HITGuard User Guide - Benutzerbeiträge [de]

Berichte für das Risikomanagement

2021-03-07T09:29:17Z

Sala:

<translate>

HITGuard bietet unter "Risikomanagement → Berichte" die Möglichkeit verschiedenste Berichte für das Risikomanagement zu generieren.

[[Datei:RM Berichtauswahl allgemein.png|left|thumb|900px|Berichtauswahl]]
 

Um einen Bericht zu erstellen, entscheidet man sich zuerst für einen Berichttyp. Anschließend wird noch ausgewählt, zu welchen Daten der Bericht generiert wird (z.B. Gefährdungslagen oder Audit). Die meisten Berichte verfügen zusätzlich über Berichtsoptionen mit denen der Inhalt des Berichts noch spezifischer eingeschränkt und / oder erweitert werden kann.


Sprachen: 
Wissensdatenbanken können durch hinterlegte Übersetzungen für verwendete Wissensdatenbanken in verschiedenen Sprachen vorliegen. Um z.B. einen Bericht mit den englischen Texten zu generieren, muss über das Flaggen-Icon rechts oben am Bildschirm, neben dem Abmelde-Button, die Sprache gewechselt werden. Dadurch werden alle Inhalte für die Berichte in der gewünschten Sprache geladen, sofern eine Übersetzung in dieser Sprache für die Wissensdatenbank vorhanden ist.


Es werden folgende Berichte im Bereich Risikomanagement von HITGuard angeboten:

== Auditverwaltung ==

Im Punkt "Risikomanagement → Berichte → Auditverwaltung" kann entschieden werden, ob ein Bericht für ein Auditprogramm, oder ein Audit generiert werden soll.

[[Datei:RM Auditverwaltung auswahl.png|left|thumb|900px|Auditprogramm oder Audit Bericht auswählen]]
 

=== Auditprogramm === 
----


Mit diesem Bericht erzeugen Sie eine Aufstellung aller Eckdaten zu den Audits im gewählten Auditprogramm.


[[Media:Auditprogramm Bericht.pdf | Auditprogramm Beispiel Bericht]]


<big>Auditprogramm Bericht erstellen:</big>


Um einen Bericht eines Auditprogramms zu generieren, navigieren Sie zu "Risikomanagement → Berichte → Auditverwaltung → Auditprogramm". Dort werden alle Auditprogramme, die im ausgewählten Managementsystem angelegt sind, zur Berichtserstellung angezeigt. Anschließend muss lediglich ein Auditprogramm über das Dropdown gewählt werden. Generiert wird der Bericht sobald auf den pinken Button zum herunterladen geklickt wird.


[[Datei:RM Auditprogramm Bericht erstellen.png|left|thumb|900px|Auditprogramm Bericht erstellen]]
 

=== Audit === 
----


Mit diesem Bericht erzeugen Sie eine Aufstellung aller Eckdaten zu den Überprüfungsterminen im gewählten Audit. Sie können wählen, ob die Audit Agenda, die Management Summary zum Audit und falls nötig auch die Ergebnisse der Überprüfungen im Bericht enthalten sein sollen.


[[Media:Auditplan Bericht.pdf | Auditplan Beispiel Bericht]]


<big>Audit Bericht erstellen:</big>


Um einen Audit Bericht zu generieren, navigieren Sie zu "Risikomanagement → Berichte → Auditverwaltung → Auditplan". Dort werden alle Audits, des ausgewählten Managementsystems, zur Berichtserstellung angezeigt.

Zum Generieren eines Berichts muss nun das gewünschte Audit ausgewählt und über die Berichtsoptionen rechts konfiguriert werden. Im Anschluss kann der Bericht über den oberen pinken Button heruntergeladen werden.

<big>Berichtsoptionen</big>
* Management Summary zum Audit anzeigen
:: Dadurch wird die Management Summary, die im [[Special:MyLanguage/Auditverwaltung#mms| Audit]] eingetragen ist im Bericht angezeigt.
* Agenda andrucken
:: Dadurch wird die Agenda die im [[Special:MyLanguage/Audit_erstellen#timetable| Audit Terminkalender]] vorhanden ist, im Bericht angezeigt.
* Konformitätsbericht zu Audit andrucken
:: Dadurch wird für jede Überprüfung des Audits zusätzlich die Erfüllung der Konformität angedrückt.
:: Der Konformitätsbericht kann über die restlichen Optionen konfiguriert werden, mehr dazu unter [[#comp_review| Konformitätsbericht nach Überprüfung]] .


[[Datei:RM Audit Bericht erstellen.png|left|thumb|900px|Audit Bericht erstellen]]
 

== Gefährdungslagenbericht == 


In diesem Bericht werden Details zu Gefährdungslagen dargestellt. Zusätzlich werden die Gefährdungslagen in einer Risikomatrix nach ihrer Kritikalität positioniert.


Zu den einzelnen Gefährdungslagen können die zu ergreifenden bzw. die bereits ergriffenen Maßnahmen und Kontrollen dargestellt werden. Bei Bedarf kann auch die zeitliche Entwicklung der einzelnen Gefährdungslagen dargestellt werden. Dasselbe gilt für die Abweichungen, die zu den Gefährdungslagen erkannt wurden.


Achtung: Nur Benutzern mit der Rolle "Compliance Manager" werden auch Maßnahmen und Kontrollen aus den anderen Managementsystemen angezeigt.


[[Media:Risikobericht ohne Maßnahmen mit Entwicklung.pdf | Risikobericht Beispiel Gefährdungslagen ohne M / K inkl. zeitlicher Entwicklung]]


[[Media:Risikobericht inkl offener M K.pdf | Risikobericht Beispiel Gefährdungslagen inkl. ausgesetzte M / K]]


[[Media:Risikobericht inkl aller M K.pdf | Risikobericht Beispiel Gefährdungslagen inkl. aller M / K]]


[[Media:Risikobericht Beispiel Verantwortlich.pdf | Risikobericht Beispiel Verantwortliche(r) ohne ausgesetzte M / K]]


[[Media:Risikobericht Beispiel Strukturelement.pdf | Risikobericht Beispiel Strukturelemente ohne ausgesetzte M / K]]


<big>Gefährdungslagenbericht erstellen:</big>


Um einen Gefährdungslagenbericht zu generieren müssen Sie zu "Risikomanagement → Berichte → Gefährdungslage" navigieren. Dort gibt es mehrere Möglichkeiten einen Gefährdungslagenbericht zu generieren:
# Gefährdungslagen
#:* Dieser Bericht enthält die Details zu allen ausgewählten Gefährdungslagen.
#:* Es können nur Berichte zu Gefährdungslagen von Managementsystemen, zu denen man selbst zugeteilt ist, erstellt werden. (Ausnahmen sind Compliance Manager, diese können Berichte zu allen Gefährdungslagen in allen Managementsystemen generieren)
# Strukturelemente
#:* Dieser Bericht enthält alle Gefährdungslagen (des aktuellen Managementsystems), die den ausgewählten Strukturelementen zugewiesen sind.
# Verantwortliche(r) (nur Compliance Manager)
#:* Ein Bericht, der alle Gefährdungslagen anführt für die das ausgewählte Team oder der / die ausgewählte Verantwortliche zuständig ist.


Zum Generieren der Berichte muss auf den jeweiligen pinken Button geklickt werden.

<big>Berichtsoptionen</big>

Mit den Berichtsoptionen kann spezifiziert werden in welchen Status sich Maßnahmen / Kontrollen befinden müssen um im Bericht angeführt zu werden.

Weiters kann entschieden werden, ob die [[Special:MyLanguage/Risikobewertung#time_dev | zeitliche Entwicklung ]] der Gefährdungslagen im Bericht angezeigt werden soll und ob auch die zur jeweiligen Gefährdungslage zugewiesenen Abweichungen mit angedrückt werden sollen.


[[Datei:RM Gefährdungslage Bericht erstellen.png|left|thumb|900px|Gefährdungslagenbericht erstellen]]
 

== Schutzbedarf ==
== Abweichungsanalysen == 

In diesem Bericht werden wahlweise die Ergebnisse aus einer oder mehreren Überprüfungen dargestellt. Achten Sie bei der Auswahl der Überprüfungen darauf, dass diese nach dem ausgewählten Analysezeitraum eingegrenzt werden. Eine Vielzahl an Berichtsoptionen hilft Ihnen dabei, die Berichte so zu konfigurieren, dass Sie Ihrem Bedarf entsprechend dargestellt werden.


[[Media:Abweichungsbericht Beispiel Überprüfungen.pdf | Abweichungsbericht Beispiel Überprüfungen ohne Vorschläge ZR 5]]


[[Media:Abweichungsbericht Beispiel Verantwortlich.pdf | Abweichungsbericht Beispiel Verantwortliche mit Vorschlägen ZR 3]]


[[Media:Abweichungsbericht Beispiel OrgEh.pdf | Abweichungsbericht Beispiel Organisationseinheit alle Prüffragen ohne Vorschläge ZR 2]]


<big>Abweichungsanalysen Bericht erstellen:</big>


Um einen Abweichungsanalysen-Bericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Abweichungsanalysen". Anschließend gibt es je nach ihrer Rolle folgende Möglichkeiten:
# Überprüfungen
#:* Dieser Bericht enthält alle Informationen über die ausgewählten Überprüfungen.
#:* Bei der Auswahl werden nur Überprüfungen des aktuellen Managementsystems im ausgewählten Analysezeitraum (rechts bei den Berichtsoptionen) angezeigt.
# Verantwortliche(r) (nur Compliance Manager)
#:* Dieser Bericht enthält alle Überprüfungen für die das ausgewählte Team oder der Verantwortliche zuständig ist.
# Organisationseinheit (nur Compliance Manager)
#:* Dieser Bericht enthält alle Überprüfungen, die innerhalb einer Organisationseinheit angelegt wurden.
#:* Bei der Auswahl werden nur Organisationseinheiten angezeigt, für die im aktuellen Managementsystem und im ausgewählten Analysezeitraum Überprüfungen existieren.


Es ist möglich einen Bericht über mehrere Analysezeiträume zu erstellen. Dafür muss rechts bei den Berichtsoptionen der Analysezeitraum geändert werden. Dadurch stehen nun die Überprüfungen des gewählten Analysezeitraum zur Auswahl.

Achtung: Wählen Sie einen neuen Analysezeitraum, werden die Überprüfungen aus den vorherigen nicht mehr angezeigt, bleiben aber selektiert.


Zum Generieren des Berichtes wird der jeweilige pinke Button zum Herunterladen geklickt.

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, aus welchem Managementsystem die Überprüfungen, die zur Auswahl stehen, kommen.
:: Dadurch kann auch ein Managementsystem übergreifender Abweichungsbericht erzeugt werden.
* Analysezeitraum
:: Diese Option steuert aus welchem Analysezeitraum, die zur Auswahl stehenden Überprüfungen kommen.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen.
Die restlichen Optionen spezifizieren welche Bedingungen eine Prüffrage erfüllen muss, damit sie im Bericht angezeigt wird.

Es kann auch ausgewählt werden, dass die mit den Prüffragen verknüpften Maßnahmen / Kontrollen angezeigt werden.


[[Datei:RM Abweichungsanalysen Bericht erstellen.png|left|thumb|900px|Abweichungsanalysen Bericht erstellen]]
 




Um einen Maßnahmen- oder Kontroll-Bericht erstellen zu können müssen Sie ein Compliance Manager sein.


In diesem Bericht werden zu jedem Risiko, die zu ergreifenden bzw. die ergriffenen Maßnahmen und Kontrollen dargestellt. Ebenso besteht die Möglichkeit, Berichte über den Status der - auf eine Norm gemappte - Maßnahmen und Kontrollen zu generieren oder einen Bericht für das Management zu erstellen. In diesem erhalten Sie eine Zusammenfassung der - auf eine Norm gemappten - Maßnahmen und Kontrollen.


[[Media:Maßnahmen- und Kontrollbericht Beispiel.pdf | Maßnahmen- und Kontrollbericht Beispiel]]


[[Media:Maßnahmenbericht Norm Beispiel.pdf | Maßnahmenbericht zu einer Norm ]]


[[Media:Management Summary Beispiel Bericht.pdf | Management Summary Beispiel Bericht]]


'''Maßnahmen- und Kontrollbericht erstellen:'''


[[Datei:Maßnahmen und Kontrllbericht Bericht auswahl.png|left|thumb|804px|Maßnahmen und Kontrollbericht erstellen]]
 


Um einen Abweichungsbericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Maßnahmen und Kontrollen". Dort finden sich mehrere Möglichkeiten einen Maßnahmen- und Kontrollbericht zu erstellen:
# Risiken
#:* Sie können einen Maßnahmen- und Kontrollbericht von einem einzelnen Risiko generieren.
#:* Sie können allerdings nur in Managementsystemen, in denen Sie zugeteilt sind, Risikoberichte erstellen.
#:* Sie haben die Option Maßnahmen oder Kontrollen über die Berichtsoptionen zu inkludieren oder zu exkludieren.
# Standards/Norm
#:* Sie können einen Maßnahmen-, Kontroll- oder einen zusammengefassten Management-Bericht zu einem Standard oder einer Norm generieren. In diesen Berichten werden alle - auf eine Norm gemappte - Maßnahmen und Kontrollen angezeigt.


Anschließend klicken Sie auf den jeweiligen Button "Bericht als PDF herunterladen", um den Maßnahmen- und Kontrollbericht zu generieren.

---->

== Konformität == 

Hier können Berichte zur Darstellung des Grades der Standard/Norm-Erfüllung bzw. Erfüllung von Abweichungsanalysen erstellt werden.

[[Datei:RM Konformität auswahl.png|left|thumb|900px|Konformitätstyp auswählen]]
 

=== Konformitätsbericht nach Überprüfungen === 
----


In diesem Bericht soll die Erfüllung der Voraussetzungen anhand einzelner Überprüfungen grafisch dargestellt werden. Die Erfüllung der Anforderungspunkten wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.

<big>Konformitätsbericht nach Überprüfungen erstellen:</big>


Je nach Rolle gibt es unterschiedliche Möglichkeiten diesen Bericht zu generieren:
# Überprüfungen:
#:* Es kann ein Konformitätsbericht zu den ausgewählten Überprüfungen generiert werden.
# Verantwortliche: (nur Compliance Manager)
#:* Ein Konformitätsbericht bei dem alle Überprüfungen von einem Verantwortlichen / Team, mit der jeweiligen Erfüllung, angeführt sind.
# Organisationseinheit: (nur Compliance Manager)
#:* Ein Konformitätsbericht bei dem alle Überprüfungen der ausgewählten Organisationseinheit, mit der jeweiligen Erfüllung, angeführt sind.


[[Media:Konformitätsbericht Beispiel Überprüfung.pdf| Konformitätsbericht Beispiel: Überprüfungen]]


[[Media:Konformitätsbericht Beispiel Verantwortlicher.pdf | Konformitätsbericht Beispiel: Verantwortlicher]]

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, aus welchem Managementsystem die Überprüfungen, die zur Auswahl stehen, kommen.
:: Dadurch kann auch ein Managementsystem übergreifender Konformitätsbericht erzeugt werden. (Verhalten siehe Analysezeitraum)
* Analysezeitraum
:: Diese Option steuert, aus welchem Analysezeitraum die Überprüfungen, die zur Auswahl stehen, kommen.
:: Durch diese Option kann auch ein Konformitätsbericht über mehrere Analysezeiträume erstellt werden. Wechselt man den Analysezeitraum, werden die Überprüfungen, die in einem anderen gewählt wurden nicht entfernt. Sie werden nur im jeweiligen Analysezeitraum angezeigt.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen (beeinflusst die Darstellung im Bericht).

Mit den restlichen Optionen kann zusätzlich konfiguriert werden, welche Prüffragen angedrückt werden, ob nicht abgeschlossene Überprüfungen inkludiert werden (relevant für Compliance Manager bei Auswahl von Verantwortlichen / Organisationseinheit) und wie das Inhaltsverzeichnis aufgebaut ist.

[[Datei:RM Konformität nach Überprüfung Bericht erstellen.png|left|thumb|900px|Konformität nach Überprüfung]]
 

=== Konformitätsbericht nach Standards und Normen === 
----


In diesem Bericht soll die Erfüllung der Voraussetzungen in den einzelnen Anforderungsbereichen des Standards grafisch dargestellt werden. Die Erfüllung der Anforderungspunkte wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.

Für die Darstellung werden Fragen, die mit Ja, Nein oder Teilweise beantwortet wurden, zu Reifegraden umgewandelt. "Nein" entspricht Reifegrad 1, "Teilweise" Reifegrad 3 und "Ja" entspricht Reifegrad 5.

<big>Konformitätsbericht nach Standards und Normen erstellen:</big>

Zuerst muss die gewünschte Norm oder der Standard ausgewählt werden zu dem ein Konformitätsbericht generiert werden soll. Im Anschluss sollte der Bericht noch über die Berichtsoptionen konfiguriert werden. Um den Bericht zu generieren muss noch auch den pinken Button zum Herunterladen geklickt werden.


[[Media:Konformitätsbericht Beispiel Norm.pdf | Konformitätsbericht Beispiel: Norm]]

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem der Konformitätsbericht erstellt werden soll.
:: Ohne die Rolle Compliance Manager, kann der Konformitätsbericht nur für das aktuelle Managementsystem generiert werden.
* Analysezeitraum
:: Diese Option steuert für welchen Analysezeitraum der Konformitätsbericht erstellt werden soll.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen (beeinflusst die Darstellung im Bericht).
::Die restlichen Optionen dienen zum Konfigurieren, welche Prüffragen und Überprüfungen im Bericht angedrückt werden.
* Organisationseinheit
:: Durch diese Option kann der Konformitätsbericht auf die ausgewählte Organisationseinheit und die in der Hierarchie darunter befindliche Organisationseinheiten eingeschränkt werden.
* Auswertung
:: Durch diese Option kann konfiguriert werden, welche Form der Auswertung inkludiert wird.
* Nicht anwendbare Kapitel
:: Durch diese Option können die Kapitel die für das ausgewählte Managementsystem nicht anwendbar sind aus dem Konformitätsbericht ausgeschlossen werden.

