten Schritte sollte ich zum Arbeiten mit dem Supplier Risk Management setzen?|Which first steps should I take to start working with the supplier risk management?]]
*[[Special:MyLanguage/Wie aktiviere ich die diversen Mailings, wenn ich mit meinen Einstiegstests fertig bin?|How do I activate the various mailings after I've completed my initial tests?]]

===Giudes and rough overview of the workflows===
*[[Special:MyLanguage/Workflow Maßnahme|What does the general workflow for measures look like?]]
*[[Special:MyLanguage/Workflow Kontrolle|What does the general workflow for controls look like?]]
*[[Special:MyLanguage/Workflow Überprüfung|What does the general workflow for reviews look like?]]
*[[Special:MyLanguage/Workflow VT|What does the general workflow for processing activities look like?]]
*[[Special:MyLanguage/Workflow Risiko Chance|What does the general workflow for risk and opportunities look like?]]
*[[Special:MyLanguage/Workflow Meldung|What does the general workflow for tickets look like?]]
*[[Special:MyLanguage/Workflow Doku-Management|What does the general doc management workflow look like?]]
*[[Special:MyLanguage/Wie sollte ich vorgehen, wenn ich eine Schutzbedarfsanalyse vornehmen möchte?|How should I proceed if I want to perform a protection needs analysis?]]

== Release Notes ==

{| class="wikitable"
!Year
! colspan="3" |Month
|-
!2025
|[[Special:MyLanguage/HITGuard Release April 2025 |April]]
|[[Special:MyLanguage/HITGuard Release August 2025 |August]]
|[[Special:MyLanguage/HITGuard Release November 2025 |November]]
|-
!2024
|[[Special:MyLanguage/HITGuard Release März 2024 |March]]
|[[Special:MyLanguage/HITGuard Release August 2024 |August]]
|[[Special:MyLanguage/HITGuard Release Dezember 2024 |December]]
|-
!2023
|[[Special:MyLanguage/HITGuard Release Februar 2023 |February]]
|[[Special:MyLanguage/HITGuard Release Juni 2023 |June]]
|[[Special:MyLanguage/HITGuard Release Oktober 2023 |October]]
|-
! 2022
|[[Special:MyLanguage/HITGuard Release Jänner 2022 |January]]
|[[Special:MyLanguage/HITGuard Release Juni 2022 |June]]
|[[Special:MyLanguage/HITGuard Release Oktober 2022 |October]]
|-
!2021
|[[Special:MyLanguage/HITGuard Release Jänner 2021|January]]
|[[Special:MyLanguage/HITGuard Release April 2021|April]]
|[[Special:MyLanguage/HITGuard Release September 2021 |September]]
|-
!2020
|[[Special:MyLanguage/HITGuard Release April 2020|April]]
|[[Special:MyLanguage/HITGuard Release Juli 2020|July]]
|[[Special:MyLanguage/HITGuard Release Oktober 2020|October]]
|-
!2019
|[[Special:MyLanguage/HITGuard Release März 2019|March]], [[Special:MyLanguage/HITGuard Release April 2019|April]]
|[[Special:MyLanguage/HITGuard Release Juli 2019|July]]
|[[Special:MyLanguage/HITGuard Release Dezember 2019|December]]
|}

Release Notes from the years 2017 and 2018 were directly integrated into the help.

==Login options and supported authentication providers==
* [[Special:MyLanguage/Login Möglichkeiten|Login options]]
* [[Special:MyLanguage/Passkeys|Passkeys]]
* [[Special:MyLanguage/2FA|2-factor-authentication]]

== Installation assistance ==
*[[Special:MyLanguage/Installationshilfe |Installation assistance]]

Translations:Hauptseite/102/en

2026-01-19T12:07:41Z

Isan: Übersetzungseinheit als nicht mehr veraltet markiert, ohne Änderungen

====AI features====
[[Datei:SternchenbuttonKI.png|thumb|right|60px]] HITGuard offers a multitude of possibilities of AI support across the application. In html-editable fields, meaning fields in which you can format the text, you find a "starlet" button with which you can call up AI functions. With the help of AI you can
*summarize,
*proofread,
*extend,
*shorten,
*change the style of,
*change the tone of,
*and translate texts between English and German. 
Furthermore, you can ask AI questions using your own prompts and thus generate your own texts.A special function is available in gap analyses and review results, where the AI functions can be used in the non-html-editable field of the justification.

Datenkategorien/en

2026-01-19T12:07:14Z

Isan:

Data categories are used to categorize data for use in HITGuard. For example, there is a data category Employee Data, which lists contact data, bank data or contract data of the employee as a subcategory.

[[Datei:Datenkategorien Beispiel.PNG|left|thumb|900px|Example: Representation of the data categories in the structural analysis in risk management]] 

The data categories can be viewed in the structural analysis in which applications, via which processing activities and in which departments they are processed.

__TOC__


== Data categories ==

Under "Administration → Data Categories" you can manage the data categories as an admin or expert.=

[[Datei:Datenkategorien.png|left|thumb|901px|Data categories]] 


=== Create/edit/delete data category ===

To create a data category, click the "Plus" button in the overview.

To edit a data category, double-click the corresponding category.

[[Datei:Datenkategorie bearbeiten.PNG|left|thumb|900px|Interface for editing/creating a data category]] 

Name: The name of the category e.g.: application documents, customer data, or personnel data.

Description: Used to describe the content of a data category e.g. insert image of the mask.

Parent data-category: Used for hierarchical structuring of the data categories. The available data categories are also displayed hierarchically.

Data class: Determines whether data in a category is public, internal, or to be handled as secret. These classes are freely definable by experts across systems (see [[Risk Policy#dataclass|Data classes]]).

Time limit for erasure:
:Defines the erasure time limit that is set by default when this data category is selected, e.g. in data protection for processing activities.
:Only erasure time limits created in the "Time limits for erasure" item are available for selection.

Time limit for erasure inheritance:
: This option is only available when the erasure time limit is set.
: Determines the behavior of data categories that have this data category as parent.
:* None:
:::none of the child data categories adopt this erasure time limit.
:* To all:
::: All child data categories adopt this erasure time limit regardless of whether they already have an erasure time limit set or not.
:* If no erasure time limit is set:
::: All subordinate data categories that do not yet have an erasure time limit adopt this erasure time limit.

Data source:
: Data categories often stem from single, known sources, e.g., from the data subjects themselves. Record a standardized data source here, which will automatically be taken over in processing activities. It can afterwards be manually modified in individual processing activities.

Person in charge: That user who is responsible for handling the data in the given category. When creating a new data category, the responsible of the selected parent category is automatically filled in, unless you have already entered a new responsible directly in the category. They can also be changed manually.

Can be used for:
:Protection needs analysis:
:* Creates an overview of what impact it will have on your business if something happens to this data (e.g. hard drive with customer data is stolen).

:Personal:
:* Personal data categories are important for the data protection module as they can be sensitive and are handled in processing activities.

:Obsolete:
:* Obsolete data categories can no longer be assigned in a PA and they cannot be given new relationships in the structural analysis. Obsolete data categories are shown greyed out in the overview. Everything but the obsolete-checkbox is then made read-only. If a data category has subcategories, these are also marked as obsolete.

Risks: All risks of the data category are listed here. It is not possible to assign risks here. More about risks can be found [[Special:MyLanguage/Risk Assessment|here]].

Delete data category: To delete in the edit screen, click on the red trash can.


=== Gaps/measures/controls ===

Same as for resources. More about this [[Special:MyLanguage/Ressourcen#entity_mc|here]].


== Time limits for erasure ==

Time limits for erasure indicate the maximum period for which data of a data category may be retained. This has become more important in recent years due to the GDPR. For this reason, deletion periods can be managed in HITGuard under "Administration → Data categories | Deletion periods".