[[Datei:RM Konformität nach Standard Bericht erstellen.png|left|thumb|900px|Konformität nach Standard oder Norm]]
 

== Standards und Normen == 
Hier können Berichte über Standards und Normen generiert werden.

[[Datei:RM Standards auswahl.png|left|thumb|900px|Bericht für Standards und Normen auswählen]]
 

Die Kapitelabdeckung bei den Berichten wird folgendermaßen berechnet:
:Szenario 1:
:*Kapitel 1 - ohne Maßnahme
:**Kapitel 1.1 - mit Maßnahme
:**Kapitel 1.2 - mit Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 100%, da alle untergeordneten Kapitel Maßnahmen zugeteilt haben.
:Szenario 2:
:*Kapitel 1 - mit Maßnahme
:**Kapitel 1.1 - ohne Maßnahme
:**Kapitel 1.2 - ohne Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 100%. Da die Maßnahme zum übergeordneten Kapitel zugewiesen ist, zählt sie auch für die untergeordneten Kapitel.
:Szenario 3:
:*Kapitel 1 - ohne Maßnahme
:**Kapitel 1.1 - mit Maßnahme
:**Kapitel 1.2 - ohne Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 50%, da nur die Hälfte der untergeordneten Kapitel Maßnahmen zugeteilt haben.

=== Statement of Applicability (SOA)=== 
----
In diesem Bericht wird dargestellt, welche Kapitel des Standards/der Norm im Managementsystem "anwendbar" bzw. "nicht anwendbar" sind. Dazu findet sich auch die Begründung zur jeweiligen Anwendbarkeit und die mit den Kapiteln verknüpften Maßnahmen und Kontrollen.

*Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen & Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
*In den Donut-Diagrammen wird dabei der Geltungsbereich (Scope) des Standards/der Norm berücksichtigt. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option "Nicht anwendbare Kapitel in die Statistik aufnehmen" aufgehoben werden.

Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die zu dem gewählten Analysezeitraum bereits existierten.


Maßnahmen:
*Grün = Abgeschlossene Maßnahmen
*Orange = Ausgesetzte Maßnahmen
*Blau = Offene Maßnahmen


Maßnahmen zu Kapiteln: 
*Rot = Kapitel ohne Maßnahmen
*Blau = Kapitel mit offenen Maßnahmen
*Grün = Kapitel mit erledigten Maßnahmen


Kontrollen zu Kapiteln:
*Orange = Ausgesetzte Kontrollen zu Kapiteln
*Grün = Aktive Kontrollen zu Kapiteln
*Rot = Kapitel ohne Kontrollen

<big>Statement of Applicability (SOA) erstellen </big>

Zum Generieren einer SOA muss zuerst eine Norm / ein Standard ausgewählt und das SOA über die Berichtsoptionen konfiguriert werden. Zum Generieren wird auf den pinken Button zum Herunterladen geklickt.

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem das SOA generiert wird.
* Analysezeitraum
:: Diese Option steuert, aus welchem Analysezeitraum die Maßnahmen und Kontrollen die im SOA berücksichtigt werden, kommen.

Die restlichen Optionen ermöglichen es noch weiter zu konfigurieren, was in den Bericht mit aufgenommen wird. Die Auswahl "Statistik anzeigen" bestimmt beispielsweise, ob die Donut-Diagramme angezeigt werden sollen.

[[Datei:RM Standard SOA Bericht erstellen.png|left|thumb|880px|Statement of Applicability]]
 

=== Management Summary === 
----
In diesem Bericht finden Sie einen Management-Überblick von Maßnahmen und Kontrollen, die einem Standard/einer Norm zugewiesen wurden:

*Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen und Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
*Ein Balkendiagramm zeigt die Anzahl der Maßnahmen und Kontrollen nach Hauptkapiteln an. Die Anzahl entspricht der Summe der Maßnahmen bzw. Kontrollen, die dem Hauptkapitel und jedem darunter befindlichen Kapitel zugewiesen sind. Eine mehrmals zugewiesene Maßnahme bzw. Kontrolle wird je Hauptkapitel nur einmal gezählt.
*Der Bericht berücksichtigt dabei den Geltungsbereich (Scope) des Standards/der Norm. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option Nicht anwendbare Kapitel in die Statistik aufnehmen aufgehoben werden.

Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die zu dem gewählten Analysezeitraum bereits existierten.


[[Media:Management Summary Beispiel Bericht.pdf | Management Summary Beispiel Bericht]]

<big>Management Summary erstellen </big>

Zum Generieren einer Management-Summary muss zuerst eine Norm / ein Standard ausgewählt und der Bericht über die Berichtsoptionen konfiguriert werden. Zum Generieren muss anschließend nur auf den pinken Button zum Herunterladen geklickt werden.

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem die Management Summary generiert wird.
* Analysezeitraum
:: Diese Option steuert aus welchem Analysezeitraum die Maßnahmen und Kontrollen die in der Management Summary berücksichtigt werden kommen.

Die restlichen Optionen ermöglichen es noch weiter zu konfigurieren, was in den Bericht mit aufgenommen wird. Die Auswahl "Statistik anzeigen" bestimmt beispielsweise, ob die Donut-Diagramme angezeigt werden sollen.

[[Datei:RM Standard Management Summary Bericht erstellen.png|left|thumb|880px|Management Summary]]
 

</translate>

Ressourcen

2021-02-14T09:53:30Z

Sala:

<translate>


Ressourcen sind Systeme, Personen, Gebäude oder andere Entitäten, die für die Durchführung von Prozessen oder für die Funktionalität einer Organisationseinheit benötigt werden. HITGuard bietet über die Strukturanalyse die Möglichkeit Ressourcenstrukturen aufzubauen und dessen Auswirkungen und Abhängigkeiten auf andere Systeme grafisch darzustellen.


[[Datei:Ressourcen Beispiel.PNG|left|thumb|900px|Beispiel: Darstellung der Ressourcen in der Strukturanalyse im Risikomanagement]] 

== Ressourcen erstellen/bearbeiten/löschen == 


Unter "Administration → Ressourcen" können Sie als Admin oder Experte die Ressourcen verwalten.


[[Datei:Ressourcen Übersicht.png|left|thumb|900px|Übersicht der Ressourcen]] 


Um eine Ressource zu erstellen klicken Sie auf den Button "Plus".


Um eine Ressource zu bearbeiten, klicken Sie doppelt auf die entsprechende Ressource.


[[Datei:Ressource bearbeiten 1.PNG|left|thumb|903px|Maske zum Bearbeiten / Erstellen einer Ressource]] 


'''Bezeichnung:'''
: Der Name der Ressource.


'''Beschreibung:'''
: Dient zur Beschreibung der Ressource.


'''Typ:'''
: Ressourcen werden in Modellsegmente gegliedert. In den einzelnen Segmenten können Ressourcen über Ressourcengruppen weiter strukturiert werden, wobei Ressourcengruppen nur der Struktur dienen und nicht für Bewertungen oder Ähnliches verwendet werden können.
: Ressourcen selber können Ressourcengruppen zugeteilt werden. Sie können in Abweichungsanalysen oder Prüfergebnissen mit Prüfobjekten verknüpft werden. Dadurch können ihnen auch Gefährdungslagen zugeteilt werden, wodurch sie in direkter Verbindung zu Maßnahmen und Kontrollen stehen können.


'''Gruppenfarbe / Gruppe wählen:'''
: Ressourcengruppe: Jene Farbe mit der die Ressourcen dieser Gruppe in der Strukturanalyse umrandet wird.
: Ressourcen: Ressourcen können hier Ressourcengruppen zugeteilt werden.


'''Modellsegment:'''
: Modellsegmente dienen zur allgemeinen Gruppierung der Strukturelemente. Sie werden von HITGuard vorgegeben und umfassen:
:* Anwendungsebene
:* IT-Infrastruktur-Ebene
:* Physische Sicherheit
:* Prozessebene


'''Verantwortlicher:'''
: Der Benutzer, der inhaltlich für die Ressource verantwortlich ist.


'''Sachbearbeiter:'''
: Der Benutzer, der auf Modellsegment-Ebene (z.B. der IT-Ebene oder der physischen Sicherheit) für diese verantwortlich ist.


'''Reifegrad:'''
:* Der Reifegrad, mit dem die Ressource bewertet wird.


'''Knotenfarbe:'''
: Die Hintergrundfarbe der Ressource / Ressourcengruppe in der Strukturanalyse.


'''Schutzbedarfsklasse:'''
: Der Schutzbedarf der Ressource / Ressourcengruppe. Für mehr Information über Schutzbedarfsklassen, siehe [[Special:MyLanguage/Risikopolitik#prot_need|Schutzbedarf]].

'''RTO:'''
:RTO oder Recovery Time Objective gibt an, wie lange ein Geschäftsprozess/System ausfallen darf. Dabei gibt die RTO die Zeit an, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur – Daten – Nacharbeitung von Daten – Wiederaufnahme der Aktivitäten) vergehen darf.
:undefiniert bedeutet, dass die RTO von dieser Ressource nicht weiter relevant ist.
: Gesichert bedeutet, dass z.B. eine SLA oder eine andere Art von Vertrag vorliegt, indem der Anbieter der Ressource versichert eine gewisse RTO einzuhalten. Dieses Dokument kann an dieser Stelle auch hinterlegt werden.

'''RPO:'''
:RPO oder Recovery Point Objective gibt an, wie viel Datenverlust in Kauf genommen werden kann. Dabei gibt die RPO den Zeitraum an, der zwischen zwei Datensicherungen liegen darf. Das heißt: Wie viele Daten/Transaktionen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen dürfen.

'''ID in Drittsystem:'''
: Mit dieser ID lässt sich eine Ressource mit einer externen Ressource über Updates verbinden. Das heißt: Wird eine Ressource importiert, mit übereinstimmender ID, dann wird für diese keine neue Ressource angelegt, sondern die mit übereinstimmender ID aktualisiert.


'''Gefährdungslagen:'''
: Nur für Ressourcen. Hier werden alle Gefährdungslagen der Ressource gelistet. Es ist nicht möglich hier Gefährdungslagen zuzuweisen. Mehr zu Gefährdungslagen finden Sie [[Special:MyLanguage/Risikobewertung|hier]].


'''Ressource löschen:'''
* Zum Löschen in der Bearbeitungs-Maske klicken Sie auf den roten Mülleimer.

=== Beziehungen === 


In dem Reiter "Beziehungen" werden alle bereits existierenden Verbindungen zur Ressource gelistet. Experten können der Ressource neue Verbindungen geben oder bereits vorhandene bearbeiten oder löschen.


[[Datei:Ressource bearbeiten 2 beziehungen.PNG|left|thumb|600px|Beziehungen]] 


'''Eingehende Verbindungen:'''
* die Ressource ist von den gelisteten Knoten abhängig.


'''Ausgehende Verbindungen:'''
* die gelisteten Knoten sind von der Ressource abhängig.


'''Erstellen einer neuen Verbindung:'''


# Zuerst muss ausgewählt werden, ob es sich um eine eingehende oder ausgehende Verbindung handelt.
# Als zweites muss der Ziel bzw. Ausgangs-Knoten ausgewählt werden.
# Jetzt muss nur noch auf "Hinzufügen" geklickt werden.


'''bearbeiten / löschen von Verbindungen:'''


* Jede Verbindung wird über Schutzziele gewichtet. (siehe [[Special:MyLanguage/Risikopolitik#protar|Schutzziele]]) Diese Schutzziele können, sofern sie nicht durch eine [[Special:MyLanguage/Schutzbedarf| Schutzbedarfsanalyse]] gesetzt wurden, manuell gesetzt werden. Zum Ändern der Gewichtung des Schutzziels siehe [[Special:MyLanguage/Strukturanalyse#Schutzziel bearbeiten| Schutzziel bearbeiten]].
* Verbindungen können, sofern sie nicht durch eine Schutzbedarfsanalyse gewichtet sind, durch Klicken auf den roten Mülleimer, gelöscht werden.

=== Abweichungen / Maßnahmen / Kontrollen === 


In diesen Reitern werden Abweichungen, Maßnahmen und Kontrollen gelistet die mit der Entität über Prüfobjekte in Verbindung stehen. Es handelt sich bei diesen Reitern nur um Übersichtslisten. Das heißt: Es können hier keine Abweichungen, Maßnahmen oder Kontrollen manuell zugewiesen werden.


Historische Abweichungen werden in Grau angezeigt.


[[Datei:Ressource bearbeiten 3 Abweichungen.PNG|left|thumb|600px|Abweichungen]] 


[[Datei:Ressource bearbeiten 4 Maßnahmen.PNG|left|thumb|600px|Maßnahmen]] 


[[Datei:Ressource bearbeiten 5 Kontrollen.PNG|left|thumb|600px|Kontrollen]] 

</translate>

Strukturanalyse

2021-02-14T09:43:40Z

Sala:

<translate>

== Visualisierung == 

=== Betrachtungsbereiche === 


Es gibt in der Strukturanalyse mehrere Sichten, um den Benutzer nicht mit einem überdimensionalen und unübersichtlichen Graphen zu konfrontieren. Diese vier Betrachtungsbereiche sind vorhanden:
*'''Organisationssicht'''
::Die Organisationssicht stellt die Aufbauorganisation des Unternehmens/Konzerns/Verbandes in den Fokus. Ziel ist es aus dieser Betrachtungsperspektive heraus Antworten auf Fragen wie "Von welchen Systemen ist die Organisationseinheit am stärksten hinsichtlich Verfügbarkeit abhängig“, „Wie groß ist das Risiko hinsichtlich der Vertraulichkeit für die OrgEh über alle Systeme“ (klassisch, die Ergebnisse aus Business Impact Analysen), „Welche Datenarten werden in der Organisationseinheit verarbeitet“, „Welche Verarbeitungstätigkeiten erfolgen in der Organisationseinheit “.


*'''Ressourcensicht'''
::Die Ressourcensicht stellt die Techniklandschaft dar, die IT-Systeme, Medizinprodukte, Gebäudesicherheit etc. abbildet. Über diese Darstellung erfolgt auch die Risikoanalyse. Hier werden Abweichungen in der Risikobewertung im technischen wie organisatorischen Bereich erkennbar. Daraus sind Maßnahmen zur Behebung der Abweichungen zu planen.


*'''Datensicht'''
::Die Datensicht lässt erkennen in welchen Organisationseinheiten, welche Daten verarbeitet werden, wer die Data Owner sind und wie die Daten klassifiziert sind (Datenklassen bzw. Unterscheidung ob personenbezogene oder nicht personenbezogene Daten). Weiters lässt die Darstellung erkennen, durch welche Ressourcen die Daten laufen und in welchen Prozessen sie verarbeitet werden.


*'''Prozesssicht'''
::Die Prozesssicht lässt erkennen, welche Prozesse existieren, welche Daten sie verarbeiten, welche Ressourcen damit verknüpft sind und wie stark eine Organisationseinheit von einem Prozess abhängig ist und vice versa.

=== Organisationssicht === 


----
Der Aufbau der Organisationsstruktur wird in [[OrgEh_-_Organisationseinheiten|Organisationseinheiten]] beschrieben.


Ein Unternehmen besteht aus Organisationseinheiten, die sich an den einzelnen Verarbeitungsprozessen beteiligen. Diese finden wiederum in einer oder mehreren Organisationseinheiten statt. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT gestützt unter Verwendung von IT-Systemen.


'''Annahme:''' Je kritischer die Organisationseinheit, desto größer der potenzielle Schaden, umso größer die Anforderungen an Verfügbarkeit, Vertraulichkeit und Integrität der Daten bzw. Systeme.


Daher müssen jedenfalls folgende Informationen erhoben werden:


* Modellierung der Organisationsstruktur ([[OrgEh_-_Organisationseinheiten|Organisationseinheiten]])
* Erhebung des Business Impacts der Business IT-Services auf die tägliche Arbeit des Fachbereichs ([[Kritikalität einer Organisationseinheit feststellen]])


[[Datei:Beispiel Organisationssicht.PNG|left|thumb|800px|Beispiel Organisationssicht]]
 

=== Ressourcensicht=== 


----
Die Sicht auf die IT-Systeme, die sich in mehrere Kategorien unterteilen lässt, zeigt wie viele Abhängigkeiten untereinander existieren. Weiters besteht die Möglichkeit, dass nicht alle Komponenten des Systems gleich sicher ausgelegt sind. Durch die Abhängigkeiten zwischen unterschiedlich sicher ausgelegten Systemen werden die Systeme gegenseitig beeinflusst. Diese Wechselwirkungen sind über eine Risikobewertung zu erheben und können in der Strukturanalyse in Form eines Graphen dargestellt werden. Mehr dazu finden Sie unter [[Ressourcen]].


'''Beispiel:''' 
:Ein Krankenhausinformationssystem (KIS) hat eine Schnittstelle ins SAP. SAP ist hinsichtlich des Schutzziels Verfügbarkeit vom KIS abhängig (zwar beträgt die Abhängigkeit nicht 100%, kann aber beispielsweise 30% ausmachen) Dies ist der Fall, da es ohne die Patientenstammdaten, die es vom KIS mehrmals täglich über die Schnittstelle erhält und die bei der Aufnahme eines Patienten im KIS erfasst werden, keine Abrechnung für diesen Patienten vornehmen kann. Das KIS hingegen ist vom SAP unabhängig. Das KIS benötigt aber, um funktionstüchtig zu sein, einen Datenbankserver. Es ist zu 100% von diesem Server abhängig.


:[[Datei:Beispiel Ressourcensicht.PNG|left|thumb|800px|Beispiel: Ressourcensicht]]
 

=== Datensicht === 


----
In der Datensicht zeigt sich die Struktur unter den verwalteten Datenkategorien. Die Erstellung und Strukturierung von Datenkategorien wird im Kapitel [[Datenkategorien]] beschrieben.


Setzt man diese Sicht in Verbindung zur Prozesssicht lässt sich erkennen, welche Daten in welchen Prozessen verarbeitet werden.


[[Datei:Beispiel Datensicht.PNG|left|thumb|800px|Beispiel Datensicht]]
 

=== Prozesssicht === 


----
In der Prozesssicht sehen Sie alle Prozesse mit ihrer Hierarchie. Die Erstellung und Strukturierung von Prozessen wird im Kapitel [[Prozesse]] beschrieben.


[[Datei:Beispiel Prozesssicht.PNG|left|thumb|800px|Beispiel Prozesssicht]]
 

== Arbeiten mit der Strukturanalyse== 


Nachfolgende Abbildung zeigt rechts den Konfigurationsbereich der Strukturanalyse:
[[Datei:Beschreibung Entwurfsmodus.png|left|thumb|804px|Strukturanalyse mit Konfigurationsbereich (rechts)]]
 


* Zwischen dem "Entwurfsmodus" und dem "Analysemodus" wechseln Sie durch einen Klick auf die Umschaltschaltfläche (Switch-Button). Dieser Button zeigt immer den aktiven Modus.


* Ein Doppelklick auf eine Sicht ändert diese zur Hauptsicht, diese ist unterstrichen. Von der Hauptsicht aus werden immer alle Entitäten angezeigt.


* In den einzelnen Sichten können Sie auswählen, welche Elemente im aktuellen Kontext angezeigt werden sollen.


* Bei der Organisationsschicht gibt es die zusätzliche Option für das Selektieren aller im Managementsystem aktiven Organisationseinheiten.


* Ebenso können Sie einstellen wie Schutzziele angezeigt werden sollen und nach bestimmten Risiken filtern.


* Nehmen Sie im Menü Änderungen bei den Konfigurationen vor, muss auf "Anwenden" geklickt werden um die Änderung wirksam zu machen.


* Über die Wolken-Symbole können Sie die aktuelle Konfiguration speichern oder eine bereits vorhandene laden.


Wichtig: Schadensausmaßklassifikation wählen!
* Existiert mehr als eine Schadensausmaßklassifikation, dann sind diese hier auswählbar. Es werden nur SBA-Schutzzielgewichtungen der aktuellen Schadensausmaßklassifikation angezeigt. Weiters wird, falls vorhanden, die [[Risikopolitik#Schutzzielauspr.C3.A4gungen|Schutzzielausprägung]] eines Schutzzieles angezeigt.


Durch Klicken auf eine Gefährdungslage, öffnet sich ein Dialog. Durch diesen kann auf die Detailseite der Gefährdungslage gewechselt werden.


[[Datei:Beschreibung Entwurfsmodus Gefährdungslagen.png|left|thumb|801px|Gefährdungslagen]]
 

=== Sichten kombinieren === 


Es können zusätzlich zur Hauptsicht auch einzelne oder alle Entitäten aus anderen Sichten angezeigt werden. Die Kombination von Sichten ist frei konfigurierbar. Das heißt: Es gibt keine Einschränkungen wie die Sichten kombiniert werden können. Um eine Sicht zur Hauptsicht zu ergänzen, wählen Sie das Häkchen der gewünschten Sicht im Navigationsbereich der Strukturanalyse und klicken anschließend auf "Anwenden".


Die Kombination von Sichten ist vorteilhaft, wenn Verbindungen zwischen verschiedenen Entitätstypen erstellt oder analysiert werden sollen. Diese kombinierten Sichten, können für Wiederverwendungszwecke, weil zum Beispiel die Auswirkung einer Maßnahme analysiert werden soll, als Konfigurationen gespeichert werden.


Wichtig:
* Abhängig davon, ob Sie im Entwurfs- oder im Analysemodus arbeiten, werden alle oder nur explizit ausgewählte Entitäten (nämlich jene, zu denen bereits Beziehungen aus der Hauptsicht existieren) aus den zusätzlich gewählten Sichten angezeigt.

==== Knoten finden (Alt + s) ==== 


In umfangreicheren Ansichten wird die Suche unterstützt, um schnell zu einem bestimmten Knoten zu gelangen.


Geben Sie hierzu den Suchbegriff des Knotens in das Feld "Knoten finden..." ein und schließen Sie Ihre Eingabe mit der Enter- oder Eingabe-Taste ab. Die Suche zentriert anschließend den ersten gefundenen Knoten. Wird nochmals die Eingabe- oder Enter-Taste gedrückt, wird der nächste gefundene Knoten zentriert usw. Ist die Suche beendet, wird eine Meldung angezeigt. Wenn anschließend erneut die Eingabe- oder Enter-Taste gedrückt wird, wird wieder das erste Suchergebnis angezeigt.


Die Suche ignoriert Groß- und Kleinschreibung. Spezielle Wortanfänge und -endungen oder Formulierungen finden Sie mit einem Sternchen (*):
* sap* findet z.B. "SAP MM" und "SAP HCM" und "SAP FI/CO",
* sap*co findet "SAP FI/CO",
* *mm findet "SAP MM" und "Personalstamm"
* *fi* findet "SAP FI/CO" und "Finanzabteilung"

=== Konfigurationen === 
----


Konfigurationen speichern alle Einstellungen, die zum Speicherzeitpunkt vorhanden waren. Das heißt: Es speichert die Hauptsicht, die Sichten oder Entitäten, die zusätzlich angezeigt wurden, wie die Schutzziele angezeigt werden und ob die Gefährdungslagen angezeigt werden sollen.


Konfigurationen können vor allem dazu verwendet werden, um große und komplexe Strukturen auf verschiedene Konfigurationen aufzuteilen und dadurch auf übersichtliche Weise darzustellen. Dies erleichtert das Arbeiten mit großen Strukturen erheblich.


Über die Wolken-Symbole kann die aktuelle Konfiguration oder eine bereits vorhandene Konfiguration geladen werden.


Beispiel für die Verwendung einer Konfiguration:
* Es wurde eine Schutzbedarfsanalyse durchgeführt und in der Strukturanalyse wurden die Auswirkungen analysiert. Als nächsten Schritt werden Maßnahmen für entstandene Gefährdungslagen festgelegt und umgesetzt. Die zuvor durchgeführte Strukturanalyse in einer Konfiguration gespeichert, kann mit wenig Aufwand erneut durchgeführt werden. Dadurch werden die Auswirkungen der Maßnahmen analysiert.

=== Abhängigkeiten anzeigen ===
----

Durch einen Rechtsklick auf einen Knoten im Graphen, öffnet sich ein Kontextmenü in dem die Option "Zeige Abhängigkeiten" vorkommt.

Diese Option ermöglicht es die Strukturanalyse auf die für den ausgewählten Knoten relevanten Elemente einzuschränken. Dies kann dabei helfen einen besseren und übersichtlicheren Überblick auf die Abhängigkeiten zu bekommen und erleichtert auch das Analysieren.

Ein Beispiel zum Verdeutlichen:
Ich interessiere mich gerade nur für die Ressource SAP MM und möchte wissen, wovon diese Ressource abhängt, ich tue mir aber schwer dies zu erkennen, da so viele Knoten angezeigt werden.

[[Datei:SA Zeige Abhängigkeiten 1.PNG||left|thumb|901px]]
 

Ich kann auf SAP MM einen Rechtsklick machen und wähle "Zeige Abhängigkeiten" aus. Dadurch werden alle nicht relevanten Knoten ausgeblendet und ich bekomme eine viel besseren Überblick.

[[Datei:SA Zeige Abhängigkeiten 2.PNG||left|thumb|901px]]
 

=== Entwurfsmodus === 
----


Im Entwurfsmodus können Sie Elemente aus den ausgewählten Sichten in Verbindungen setzen und ihre Abhängigkeiten auf Basis von Schutzzielen definieren. Sie können aber keine Verbindungen oder Schutzziel-Gewichtungen bearbeiten, wenn diese durch eine Schutzbedarfsanalyse definiert wurden. Um diese zu bearbeiten führen Sie eine neue Schutzbedarfsanalyse durch.


Im Entwurfsmodus werden alle Entitäten aus den gewählten Sichten angezeigt. Dies hat den Zweck, dass zwischen allen Elementen Beziehungen erstellt werden können.

==== Elemente bewegen ==== 


Sie können Elemente einzeln oder auch mehrere Elemente gleichzeitig bewegen. Um ein Element zu bewegen, fahren Sie mit dem Mauszeiger über das gewünschte Element halten die linke Maustaste gedrückt.


Um mehrere Elemente zu verschieben haben Sie zwei Optionen:
# Halten Sie die linke Maustaste gedrückt bis ein Kreuz erscheint. Anschließend ziehen Sie das Rechteck über die Elemente, die Sie bewegen möchten.
# Halten Sie STRG gedrückt, können Sie mehrere Elemente durch Klicken auswählen


[[Datei:Markieren mit linker Maustaste.gif|left|thumb|800px|Linke Maustaste gedrückt halten und Elemente auswählen]] 


[[Datei:Markieren mit STRG gedrückt.gif|left|thumb|800px|mehrere Elemente mit STRG gedrückt markieren und bewegen]] 

==== Knoten erstellen / bearbeiten ==== 


Um Elemente miteinander zu verbinden gibt es mehrere Möglichkeiten:
# Klicken Sie mit der rechten Maustaste auf ein Element und wählen Sie "Beziehung hinzufügen" aus. Anschließend wählen Sie ein anderes Element aus. (Ausgangspunkt zu Endpunkt) [[Datei:Knoten erstellen mit Rechtsklick.gif|left|thumb|800px|Knoten mit Rechtsklick erstellen]] 
# "Alt" gedrückt halten, Element 1 auswählen und anschließend auf das zweite Element klicken. [[Datei:Knoten erstellen alt.gif|left|thumb|800px|Knoten mit "Alt"-gedrückt erstellen]] 
# Bei Daten, Prozessen und Organisationseinheiten können Sie, wenn Sie doppelt auf das Element klicken, in der Maske ein übergeordnetes Element auswählen oder die Verbindung zum übergeordneten Element aufheben. [[Datei:Knoten erstellen Datenkategorie.gif|left|thumb|800px|Datenkategorie Knoten über Maske erstellen]] 
# Bei Ressourcen können Sie, wenn Sie doppelt auf das Element klicken, in der Maske über den Reiter "Beziehungen" neue Verbindungen erstellen oder bestehende bearbeiten. [[Datei:Knoten erstellen Ressource.gif|left|thumb|800px|Knoten einer Ressource erstellen]] 

==== Schutzziel bearbeiten / löschen==== 


Die Verbindung mit Ressourcen geschieht immer mit Schutzzielen. Diese Schutzziele können aber von Ihnen angepasst werden. Ausnahmen sind Schutzziele, die durch Schutzbedarfsanalysen gewichtet wurden. Diese können nur durch eine neue Schutzbedarfsanalyse verändert werden (zum Erstellen von Schutzzielen siehe [[Risikopolitik#protar|Schutzziele]])


[[Datei:Strukturanalyse BIA Schutzziele.PNG|left|thumb|800px|Die Schutzbedarfsanalyse Schutzziele können nicht bearbeitet werden]] 


Um die Schutzziele einer Verbindung zu bearbeiten klicken Sie entweder doppelt auf die Verbindungspfeile oder auf das Element und wechseln auf den Reiter "Beziehungen". Bei letzterer Option können keine Gewichtungen eingestellt werden. Hier wird immer von einer 100%-Gewichtung ausgegangen.


[[Datei:Schutzziele bearbeiten.gif|left|thumb|800px|Schutzziel löschen]] 


[[Datei:Schutzziele über Reiter bearbeiten.PNG|left|thumb|800px|Schutzziele über "Beziehungen" Reiter bearbeiten]] 

==== Elemente erstellen / bearbeiten / löschen ==== 


Wenn Sie in der Strukturanalyse mit der rechten Maustaste ins Leere klicken, können Sie neue Ressourcen, Organisationseinheiten, Prozesse oder Datenkategorien erstellen. Wählen Sie ein Element zum Erstellen aus, öffnet sich die jeweilige Maske zum Erstellen des neuen Elementes.


Klicken Sie doppelt auf ein Element, öffnet sich die "Bearbeiten"-Maske. In dieser können Sie die Elemente auch löschen.


Für mehr Informationen siehe [[Ressourcen]], [[OrgEh_-_Organisationseinheiten#orgcre|Organisationseinheit]], [[Prozesse]], [[Datenkategorien#datacat|Datenkategorie]] erstellen / bearbeiten / löschen.


[[Datei:Element mit Rechtsklick erstellen.png|left|thumb|800px|Element mit Rechtsklick erstellen]] 

=== Analysemodus === 
----


Der Analysemodus dient zur Analyse der Unternehmensstruktur. Sie können analysieren, welche Elemente auf welche Art voneinander abhängig sind. Hierfür können Sie auswählen wie die Abhängigkeit dargestellt werden soll:
* Was hängt von mir ab?
* Wovon hänge ich ab?
Zusätzlich können Sie auch einen Schwellwert festlegen. Dieser bestimmt, ab welcher prozentualen Abhängigkeit eine Verbindung zwischen zwei Elementen angezeigt werden soll.


Im Analysemodus werden nur Entitäten aus den gewählten Sichten angezeigt, die mit einer Entitäten aus der Hauptansicht in Verbindung stehen.

==== Was hängt von mir ab? ==== 


Hier kann analysiert werden, wie stark andere Entitäten im Bezug auf ihre Schutzziele, von einer Entität abhängen.


Es besteht die Möglichkeit zu analysieren, wie Risiken auf die gesamte Struktur wirken. Dabei kann auch untersucht werden, wie diese mit den einzelnen Schutzzielen zusammenhängen. Dadurch lässt sich schnell erkennen, welche Folgen ein Risiko auf andere Entitäten hat.


Entitäten von denen die gewählte Entität nicht abhängig ist, werden in grau angezeigt.


[[Datei:Risiko visualisieren.gif|left|thumb|900px|Risiko Auswirkungen]]
 


[[Datei:Abhängigkeit gebündelte Anzeige.jpg|left|thumb|900px|Risiko Auswirkung auf gebündelte Schutzziele]]
 
[[Datei:Abhängigkeit Verfügbarkeit.jpg|left|thumb|900px|Risiko Auswirkung auf Schutzziel Verfügbarkeit]]
 

==== Wovon hänge ich ab? ==== 


Hiermit kann untersucht werden, wie stark eine Entität, im Bezug auf ihre Schutzziele, von anderen Entitäten abhängt.


Die Abhängigkeit kann auf Schutzziel-Basis entweder gebündelt oder je Schutzziel einzeln untersucht werden. Durch das Ändern des Schwellwerts, lässt sich einstellen ab welcher prozentualen Gewichtung des Schutzziels man von einer Entität abhängt.


Entitäten von denen die gewählte Entität nicht abhängt werden in grau angezeigt.


[[Datei:Wovon hänge ich ab Schwellwert.gif|left|thumb|900px|Wovon hänge ich ab?]]
 

==== RTO und RPO Erfüllung ====

In der Strukturanalyse kann auch die Erfüllung der RTO (Recovery Time Objective) und RPO (Recovery Point Objective) analysiert werden.

[[Datei:SA RTO Erfüllung.png||left|thumb|901px| RTO Erfüllung]]
 

Achtung:

Damit RTO bzw. RPO-Erfüllung in der Strukturanalyse untersucht werden kann, muss unter [[Special:MyLanguage/Risikopolitik#Schutzziele | "Risikomanagement → Risikopolitik → Schutzziele"]] das Schutzziel RTO bzw. RPO aktiviert werden.

Die RTO bzw. RPO-Erfüllung zeigt, ob für eine Organisationseinheit die RTO bzw. RPO für die jeweiligen Ressourcen eingehalten werden kann. Dafür wird im Graphen die Kante zu den Ressourcen mit einem SOLL und IST gewichtet. Dabei Stammt das SOLL aus einer [[Special:MyLanguage/Schutzbedarf | Schutzbedarfsanalyse ]]. Das IST wird dabei aus den jeweiligen abhängigen Ressourcen berechnet, das heißt es wird die maximale Zeit aller abhängigen Ressourcen für die RTO bzw. RPO ermittelt.

<big>'''Ablauf'''</big>

* Schutzbedarfsanalyse
::Um analysieren zu können, ob die RPO bzw. RTO für eine Ressource einer Organisationeinheit eingehalten wird, muss zuerst eine Schutzbedarfsanalyse für die Ressourcen der Organisationseinheit durchgeführt werden. => SOLL bzw. keine Anforderung
* Ressourcen bewerten
:: Damit das IST für RTO bzw. RPO berechnet werden kann, müssen die Ressourcen von denen die zu untersuchende Organisationseinheit abhängig ist nach RTO bzw. RPO bewertet werden. Dafür gibt es drei Möglichkeiten:
::* nicht bewertet:
:::RTO bzw. RPO wurde noch nicht bewertet / eingetragen. Diese Werte gehen nicht in die Berechnung ein, werden aber als noch nicht bewertet markiert (gelbes Zahnrad bei RTO und gelbe Uhr bei RPO).
[[Datei:SA RTO nicht bewertet.PNG|left|thumb|left| RTO nicht bewertet]]
 
::* undefiniert / nicht relevant:
::: Die RTO bzw. RPO ist für die Berechnung nicht weiter relevant. Diese Werte gehen ebenfalls nicht in die Berechnung ein, werden aber mit einem grauen Symbol markiert um das darzustellen.
[[Datei:SA RTO nicht relevant.PNG||left|thumb|901px| RTO undefiniert]]
 
::* RTO Wiederherstellzeit bzw. das RPO Backup Intervall liegt vor:
::: Die RTO bzw. RPO wurde für Ressourcen bereits getestet und es liegen Werte vor. Diese Werte können dann bei den Ressourcen eingetragen werden.
::: Für RTO gibt es zusätzlich noch die Option, dass die Wiederherstellzeit von Ressourcen Dritter z.B. durch eine SLA gesichert sind. Es kann diese SLA bei der Ressource hinterlegt werden.
::: N / B bedeutet Netto bzw. Brutto. Netto ist der Wert der bei der direkt bei der Ressource eingetragen ist. Brutto ist die maximale Zeit die durch alle abhängigen Pfade erreicht wird. (nur längster Pfad relevant)
[[Datei:SA RTO bewertet.PNG||left|thumb|901px| RTO bewertet]]
 
* RTO bzw. RPO-Erfüllung analysieren:
:: Um die Erfüllung analysieren zu können, müssen in der Strukturanalyse mindestens die Organisationssicht und die Ressourcensicht ausgewählt werden. Sind diese ausgewählt, muss in den Analysemodus gewechselt werden (Schalter ganz oben im rechten Menü). Im Analysemodus kann nun RTO bzw. RPO-Erfüllung ausgewählt werden.
:: Werden zu viele nicht relevante Ressourcen bzw. Organisationseinheiten angezeigt, kann man auf die zu untersuchende Organisationseinheit rechts klicken und im Kontextmenü den Punkt "Zeige Abhängigkeiten" auswählen. Dadurch werden alle nicht relevanten Knoten ausgeblendet.
[[Datei:SA RTO Erfüllung 2.PNG||left|thumb|901px| RTO-Erfüllung]]
 

== Durchführung einer Strukturanalyse == 


Organisationseinheiten bzw. Geschäftsprozesse verwenden Ressourcen (Business Applikationen , communication services, Medizinisch administrative Applikationen, etc). Es können daher mehrere Applikationen mehreren Organisationseinheiten zugeordnet werden. Durch die Schutzbedarfsanalyse wird die Beziehung zwischen der jeweiligen Organisationseinheit und der Ressource gewichtet (z.B. sehr geringes Risiko bis katastrophales Risiko).