These time limits for erasure can be assigned to data categories, which means that, for example, the assigned time limit for erasure is automatically set for processing activities. Of course, this can be changed in the processing activity if necessary without affecting this time limit for erasure.

Caution: 
Changes to a time limit for erasure do not affect processing activities that have already been created!

[[Datei:Löschfristen Übersicht.png|left|thumb|900px|Time limits for erasure ]] 


=== Create/edit/delete time limit for erasure ===

By clicking on the "Plus" button in the overview, a new time limit for erasure can be created.

By double-clicking an already existing time limit for erasure, it can be edited.

To delete a time limit for erasure, open an existing one and then click the red "Trash can" button.

[[Datei:Löschfrist bearbeiten.png|left|thumb|901px|Edit time limit for erasure]] 

Name: The name with which the time limit for erasure appears.

Description: A textual description of the time limit for erasure can be entered here. This could be, for example, the legal text with which the time limit for erasure deals.

Reason: A reason for the time limit for erasure can be recorded here, such as a reference to a law. This reason is automatically filled in in processing activities.

Time limit for erasure: Here, the maximum retention period is specified, i.e. the time after which the data must be deleted.


=== Specified time limits for erasure ===

When determining time limits for erasure, statutory retention periods from tax law, commercial law, labor law or other legal provisions must be observed.

For Austria, the WKO (Austrian Federal Economic Chamber) has compiled a clear summary of the most common retention periods from the applicable legal provisions:
[https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-speicher-und-aufbewahrungsfristen.html here]

For data processed in Germany, some service providers, especially data disposal service providers, have taken on the task of compiling an overview of common retention periods.

However, since errors cannot be ruled out, we recommend that you always check the respective legal regulation in its currently valid version to determine the actual retention periods, or compare it with the information collected on the retention period.

Translations:Datenkategorien/12/en

2026-01-19T12:07:14Z

Isan: Übersetzungseinheit als nicht mehr veraltet markiert, ohne Änderungen

Parent data-category: Used for hierarchical structuring of the data categories. The available data categories are also displayed hierarchically.

Translations:Datenkategorien/11/en

2026-01-19T12:07:01Z

Isan: Übersetzungseinheit als nicht mehr veraltet markiert, ohne Änderungen

Description: Used to describe the content of a data category e.g. insert image of the mask.

Datenimport/en

2026-01-19T12:06:43Z

Isan:

With the help of the importer, resources, measures, controls and check questions for knowledge bases or structure updates for organizational units can be imported. These updates can come from an SAP export, for example, or from a specially created Excel or CSV file. In this way, obsolete structures can be updated or completely new structures can be imported.

If an import is performed, all entities that have been changed are updated, and all entities that do not yet exist in HITGuard are created.


== Performing an import ==

Imports can be performed only by administrators or experts.

To perform an import, first go to "Administration → Data import | Import logs". All created import configurations are now displayed here. To perform an import, either an existing import configuration is selected from the list or a new import configuration is created - in terms of execution, the processes do not differ.

Each import is documented under "Administration → Data import | Import logs".

To use an existing import configuration, double-click on the desired configuration.

To create a new import configuration, click on the green plus. (see figure)

[[Datei:Org import 1.png|left|thumb|900px|Create new import configuration]]
 

Afterwards a mask opens (see figure below), where the name of the configuration has to be set, the type of the configuration has to be selected and the file to be imported has to be uploaded.

The file can be either a CSV file or an Excel file. ([[#Import file structure|Import file structure]])

[[Datei:Org import 2.png|left|thumb|900px|Select import type]]
 

Clicking on "Next" opens the mask for assigning the fields (see figure below). Here at least all mandatory fields of the selected import type should be assigned. You can find out what these are from the description of the individual imports.

If an Excel file is imported, care must be taken that column headings exist in the file. If these exist, it is selected that the first row contains column headers and should therefore be ignored.

[[Datei:Importer Felder zuordnen.gif|left|thumb|900px|Assign fields]]
 

If all mandatory fields have now been assigned, the import can be saved and is ready for import. All that remains is to click on "Save and import".

Note: Instead of a username the name of a team can be entered for the field responsible, provided the team was already created in HITGuard. The name must be correct for the import to work. The team is then set as responsible, e.g., for a resource.

[[Datei:Org import 4.png|left|thumb|901px|Save and import]]
 

If the import was successful, you will see how many entities were newly created and how many were modified. In case of erroneous import operations, those rows and columns that contain errors will be listed for you.

[[Datei:Org import 5.png|left|thumb|900px|Successful organization import]]
 

 


== Import logs ==

Each import attempt is documented under "Administration → Data import | Import logs". Both successful and failed import attempts are recorded.

[[Datei:Importprotokolle Übersicht.png|left|thumb|900px|Overview of the protocols]]
 

By double-clicking on an import, you will be redirected to a screen where you can see details such as the reason why the import failed.

[[Datei:Importprotokolle Detailansicht.png|left|thumb|900px|Detail view of an import log]]
 


== Import data categories ==

To import data categories, the "Data category" type must be selected during import.

There are two options:
* Create new data categories
* Update existing data categories

Only classes created under Risk Management → Risk Policy → Data Classes are allowed for the Data Class field.

Only the values Yes and No are permitted for the fields Protection needs analysis and Person-related. You determine where the data categories can be used.

For information about responsible persons see [[#ver|User management]].


=== Create new data categories ===

When importing a file, HITGuard uses the data set ID in the import file to check whether it already exists anywhere in the HITGuard instance (system-wide) or not. If it does not exist, it is created again.

To create a new data category, you must fill in the mandatory fields
* Record ID ''(system-wide unique identifier)''
* Name
* Data class (as per the values in Risk Management → Risk policy → Data classes)
must be available and filled in. Only if this is the case, the import is feasible.

Furthermore the fields
* Description
* Parent record ID (parent data category) ''(unique identifier)''
* Protection needs analysis (Yes/No)
* Personal data (Yes/No)
can be assigned.

If the parent record ID is assigned to a data category, a data category with this ID must either already exist in HITGuard or be created in this import. Furthermore, no cycles may exist. Cycles are used when, for example, data category A has entered data category B as its parent ID and data category B has entered data category A as its parent ID. The importer detects these cycles, prevents the import and refers to the cycle error.


=== Update data categories ===

If the record ID of the data category is found during the import, no new data category is created, but the existing one is updated. That means: The existing fields of the import file update the already existing fields like e.g. designation, data class or person related. This allows the maintenance of individual data category or larger data category structures .

Example:
:It is decided to create a new data category that should be parent to already existing data categories. In this case, the already existing data categories can be easily subordinated to this new data category by changing their parent ID.

=== Template ===
*[[Media:Importvorlage_Datenkategorie.xlsx|Template: Importvorlage Datenkategorie.xlsx]]


== Import risks ==

To import risks, the "Risk" type is selected during import.

There are two options:
* Create new risk
* Update existing risks


=== Creation of new risks===

When importing a file, HITGuard uses the data set ID in the import file to check whether it already exists anywhere in the HITGuard instance (across management systems) or not. If it does not exist, it is created again.

To create a new risk, you must fill in the mandatory fields
* Record ID ''(unique identifier)''
* Designation
must be available and filled in. Only if this is the case, the import is possible.

Furthermore, the fields
* Code
* Description
* Probability of occurrence
* Extent of damage
can be assigned.

If the Damage Extent or Probability of Occurrence fields are assigned, then only content that matches the existing HITGuard classes is valid. For more information, see [[Special:MyLanguage/RiskPolicy#prob|Probabilities of occurrence]] or [[Special:MyLanguage/RiskPolicy#Extensions of damage|Extensions of damage]].


=== Updating risks ===

If the record ID of the risk is found during the import, no new risk is created, but the existing one is updated. That means: The existing fields of the import file update the already existing fields such as designation, description, responsible person, etc. This enables the maintenance of individual risks.

Caution: The ID of the risk must be distinct across the entire HITGuard installation, it must not repeat in different management systems. If you, for example, import an risk with the ID 1234 into a management system, but in another management system there already is a risk with the ID 1234, then that risk will be overwritten.

=== Template ===
* [[Media:Importvorlage_Risiko.xlsx|Template: Importvorlage Risiko.xlsx]]


== Import business processes ==

To import business processes, the "Business process" type must be selected during import.

There are two options:
* Create new business processes
* Update existing business processes

For information about responsible persons see [[#ver|User management]].


=== Creation of new business processes ===

When importing a file, HITGuard checks whether a business process already exists or not based on the record ID in the import file. If none exists, the business process is created.

To create a new business process, you must fill in the mandatory fields
* Record ID ''(system-wide unique identifier)''
* Name
must be available and filled in. Only if this is the case, the import is possible.

Furthermore the fields
* Code
* Description
* Parent business process record ID ''(system-wide unique identifier)''
can be assigned.

If the parent business process record ID is assigned, a business process with this ID must either already exist in HITGuard or be created in this import.
Furthermore, no cycles may exist. Cycles exist if, for example, business process A has entered business process B as its parent ID and business process B has entered business process A as its parent ID. The importer recognizes these cycles, prevents the import and refers to the cycle error.


=== Update business processes ===

If the record ID of the organizational unit is found during the import, no new business process is created, but the existing one is updated. That means: The existing fields of the import file update the already existing fields like description, code, responsible person, or parent record ID. This enables the maintenance of individual business processes or business process structures.

Example:
:It is decided to create a new business process that is parent to already existing business processes. In this case, the already existing business processes can be subordinated to this new business process by changing their parent ID.

=== Template ===
*[[Media:Importvorlage_Geschäftsprozess.xlsx|Template: Importvorlage Geschäftsprozess.xlsx]]


== Import organizational units ==

To import organizational units, the "Organizational unit" type must be selected during import.

There are two options:
* Create new organizational structures
* Update existing organizational structures

For information about responsible persons see [[#ver|User management]].


=== Creation of new organizational units/structures ===

When importing a file, HITGuard uses the data set ID in the import file to check whether it already exists or not. If it does not exist, it is created again.

To create a new organizational unit, you must fill in the mandatory fields
* Record ID ''(system-wide unique identifier)''
* Name
must be available and filled in. Only if this is the case, the import is feasible.

Furthermore the fields
* Code
* Description
* Parent OU record ID ''(system-wide unique identifier)''
* Street
* Postal code
* City
* Country
* Sort order
can be assigned.

If the parent OU record ID is assigned, an organizational unit with this ID must either already exist in HITGuard or be created in this import. Furthermore, no cycles may exist. Cycles exist if, for example, organizational unit A has entered organizational unit B as its parent ID and organizational unit B has entered organizational unit A as its parent ID. The importer recognizes these cycles, prevents the import and refers to the cycle error.


=== Update organizational units/structures ===

If the record ID of the organizational unit is found during the import, no new organizational unit is created, but the existing one is updated. That means: The existing fields of the import file update the already existing fields like e.g. country, address or person in charge. This enables the maintenance of individual organizational units or larger organizational structures.

Example:
:It is decided to create a new department that is superior to already existing organizational units. In this case, the already existing organizational units can be subordinated to this new department by changing their parent ID.

=== Template ===
*[[Media:Importvorlage_OrgEh.xlsx|Template: Importvorlage OrgEh.xlsx]]


== Import measures ==

To import measures, the type "Measure" is selected upon importing.

There are two options:
* Create new measures
* Update existing measures


=== Creation of new measures ===

When importing a file, HITGuard uses the record ID in the import file to check whether it already exists or not. If it does not exist, it is created again.

To create a new measure, the following mandatory fields must be present and filled in:
*Code
*OrgUnit (external ID!)
*Name
*Responsible
*Recognized at
*Record ID
In addition, all prerequisites of the user administration apply if responsible persons are entered (see User administration).
Important: For the organizational unit you need to use its external ID. If you have not yet set this ID, you can do so manually before the import.

Furthermore, the following fields can be added optionally:
*State (0-6, see more information below)
*Description
*Remark
*Budgeted costs
*Actual costs
*Recognized on
*Start date
*Mentioned deadline - Caution: this is a mandatory field if you have configured it under Measures > Settings
*Deadline
*Finished on - Caution: may only be filled in if the measure is imported in the states Completed or Submitted
*Impact - with the names you defined under Measures > Settings
*Effort - with the names you defined under Measures > Settings
*Corrective measure (YES/NO)
*Improvement measure (YES/NO)
*Planned anew (YES/NO)
*Delayed (YES/NO)
*Risk reduction (YES/NO)
*KO-criterion (YES/NO)

The digits 0 to 6 are used for the state of the measure:
::{| class="wikitable"
!0
|Planned
|-
!1
|Open
|-
!2
|Suspended
|-
!3
|Completed (Caution: here the field Completed on must be filled in as well)
|-
!4
|Cancelled
|-
!5
|Submitted (here the field Completed on can be filled in)
|-
!6
|Rejected
|-
|}
Note: If you do not enter anything, state 1 (open) is used by default.


=== Update measures ===

If the record ID of the measure is found during the import, no new measure is created, but the existing one is updated. That is: the existing fields of the import file update the already existing fields.


=== Template ===

*[[Media:Importvorlage_Maßnahmen.xlsx|Template: Importvorlage Maßnahmen.xlsx]]


== Import resources ==

To import resources, the "Resource" type is selected during import.

There are two options:
* Create new resources
* Update existing resources

For information about responsible persons see [[#ver|User management]].


=== Create new resources ===

When importing a file, HITGuard uses the record ID in the import file to check whether it already exists or not. If it does not exist, it is created again.

To create a new resource, you must fill in the mandatory fields
* Record ID ''(system-wide unique identifier)''
* and description
must be available and filled in. In addition, all prerequisites of the user administration apply if responsible persons are entered (see User administration).

Furthermore, the fields:
* Description
* model segment
* RTO
* and RPO
can be assigned. In the model segment, the following values are allowed: "Business Service Level", "Application Level", "IT Infrastructure Level", "OT Infrastructure Level", "Physical Security" and "Process Level". If the field is not assigned, the resources are assigned to the model segment "Application Level". RTO and RPO can be imported either as hours or as minutes; hours and minutes cannot be mixed. In that case, the minutes would overwrite the hours.Example: If I want an RTO of two and a half hours, I can either enter 2.5 hours or 150 minutes. If I enter 2 hours and 30 minutes, only the 30 minutes will be imported.Caution: When mapping the columns you also need to differentiate and decide between hours and minutes. If the field for minutes is available, it will be chosen over the hours, even if it is empty.
[[Datei:Detailansicht_RTORPO_Spaltenzuordnung.png|thumb|900px|left]] 


=== Update resources ===

If the record ID of the resource is found during the import, no new resource is created, but the existing one is updated. That is: the existing fields of the import file update the already existing fields.


=== Template ===

*[[Media:Importvorlage_Ressourcen.xlsx|Template: Importvorlage Ressource.xlsx]]


==Import resource connection==

To import resource connections (meaning an edge, a dependency relationship between two structural elements), the "Resource connection" type is selected during import.
There are two options:
* Create new resource connections
* Update existing resource connections


===Create new resource connections===

To create a new resource connection, the mandatory fields
* External ID of the source ''(system-wide unique identification)''
* External ID of the target ''(system-wide unique identification)''
* Type source
* Type target
must be present and filled in.