Die Applikation hat zu unterschiedlichen Geschäftsbereichen unterschiedliche Gewichtungen im Bezug auf ihre Schutzziele. Die kritischste Gewichtung gibt vor, wie technisch anspruchsvoll die Ressource hinsichtlich ihrer Schutzziele z.B. Verfügbarkeit, Vertraulichkeit oder Integrität ausgelegt werden muss. Auf diese Art können für die Applikationen kritische Risiken aufgrund der Gewichtung ihrer Schutzziele festgelegt werden.


'''Beispiel:'''
:Auf einer Festplatte sind vertrauliche Kundendaten gespeichert. Diese Daten werden im KIS nur selten gebraucht, weshalb ihre Verfügbarkeit auf 20% gewichtet wurde. Die Vertraulichkeit beträgt jedoch 100%, da es sich um vertrauliche Daten handelt. Dadurch können z.B. die Risiken Diebstahl und Serverausfall festgestellt werden. Durch die Gewichtung lässt sich erkennen, dass ein Diebstahl vertraulicher Daten wesentlich kritischer ist als ein Serverausfall. Das heißt: Ein Diebstahl wäre ein kritisches Risiko, ein Serverausfall jedoch nicht.


Ressourcen können voneinander abhängig sein. Es kann Ressourcen geben, die nicht funktionsfähig oder nur eingeschränkt funktionsfähig sind, wenn eine andere Ressource nicht verfügbar ist. Ressourcen benötigen z.B. eine IT-Infrastruktur, Datenspeicher und ggf. Medizinprodukte um funktionsfähig zu sein.


Diese Abhängigkeiten können auch bidirektional sein. Dies wäre zum Beispiel der Fall, wenn zwei Ressourcen (z.B. Applikationen) aktiv Daten austauschen. Würde eine der beiden ausfallen hätte das Einfluss auf die andere Ressource.


All diese Abhängigkeiten können über die Strukturanalyse analysiert werden.

== Logik der Beziehungen zwischen Entitäten == 


Strukturelemente (Business-Applikationen oder IT-Infrastruktur Services) können untereinander in Beziehung stehen. Zwischen zwei in Beziehung stehenden Strukturelementen gibt es dabei eine Ausprägung der Beziehung je Schutzziel. Je Schutzziel ist dabei festgelegt welche '''Richtung die Beziehung''' hat und wie stark die Abhängigkeit gewichtet ist. Standardmäßig ist die Gewichtung der Beziehung mit 100% zu sehen, aber auch eine andere Gewichtung ist einstellbar. All diese Beziehungen können uni- oder bidirektional sein. Das definiert die Abhängigkeiten der Objekte zueinander.


''Beispiel:'' Ein Krankenhausinformationssystem (KIS) und ein Laborinformationssystem (LIS) stehen in Beziehung


''Schutzziel Verfügbarkeit:'' Das LIS ist zu 100% vom KIS abhängig. Wenn das KIS nicht funktioniert kann das LIS nicht auf die Patientenstammdaten zugreifen und es kann nicht gearbeitet werden. Das KIS hingegen ist in unserem Beispiel nur zu 10% vom LIS abhängig. Wenn dieses nicht funktioniert, kann das KIS die Laborwerte nicht abrufen, alle anderen Funktionen stehen aber uneingeschränkt zur Verfügung.



Oder man beginnt gezielt mit der Risikoanalyse für jene Systeme, die als Analyseergebnis aus den Schutzbedarfsanalysen als kritische Services hervorgegangen sind (bzw. Systeme zu Prozessen / Fachbereichen die kritisch erscheinen). Auf Basis der Ergebnisse der Schutzbedarfsanalyse ist eine zielgerichtete Risikountersuchung möglich. Die Risikoidentifikation betrachtet dabei die Systeme mit den höchsten Schutzanforderungen aus den Fachbereichs-/Prozessanalysen.
--->

</translate>

Berichte für den Datenschutz

2021-02-14T09:20:38Z

Sala:

<translate>

HITGuard bietet unter "Datenschutz → Berichte" die Möglichkeit verschiedenste Berichte für den Datenschutz zu generieren.

[[Datei:DS Berichte auswahl.png|left|thumb|880px|Berichtauswahl]]
 

Um einen Bericht zu erstellen, muss man sich zuerst für einen Berichttyp entscheiden. Wählt man jetzt den gewünschten Typen, wird noch ausgewählt, zu welchen Daten der Bericht generiert wird (z.B. Verarbeitungstätigkeit oder DSFA).

Es werden folgende Berichte im Bereich Datenschutz von HITGuard angeboten:

== Verarbeitungsregister ==

Im Punkt "Datenschutz → Berichte → Verarbeitungsregister" kann zwischen verschiedenen Arten von Berichten über Verarbeitungstätigkeiten gewählt werden.

[[Datei:DS VT Berichte auswahl.png|left|thumb|900px|Verarbeitungsregister Bericht auswählen]]
 

=== Eigene Verarbeitungstätigkeit ===
----

Hier finden Sie den Bericht über eine oder mehrere Verarbeitungstätigkeiten, die ihr Unternehmen verantwortet.

Vorselektiert sind in der Auswahl anbei die letzten Versionen der jeweiligen Verarbeitungstätigkeiten mit dem Bearbeitungsstatus abgeschlossen. Diese Einschränkung können Sie in der Auswahl bei Bedarf jederzeit aufheben bzw. anpassen. Dafür im Dropdown auf das Symbol zum "Filter löschen" klicken.

<big>Bericht zu eigener Verarbeitungstätigkeit erstellen:</big>

Um einen Bericht über eigene Verarbeitungstätigkeiten zu generieren, müssen hier die gewünschten Verarbeitungstätigkeiten ausgewählt werden.

Um den Bericht zu generieren wird auf den pinken Button zum Herunterladen geklickt.

[[Datei:DS VT Bericht Eigene VT erstellen.png|left|thumb|900px|Verarbeitungstätigkeits-Bericht erstellen]]
 

=== Im Auftrag anderer ===
----

Hier finden Sie den Bericht über Verarbeitungstätigkeiten, die Ihr Unternehmen im Auftrag anderer durchführt.

Sie können entweder einen Bericht generieren, der Verarbeitungstätigkeiten enthält, die vom selektierten Organisationsbereich erbracht werden. Oder Sie generieren einen Bericht für das externe Unternehmen, für das Sie eine Verarbeitung durchführen.

Beachten Sie, dass die Auswahl auf die letzte abgeschlossene Version der jeweiligen Verarbeitungstätigkeit eingeschränkt ist.

<big>Bericht zu Verarbeitungstätigkeiten im Auftrag anderer erstellen:</big>

Organisationseinheiten, die Aufträge durchführen:
* Hier können Organisationseinheiten gewählt werden, die Verarbeitungstätigkeiten im Auftrag anderer durchführen.
* Der Bericht enthält alle aktuellen Informationen zu den Verarbeitungstätigkeiten, die in den ausgewählten Organisationseinheiten, für andere durchgeführt werden.

Externe Verantwortliche in deren Auftrag verarbeitet wird:
* Hier kann ein externer Verantwortlicher gewählt werden, für den Ihre Organisation Auftragsverarbeitungen durchführt.
* Der Bericht enthält alle Informationen zu allen Verarbeitungstätigkeiten, die für diesen Verantwortlichen durchgeführt werden.

[[Datei:DS VT Bericht Im Auftrag anderer erstellen.png|left|thumb|900px|Bericht zu Verarbeitungstätigkeiten im Auftrag anderer erstellen]]
 

=== Externe Auftragsverarbeiter ===
----

Hier finden Sie den Bericht über Verarbeitungstätigkeiten, die andere Unternehmen im Auftrag Ihres Unternehmens durchführen.

Beachten Sie, dass die Auswahl auf die letzte abgeschlossene Version der jeweiligen Verarbeitungstätigkeit eingeschränkt ist.

<big>Bericht zu externen Auftragsverarbeitern erstellen:</big>

Hier muss der gewünschte externe Auftragsverarbeiter gewählt werden. Der Bericht enthält alle Informationen zu den Verarbeitungstätigkeiten, die dieser für Ihr Unternehmen durchführt.

Zum Generieren, muss auf den pinken Button zum Herunterladen geklickt werden.

[[Datei:DS VT Bericht Externe AV.png|left|thumb|900px|Bericht zu Externen Auftragsverarbeitern erstellen]]
 

== DSFA ==

Im Punkt "Datenschutz → Berichte → DSFA" kann entschieden werden, ob ein Bericht über die Konsultation der Aufsichtsbehörde oder einen allgemeinen Bericht über eine Datenschutz-Folgeabschätzung generiert werden soll.

[[Datei:DS DSFA Berichte auswahl.png|left|thumb|900px|DSFA Bericht auswählen]]
 

=== Konsultation der Aufsichtsbehörde ===
----

Hier finden Sie den Bericht zu den Datenschutz-Folgeabschätzungen, der die erforderlichen Informationen für die Konsultation der Aufsichtsbehörde enthält.

<big>Konsultations-Bericht der Aufsichtsbehörde erstellen:</big>

Hier muss zunächst die gewünschte Datenschutz-Folgeabschätzung ausgewählt werden. Verfügt die gewählte DSFA über mehrere VT-Verantwortlichkeiten wird zusätzlich noch die gewünschte VT-Verantwortlichkeit ausgewählt.

Weiters kann über die Berichtsoptionen konfiguriert werden, dass die Anhänge der DSFA als Zip-Datei mit heruntergeladen werden.

Der Bericht kann über den pinken Button heruntergeladen werden.

[[Datei:DS DSFA Bericht Konsultation erstellen.png|left|thumb|900px|Konsultations-Bericht der Aufsichtsbehörde erstellen]]
 

=== Allgemeiner Bericht ===
----

Hier finden Sie einen allgemein verwendbaren Bericht zu den Datenschutz-Folgeabschätzungen.

<big>Bericht über Datenschutz-Folgeabschätzung erstellen:</big>

Hier muss die gewünschte Datenschutz-Folgeabschätzung ausgewählt werden. Der Bericht enthält alle relevanten Informationen über die ausgewählte DSFA.

Es kann über die Berichtsoptionen konfiguriert werden, dass die Anhänge der DSFA als Zip-Datei mit heruntergeladen werden.

Der Bericht kann über den pinken Button heruntergeladen werden.

[[Datei:DS DSFA Bericht Allgemein erstellen.png|left|thumb|900px|Bericht über Datenschutz-Folgeabschätzung erstellen]]
 

== Betroffenenkategorien ==

Hier finden Sie den Bericht zu den Betroffenenkategorien. Dieser Bericht kann zur Auskunftserteilung verwendet werden.

<big>Auskunftserteilung erstellen:</big>

Hier muss die gewünschte die gewünschte Betroffenenkategorie ausgewählt werden. Der Bericht enthält alle Informationen (z.B. Löschfrist) zu allen Verarbeitungstätigkeiten in denen sie vorkommt. Sie kann somit zur Auskunftserteilung an Anfragende verwendet werden.

Der Bericht kann über den pinken Button als Word-Datei heruntergeladen werden.

[[Datei:DS DSFA Bericht Betroffenenkategorie erstellen.png|left|thumb|900px|Auskunftserteilung erstellen]]
 

</translate>

Berichte für das Risikomanagement

2021-02-14T09:12:45Z

Sala:

<translate>

HITGuard bietet unter "Risikomanagement → Berichte" die Möglichkeit verschiedenste Berichte für das Risikomanagement zu generieren.

[[Datei:RM Berichtauswahl allgemein.png|left|thumb|900px|Berichtauswahl]]
 

Um einen Bericht zu erstellen, entscheidet man sich zuerst für einen Berichttyp. Anschließend wird noch ausgewählt, zu welchen Daten der Bericht generiert wird (z.B. Gefährdungslagen oder Audit). Die meisten Berichte verfügen zusätzlich über Berichtsoptionen mit denen der Inhalt des Berichts noch spezifischer eingeschränkt und / oder erweitert werden kann.


Sprachen: 
Wissensdatenbanken können durch hinterlegte Übersetzungen für verwendete Wissensdatenbanken in verschiedenen Sprachen vorliegen. Um z.B. einen Bericht mit den englischen Texten zu generieren, muss über das Flaggen-Icon rechts oben am Bildschirm, neben dem Abmelde-Button, die Sprache gewechselt werden. Dadurch werden alle Inhalte für die Berichte in der gewünschten Sprache geladen, sofern eine Übersetzung in dieser Sprache für die Wissensdatenbank vorhanden ist.


Es werden folgende Berichte im Bereich Risikomanagement von HITGuard angeboten:

== Auditverwaltung ==

Im Punkt "Risikomanagement → Berichte → Auditverwaltung" kann entschieden werden, ob ein Bericht für ein Auditprogramm, oder ein Audit generiert werden soll.

[[Datei:RM Auditverwaltung auswahl.png|left|thumb|900px|Auditprogramm oder Audit Bericht auswählen]]
 

=== Auditprogramm === 
----


Mit diesem Bericht erzeugen Sie eine Aufstellung aller Eckdaten zu den Audits im gewählten Auditprogramm.


[[Media:Auditprogramm Bericht.pdf | Auditprogramm Beispiel Bericht]]


<big>Auditprogramm Bericht erstellen:</big>


Um einen Bericht eines Auditprogramms zu generieren, navigieren Sie zu "Risikomanagement → Berichte → Auditverwaltung → Auditprogramm". Dort werden alle Auditprogramme, die im ausgewählten Managementsystem angelegt sind, zur Berichtserstellung angezeigt. Anschließend muss lediglich ein Auditprogramm über das Dropdown gewählt werden. Generiert wird der Bericht sobald auf den pinken Button zum herunterladen geklickt wird.


[[Datei:RM Auditprogramm Bericht erstellen.png|left|thumb|900px|Auditprogramm Bericht erstellen]]
 

=== Audit === 
----


Mit diesem Bericht erzeugen Sie eine Aufstellung aller Eckdaten zu den Überprüfungsterminen im gewählten Audit. Sie können wählen, ob die Audit Agenda, die Management Summary zum Audit und falls nötig auch die Ergebnisse der Überprüfungen im Bericht enthalten sein sollen.


[[Media:Auditplan Bericht.pdf | Auditplan Beispiel Bericht]]


<big>Audit Bericht erstellen:</big>


Um einen Audit Bericht zu generieren, navigieren Sie zu "Risikomanagement → Berichte → Auditverwaltung → Auditplan". Dort werden alle Audits, des ausgewählten Managementsystems, zur Berichtserstellung angezeigt.

Zum Generieren eines Berichts muss nun das gewünschte Audit ausgewählt und über die Berichtsoptionen rechts konfiguriert werden. Im Anschluss kann der Bericht über den oberen pinken Button heruntergeladen werden.

<big>Berichtsoptionen</big>
* Management Summary zum Audit anzeigen
:: Dadurch wird die Management Summary, die im [[Special:MyLanguage/Auditverwaltung#mms| Audit]] eingetragen ist im Bericht angezeigt.
* Agenda andrucken
:: Dadurch wird die Agenda die im [[Special:MyLanguage/Audit_erstellen#timetable| Audit Terminkalender]] vorhanden ist, im Bericht angezeigt.
* Konformitätsbericht zu Audit andrucken
:: Dadurch wird für jede Überprüfung des Audits zusätzlich die Erfüllung der Konformität angedrückt.
:: Der Konformitätsbericht kann über die restlichen Optionen konfiguriert werden, mehr dazu unter [[#comp_review| Konformitätsbericht nach Überprüfung]] .


[[Datei:RM Audit Bericht erstellen.png|left|thumb|900px|Audit Bericht erstellen]]
 

== Gefährdungslagenbericht == 


In diesem Bericht werden Details zu Gefährdungslagen dargestellt. Zusätzlich werden die Gefährdungslagen in einer Risikomatrix nach ihrer Kritikalität positioniert.


Zu den einzelnen Gefährdungslagen können die zu ergreifenden bzw. die bereits ergriffenen Maßnahmen und Kontrollen dargestellt werden. Bei Bedarf kann auch die zeitliche Entwicklung der einzelnen Gefährdungslagen dargestellt werden. Dasselbe gilt für die Abweichungen, die zu den Gefährdungslagen erkannt wurden.


Achtung: Nur Benutzern mit der Rolle "Compliance Manager" werden auch Maßnahmen und Kontrollen aus den anderen Managementsystemen angezeigt.