Furthermore, the fields:
* Protection target and
* Dependency weighting
can be assigned.

Connections can be created between different resources, between organizational units and resources, processes and resources, data categories and resources, and suppliers and resources, in both directions.

The following rules apply in the assigning and weighing of protection targets:
* Neither protection target nor dependency weighting stated: all protection targets of the management system are created with 100%.
* Only protection target: the named protection target is created with a weighting of 100%.
* Only dependency weighting: all protection targets of the management system are created with this weighting.
* Protection target and dependency weighting: the named protection target is created with this weighting.

Note: If there already exists a connection created from a protection needs analysis, the new connection is imported but the connection from the protection needs analysis is not overwritten. If you delete the protection needs analysis, the imported connection becomes visible.
Note: If there are multiple entries with the same external ID source and external ID target and the same protection target, the last entry is always considered. 
::Example: 
::Row 1: Source_1, Target_1, resource, resource → sets all protection targets to 100%
::Row 2: Source_1, Target_1, resource, resource, confidentiality, 50 → sets the protection target "confidentiality" to 50%
::Result sof the import → confidentiality is 50%, all other protection targets are 100% for the connection between Source_1 and Target_1.


===Update resource connections===

If during the import the external ID of the source and the target are found in the same combination, no new resource connection is created but the existing one is updated instead. This means: the existing fields of the import file update the already existing fields.
Here, too, edges from protection needs analyses are not overwritten.


===Template===

*[[Medium:Importvorlage_Ressourcenverbindung.xlsx|Import template resource connection.xlsx]]


==Import suppliers==

To import suppliers, the "Supplier" type is selected during import.

There are two options:
* Create new suppliers
* Update existing suppliers


===Create new suppliers===

When importing a file, HITGuard uses the record ID in the import file to check whether it already exists anywhere in the HITGuard instance (across management systems) or not. If it does not exist, it is created again.

To create a new resource, you must fill in the mandatory fields
*Record ID (unique identifier across management systems)
*Name.
Only if this is the case, the file can be imported.

Furthermore, the fields
*Code
*Expiration date
*Deactivated (x for yes, empty for no; true/false)
*External metric
*Justification
*Street
*Post code
*City
*County
*Country
*E-mail
*Telephone
*Homepage
can be present and filled in.


===Update suppliers===

If the record ID of the supplier is found during the import, no new supplier is created, but the existing one is updated. That means: The existing fields of the import file update the already existing fields such as name, description, expiration date, etc. This enables the maintenance of individual suppliers.


===Template===

*[[Media:Importvorlage_Lieferanten_(1).xlsx|Template: Importvorlage Lieferanten.xlsx]]


== Import knowledge base (KB) elements ==

The importer offers the possibility to import measures, controls, topics, review questions, and/or justification templates into an existing knowledge base. For this purpose, the type "WDB" is selected for the importer. Then, the knowledge base into which the measures, controls, topics, review questions, or justification templates are to be imported is specified. This must be a knowledge base that has not been published.

In order to import measures, controls, topics, review questions, and/or justification templates, the fields
* Title
* Record ID ''(unique identifier)''
must be assigned.

Caution: If the record ID already exists in the KB, no new record is created, but the old one is updated.

Furthermore, in all tabs there are the fields:
* Outline
* Description
* Status: ''(Date value)''

In the Question tab, there are also the fields:
* Question
* Type of question: This defines the type of the review question. Allowed values of the field are: "process question" or "technical question" or "information gathering". Process questions can be answered with a score from 1-5 according to the evaluation schema, technical questions with Yes/No/Partial, and information gatherings are answered by filling in the comment and/or uploading an attachment. If the column is not filled, all review questions will be imported as technical questions.
* linked topics ''(Record ID)''

In the Topic tab, there are also the fields:
* superordinate topic ''(Record ID)''
* linked review questions ''(Record ID)''

'''Note:''' For an import, columns from all tabs do not have to be assigned. So you can import topics, review questions, measures, controls, or justification templates separately.

'''Note:''' Topics and review questions that are then to be linked can be imported in the same Excel file. But you also have the option of importing linkages for topics/review questions that you have already imported or manually created before.

'''Note:''' Multiple record IDs separated by commas can be put into the fields linked review questions to topics and linked topics to review questions. This can be done with or without a space before/after the comma. Example: PF01, PF02, PF03.


=== Templates ===

*[[Medium:Importvorlage WDB Thema.xlsx|Template: Importvorlage WDB Thema.xslx]]
*[[Media:Importvorlage_WDB_Prüffrage.xlsx|Template: Importvorlage WDB Prüffrage.xslx]]
*[[Media:Importvorlage_WDB_Maßnahme.xlsx|Template: Importvorlage WDB Maßnahme.xslx]]
*[[Media:Importvorlage_WDB_Kontrolle.xlsx|Template: Importvorlage WDB Kontrolle.xslx]]
*[[Medium:Importvorlage WDB T-PF-M-K.xlsx|Template: Importvorlage WDB Thema, Prüffrage, Maßnahme und Kontrolle.xslx]]


== User management ==

To import users, the "User" type must be selected during import.

There are two options:
* Create new user
* Update existing users

Users can be imported with the importer. When importing organizational units, data categories and resources, a responsible person can optionally be specified, which is then assigned or created and assigned.

If only the user name is specified in the course of the import of a structural element, the responsible person is assigned, but not modified. Therefore, the user must already exist. In the "Responsible" tab, all fields except for the user name can be ignored in this case.

===Create a new user with the importer===
When importing a file, HITGuard uses the data set ID in the import file to check whether it already exists anywhere in the HITGuard instance (system-wide) or not. If it does not exist, it is created again.

To create a new user, the following mandatory fields
*Username ''(system-wide unique identifier)
* E-mail address
* Password
* First name
*Last name
must be available and filled in. Only if this is the case, the import is possible.


=== Creation of a new user in the course of another import ===

If a responsible person is entered during import that has not yet been created in HITGuard, there are two variants of how HITGuard handles this:
# Active Directory Integration is disabled:
#:
#: The user is created completely new, so that this can be performed, the mandatory fields of the responsible person must be present and entered in the import file. These are:
#::* Username
#::* E-mail
#::* Password (between 12 and 20 characters, with at least 3 of the 4 criteria special characters, upper case, lower case and digits)
#: [[Datei:Verantwortlichen import 1.png|left|thumb|900px|mandatory fields when creating a new user]] 
# Active Directory integration is enabled:
#:
#: If Active Directory Integration is enabled, only users that exist in Active Directory can be created. However, the first name, last name and email fields can still be assigned. This means that it is possible to change the user's data during import and thus add or correct any errors or information from the Active Directory that is not maintained in HITGuard.


=== Update users ===

It is possible to update users with the help of the importer. This is useful, for example, if the e-mail or last name of a user changes. The importer checks at each import, if a user is entered, if additional fields like e-mail, last name, etc. exist in the import file, if yes, the content of these fields will be updated with the new content.

This makes it possible to keep information in HITGuard about users that do not exist or are not maintained in the Active Directory. It should be noted that HITGuard does not update the Active Directory!

'''Caution:''' The AD integration must be deactivated for the update of users with their own data import.


==== Deactivated users ====

If a deactivated user is entered or updated as the responsible person during an update, this user is not activated as a result, i.e. he does not change status. However, he will be updated and entered as the responsible person.

=== Template ===
*[[Medium:Importvorlage Benutzer.xlsx|Template: Importvorlage Benutzer.xlsx]]


== Structure of an import file ==

The importer supports two format types:
* CSV
* Excel files

=== Excel ===

The structure of an Excel file consists of a table in which all relevant data is represented as a column in a table. Each row corresponds, e.g., to a new organizational unit or other structure to be imported. During import, depending on the structure, the first row can or must be skipped if this row is the column header.

[[Datei:Excel org import example.PNG|left|thumb|900px|Example of an Excel import]]
 

=== CSV ===

The structure of a CSV file usually consists of one line, in which the column headings are separated by semicolons. Each additional line contains information about the structure to be imported. It is important that each line has the same number of columns (i.e. the same number of semicolons). Depending on the structure, the first line can or must be skipped during the import if this line contains the column headings.

[[Datei:Csv org import example.PNG|left|thumb|701px|Example of CSV import]]
 

=== HTML-formatting in the import ===
A few fields you can import as an Excel or CSV are HTML-fields in the application, meaning you can format them. You have the option of already adding this formatting in the import by using html-codes. This applies to, for example, the question section of review questions in knowledge bases, or the description fields of measures or risks.A few formatting examples:

{| class="wikitable"
!HTML-code
!Output
|-
|<pre><ul><li>Item 1</li><li>Item 2</li></ul></pre>
|<ul><li>Creates a</li><li>bullet list.</li></ul> Important: In a list of this kind you must not use line breaks in the Excel/CSV, as this will lead to empty lines in the result.
|-
|<pre>Line 1 Line 2</pre>
|Adds a simple line break.
|-
|<pre>bold</pre>
|Formats the text as bold.
|-
|<pre>italic</pre>
|Formats the text as italic.
|-
|<pre>unterlined</pre>
|Formats the text as unterlined.
|-
|<pre><s>struck through</s></pre>
|Formats the text as <s>struck through</s>.
|-
|}

You can also use an online HTML editor, format your text there, and then copy the result, meaning the code, into the Excel or CSV. Remember to remove any line breaks here.

Translations:Datenimport/81/en

2026-01-19T12:06:25Z

Isan: Übersetzungseinheit als nicht mehr veraltet markiert, ohne Änderungen

Users can be imported with the importer. When importing organizational units, data categories and resources, a responsible person can optionally be specified, which is then assigned or created and assigned.

Berichte für Maßnahmen/en

2026-01-19T12:06:07Z

Isan:

HITGuard offers the possibility to generate reports for measures under "Measures → Reports".
[[Datei:B__Massnahmen.png|left|thumb|900px|Reports]] 

To create a report, first choose a type of report. Subsequently, choose which data to include in the report (e.g. risks or reviews). Most reports also have additional report options which allow further specification of the report's contents.Knowledge bases can be made available in different languages due to stored translations for used knowledge bases. For example, to generate a report with the English texts, the language must be changed using the flag icon at the top right of the screen, next to the logout button. This will load all content for the reports in the desired language, provided that a translation in that language is available for the knowledge base.Download options: The reports are available for download as PDF or DOCX files. Click the pink button to generate and download a report. Then, choose whether the report should be downloaded as a PDF or DOCX.Additionally, there is the option to generate and archive the reports including revision information. In doing this, the report can be viewed, generated anew, or downloaded again by an expert under "Administration → Report archive". More information about this can be found under [[Special:MyLanguage/Berichtsarchiv | "Administration → Report archive"]].When generating reports with revision information in the archive, there is also the option to send the report by e-mail to various recipients right away. More information about this can be found in the report archive and under [[Special:MyLanguage/Berichtsarchiv | "Administration → Report archive"]].Remembering report options:Some of the report options can be found for various reports. For these, the selected options are remembered within the management system and for the individual user, and then also applied for other reports with that same option. For example, if the option "Table of contents" is selected, then it will already be selected when accessing any other report pages that use this option.Licenses:If no valid license for HITGuard is available, this will be displayed in the footer of the report! To change this, an expert or administrator has to request/upload a license under [[Special:MyLanguage/Lizenzierung | "Administration → Licensing"]].The following reports are offered in the measures section of HITGuard:

=== Measure report for standard/norm ===
This report lists the linked measures for a selected standard/norm.
Measure report to standard/norm example: [[Media:Maßnahmenbericht_zu_StaNo_Beispiel.pdf|Measure report to standard/norm]]

{| class="wikitable"
! colspan="2" | Report options
|-
!Selection of the analysis period
|This option determines which analysis period the report elements come from.
|-
!Table of contents
|This option determines whether a table of contents is included in the report.
|-
!Progress overview
|Includes the progress overview for each measure in the report.
|-
!Progress protocol
|Includes the progress protocol for each measure in the report.
|-
!Remarks
|Determines whether the measure remarks are included in the report.
|-
!Include not applicable chapters in the statistics
|Determines whether chapters marked as not applicable in the management system are considered in the report.
|-
!Appendix with explanations
|Adds an appendix with different explanatory texts.
|-
|}

[[Datei:Berichte Maßnahmenbericht zu Standard.png|left|thumb|900px|Create measure report for standard/norm]] 

===Measure report===
This report shows details for one or more selected measures.
Example measure report: [[Media:Maßnahmenbericht.pdf | Measures with progress overview and protocol (DE)]]
{| class="wikitable"
! colspan="2" | Report options
|-
!Selection of the analysis period
|This option determines which analysis period the report elements come from. It modifies the available measures in the selection list.
|-
!Table of contents
|This option determines whether a table of contents is included in the report.
|-
!Progress overview
|Includes the progress overview for each measure in the report.
|-
!Progress protocol
|Includes the progress protocol for each measure in the report.
|-
!Remarks
|Determines whether the measure remarks are included in the report.
|-
!List attachments/evidences
|Prints the file names of attachments/evidences in the report.
|-
!Attachments/evidences as zip-file
|The report is downloaded in a zip-folder along with any attachments/evidences. Links are listed in a .txt file.
|-
!Appendix with explanations
|Adds an appendix with different explanatory texts.
|-
|}
[[Datei:Berichtseite_Maßnahmen.png|left|thumb|901px|Create measure report]] 

===Progress report===
On this page you can create, view, and download reports for measures within a specific analysis period for selected organizational units.The reports offer an evaluation of the measures and the project progress. The evaluation of the measures deals with their criticality and recommends an implementation timeframe on the basis of that. The evaluation of the project progress shows, using traffic light colors, the evaluation of the progress of individual measures and the project as a whole. Completed measures are displayed as crossed out text in this report, suspended ones in italics.Reports already created are listed to the left. A click on such an entry shows the report's revision information and it can be generated anew, if any modification is necessary. Clicking the blue name in the list opens an online preview of the report. If the name is blac, the report was prepared but not yet generated. Clicking the download symbol downloads a generated report.

[[Datei:Maßnahmen Berichte.png|left|thumb|900px|Measure reports]] 

In the tab Data selection, you can configure which organizational units are to be included in the report. The list "Included OUs" shows all organizational units that are currently considered for the report. The list "Current OUs" shows all organizational units that are available in the current analysis period of the active management system. Current OrgUnits that are not yet selected, can be added to to the included OUs via drag & drop.

[[Datei:Maßnahmen Berichte Datenselektion.png|left|thumb|900px|Data selection]] 

==== Evaluation systematics ====
The following evaluation systematics are applied in the detail report for measures and also added to the report as an appendix.