[[Media:Risikobericht ohne Maßnahmen mit Entwicklung.pdf | Risikobericht Beispiel Gefährdungslagen ohne M / K inkl. zeitlicher Entwicklung]]


[[Media:Risikobericht inkl offener M K.pdf | Risikobericht Beispiel Gefährdungslagen inkl. ausgesetzte M / K]]


[[Media:Risikobericht inkl aller M K.pdf | Risikobericht Beispiel Gefährdungslagen inkl. aller M / K]]


[[Media:Risikobericht Beispiel Verantwortlich.pdf | Risikobericht Beispiel Verantwortliche(r) ohne ausgesetzte M / K]]


[[Media:Risikobericht Beispiel Strukturelement.pdf | Risikobericht Beispiel Strukturelemente ohne ausgesetzte M / K]]


<big>Gefährdungslagenbericht erstellen:</big>


Um einen Gefährdungslagenbericht zu generieren müssen Sie zu "Risikomanagement → Berichte → Gefährdungslage" navigieren. Dort gibt es mehrere Möglichkeiten einen Gefährdungslagenbericht zu generieren:
# Gefährdungslagen
#:* Dieser Bericht enthält die Details zu allen ausgewählten Gefährdungslagen.
#:* Es können nur Berichte zu Gefährdungslagen von Managementsystemen, zu denen man selbst zugeteilt ist, erstellt werden. (Ausnahmen sind Compliance Manager, diese können Berichte zu allen Gefährdungslagen in allen Managementsystemen generieren)
# Strukturelemente
#:* Dieser Bericht enthält alle Gefährdungslagen (des aktuellen Managementsystems), die den ausgewählten Strukturelementen zugewiesen sind.
# Verantwortliche(r) (nur Compliance Manager)
#:* Ein Bericht, der alle Gefährdungslagen anführt für die das ausgewählte Team oder der / die ausgewählte Verantwortliche zuständig ist.


Zum Generieren der Berichte muss auf den jeweiligen pinken Button geklickt werden.

<big>Berichtsoptionen</big>

Mit den Berichtsoptionen kann spezifiziert werden in welchen Status sich Maßnahmen / Kontrollen befinden müssen um im Bericht angeführt zu werden.

Weiters kann entschieden werden, ob die [[Special:MyLanguage/Risikobewertung#time_dev | zeitliche Entwicklung ]] der Gefährdungslagen im Bericht angezeigt werden soll und ob auch die zur jeweiligen Gefährdungslage zugewiesenen Abweichungen mit angedrückt werden sollen.


[[Datei:RM Gefährdungslage Bericht erstellen.png|left|thumb|900px|Gefährdungslagenbericht erstellen]]
 

== Schutzbedarf ==
== Abweichungsanalysen == 

In diesem Bericht werden wahlweise die Ergebnisse aus einer oder mehreren Überprüfungen dargestellt. Achten Sie bei der Auswahl der Überprüfungen darauf, dass diese nach dem ausgewählten Analysezeitraum eingegrenzt werden. Eine Vielzahl an Berichtsoptionen hilft Ihnen dabei, die Berichte so zu konfigurieren, dass Sie Ihrem Bedarf entsprechend dargestellt werden.


[[Media:Abweichungsbericht Beispiel Überprüfungen.pdf | Abweichungsbericht Beispiel Überprüfungen ohne Vorschläge ZR 5]]


[[Media:Abweichungsbericht Beispiel Verantwortlich.pdf | Abweichungsbericht Beispiel Verantwortliche mit Vorschlägen ZR 3]]


[[Media:Abweichungsbericht Beispiel OrgEh.pdf | Abweichungsbericht Beispiel Organisationseinheit alle Prüffragen ohne Vorschläge ZR 2]]


<big>Abweichungsanalysen Bericht erstellen:</big>


Um einen Abweichungsanalysen-Bericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Abweichungsanalysen". Anschließend gibt es je nach ihrer Rolle folgende Möglichkeiten:
# Überprüfungen
#:* Dieser Bericht enthält alle Informationen über die ausgewählten Überprüfungen.
#:* Bei der Auswahl werden nur Überprüfungen des aktuellen Managementsystems im ausgewählten Analysezeitraum (rechts bei den Berichtsoptionen) angezeigt.
# Verantwortliche(r) (nur Compliance Manager)
#:* Dieser Bericht enthält alle Überprüfungen für die das ausgewählte Team oder der Verantwortliche zuständig ist.
# Organisationseinheit (nur Compliance Manager)
#:* Dieser Bericht enthält alle Überprüfungen, die innerhalb einer Organisationseinheit angelegt wurden.
#:* Bei der Auswahl werden nur Organisationseinheiten angezeigt, für die im aktuellen Managementsystem und im ausgewählten Analysezeitraum Überprüfungen existieren.


Es ist möglich einen Bericht über mehrere Analysezeiträume zu erstellen. Dafür muss rechts bei den Berichtsoptionen der Analysezeitraum geändert werden. Dadurch stehen nun die Überprüfungen des gewählten Analysezeitraum zur Auswahl.

Achtung: Wählen Sie einen neuen Analysezeitraum, werden die Überprüfungen aus den vorherigen nicht mehr angezeigt, bleiben aber selektiert.


Zum Generieren des Berichtes wird der jeweilige pinke Button zum Herunterladen geklickt.

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, aus welchem Managementsystem die Überprüfungen, die zur Auswahl stehen, kommen.
:: Dadurch kann auch ein Managementsystem übergreifender Abweichungsbericht erzeugt werden.
* Analysezeitraum
:: Diese Option steuert aus welchem Analysezeitraum, die zur Auswahl stehenden Überprüfungen kommen.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen.
Die restlichen Optionen spezifizieren welche Bedingungen eine Prüffrage erfüllen muss, damit sie im Bericht angezeigt wird.

Es kann auch ausgewählt werden, dass die mit den Prüffragen verknüpften Maßnahmen / Kontrollen angezeigt werden.


[[Datei:RM Abweichungsanalysen Bericht erstellen.png|left|thumb|900px|Abweichungsanalysen Bericht erstellen]]
 




Um einen Maßnahmen- oder Kontroll-Bericht erstellen zu können müssen Sie ein Compliance Manager sein.


In diesem Bericht werden zu jedem Risiko, die zu ergreifenden bzw. die ergriffenen Maßnahmen und Kontrollen dargestellt. Ebenso besteht die Möglichkeit, Berichte über den Status der - auf eine Norm gemappte - Maßnahmen und Kontrollen zu generieren oder einen Bericht für das Management zu erstellen. In diesem erhalten Sie eine Zusammenfassung der - auf eine Norm gemappten - Maßnahmen und Kontrollen.


[[Media:Maßnahmen- und Kontrollbericht Beispiel.pdf | Maßnahmen- und Kontrollbericht Beispiel]]


[[Media:Maßnahmenbericht Norm Beispiel.pdf | Maßnahmenbericht zu einer Norm ]]


[[Media:Management Summary Beispiel Bericht.pdf | Management Summary Beispiel Bericht]]


'''Maßnahmen- und Kontrollbericht erstellen:'''


[[Datei:Maßnahmen und Kontrllbericht Bericht auswahl.png|left|thumb|804px|Maßnahmen und Kontrollbericht erstellen]]
 


Um einen Abweichungsbericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Maßnahmen und Kontrollen". Dort finden sich mehrere Möglichkeiten einen Maßnahmen- und Kontrollbericht zu erstellen:
# Risiken
#:* Sie können einen Maßnahmen- und Kontrollbericht von einem einzelnen Risiko generieren.
#:* Sie können allerdings nur in Managementsystemen, in denen Sie zugeteilt sind, Risikoberichte erstellen.
#:* Sie haben die Option Maßnahmen oder Kontrollen über die Berichtsoptionen zu inkludieren oder zu exkludieren.
# Standards/Norm
#:* Sie können einen Maßnahmen-, Kontroll- oder einen zusammengefassten Management-Bericht zu einem Standard oder einer Norm generieren. In diesen Berichten werden alle - auf eine Norm gemappte - Maßnahmen und Kontrollen angezeigt.


Anschließend klicken Sie auf den jeweiligen Button "Bericht als PDF herunterladen", um den Maßnahmen- und Kontrollbericht zu generieren.

---->

== Konformität == 

Hier können Berichte zur Darstellung des Grades der Standard/Norm-Erfüllung bzw. Erfüllung von Abweichungsanalysen erstellt werden.

[[Datei:RM Konformität auswahl.png|left|thumb|900px|Konformitätstyp auswählen]]
 

=== Konformitätsbericht nach Überprüfungen === 
----


In diesem Bericht soll die Erfüllung der Voraussetzungen anhand einzelner Überprüfungen grafisch dargestellt werden. Die Erfüllung der Anforderungspunkten wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.

<big>Konformitätsbericht nach Überprüfungen erstellen:</big>


Je nach Rolle gibt es unterschiedliche Möglichkeiten diesen Bericht zu generieren:
# Überprüfungen:
#:* Es kann ein Konformitätsbericht zu den ausgewählten Überprüfungen generiert werden.
# Verantwortliche: (nur Compliance Manager)
#:* Ein Konformitätsbericht bei dem alle Überprüfungen von einem Verantwortlichen / Team, mit der jeweiligen Erfüllung, angeführt sind.
# Organisationseinheit: (nur Compliance Manager)
#:* Ein Konformitätsbericht bei dem alle Überprüfungen der ausgewählten Organisationseinheit, mit der jeweiligen Erfüllung, angeführt sind.


[[Media:Konformitätsbericht Beispiel Überprüfung.pdf| Konformitätsbericht Beispiel: Überprüfungen]]


[[Media:Konformitätsbericht Beispiel Verantwortlicher.pdf | Konformitätsbericht Beispiel: Verantwortlicher]]

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, aus welchem Managementsystem die Überprüfungen, die zur Auswahl stehen, kommen.
:: Dadurch kann auch ein Managementsystem übergreifender Konformitätsbericht erzeugt werden. (Verhalten siehe Analysezeitraum)
* Analysezeitraum
:: Diese Option steuert, aus welchem Analysezeitraum die Überprüfungen, die zur Auswahl stehen, kommen.
:: Durch diese Option kann auch ein Konformitätsbericht über mehrere Analysezeiträume erstellt werden. Wechselt man den Analysezeitraum, werden die Überprüfungen, die in einem anderen gewählt wurden nicht entfernt. Sie werden nur im jeweiligen Analysezeitraum angezeigt.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen (beeinflusst die Darstellung im Bericht).

Mit den restlichen Optionen kann zusätzlich konfiguriert werden, welche Prüffragen angedrückt werden, ob nicht abgeschlossene Überprüfungen inkludiert werden (relevant für Compliance Manager bei Auswahl von Verantwortlichen / Organisationseinheit) und wie das Inhaltsverzeichnis aufgebaut ist.

[[Datei:RM Konformität nach Überprüfung Bericht erstellen.png|left|thumb|900px|Konformität nach Überprüfung]]
 

=== Konformitätsbericht nach Standards und Normen === 
----


In diesem Bericht soll die Erfüllung der Voraussetzungen in den einzelnen Anforderungsbereichen des Standards grafisch dargestellt werden. Die Erfüllung der Anforderungspunkte wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.

Für die Darstellung werden Fragen, die mit Ja, Nein oder Teilweise beantwortet wurden, zu Reifegraden umgewandelt. "Nein" entspricht Reifegrad 1, "Teilweise" Reifegrad 3 und "Ja" entspricht Reifegrad 5.

<big>Konformitätsbericht nach Standards und Normen erstellen:</big>

Zuerst muss die gewünschte Norm oder der Standard ausgewählt werden zu dem ein Konformitätsbericht generiert werden soll. Im Anschluss sollte der Bericht noch über die Berichtsoptionen konfiguriert werden. Um den Bericht zu generieren muss noch auch den pinken Button zum Herunterladen geklickt werden.


[[Media:Konformitätsbericht Beispiel Norm.pdf | Konformitätsbericht Beispiel: Norm]]

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem der Konformitätsbericht erstellt werden soll.
:: Ohne die Rolle Compliance Manager, kann der Konformitätsbericht nur für das aktuelle Managementsystem generiert werden.
* Analysezeitraum
:: Diese Option steuert für welchen Analysezeitraum der Konformitätsbericht erstellt werden soll.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen (beeinflusst die Darstellung im Bericht).
::Die restlichen Optionen dienen zum Konfigurieren, welche Prüffragen und Überprüfungen im Bericht angedrückt werden.
* Organisationseinheit
:: Durch diese Option kann der Konformitätsbericht auf die ausgewählte Organisationseinheit und die in der Hierarchie darunter befindliche Organisationseinheiten eingeschränkt werden.
* Auswertung
:: Durch diese Option kann konfiguriert werden, welche Form der Auswertung inkludiert wird.
* Nicht anwendbare Kapitel
:: Durch diese Option können die Kapitel die für das ausgewählte Managementsystem nicht anwendbar sind aus dem Konformitätsbericht ausgeschlossen werden.

[[Datei:RM Konformität nach Standard Bericht erstellen.png|left|thumb|900px|Konformität nach Standard oder Norm]]
 

== Standards und Normen == 
Hier können Berichte über Standards und Normen generiert werden.

[[Datei:RM Standards auswahl.png|left|thumb|900px|Bericht für Standards und Normen auswählen]]
 

Die Kapitelandeckung bei den Berichten wird folgendermaßen berechnet:
:Szenario 1:
:*Kapitel 1 - ohne Maßnahme
:**Kapitel 1.1 - mit Maßnahme
:**Kapitel 1.2 - mit Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 100%, da alle untergeordneten Kapitel Maßnahmen zugeteilt haben.
:Szenario 2:
:*Kapitel 1 - mit Maßnahme
:**Kapitel 1.1 - ohne Maßnahme
:**Kapitel 1.2 - ohne Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 100%. Da die Maßnahme zum übergeordneten Kapitel zugewiesen ist, zählt sie auch für die untergeordneten Kapitel.
:Szenario 3:
:*Kapitel 1 - ohne Maßnahme
:**Kapitel 1.1 - mit Maßnahme
:**Kapitel 1.2 - ohne Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 50%, da nur die Hälfte der untergeordneten Kapitel Maßnahmen zugeteilt haben.

=== Statement of Applicability (SOA)=== 
----
In diesem Bericht wird dargestellt, welche Kapitel des Standards/der Norm im Managementsystem "anwendbar" bzw. "nicht anwendbar" sind. Dazu findet sich auch die Begründung zur jeweiligen Anwendbarkeit und die mit den Kapiteln verknüpften Maßnahmen und Kontrollen.

*Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen & Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
*In den Donut-Diagrammen wird dabei der Geltungsbereich (Scope) des Standards/der Norm berücksichtigt. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option "Nicht anwendbare Kapitel in die Statistik aufnehmen" aufgehoben werden.

Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die zu dem gewählten Analysezeitraum bereits existierten.


Maßnahmen:
*Grün = Abgeschlossene Maßnahmen
*Orange = Ausgesetzte Maßnahmen
*Blau = Offene Maßnahmen


Maßnahmen zu Kapiteln: 
*Rot = Kapitel ohne Maßnahmen
*Blau = Kapitel mit offenen Maßnahmen
*Grün = Kapitel mit erledigten Maßnahmen


Kontrollen zu Kapiteln:
*Orange = Ausgesetzte Kontrollen zu Kapiteln
*Grün = Aktive Kontrollen zu Kapiteln
*Rot = Kapitel ohne Kontrollen

<big>Statement of Applicability (SOA) erstellen </big>

Zum Generieren einer SOA muss zuerst eine Norm / ein Standard ausgewählt und das SOA über die Berichtsoptionen konfiguriert werden. Zum Generieren wird auf den pinken Button zum Herunterladen geklickt.

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem das SOA generiert wird.
* Analysezeitraum
:: Diese Option steuert, aus welchem Analysezeitraum die Maßnahmen und Kontrollen die im SOA berücksichtigt werden, kommen.

Die restlichen Optionen ermöglichen es noch weiter zu konfigurieren, was in den Bericht mit aufgenommen wird. Die Auswahl "Statistik anzeigen" bestimmt beispielsweise, ob die Donut-Diagramme angezeigt werden sollen.

[[Datei:RM Standard SOA Bericht erstellen.png|left|thumb|880px|Statement of Applicability]]
 

=== Management Summary === 
----
In diesem Bericht finden Sie einen Management-Überblick von Maßnahmen und Kontrollen, die einem Standard/einer Norm zugewiesen wurden:

*Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen und Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
*Ein Balkendiagramm zeigt die Anzahl der Maßnahmen und Kontrollen nach Hauptkapiteln an. Die Anzahl entspricht der Summe der Maßnahmen bzw. Kontrollen, die dem Hauptkapitel und jedem darunter befindlichen Kapitel zugewiesen sind. Eine mehrmals zugewiesene Maßnahme bzw. Kontrolle wird je Hauptkapitel nur einmal gezählt.
*Der Bericht berücksichtigt dabei den Geltungsbereich (Scope) des Standards/der Norm. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option Nicht anwendbare Kapitel in die Statistik aufnehmen aufgehoben werden.

Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die zu dem gewählten Analysezeitraum bereits existierten.


[[Media:Management Summary Beispiel Bericht.pdf | Management Summary Beispiel Bericht]]

<big>Management Summary erstellen </big>

Zum Generieren einer Management-Summary muss zuerst eine Norm / ein Standard ausgewählt und der Bericht über die Berichtsoptionen konfiguriert werden. Zum Generieren muss anschließend nur auf den pinken Button zum Herunterladen geklickt werden.

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem die Management Summary generiert wird.
* Analysezeitraum
:: Diese Option steuert aus welchem Analysezeitraum die Maßnahmen und Kontrollen die in der Management Summary berücksichtigt werden kommen.

Die restlichen Optionen ermöglichen es noch weiter zu konfigurieren, was in den Bericht mit aufgenommen wird. Die Auswahl "Statistik anzeigen" bestimmt beispielsweise, ob die Donut-Diagramme angezeigt werden sollen.