Evaluation of the measures Every measure is evaluated as to its criticality. How critical a measure is depends on the potential damage of the recognized vulnerability and the probability of occurrence of the event. The criticality of the measure results in the urgency of that vulnerability's correction.Measure criticality The criticality of a measure depends on the affected IT system and the data related to that. This can be ascertained by means of the business impact analysis and risk analyses carried out. If there is no such analysis for the affected serice, the following consideration is to be made:
# If the measure affects IT core services (such as, e.g., the network, the firewall, e-mail services or even physical security such as access to the server room), then the criticality level HIGH is to always be assumed.
# For all IT services not covered by point 1), the following deliberation is to be made:
#* The threat potential is LOW, if
#** monetary damages of up to EUR 300K for the company are possible,
#** an image loss of partially external ramification could occur,
#** the physical integrity of persons cannot be guaranteed, even if the occurrence is unlikely.
#* The threat potential is MEDIUM, if
#** monetary damages from over EUR 300K to up to EUR 5 million for the company are possible,
#** an image loss with customers and partners could occur, that would have to be compensated with mid-term measures,
#** the physical integrity of persons cannot be guaranteed, and the occurrence is not unlikely.
#* The threat potential is HIGH, if
#** monetary damages of over EUR 5 million for a company are possible,
#** negative media coverage cannot be ruled out (with unavoidable mid- to long-term consequences),
#** there is definitely danger to the life and limb of persons.
# If no associated risk analysis is available, the probability of occurrence of the threat must also be considered. If the probability of occurrence of the risk is estimated to be very unlikely (or would have to be triggered by a chain of events) or compensating measures for the reduction of the risk have already been taken, then the risk level can be reduced. If a vulnerability can be exploited externally, the risk level may not be reduced.

Recommended implementation timeframe The criticality of the measure informs the resulting proposed start date for the implementation of the measure.
# HIGH: immediately after conveying the audit findings
# MEDIUM: 1 to at most 2 months after conveying the audit findings
# LOW: 2 to at the most 4s months after conveying the audit findings

KO measures always count as HIGH and are those that must be implemented immediately as the vulnerabilities are linked to a very high attack potential.Of course, not the same effort can be assumed for the implementation of every measure. Projects are therefore classified as follows, depending on their planned duration and the estimated project days:
# SMALL: <1 month duration; <= 2 PD effort
# MEDIUM: <3 months duration; <= 10 PD effort
# LARGE: >3 months duration; > 10 PD effort
Therefore, only a recommended timeframe is given here.
Considering the factors criticality and effort, the following maximum reocmmended implementation timeframe is given:
{| class="wikitable"
|-
!
!colspan="3" | Effort
|-
! Criticality !! LARGE !! MEDIUM !! SMALL
|-
| LOW || 4 months + project effort || 7 months || 5 months
|-
| MEDIUM || 2 months + project effort || 5 months || 3 months
|-
| HIGH || project effort || 3 months || 1 month
|}

In projects with a large effort, it should be ensured that short-term risk-reducing measures are implemented at the start of the project in any case. The project duration of any following long-term solution is then to be planned considering the economic factors of the project and the economic situation of the company as a whole.
Evaluation of the project progress
Evaluation of the progress of individual measures 
So long as a task is within its defined period, the traffic light showing the project progress is green. When a measure is counted as overdue for the first time, the light becomes yellow. If in the next reporting period the task is still not finished, the light turns red and stays red for as long as it takes to implement the measure or until a follow-up audit resets the evaluation of the project progress. New implementation dates can be agreed in this audit. The "Recognized at"-date, however, always shows when a measure was first opened.
Evaluation of the progress in the project as a whole 
The progress of the project as a whole is also evaluated via traffic light colors.
* NONE
** If 0 findings have been reported as finished in the current reporting period.CAUTION: If “None” is written in red instead of black, this means that there is an impending delay regarding the implementation of findings. Otherwise, it can also mean that measures are being worked on at the moment, but due to their high-effort nature they simply take longer.
* LOW
** If less than or exactly 10% of findings have been reported as completed in the current reporting period and/or
** more than 33% of findings are overdue.
* MEDIUM
** If more than 10% but less than or exactly 20% of findings have been reported as completed in the current reporting period and/or
** more than 20% but less than 33% of findings are overdue.
* HIGH
** If more than 20% of findings have been reported as completed in the current reporting period and/or
** no more than 20% of findings are overdue.

Completed/Suspended measures
A crossed out line is a task that is finished in the current analysis period and will not show up in the next report. A line in italics is a task suspended with justification.

Translations:Berichte für Maßnahmen/177/en

2026-01-19T12:05:56Z

Isan:

===Measure report===
This report shows details for one or more selected measures.
Example measure report: [[Media:Maßnahmenbericht.pdf | Measures with progress overview and protocol (DE)]]
{| class="wikitable"
! colspan="2" | Report options
|-
!Selection of the analysis period
|This option determines which analysis period the report elements come from. It modifies the available measures in the selection list.
|-
!Table of contents
|This option determines whether a table of contents is included in the report.
|-
!Progress overview
|Includes the progress overview for each measure in the report.
|-
!Progress protocol
|Includes the progress protocol for each measure in the report.
|-
!Remarks
|Determines whether the measure remarks are included in the report.
|-
!List attachments/evidences
|Prints the file names of attachments/evidences in the report.
|-
!Attachments/evidences as zip-file
|The report is downloaded in a zip-folder along with any attachments/evidences. Links are listed in a .txt file.
|-
!Appendix with explanations
|Adds an appendix with different explanatory texts.
|-
|}
[[Datei:Berichtseite_Maßnahmen.png|left|thumb|901px|Create measure report]]

Berichte für Maßnahmen/en

2026-01-19T12:05:22Z

Isan:

HITGuard offers the possibility to generate reports for measures under "Measures → Reports".
[[Datei:B__Massnahmen.png|left|thumb|900px|Reports]] 

To create a report, first choose a type of report. Subsequently, choose which data to include in the report (e.g. risks or reviews). Most reports also have additional report options which allow further specification of the report's contents.Knowledge bases can be made available in different languages due to stored translations for used knowledge bases. For example, to generate a report with the English texts, the language must be changed using the flag icon at the top right of the screen, next to the logout button. This will load all content for the reports in the desired language, provided that a translation in that language is available for the knowledge base.Download options: The reports are available for download as PDF or DOCX files. Click the pink button to generate and download a report. Then, choose whether the report should be downloaded as a PDF or DOCX.Additionally, there is the option to generate and archive the reports including revision information. In doing this, the report can be viewed, generated anew, or downloaded again by an expert under "Administration → Report archive". More information about this can be found under [[Special:MyLanguage/Berichtsarchiv | "Administration → Report archive"]].When generating reports with revision information in the archive, there is also the option to send the report by e-mail to various recipients right away. More information about this can be found in the report archive and under [[Special:MyLanguage/Berichtsarchiv | "Administration → Report archive"]].Remembering report options:Some of the report options can be found for various reports. For these, the selected options are remembered within the management system and for the individual user, and then also applied for other reports with that same option. For example, if the option "Table of contents" is selected, then it will already be selected when accessing any other report pages that use this option.Licenses:If no valid license for HITGuard is available, this will be displayed in the footer of the report! To change this, an expert or administrator has to request/upload a license under [[Special:MyLanguage/Lizenzierung | "Administration → Licensing"]].The following reports are offered in the measures section of HITGuard:

=== Measure report for standard/norm ===
This report lists the linked measures for a selected standard/norm.
Measure report to standard/norm example: [[Media:Maßnahmenbericht_zu_StaNo_Beispiel.pdf|Measure report to standard/norm]]

{| class="wikitable"
! colspan="2" | Report options
|-
!Selection of the analysis period
|This option determines which analysis period the report elements come from.
|-
!Table of contents
|This option determines whether a table of contents is included in the report.
|-
!Progress overview
|Includes the progress overview for each measure in the report.
|-
!Progress protocol
|Includes the progress protocol for each measure in the report.
|-
!Remarks
|Determines whether the measure remarks are included in the report.
|-
!Include not applicable chapters in the statistics
|Determines whether chapters marked as not applicable in the management system are considered in the report.
|-
!Appendix with explanations
|Adds an appendix with different explanatory texts.
|-
|}

[[Datei:Berichte Maßnahmenbericht zu Standard.png|left|thumb|900px|Create measure report for standard/norm]] 