[[Datei:RM Standard Management Summary Bericht erstellen.png|left|thumb|880px|Management Summary]]
 

</translate>

Auditplanung

2021-02-14T08:37:00Z

Sala:

<translate>

__FORCETOC__

Im Zuge der Risikoidentifikation ist es üblich Audits zu planen, denen Überprüfungen oder Analysen zugeordnet sind. In der Regel werden Audits z.B. „Erst-Audit der Klinik Y“ oder „Aktualisierung aller BIAs 2017“ über mehrere Tage geplant (Auditprogramm). Zu diesem Auditprogramm werden dann mehrere einzelne Audits (z.B. Business Impact Analysen, Risikoanalysen, Re-Audits von Feststellungen etc.) mit unterschiedlichen Personen der zu auditierenden Organisationseinheit durchgeführt.


Experten und Professionals können unter "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" Audits und Auditprogramme erstellen und verwalten.
[[Datei:Auditverwaltung Navigation.png|left|thumb|560px]] 

== Audits == 


In der Maske "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" werden alle Audits, die in dem aktuell ausgewählten Managementsystem existieren, aufgelistet. 
Über den rosafarbenen Button können Auditpläne als PDF heruntergeladen werden. 
Über den grünen Button können neue Audits erstellt werden. 


[[Datei:Audits Menü.png|left|thumb|900px]] 

=== Audit erstellen / bearbeiten / löschen === 
: Um ein Audit zu erstellen siehe [[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen</>|Audit erstellen]].
: Wollen Sie ein Audit löschen oder bearbeiten, weil sich z.B. der Status geändert hat, müssen Sie in der "Audits"-Maske auf das gewünschte Audit doppelklicken.


:Ebenso können Sie hier neue Überprüfungen planen oder dem Audit bereits existierende Überprüfungen zuordnen. (siehe [[<tvar|UG_create audit assigned reviews>Special:MyLanguage/Audit erstellen#Zugeordnete Überprüfungen</>|Zugeordnete Überprüfungen]])


: Löschen Sie ein Audit werden dabei '''nicht''' die zugeordneten Überprüfungen gelöscht. Diese existieren weiterhin und können anderen Audits zugeordnet werden.


[[Datei:Audit bearbeiten.png|left|thumb|905px|Maske zum bearbeiten eines Audits]] 

=== Terminkalender === 


Im Kalender können Termine des Audits wie z.B. der Beginn einer Überprüfung eingesehen oder weitere Termine, die im Zuge eines Audits auftreten, wie Pausen oder Kick-Off Meetings, erfasst werden.


[[Datei:Audit Termin.PNG|left|thumb|902px|Terminkalender]] 


Um mehr über den Terminkalender zu erfahren siehe [[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen#timetable</>|Audit erstellen → Terminkalender]].

=== Management Summary === 


Für ein Audit kann eine Zusammenfassung erstellt werden, um die Pros und Contras des Audits hervorzuheben. Diese Zusammenfassung kann für diverse Berichte, wie den Auditplan-Bericht, verwendet werden.


[[Datei:Audit Management Summary.PNG|left|thumb|900px|Management Summary]] 

== Auditprogramme == 


In der Maske "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" werden alle Auditprogramme, die in dem aktuell ausgewählten Managementsystem existieren, aufgelistet. Dafür müssen Sie, wie im Screenshot gezeigt, in der oberen Leiste auf "Auditprogramme" klicken. 


[[Datei:Auditprogramme Menü.png|left|thumb|900px]] 

=== Auditprogramm erstellen / bearbeiten / löschen === 
: Um ein Auditprogramm zu erstellen siehe [[<tvar|UG_create audit programs>Special:MyLanguage/Auditprogramm erstellen</>|Auditprogramm erstellen]].
: Wollen Sie ein Auditprogramm löschen oder bearbeiten, weil Sie z.B. ein Audit hinzufügen möchten, klicken Sie in der Maske "Auditprogramme" doppelt auf das gewünschte Programm.


: Um Audits zu planen oder zuzuordnen siehe [[<tvar|UG_create audit assigned audits>Special:MyLanguage/Auditprogramm erstellen#Zugeordnete Audits</>|Zugeordnete Audits]]


: Löschen Sie ein Auditprogramm durch klicken der Mülltonne werden dabei '''nicht''' die zugeordneten Audits gelöscht. Diese existieren weiterhin und können anderen Auditprogrammen zugeordnet werden.


[[Datei:Auditprogramm erstellen 2.PNG|left|thumb|900px]] 

=== Terminkalender===

Im Kalender können die Termine der Audits eingesehen werden. In der Ansicht "Monat" werden alle Audits angezeigt, die in diesem Monat beginnen, enden oder durchlaufen. In der Ansicht "Agenda" kann wochenweise eingesehen werden, was für die Woche geplant ist.

Achtung: Audits, die kein Beginn- oder End-Datum haben, werden nicht angezeigt. Stattdessen wird darüber informiert, welche Audits nicht angezeigt werden.

[[Datei:Auditprogramme Terminkalender.png|left|thumb|900px|Beispiel: Terminkalender]] 

</translate>

Auditplanung

2021-02-14T08:31:35Z

Sala:

<translate>

__FORCETOC__

Im Zuge der Risikoidentifikation ist es üblich Audits zu planen, denen Überprüfungen oder Analysen zugeordnet sind. In der Regel werden Audits z.B. „Erstaudit der Klinik Y“ oder „Aktualisierung aller BIAs 2017“ über mehrere Tage geplant (Auditprogramm). Zu diesem Auditprogramm werden dann mehrere einzelne Audits (z.B. Business Impact Analysen, Risikoanalysen, Re-Audits von Feststellungen etc.) mit unterschiedlichen Personen der zu auditierenden Organisationseinheit durchgeführt.


Experten und Professionals können unter "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" Audits und Auditprogramme erstellen und verwalten.
[[Datei:Auditverwaltung Navigation.png|left|thumb|560px]] 

== Audits == 


In der Maske "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" werden alle Audits, die in dem aktuell ausgewählten Managementsystem existieren, aufgelistet. 
Über den rosafarbenen Button können Auditpläne als PDF heruntergeladen werden. 
Über den grünen Button können neue Audits erstellt werden. 


[[Datei:Audits Menü.png|left|thumb|900px]] 

=== Audit erstellen / bearbeiten / löschen === 
: Um ein Audit zu erstellen siehe [[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen</>|Audit erstellen]].
: Wollen Sie ein Audit löschen oder bearbeiten, weil sich z.B. der Status geändert hat, müssen Sie in der "Audits"-Maske auf das gewünschte Audit doppelklicken.


:Ebenso können Sie hier neue Überprüfungen planen oder dem Audit bereits existierende Überprüfungen zuordnen. (siehe [[<tvar|UG_create audit assigned reviews>Special:MyLanguage/Audit erstellen#Zugeordnete Überprüfungen</>|Zugeordnete Überprüfungen]])


: Löschen Sie ein Audit werden dabei '''nicht''' die zugeordneten Überprüfungen gelöscht. Diese existieren weiterhin und können anderen Audits zugeordnet werden.


[[Datei:Audit bearbeiten.png|left|thumb|905px|Maske zum bearbeiten eines Audits]] 

=== Terminkalender === 


Im Kalender können Termine des Audits wie z.B. der Beginn einer Überprüfung eingesehen oder weitere Termine, die im Zuge eines Audits auftreten, wie Pausen oder Kick-Off Meetings, erfasst werden.


[[Datei:Audit Termin.PNG|left|thumb|902px|Terminkalender]] 


Um mehr über den Terminkalender zu erfahren siehe [[<tvar|UG_create audit>Special:MyLanguage/Audit erstellen#timetable</>|Audit erstellen → Terminkalender]].

=== Management Summary === 


Für ein Audit kann eine Zusammenfassung erstellt werden, um die Pros und Contras des Audits hervorzuheben. Diese Zusammenfassung kann für diverse Berichte, wie den Auditplan-Bericht, verwendet werden.


[[Datei:Audit Management Summary.PNG|left|thumb|900px|Management Summary]] 

== Auditprogramme == 


In der Maske "Risikomanagement → Auditverwaltung → Audits | Auditprogramme" werden alle Auditprogramme, die in dem aktuell ausgewählten Managementsystem existieren, aufgelistet. Um hier hinzukommen müssen Sie wie im Screenshot gezeigt wird in der oberen Leiste auf "Auditprogramme" klicken. 


[[Datei:Auditprogramme Menü.png|left|thumb|900px]] 

=== Auditprogramm erstellen / bearbeiten / löschen === 
: Um ein Auditprogramm zu erstellen siehe [[<tvar|UG_create audit programs>Special:MyLanguage/Auditprogramm erstellen</>|Auditprogramm erstellen]].
: Wollen Sie ein Auditprogramm löschen oder bearbeiten, weil Sie z.B. ein Audit hinzufügen möchten, klicken Sie in der Maske "Auditprogramme" doppelt auf das gewünschte Programm.


: Um Audits zu planen oder zuzuordnen siehe [[<tvar|UG_create audit assigned audits>Special:MyLanguage/Auditprogramm erstellen#Zugeordnete Audits</>|Zugeordnete Audits]]


: Löschen Sie ein Auditprogramm durch klicken der Mülltonne werden dabei '''nicht''' die zugeordneten Audits gelöscht. Diese existieren weiterhin und können anderen Auditprogrammen zugeordnet werden.


[[Datei:Auditprogramm erstellen 2.PNG|left|thumb|900px]] 

=== Terminkalender===

Im Kalender können die Termine der Audits eingesehen werden. In der Ansicht Monat werden alle Audits angezeigt, welche in diesem Monat beginnen, enden oder durchlaufen angezeigt. In der Ansicht Agenda kann wochenweise eingesehen werden, was für die Woche geplant ist.

Achtung: Audits die kein Begin- oder End-Datum haben werden nicht angezeigt. Stattdessen kommt eine Information darüber, welche Audits nicht angezeigt werden.

[[Datei:Auditprogramme Terminkalender.png|left|thumb|900px|Beispiel: Terminkalender]] 

</translate>

Benutzer und Benutzerrollen

2021-02-14T08:30:24Z

Sala:

<translate>

== Benutzerrollen in HITGuard == 


Jede Benutzerrolle hat eigene Berechtigungen und Funktionen. 
Benutzerrollen können für jedes Modul einzeln vergeben werden. Die einzige Ausnahme ist der Practitioner, da diese Rolle modulübergreifend ist. Das heißt: Ein Benutzer kann im Security Assessor (Risikomanagement) Experte sein, im Progress Monitor (Maßnahmen und Kontrollen) aber Professional oder Practitioner.
</translate>

<translate>

'''Admin:'''


Diese Rolle ist für die Administration sowie für die Verwaltung anderer Benutzer zuständig. Administratoren haben keinen Einblick in Daten. Zum Beispiel können Administratoren zwar '''alle''' Managementsysteme verwalten und erstellen, haben aber weder Einblick in deren Daten noch können sie als Verantwortliche festgelegt werden.
* Bei Erstinstallation der Software ist mindestens ein Administrator zu definieren
* Es kann mehrere Administratoren geben
* Ein Admin erfüllt rein administrative Aufgaben wie z.B. das Anlegen eines Benutzers oder das Konfigurieren eines Active Directory etc.


'''Experte:'''


Diese Rolle kann in einem oder mehreren [[<tvar|A_manSys>Special:MyLanguage/Managementsysteme</>|Managementsystemen]] in Ihrem Unternehmen mitarbeiten.
* Risikomanagement:
** Ein Experte kann Analysen durchführen und Gefährdungslagen erstellen
** er verantwortet die Administration der Risikopolitik
* Maßnahmen und Kontrollen
** Ein Experte kann Maßnahmen und Kontrollen erstellen und administrieren
** er verantwortet die Administration der Einstellungen im Progress Monitor
* Datenschutz
** Ein Experte kann Verarbeitungstätigkeiten erstellen, TOMs zuweisen, Externe und Betroffene administrieren
* er kann Managementsysteme erstellen und verwalten
* und kann auf den Punkt Administration zugreifen und somit auch Assets oder Benutzer anlegen


'''Professional:'''


User dieser Rolle unterstützen die Experten der Managementsysteme in der Erfüllung ihrer Aufgaben. Ein Professional hat Zugriff auf alle Aufgaben in den Managementsystemen zu denen er zugeteilt ist, hat aber eingeschränkte Bearbeitungsrechte.
* Risikomanagement:
** Ein Professional kann Analysen und Gefährdungslagen erstellen und verwalten
* Maßnahmen und Kontrollen
** Er kann Maßnahmen und Kontrollen erstellen und verwalten
* Datenschutz
** Ein Professional kann Verarbeitungstätigkeiten erstellen, TOMs zuweisen und Externe verwalten


'''Practitioner:'''


Diese Rolle verfügt über Detailinformationen und Umsetzungskompetenzen, die aus dem Managementsystem heraus benötigt werden. Dass Practitioner ihr Wissen mit den HITGuard Experten teilen, ist für ein lebendiges Managementsystem unbedingt erforderlich.
* Ein Practitioner hat Überblick über alle ihm zugeteilten Maßnahmen, Kontrollen, Verarbeitungstätigkeiten und Bewertungen zur Beantwortung
* er wird an die Erledigung seiner Aufgaben erinnert
* und ist die Standardrolle, die jeder Benutzer modulübergreifend besitzt

== Benutzerverwaltung == 

=== Benutzer anlegen === 
Zum Anlegen eines Benutzers gibt es drei Möglichkeiten
* Möglichkeit 1: Einen Benutzer über die Benutzerliste (für Lokale Anmeldungen ohne Active Directory) anlegen
:: Administration → Benutzer
:: In der Benutzerliste, am rechten Rand, klicken Sie auf den Button "Plus" um einen Benutzer hinzuzufügen. Anschließend können Sie den Benutzer mit den relevanten Daten anlegen.
::[[Datei:Benutzer anlegen.PNG|left|thumb|900px|600px|Benutzer anlegen]]
:: 
:: "Im Verzeichnisdienst suchen", wird nur angezeigt, wenn LDAP in den globalen Einstellungen aktiviert ist und ein Active Directory konfiguriert ist. Dies ermöglicht es, Benutzer aus dem Active Directory zu suchen und mit ihren Daten in HITGuard anzulegen.
:: Hinweis für Azure Active Directory (AAD):
::* Benutzer die schon vor LDAP Aktivierung angelegt wurden, können im Nachhinein mit ihrem Azure Active Directory Account verknüpft werden. Dies ermöglicht es Single-Sign-On (SSO) zu verwenden. Dies kann von jedem User unter seinem Profil durchgeführt werden. (siehe [[<tvar|A_profil>Special:MyLanguage/Profil</>|Profil]]) Administratoren können weiters mittels eines Buttons rechts neben dem Benutzernamen aktuelle Daten aus dem AAD laden. Diese ersetzen unterschiedliche Informationen aus HITGuard. Dafür muss der Benutzer allerdings bereits mit einem AAD-Account verknüpft sein.
* Möglichkeit 2: Schnellerfassung
:: Im Kontext der Verwendung kann bei [[Special:MyLanguage/Globale_Einstellungen#ldap|Active Directory]] Integration über eine Personenauswahlmaske ein neuer Benutzer mit minimalen Berechtigungen für das aktive Modul erstellt werden.
:: Um dies zu verwenden, tippen Sie in einem Benutzerauswahlfeld den Namen der Person oder dessen Kürzel ein. Dadurch wird der Benutzer aus dem Active Directory geladen. Dieser kann sich im Anschluss mit seinen Active Directory Daten anmelden.


* Möglichkeit 3: Verwenden eines Active Directory
:: Dies ist nur dann möglich, wenn ein [[<tvar|A_profil>Special:MyLanguage/Login_Möglichkeiten</>|Active Directory]] konfiguriert ist.
:: Zuerst muss ein Benutzer, wie in Punkt 1 beschrieben wird, erstellt werden. Die angegebene E-Mail muss mit der seines Active Directory-User übereinstimmen.
:: Anschließend kann sich der Benutzer mit seinem Active Directory-User anmelden, sofern dies in den globalen Einstellungen aktiviert ist.

=== Benutzerrollen zuordnen === 

Unter "Administration → Benutzerrollen-Zuordnung" ist es möglich für den gewünschten Benutzer die jeweiligen Rollen zuordnen.

Benutzerrollen können nur von Administratoren oder Experten vergeben werden.


*Administratoren können jede Rolle vergeben.
*Experten können alle Rollen bis auf Administrator und Compliance Manager vergeben.
*Verantwortlichen eines Managementsystems kann die Rolle "Expert" nicht entzogen werden solange sie für zumindest ein Managementsystem verantwortlich sind.


Wichtig: Experten und Professionals müssen anschließend einem Managementsystem zugeteilt werden um ihre Aufgaben erfüllen zu können. (siehe [[<tvar|UG_user_to_manSys>Special:MyLanguage/Benutzer zu Managementsystemen zuteilen</>|Benutzer zu Managementsystemen zuteilen]])
[[Datei:Benutzerrollen.PNG|left|thumb|901px|Benutzerrollen-Zuordnung]]
 

=== Passwort ändern / zurücksetzen === 
Achtung: Das Ändern eines Passworts funktioniert nur, wenn die lokale Anmeldung aktiv ist. Das heißt: entweder es ist kein Active Directory konfiguriert oder die Lokale Anmeldung ist unter den Globalen Einstellungen aktiviert.
Eigenes Passwort ändern:
# Auf das Profilbild oder den Profilnamen → Profil klicken
# unten rechts auf "Passwort ändern" klicken
# altes und neues Passwort eingeben und bestätigen
Als Administrator oder Expert ein Passwort ändern/zurücksetzen:
# Unter Administration → Benutzer den gewünschten Benutzer auswählen
# unten rechts auf "Passwort ändern" klicken
# neues Passwort eingeben und bestätigen
: Zu Beachten: Nur Administratoren können Passwörter von Experten zurücksetzen. Experten können User anlegen sowie berechtigen und sie können Passwörter für Professionals und Practitioner zurücksetzen. Die Administrator-Rolle kann auch an mehrere User vergeben werden.