<div class="mw-translate-fuzzy">
===Measure report===
This report shows details for one or more selected measures.
Example measure report: [[Media:Maßnahmenbericht.pdf | Measures with progress overview and protocol (DE)]]
{| class="wikitable"
! colspan="2" | Report options
|-
!Selection of the analysis period
|This option determines which analysis period the report elements come from.
|-
!Table of contents
|This option determines whether a table of contents is included in the report.
|-
!Progress overview
|Includes the progress overview for each measure in the report.
|-
!Progress protocol
|Includes the progress protocol for each measure in the report.
|-
!Remarks
|Determines whether the measure remarks are included in the report.
|-
!List attachments/evidences
|Prints the file names of attachments/evidences in the report..
|-
!Attachments/evidences as zip-file
|The report is downloaded in a zip-folder along with any attachments/evidences.
|-
!Appendix with explanations
|Adds an appendix with different explanatory texts.
|-
|}
[[Datei:Berichtseite_Maßnahmen.png|left|thumb|901px|Create measure report]] 
</div>

===Progress report===
On this page you can create, view, and download reports for measures within a specific analysis period for selected organizational units.The reports offer an evaluation of the measures and the project progress. The evaluation of the measures deals with their criticality and recommends an implementation timeframe on the basis of that. The evaluation of the project progress shows, using traffic light colors, the evaluation of the progress of individual measures and the project as a whole. Completed measures are displayed as crossed out text in this report, suspended ones in italics.Reports already created are listed to the left. A click on such an entry shows the report's revision information and it can be generated anew, if any modification is necessary. Clicking the blue name in the list opens an online preview of the report. If the name is blac, the report was prepared but not yet generated. Clicking the download symbol downloads a generated report.

[[Datei:Maßnahmen Berichte.png|left|thumb|900px|Measure reports]] 

In the tab Data selection, you can configure which organizational units are to be included in the report. The list "Included OUs" shows all organizational units that are currently considered for the report. The list "Current OUs" shows all organizational units that are available in the current analysis period of the active management system. Current OrgUnits that are not yet selected, can be added to to the included OUs via drag & drop.

[[Datei:Maßnahmen Berichte Datenselektion.png|left|thumb|900px|Data selection]] 

==== Evaluation systematics ====
The following evaluation systematics are applied in the detail report for measures and also added to the report as an appendix.

Evaluation of the measures Every measure is evaluated as to its criticality. How critical a measure is depends on the potential damage of the recognized vulnerability and the probability of occurrence of the event. The criticality of the measure results in the urgency of that vulnerability's correction.Measure criticality The criticality of a measure depends on the affected IT system and the data related to that. This can be ascertained by means of the business impact analysis and risk analyses carried out. If there is no such analysis for the affected serice, the following consideration is to be made:
# If the measure affects IT core services (such as, e.g., the network, the firewall, e-mail services or even physical security such as access to the server room), then the criticality level HIGH is to always be assumed.
# For all IT services not covered by point 1), the following deliberation is to be made:
#* The threat potential is LOW, if
#** monetary damages of up to EUR 300K for the company are possible,
#** an image loss of partially external ramification could occur,
#** the physical integrity of persons cannot be guaranteed, even if the occurrence is unlikely.
#* The threat potential is MEDIUM, if
#** monetary damages from over EUR 300K to up to EUR 5 million for the company are possible,
#** an image loss with customers and partners could occur, that would have to be compensated with mid-term measures,
#** the physical integrity of persons cannot be guaranteed, and the occurrence is not unlikely.
#* The threat potential is HIGH, if
#** monetary damages of over EUR 5 million for a company are possible,
#** negative media coverage cannot be ruled out (with unavoidable mid- to long-term consequences),
#** there is definitely danger to the life and limb of persons.
# If no associated risk analysis is available, the probability of occurrence of the threat must also be considered. If the probability of occurrence of the risk is estimated to be very unlikely (or would have to be triggered by a chain of events) or compensating measures for the reduction of the risk have already been taken, then the risk level can be reduced. If a vulnerability can be exploited externally, the risk level may not be reduced.

Recommended implementation timeframe The criticality of the measure informs the resulting proposed start date for the implementation of the measure.
# HIGH: immediately after conveying the audit findings
# MEDIUM: 1 to at most 2 months after conveying the audit findings
# LOW: 2 to at the most 4s months after conveying the audit findings

KO measures always count as HIGH and are those that must be implemented immediately as the vulnerabilities are linked to a very high attack potential.Of course, not the same effort can be assumed for the implementation of every measure. Projects are therefore classified as follows, depending on their planned duration and the estimated project days:
# SMALL: <1 month duration; <= 2 PD effort
# MEDIUM: <3 months duration; <= 10 PD effort
# LARGE: >3 months duration; > 10 PD effort
Therefore, only a recommended timeframe is given here.
Considering the factors criticality and effort, the following maximum reocmmended implementation timeframe is given:
{| class="wikitable"
|-
!
!colspan="3" | Effort
|-
! Criticality !! LARGE !! MEDIUM !! SMALL
|-
| LOW || 4 months + project effort || 7 months || 5 months
|-
| MEDIUM || 2 months + project effort || 5 months || 3 months
|-
| HIGH || project effort || 3 months || 1 month
|}

In projects with a large effort, it should be ensured that short-term risk-reducing measures are implemented at the start of the project in any case. The project duration of any following long-term solution is then to be planned considering the economic factors of the project and the economic situation of the company as a whole.
Evaluation of the project progress
Evaluation of the progress of individual measures 
So long as a task is within its defined period, the traffic light showing the project progress is green. When a measure is counted as overdue for the first time, the light becomes yellow. If in the next reporting period the task is still not finished, the light turns red and stays red for as long as it takes to implement the measure or until a follow-up audit resets the evaluation of the project progress. New implementation dates can be agreed in this audit. The "Recognized at"-date, however, always shows when a measure was first opened.
Evaluation of the progress in the project as a whole 
The progress of the project as a whole is also evaluated via traffic light colors.
* NONE
** If 0 findings have been reported as finished in the current reporting period.CAUTION: If “None” is written in red instead of black, this means that there is an impending delay regarding the implementation of findings. Otherwise, it can also mean that measures are being worked on at the moment, but due to their high-effort nature they simply take longer.
* LOW
** If less than or exactly 10% of findings have been reported as completed in the current reporting period and/or
** more than 33% of findings are overdue.
* MEDIUM
** If more than 10% but less than or exactly 20% of findings have been reported as completed in the current reporting period and/or
** more than 20% but less than 33% of findings are overdue.
* HIGH
** If more than 20% of findings have been reported as completed in the current reporting period and/or
** no more than 20% of findings are overdue.

Completed/Suspended measures
A crossed out line is a task that is finished in the current analysis period and will not show up in the next report. A line in italics is a task suspended with justification.

Translations:Berichte für Maßnahmen/175/en

2026-01-19T12:04:52Z

Isan:

=== Measure report for standard/norm ===
This report lists the linked measures for a selected standard/norm.
Measure report to standard/norm example: [[Media:Maßnahmenbericht_zu_StaNo_Beispiel.pdf|Measure report to standard/norm]]

Benutzer und Benutzerrollen/en

2026-01-19T12:04:38Z

Isan:

== User-roles in HITGuard ==

Each user role has its own permissions and functions. 
User roles can be given separately for every module. The only exception is the Practitioner, as this role is the same across every module.
This means that a user can be an Expert in the Security Assessor (risk management), but a Professional or Practitioner in the Progress Monitor (measures and controls).

=== Admin ===

This role is responsible for administration as well as for managing other users. Administrators have no insight into data. So, although administrators can manage and create '''all''' management systems, they do not have access to their data, nor can they be defined as responsible persons.
* At the first installation of the software, at least one administrator must be defined.
* There can be several administrators.
* Performs purely administrative tasks like creating users and configuring an Active Directory.

=== Expert ===

This role may participate in one or more [[Special:MyLanguage/Managementsysteme|management systems]] in your organization.
* Risk management:
** An Expert can perform analyses and create risks.
** Experts are responsible for the administration of the risk policy and the risk management settings.
* Audit management
** An Expert can create, manage and perform audits/audit programs.
** Experts are responsible for the administration of audit management settings.
* Measures and controls
** An Expert can create and manage measures and controls.
** Experts are responsible for the administration of the settings in the Progress Monitor.
* Data protection
** An Expert can create processing activities, assign TOMs, manage external parties and data subjects.
* Case management
** An Expert can process reports and create and manage periods.
** Experts are responsible for case management settings.
* Docu management
** An Expert can create and edit directories.
** An Expert can upload and edit files.
*ESG management
** An Expert an activate and deactivate the menu item.
** An Expert can create and manage impacts and ESG topics.
*Supplier risk management
** An Expert can activate and deactivate the menu item.
** An Expert can create and manage suppliers.
* Experts can create and manage management systems.
* Experts can access the Administration menu and thus also create assets or users.

=== Professional ===

Users of this role support the experts of the management systems in the fulfillment of their tasks. A professional has access to all tasks in the management systems they are assigned to, but has limited editing rights.
* Risk management:
** A Professional can create and manage analyses and risks.
* Audit management
** A Professional can create, manage and perform audits/audit programs.
* Measures and controls.
** They can create and manage measures and controls.
* Data Protection
** A Professional can create processing activities, assign TOMs, and manage externals.
* Case Management
** A Professional can process reports and assign periods.
* Doc-management
** A Professional can create and edit directories.
** A Professional can upload and edit files.
* ESG management
** A Professional can create and manage impacts and ESG topics.
*Supplier risk management
**A Professional can assign a review to a supplier as the interview partner.


=== Observer ===

Users of this role have similar permissions as professionals with regard to the visibility of menu items. However, unlike professionals, they cannot make any changes to the system. They have read-only access to the software. To gain visibility into a management system, they must be added to the management system team like a professional or expert.
* Risk Management:
** An Observer can view protection needs and vulnerability assessments, risks, measures, and dashboards, and generate reports.
* Audit Management.
** An Observer can view audits and audit programs.
* Measures
** An Observer can view measures, reports, assessments, and dashboards.
* Controls
** An Observer can view controls, reports, and the dashboard.
* Data protection
** An Observer can view processing activities and generate reports. TOMs and externals can be viewed without details. Data privacy impact assessments cannot be viewed.
* Case management
** An Observer can view reports and periods.
* Doc-management
** An Observer can view directories and files.
* ESG management
** An Observer can view impacts and ESG topics.


=== Practitioner (workflow users) ===

This role has detailed information and implementation competencies that are required in the management system. It is essential that Practitioners share their knowledge with the HITGuard Experts in order to have a functioning management system.
* The Practitioner has an overview of all their assigned measures, controls, processing activities and assessments to answer.
* The Practitioner is reminded to carry out their duties.
* Practitioner is the default role that each user has across all modules.


== User Administration ==

[[Datei:Benutzer anlegen.PNG|thumb|right|500px|600px|Create user]]

=== Create user ===
There are three possibilities to create a user
* Option 1: Create a user via the user list (for local logins without Active Directory).
: Administration → Users: In the user list, on the right margin, click on the button "Plus" to add a user. Then you can create the user with the relevant data. 
: Note on the interface: "Search in directory service", is only displayed if LDAP is enabled in the global settings and an Active Directory is configured. This allows users to be searched from Active Directory and created with their data in HITGuard.
: Note for Azure Active Directory (AAD): Users that were already created before LDAP activation can be linked to their Azure Active Directory account afterwards. This allows to use Single-Sign-On (SSO). This can be done by each user under their profile. (see [[Special:MyLanguage/Profile|Profile]]) Administrators can also load current data from the AAD using a button to the right of the user name. This replaces different information from HITGuard. For this, however, the user must already be linked to an AAD account.
* Option 2: Quick entry
: In the context of use, [[Special:MyLanguage/Global_Settings#ldap|Active Directory]] Integration, a new user with minimal permissions for the active module can be created via a person selection screen. To use this, type the person's name or abbreviation in a user selection box. This will load the user from the Active Directory. This user can then log in with his Active Directory data. The user roles can be expanded later, if desired.

* Option 3: Using an Active Directory
: This is only possible if an [[Special:MyLanguage/Login_Möglichkeiten|Active Directory]] is configured. First, a user must be created as described in point 1. The specified e-mail must match that of their Active Directory user. Then the user can log in with their Active Directory user, if this is enabled in the global settings.


=== Assign user roles ===

Under "Administration → User roles" it is possible to assign the respective roles for the desired user.

Licenses:

The column headings Experts and Professionals also show how many licenses are currently available and how many are being used. This allows you to see at a glance where you are over-licensed or under-licensed. More information about licenses can be found at [[Special:MyLanguage/Lizenzierung | "Administration → Licensing"]].

Assign:

User roles can only be assigned by administrators or experts.

*Administrators can assign any role.
*Experts can assign all roles except Administrator and Compliance Manager.
*The role "Expert" cannot be withdrawn from persons responsible for a management system as long as they are responsible for at least one management system.

Important: Experts and professionals must be assigned to a management system after user role assignment in order to be able to perform their tasks.
[[Datei:Benutzerrollen Zuordnung.png|left|thumb|901px|User role assignment]] 
{| class="wikitable"
! colspan="3" | Modules for experts, professionals, und observers
|-
!M&C
|Measures and controls
|part of every license
|-
!RM
|Risk management
|part of every license
|-
!DS
|Data protection
|Add-on
|-
!AM
|Audit management
|Add-on
|-
!FM
|Case management
|Add-on
|-
!DM
|Doc-Management
|Add-on
|-
!ESG
|ESG management
|Add-on
|-
!SRM
|Supplier risk management
|Add-on
|}

=== Change/reset password ===
Caution: Changing a password only works if the local login is active. That means: either there is no Active Directory configured or Local Login is enabled under Global Settings.
Change own password:
# Click on the profile picture or profile name → Profile.
# click on "Change password" at the bottom right
# Enter old and new password and confirm
Change/reset a password as Administrator or Expert:
# Select the desired user under Administration → User
# click on "Change password" at the bottom right
# enter new password and confirm
: Note: Only administrators can reset passwords of experts. Experts can create and authorize users and they can reset passwords for Professionals and Practitioners. The administrator role can also be assigned to multiple users.


=== Disable user ===

Experts and administrators can deactivate users via the user mask. A deactivated user can no longer be selected in the application.

In order for a user to be deactivated, all of the user's management system and team memberships do not need to first be canceled. The user is shown as "deactivated" in any management systems and teams they were already a member of.

When deactivating, there is the option to anonymize the user in the system.

Caution: The anonymization removes all personal data of the user. This can no longer be undone! If "No" is selected in the deactivation dialog, the user is deactivated but not anonymized. 
 
Alternatively to anonymization, an expert or administrator can pseudonymize the user when deactivating them. This is done by manually changing their username, first and last name, and e-mail address according to a determined logic.

[[Datei:Profilbild zurücksetzten.png|right|thumb|400px|Reset profile picture]]


=== Reset profile picture ===

Experts and administrators can reset a user's profile picture by clicking the icon next to the profile picture.

Translations:Benutzer und Benutzerrollen/21/en

2026-01-19T12:04:34Z

Isan: Übersetzungseinheit als nicht mehr veraltet markiert, ohne Änderungen

Under "Administration → User roles" it is possible to assign the respective roles for the desired user.