</translate>

Fortschrittsmeldungen

2021-02-14T08:19:03Z

Sala:

<translate>


Experten und Professionals sehen unter "Maßnahmen → Fortschrittsmeldungen" '''alle''' Fortschrittsmeldungen, die im '''aktuellen''' Analysezeitraum des aktiven Managementsystems existieren. Es können Fortschrittsmeldungen für Maßnahmen angefordert werden.


[[Datei:Fortschrittsmeldungen Übersicht.png|left|thumb|800px|Übersicht der Fortschrittsmeldungen]]
 


Die Fortschrittsmeldungen können im linken Bereich bei "Ordner" nach Status gefiltert werden.


Alle
* Hier handelt es sich um alle Fortschrittsmeldungen des aktuellen Analysezeitraums. Die Ergebnisse werden nicht eingeschränkt.


Angefordert
* Das sind alle Fortschrittsmeldungen, die aktuell angefordert wurden.


Beantwortet
* Alle Fortschrittsmeldungen, die angefordert und von den jeweiligen Verantwortlichen schon beantwortet wurden. Sie warten darauf überprüft zu werden.


Akzeptiert
* Das sind alle Fortschrittsmeldungen die angefordert, beantwortet und auch schon akzeptiert wurden.


Es ist möglich, dass Sie in dieser Aufstellung mehrere Einträge zu einer Maßnahme finden. Das liegt daran, dass im aktuellen Analysezeitraum zu einer Maßnahme mehrere Fortschrittsmeldungen angefordert werden können. Sie erkennen das an Spalten wie "Angefordert", die in der Regel unterschiedliche Termine beinhalten.


Was sind Fortschrittsmeldungen?
: Fortschrittsmeldungen sind Meldungen von Umsetzern, die den aktuellen Umsetzungsstatus einer Maßnahme protokollieren.

== Ablauf == 
# Fortschrittsmeldung wird angefordert.
# Verantwortliche werden informiert.
# Verantwortlicher hat nun zwei Möglichkeiten:
#* Selbst ausfüllen und absenden.
#* Delegieren an Sacharbeiter:
#::1. Sacharbeiter wird informiert.
#::2. Sacharbeiter füllt die Meldung aus und retourniert sie.
#::3. Verantwortlicher prüft die Fortschrittsmeldung und
#:::* retourniert diese an den Anforderer.
#:::* Zudem kann eine Überarbeitung vom Sachbearbeiter angefordert werden.
# Fortschrittmeldung wurde beantwortet.
# Anforderer prüft diese und
#* akzeptiert sie
#* oder fordert Überarbeitung an.

== Zusammenhang mit dem Analysezeitraum == 


In einem Managementsystem werden innerhalb eines Analysezeitraums Maßnahmen festgestellt, bearbeitet und umgesetzt.


Am Ende eines Analysezeitraums, fordert der Verantwortliche des Managementsystems die Umsetzer der Maßnahmen auf, Fortschrittsmeldungen für ihre Maßnahmen einzubringen.


Erst wenn alle Fortschrittsmeldungen eingebracht und akzeptiert wurden, kann der Analysezeitraum in den nächsten überführt werden.


Werden nicht alle Fortschrittsmeldungen zeitgerecht abgegeben, so kann der Verantwortliche selbst in die Fortschrittsmeldung [[#Fortschrittsmeldungen| eingreifen]].


Die Analysezeiträume mit den Fortschrittsmeldungen ermöglichen es, den Fortschritt von Maßnahmen im Dashboard durch das Gegenüberstellen von Analysezeiträumen nachzuverfolgen.

== Fortschrittsmeldungen anfordern == 


Klicken Sie auf den Button "Anfordern" werden Sie zu einer Maske weitergeleitet, in der Sie alle Organisationseinheiten des Managementsystems mit allen Maßnahmen des aktuellen Analysezeitraums sehen. Diese können sich entweder im Status "Offen" oder "Ausgesetzt" befinden (Bei "ausgesetzten" Maßnahmen kann bei der Fortschrittsmeldung kein Fortschritt angegeben werden).


Hier können Sie für Maßnahmen, für die noch keine Fortschrittsmeldungen angefordert wurden, eine Meldung beordern. Dazu wählen Sie aus, bis zu welchem Zeitpunkt Sie die Fortschrittsmeldung erhalten wollen. Für jede Maßnahme von der Sie eine Fortschrittsmeldung haben möchten, setzen Sie das Häkchen und klicken auf den Button "Anfordern". Danach öffnet sich eine Übersicht der angeforderten Fortschrittsmeldungen.


Durch das Anfordern werden die Verantwortlichen der Maßnahmen darüber benachrichtigt, dass von ihnen Fortschrittsmeldungen über die jeweiligen Maßnahmen verlangt werden.


[[Datei:Fortschrittsmeldungen Anfordern.gif|left|thumb|900px|Fortschrittsmeldungen anfordern]]
 

== Fortschrittsmeldungen beantworten == 


Werden Fortschrittsmeldungen angefordert, müssen diese beantwortet und retourniert werden.


Wie man Fortschrittsmeldungen beantwortet wird unter [[Special:MyLanguage/Maßnahmenstatus|"Meine Aufgaben → Maßnahmenstatus"]] beschrieben.

== Status von Fortschrittsmeldungen == 


Angefordert
* Wird eine Fortschrittsmeldung erstmals angefordert, befindet sie sich im Status "Angefordert".


* Eine Fortschrittsmeldung befindet sich ebenfalls in diesem Status wenn sie von einem Sachbearbeiter aus dem Status "Delegiert" retourniert wurde oder eine erneute Rückmeldung durch einen Experten oder Professional aus dem Status "Beantwortet" angefordert wird.


* In diesem Status wird der Verantwortliche zur Beantwortung via E-Mail aufgefordert. Um die Beantwortung zu senden geht man zu "Meine Aufgaben → Maßnahmenstatus".


* Aus diesem Status kann die Fortschrittsmeldung beantwortet oder delegiert werden, also in den Status "Beantwortet" oder "Delegiert" gesetzt werden.


Delegiert
* Wird das Beantworten der Fortschrittsmeldung durch den Verantwortlichen an einen Sachbearbeiter delegiert, wird diese in den Status "Delegiert" versetzt.


* Dadurch wird der Sachbearbeiter via E-Mail verständigt und zur Beantwortung aufgefordert.


* In diesem Status finden die Sachbearbeiter unter "Meine Aufgaben → Maßnahmenstatus" die Fortschrittsmeldung zur Beantwortung. Der Verantwortliche sieht sie ebenso weiterhin und kann sie bearbeiten oder beantworten.


* Die Fortschrittsmeldung kann durch Retournieren eines Sachbearbeiters wieder in den Status "Angefordert" versetzt werden. (Der Verantwortliche wird via E-Mail informiert)


* Die Fortschrittsmeldung kann durch Retournieren des Verantwortlichen in den Status "Beantwortet" versetzt werden.


Beantwortet
* Wird die Fortschrittsmeldung durch den Verantwortlichen retourniert, so wird sie in den Status "Beantwortet" gesetzt.


* Im Maßnahmen-Dashboard sehen Experten und Professional nun, dass eine Fortschrittsmeldung beantwortet wurde.


* In diesem Status sehen die Experten und Professionals die Fortschrittsmeldung unter "Maßnahme → Fortschrittsmeldungen".


* Verantwortliche können die Fortschrittsmeldung in diesem Status nicht mehr bearbeiten.


* Sie kann von Experten oder Professionals durch "Rückmeldung erneut anfordern" in den Status "Angefordert" oder durch "akzeptieren" in den Status "Akzeptiert" versetzt werden.


Akzeptiert
* Dieser Status kann nur erreicht werden, wenn ein Experte oder Professional die Fortschrittsmeldung im Status "Beantwortet" akzeptiert.


* Der Verantwortliche wird per E-Mail informiert, dass die Beantwortung akzeptiert wurde.


* In diesem Status kann die Fortschrittsmeldung nur mehr eingesehen, nicht bearbeitet werden. (Ausnahme siehe unten)

== Eingreifen in Fortschrittsmeldungen== 


Durch Klicken auf eine Fortschrittsmeldung können Experten und Professionals in den Ablauf einer Meldung eingreifen.


Dies kann nötig sein wenn:
* eine Fortschrittsmeldung abzuschließen ist, da nicht fristgerecht geantwortet wurde.
* eine Fortschrittsmeldung abzuschließen ist, da man sich nicht einig wurde und Sie nun entscheiden, wie die Bewertung der Maßnahme ausfallen soll.
* die Fortschrittsmeldung bereits akzeptiert wurde, nun aber nochmals ergänzt werden soll.
* die Fortschrittsmeldung zurückzurufen ist, da sie aus Versehen ausgesendet wurde.
* usw.


'''Wichtig:''' Nur Experten können "akzeptierte" Fortschrittsmeldungen im Nachhinein bearbeiten, falls dies erforderlich ist.

=== Angefordert / Delegiert === 


Wurde zu einer Maßnahme ungewollt eine Fortschrittsmeldung angefordert, dann kann diese von den Verantwortlichen über diese Maske zurückgerufen werden.


Es können auch Kommentare für die Umsetzer oder für die Fortschrittsberichte erfasst werden. Die normalen Kommentare werden nicht in Berichte aufgenommen.


Sie können an dieser Stelle allerdings nicht akzeptiert werden, da der Verantwortliche seine Beantwortung noch nicht retourniert / abgeschlossen hat.


[[Datei:FM Angefordert bearbeiten.png|left|thumb|800px|angeforderte Fortschrittsmeldung bearbeiten]]
 

=== Beantwortet=== 


Beantwortete Fortschrittsmeldungen können akzeptiert oder erneut angefordert werden. Es kann dem Verantwortlichen im Kommentarfeld angemerkt werden, was geändert oder ergänzt gehört.


[[Datei:FM Beantwortet bearbeiten.png|left|thumb|800px|beantwortete Fortschrittsmeldung bearbeiten]]
 

=== Akzeptiert=== 


Akzeptierte Fortschrittsmeldungen können, falls erforderlich, von Experten im Nachhinein bearbeitet oder ergänzt werden. Zum Beispiel um eine Evidenz nachzureichen.


Mehr dazu unter [[Aktuelle_Maßnahmen#Fortschrittsmeldungen| "Aktuelle Maßnahmen → Fortschrittsmeldungen]].
[[Datei:FM Akzeptiert bearbeiten.png|left|thumb|800px|akzeptierte Fortschrittsmeldung bearbeiten]]
 

</translate>

Verarbeitungstätigkeit

2021-02-12T14:47:57Z

Sala:

Was ist eine „Verarbeitungstätigkeit“?

:Eine gesetzliche Definition des Begriffs findet sich in Art. 4 der DSGVO, dort wird der Begriff „Verarbeitung“ wie folgt definiert:
:* Es ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. D.h. jeder Vorgang oder Prozess, der in irgendeiner Form personenbezogene Daten verarbeitet, egal ob Sie z.B. nur gespeichert werden oder für Auswertungen verwendet werden, ist eine Verarbeitungstätigkeit.

== Details der Verarbeitungstätigkeit ==

Im Nachfolgenden werden die einzelnen Punkte der Verarbeitungstätigkeit beschrieben.

[[Datei:Verarbeitungstätigkeit erstellen S1 Kopfdaten.PNG|left|thumb|901px|Details der Verarbeitungstätigkeit]]
 

Organisationsregister:
* Hier wird das Register eingetragen, das für diese Verarbeitungstätigkeit zuständig ist.

VT-Verantwortlichkeit:
* Hier können ein oder mehrere Verantwortliche erfasst werden. Dazu werden die Organisationseinheiten und/oder Externen eingetragen, die für die Verarbeitungstätigkeit verantwortlich sind. Im Zuweisungsdialog, werden unter den Externen nur die im Menüpunkt "Datenschutz > Externe" erfassten Kontakte angezeigt, die auch als VT-Verantwortlichkeit gekennzeichnet sind. Diese Kennzeichnung muss direkt beim Externen (Menüpunkt "Datenschutz > Externe") vorgenommen werden. Existiert allerdings der gewünschte Externe noch nicht, dann kann dieser direkt hier erstellt werden

Kürzel und Bezeichnung:
* Hier wird ein Kürzel und eine Bezeichnung für die VT vergeben.

Zweck der Verarbeitung:
* Hier muss beschrieben werden für welchen Zweck die personenbezogenen Daten verarbeitet werden.

Verantwortlicher:
* Die Person oder die Teams, die über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet.

Sachbearbeiter:
* Die Person oder die Teams, die mit der Bearbeitung der Verarbeitungstätigkeit beauftragt wurde / werden.

Gemeinsame Verarbeitung:
* Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt.
* Hier sollte also kurz beschrieben werden wer welchen Verpflichtungen gemäß der Verordnung nachkommt.

Einführungsdatum:
* Hier wird eingetragen, ab wann die Verarbeitungstätigkeit geltend wird.

Versionsdatum:
* Hier wird eingetragen, ab wann die neue Version der Verarbeitungstätigkeit geltend wird.

Versionsnummer:
* Hier geben Sie an, um welche Version der Verarbeitungstätigkeit es sich handelt.

Änderungsprotokoll:
* Hier wird mit aufgezeichnet zu welchen Zeitpunkten und von wem die Verarbeitungstätigkeit bearbeitet wurde, wann sie den Status gewechselt hat und wann sie abgeschlossen wurde.
:[[Datei:Verarbeitungstätigkeit Änderungsprotokoll.PNG|left]]
 

== Status und Löschung einer Verarbeitungstätigkeit==

Eine Verarbeitungstätigkeit kann sich in verschiedenen Status befinden. Sind die Email-Benachrichtigungen im Managementsystem aktiv, werden bei Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde hier der Sachbearbeiter sein, wenn ein Experte oder Professional eine Bearbeitung der Verarbeitungstätigkeit anfordert.

Entwurf
* Wird die Verarbeitungstätigkeit das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet sie sich im Status "Entwurf". Von hier kann der die Verarbeitungstätigkeit aktiviert, also in den Status "In Bearbeitung" gesetzt, werden.

In Bearbeitung
* Wird die Verarbeitungstätigkeit aktiviert, wird sie in den Status "In Bearbeitung" versetzt. Jetzt ist es Zeit für einen Experten oder einen verantwortlichen Professional die Verarbeitungstätigkeit zu bearbeiten oder vom Sachbearbeiter eine Bearbeitung über "Bearbeitung anfordern" anzufordern.
* Sie kann durch "Bearbeitung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
* Sie kann durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt werden.

:[[Datei:Verarbeitungstätigkeit Status wechseln.PNG|left]]
 

Bearbeitung angefordert
* Wird die Verarbeitungstätigkeit angefordert, wird Sie in den Status "Bearbeitung angefordert" versetzt. Der Sachbearbeiter wird jetzt über eine Email aufgefordert die Verarbeitungstätigkeit zu bearbeiten.
* Sie kann durch "Verarbeitungstätigkeit absenden" in den Status "Bearbeitung beantwortet" versetzt werden.

Bearbeitung beantwortet 
* Wird die Verarbeitungstätigkeit durch den Sachbearbeiter durch "Bearbeitung absenden" retourniert, wird Sie in den Status "Bearbeitung beantwortet" versetzt.
* Sie kann durch "Bearbeitung anfordern" wieder in den Status "Bearbeitung angefordert" versetzt werden und der Sachbearbeiter muss seine Bearbeitung überarbeiten.
* Sie kann durch "Bearbeitung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
* Sie kann durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt werden.

Bearbeitung abgeschlossen
* Wird die Verarbeitungstätigkeit durch "Bearbeitung abschließen" in den Status "Bearbeitung abgeschlossen" versetzt, wird die Verarbeitungstätigkeit schreibgeschützt und sie kann nicht mehr bearbeitet werden.
* Wechselt die Verarbeitungstätigkeit in diesen Status, dann wird automatisch ein [[Special:MyLanguage/Prozesse | Prozess]] für diese Verarbeitungstätigkeit erzeugt. Die Prozesse sind für Experten unter "Administration → Prozesse".

Löschen und außer Kraft setzen einer Verarbeitungstätigkeit 
* Durch "Verarbeitungstätigkeit löschen" können Sie Verarbeitungstätigkeiten, die noch nicht abgeschlossen sind löschen.
* Achtung: Abgeschlossene Verarbeitungstätigkeiten können, aufgrund der Historisierung, nicht mehr gelöscht werden! Sie können lediglich in der Übersicht unter "Datenschutz → Verarbeitungsregister → Verarbeitungstätigkeiten" durch den Button "Verarbeitungstätigkeit außer Kraft setzen" außer Kraft gesetzt werden.
* Außer Kraft gesetzte Verarbeitungstätigkeiten können nicht mehr aktiviert werden!

:[[Datei:Verarbeitungstätigkeit außer Kraft setzen.png|left]]
 

== Betroffene hinzufügen ==

In diesem Punkt fügt ein Experte, ein verantwortlicher Professional, oder der Sachbearbeiter Betroffenenkategorien zur Verarbeitungstätigkeit hinzu.

Betroffenenkategorien können von Experten unter "Datenschutz → Betroffenenkategorien" erstellt und verwaltet werden. Mehr dazu finden Sie [[Betroffenenkategorien|hier]].

Klicken Sie auf "Betroffene zuweisen" öffnet sich ein Dialog bei dem Sie auswählen, welche Betroffenenkategorien zur Verarbeitungstätigkeit hinzugefügt werden sollen. Hier wählen Sie alle Betroffenenkategorien, von denen die Verarbeitungstätigkeit personenbezogene Daten verarbeitet.

[[Datei:Verarbeitungstätigkeit erstellen S2 Betroffene.PNG|left|thumb|800px]]
 

Wichtig:

Es muss muss zu jeder Betroffenenkategorie die Rechtsgrundlagen nach Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung angegeben werden. Für dies bietet die Spalte "Rechtmäßigkeit der Verarbeitung" folgende Gründe für die Verarbeitung personenbezogener Daten laut Art. 6 DSGVO an:
*Einwilligung zur Verarbeitung durch betroffene Person
*lebenswichtige Interessen
*rechtliche Verpflichtung
*Vertragserfüllung bzw. vorvertragliche Maßnahmen
*Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. in Ausübung öffentlicher Gewalt
*Wahrung der berechtigten Interessen des Verantwortlich oder eines Dritten
*sonstige Gründe
Für Sonderfälle, wird auch das Feld "sonstige Gründe" angeboten. Bei sonstigen Gründen, sollte auch das Feld Anmerkungen ausgefüllt werden.

== Datenkategorien hinzufügen ==

In diesem Punkt fügt ein Experte, ein verantwortlicher Professional, oder der Sachbearbeiter, die personenbezogenen Datenkategorien zu den einzelnen Betroffenenkategorien hinzu. Es stehen, nur die Datenkategorien zu Auswahl, welche mit personenbezogen gekennzeichnet sind.

Datenkategorien können von Experten unter "Administration → Datenkategorien" erstellt und verwaltet werden. Mehr dazu finden Sie [[Datenkategorien|hier]].

Zur Tabelle:
* Diese Tabelle enthält Eingabefelder, die ausgefüllt werden können.
* Die Datenkategorien werden hierarchisch angezeigt. Geben Sie in eine übergeordnete Datenkategorie bei einem leeren Feld etwas ein, so wird dies auf alle unterliegenden Datenkategorien übernommen. Beispiel: Wird in dem Feld "Kenndaten -> Faktor" 7 eingegeben, so wird dieser Wert an die untergeordneten Datenkategorien wie Benutzername übergeben.

Achtung:
* Das Zuweisen von neuen Empfängern bei der übergeordneten Datenkategorie ersetzt die bestehenden Zuweisungen nicht, sondern ergänzt diese. Wenn bereits z.B. Empfänger A für die untergeordneten Datenkategorien eingetragen wurde und man dann zusätzlich bei der übergeordneten Datenkategorie Empfänger B eingibt, so erhalten die untergeordneten Datenkategorien Empfänger B zusätzlich zum Empfänger A zugewiesen.

:[[Datei:Verarbeitungstätigkeit Grid.gif|thumb|left|900px]]
 

=== Datenkategorie hinzufügen ===

[[Datei:Verarbeitungstätigkeit erstellen S3 Datenkategorien.PNG|left|thumb|900px|Datenkategorien hinzufügen]]
 

[[Datei:Verarbeitungstätigkeit erstellen S4 Empfänger extern.PNG|450px|Externe Empfänger]]
[[Datei:Verarbeitungstätigkeit erstellen S4 Empfänger intern.PNG|450px|Interne Empfänger]]
 

'''Datenkategorien werden wie folgt hinzugefügt:'''
# Über "Datenkategorien zuweisen" öffnet sich ein Dialog, in dem Sie der Betroffenenkategorie die Datenkategorien des Betroffenen zuweisen. Diese werden von der Verarbeitungstätigkeit verarbeitet.
#:
# Datenherkunft: hier kann angegeben werden woher diese Daten kommen.
#:
# Löschfrist: hier wird angegeben, nach wie viel Zeit diese Daten gelöscht werden müssen. Weiters sollte diese Löschfrist begründet werden, z.B indem auf gesetzliche Aufbewahrungspflichten verwiesen wird.
#:
# Empfänger: Hier muss angegeben werden, an wenn die personenbezogenen Daten weitergegeben werden. Dabei wird zwischen internen und externen unterschieden. Interne sind Organisationseinheiten Ihres Unternehmens. Externe sind betriebsfremde, wie Banken, Arbeitsmarktservice, Gerichte, Behörden, etc. Um Empfänger hinzuzufügen, müssen Sie in einem leeren Empfänger-Feld doppelklicken. Dadurch öffnet sich ein Dialog in dem Interne und Externe zum Hinzufügen ausgewählt werden können.
#:
# Es soll darauf geachtet werden, dass alle Betroffenenkategorien behandelt wurden! (Über den Reiter oben kann auf andere Betroffenenkategorien gewechselt werden)

== Empfänger Übersicht ==

In diesem Punkt werden alle Empfänger aufgelistet, die einer Datenkategorie zugewiesen wurden. Hier wird erfasst, welchen Zweck der Transfer von personenbezogenen Daten zum Empfänger erfüllt und auf welcher Rechtsgrundlage sich dieser beruht. Weiters kann angegeben werden, ob es sich beim Empfänger um einen Auftragsverarbeiter handelt.

Zweck und Rechtsgrundlage sind in dieser Tabelle ein Eingabefeld und werden so erfasst.

[[Datei:Verarbeitungstätigkeit erstellen S4 Empfänger.PNG|left|thumb|901px]]
 

== Maßnahmen und Kontrolldefinitionen hinzufügen==

In diesem Punkt können technische und organisatorische Maßnahmen oder Kontrolle hinzugefügt werden, welche speziell für diese Verarbeitungstätigkeit gelten. Gilt eine technische und organisatorische Maßnahmen oder Kontrolle für alle Verarbeitungstätigkeit, muss diese unter "Datenschutz → TOMs" zu denn allgemeinen technischen und organisatorischen Maßnahmen und Kontrollen hinzugefügt werden. Mehr dazu finden Sie [[TOMs|hier]].

[[Datei:Verarbeitungstätigkeit erstellen S5 TOMs.PNG|left|thumb|900px]]
 

== Weitere Angaben==

In diesem Punkt werden weitere Angaben zur Verarbeitungstätigkeit erfasst.

[[Datei:Verarbeitungstätigkeit erstellen S6 sonstiges.PNG|left|thumb|901px| Weitere Angaben]]
 

Profiling
* Unter Profiling versteht die DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten. Insbesondere geht es darum Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

* Handelt es sich bei der Verarbeitung der personenbezogenen Daten um eine Art von Profiling, muss hier "Ja" ausgewählt werden und bei der Beschreibung das Profiling beschrieben werden. Dies ist wichtig, da bei einer Verarbeitungsmeldung erkenntlich sein muss, ob es sich um Profiling handelt oder nicht!

Folgenabschätzung
* Hier wird angezeigt ob es zur aktuellen Verarbeitungstätigkeit eine Datenschutzfolgenabschätzung gibt. Mehr Infos zu Datenschutzfolgenabschätzung finden Sie unter [[Datenschutz-Folgenabschätzung|"Datenschutz → DSFA"]].

Datenimport

2021-02-12T14:33:23Z

Sala:

<translate>


Mithilfe des Importers, können Ressourcen, Maßnahmen, Kontrollen und Prüffragen für Wissensdatenbanken oder Strukturupdates für Organisationseinheiten importiert werden. Diese Updates können z.B. aus einem SAP-Export kommen, oder aber auch von einer eigens erstellten Excel- oder CSV-Datei. Dadurch können veraltete Strukturen aktualisiert oder aber auch komplett neue Strukturen importiert werden.


Wird ein Import durchgeführt, werden alle Entitäten, die geändert wurden, aktualisiert, sowie alle Entitäten, die in HITGuard noch nicht existieren, angelegt.

== Durchführen eines Imports == 


Imports können nur von Administratoren oder Experten durchgeführt werden.


Um einen Import vorzunehmen, wird zuerst zu "Administration → Datenimport" gewechselt. Hier werden nun alle erstellten Importkonfigurationen angezeigt. Um einen Import durchzuführen, wird entweder eine vorhandene Importkonfiguration aus der Liste gewählt oder eine neue Importkonfiguration erstellt - in der Durchführung unterscheiden sich die Vorgänge nicht.


Um eine vorhandene Importkonfiguration zu verwenden, wird doppelt auf die gewünschte Konfiguration geklickt.


Um eine neue Importkonfiguration zu erstellen wird auf das grüne Plus geklickt. (siehe Abbildung)


[[Datei:Org import 1.png|left|thumb|900px|Neue Importkonfiguration erstellen]]
 


Anschließend öffnet sich eine Maske (siehe Abbildung unten), in der die Bezeichnung der Konfiguration gesetzt wird, der Typ der Konfiguration ausgewählt und die zu importierende Datei hochgeladen werden muss.


Bei der Datei kann es sich entweder um ein CSV-Datei oder eine Excel-Datei handeln. ([[#Aufbau einer Importdatei|Aufbau einer Importdatei]])


[[Datei:Org import 2.png|left|thumb|900px|Importtyp auswählen]]
 


Wird auf "Weiter" geklickt, öffnet sich die Maske zum Zuweisen der Felder (siehe Abbildung unten). Hier sollen zumindest alle Pflichtfelder des gewählten Importtyps zugewiesen werden. Welche das sind, entnehmen Sie der Beschreibung der einzelnen Imports.


Wird eine Excel-Datei importiert, muss darauf geachtet werden, dass in der Datei Spaltenüberschriften existieren. Sind diese vorhanden, wird ausgewählt, dass die erste Zeile Spaltenüberschriften enthält und deshalb ignoriert werden soll.


[[Datei:Importer Felder zuordnen.gif|left|thumb|900px|Felder zuordnen]]
 


Wurden nun alle Pflichtfelder zugewiesen, kann der Import gespeichert werden und ist fertig zum Importieren. Dafür muss nur noch auf "Speichern und Importieren" geklickt werden.


[[Datei:Org import 4.png|left|thumb|901px|Speichern und importieren]]
 


War der Import erfolgreich, so wird angezeigt, wie viele Entitäten neu erstellt wurden und wie viele geändert wurden. Bei fehlerhaften Importvorgängen werden Ihnen jene Zeilen und Spalten, die Fehler enthalten, aufgelistet.


[[Datei:Org import 5.png|left|thumb|900px|Erfolgreicher Organisations-Import]]
 


 

== Datenkategorien importieren == 


Um Datenkategorien zu importieren, muss beim Import der Typ "Datenkategorie" ausgewählt werden.


Es gibt zwei Optionen:
* Neue Datenkategorien anlegen
* Aktualisieren bestehender Datenkategorien


Für das Feld Datenklasse sind nur Klassen zulässig, die unter Risikomanagement → Risikopolitik → Datenklassen angelegt sind.


Für die Felder Schutzbedarfsanalyse und personenbezogen sind nur die Werte Ja und Nein zulässig. Sie bestimmen, wo die Datenkategorien verwendet werden können.


Für Informationen über Verantwortliche siehe [[#ver|Benutzerverwaltung]].

=== Anlegen neuer Datenkategorien === 


Beim Import einer Datei prüft HITGuard anhand der Datensatz-ID im Importfile, ob diese bereits existiert oder nicht. Existiert sie nicht, so wird sie neu angelegt.


Um eine Datenkategorie neu anzulegen, müssen die Pflichtfelder
* Datensatz-ID
* Bezeichnung
* Datenklasse (Risikomanagement → Risikopolitik → Datenklassen)
vorhanden und ausgefüllt sein. Nur wenn dies der Fall ist, ist der Import durchführbar.


Weiters können die Felder
* Beschreibung
* übergeordnete Datensatz-ID (übergeordnete Datenkategorie)
* Schutzbedarfsanalyse (Ja/Nein)
* Personenbezogen (Ja/Nein)
zugewiesen werden.


Wird die übergeordnete Datensatz-ID einer Datenkategorie zugewiesen, so muss eine Datenkategorie mit dieser ID entweder schon in HITGuard existieren, oder aber in diesem Import angelegt werden. Weiters dürfen keine Zyklen vorhanden sein. Von Zyklen ist die Rede, wenn z.B. Datenkategorie A Datenkategorie B als übergeordnete ID eingetragen hat und Datenkategorie B umgekehrt die Datenkategorie A als übergeordnete ID anführt. Der Importer erkennt diese Zyklen, verhindert den Import und verweist auf den Zyklusfehler.

=== Aktualisieren von Datenkategorien === 


Wird beim Import die Datensatz-ID der Datenkategorie gefunden, so wird keine neue Datenkategorie angelegt, sondern die vorhandene aktualisiert. Das heißt: Die vorhandenen Felder der Importdatei aktualisieren die bereits vorhandenen Felder wie z.B. Bezeichnung, Datenklasse oder personenbezogen. Dies ermöglicht die Pflege einzelner Datenkategorie bzw. größere Datenkategorie-Strukturen .


Beispiel:
:Es wird dafür entschieden eine neue Datenkategorie zu erstellen, die bereits existierenden Datenkategorien übergeordnet sein soll. In diesem Fall können die bereits existierenden Datenkategorien durch Änderung ihrer übergeordneten ID ganz simpel dieser neuen Datenkategorie untergeordnet werden.

=== Vorlage === 
*[[Media:Import Vorlage Datenkategorie.xlsx|Import Vorlage Datenkategorie.xlsx]]

== Gefährdungslagen importieren == 


Um Gefährdungslagen zu importieren, wird beim Import der Typ "Gefährdungslage" ausgewählt.


Es gibt zwei Optionen:
* Neue Gefährdungslagen anlegen
* Aktualisieren bestehender Gefährdungslagen

=== Anlegen neuer Gefährdungslagen === 


Beim Import einer Datei prüft HITGuard anhand der Datensatz-ID im Importfile, ob diese bereits existiert oder nicht. Existiert sie nicht, so wird sie neu angelegt.


Um eine Gefährdungslage neu anzulegen, müssen die Pflichtfelder
* Datensatz-ID
* Bezeichnung
vorhanden und ausgefüllt sein. Nur wenn dies der Fall ist, ist der Import durchführbar.


Weiters können die Felder
* Abkürzung
* Beschreibung
* Eintrittswahrscheinlichkeit
* Schadensausmaß
zugewiesen werden.


Sind die Felder Schadensausmaß oder Eintrittswahrscheinlichkeit zugewiesen, dann sind nur Inhalte gültig, die mit den vorhandenen HITGuard Klassen übereinstimmen. Mehr dazu unter [[Special:MyLanguage/Risikopolitik#prob|Eintrittswahrscheinlichkeiten]] bzw. [[Special:MyLanguage/Risikopolitik#Schadensausmaße|Schadensausmaße]].

=== Aktualisieren von Gefährdungslagen === 


Wird beim Import die Datensatz-ID der Gefährdungslage gefunden, so wird keine neue Gefährdungslage angelegt, sondern die vorhandene aktualisiert. Das heißt: Die vorhandenen Felder der Importdatei aktualisieren die bereits vorhandenen Felder wie z.B. Bezeichnung, Beschreibung, Verantwortlicher, usw. Dies ermöglicht die Pflege einzelner Gefährdungslagen.

=== Vorlage === 
* [[Media:Import Vorlage Gefährdungslage.xlsx|Import Vorlage Gefährdungslage.xlsx]]

== Geschäftsprozesse importieren ==

Um Geschäftsprozesse zu importieren, muss beim Import der Typ "Geschäftsprozess" ausgewählt werden.

Es gibt zwei Optionen:
* Neue Geschäftsprozesse anlegen
* Aktualisieren bestehender Geschäftsprozesse

Für Informationen über Verantwortliche siehe [[#ver|Benutzerverwaltung]].

=== Anlegen neuer Geschäftsprozesse === 

Beim Import einer Datei prüft HITGuard anhand der Datensatz-ID im Importfile, ob ein Geschäftsprozess bereits existiert oder nicht. Existiert keiner, so wird der Geschäftsprozess angelegt.

Um einen Geschäftsprozesse neu anzulegen, müssen die Pflichtfelder
* Datensatz-ID
* Bezeichnung
vorhanden und ausgefüllt sein. Nur wenn dies der Fall ist, ist der Import durchführbar.

Weiters können die Felder
* Abkürzung
* Beschreibung
* übergeordnete Geschäftsprozess Datensatz-ID
zugewiesen werden.

Wird die übergeordnete Geschäftsprozess Datensatz-ID zugewiesen, so muss ein Geschäftsprozess mit dieser ID entweder schon in HITGuard existieren oder aber in diesem Import angelegt werden.
Weiters dürfen keine Zyklen vorhanden sein. Zyklen sind es dann, wenn z.B. Geschäftsprozess A Geschäftsprozess B als übergeordnete ID eingetragen hat und Geschäftsprozess B Geschäftsprozess A als übergeordnete ID. Der Importer erkennt diese Zyklen, verhindert den Import und verweist auf den Zyklusfehler.

=== Aktualisieren von Geschäftsprozessen === 

Wird beim Import die Datensatz-ID der Organisationseinheit gefunden, so wird keine neuer Geschäftsprozess angelegt, sondern der vorhandene aktualisiert. Das heißt: Die vorhandenen Felder der Importdatei aktualisieren die bereits vorhandenen Felder wie z.B. Beschreibung, Abkürzung, Verantwortlicher oder übergeordnete Datensatz-ID. Dies ermöglicht die Pflege einzelner Geschäftsprozesse bzw. Geschäftsprozessstrukturen.

Beispiel:
:Es wird sich dafür entschieden einen neuen Geschäftsprozess zu erstellen, der bereits existierenden Geschäftsprozessen übergeordnet ist. In diesem Fall können die bereits existierenden Geschäftsprozesse durch Änderung ihrer übergeordneten ID diesem neuen Geschäftsprozess untergeordnet werden.

=== Vorlage ===
*[[Media:Import Vorlage Geschäftsprozess.xlsx|Import Vorlage Geschäftsprozess.xlsx]]

== Organisationseinheiten importieren == 


Um Organisationseinheiten zu importieren, muss beim Import der Typ "Organisationseinheit" ausgewählt werden.


Es gibt zwei Optionen:
* Neue Organisationsstrukturen anlegen
* Aktualisieren bestehender Organisationsstrukturen


Für Informationen über Verantwortliche siehe [[#ver|Benutzerverwaltung]].

=== Anlegen neuer Organisationseinheiten / Strukturen === 


Beim Import einer Datei prüft HITGuard anhand der Datensatz-ID im Importfile, ob diese bereits existiert oder nicht. Existiert sie nicht, so wird sie neu angelegt.


Um eine Organisationseinheit neu anzulegen, müssen die Pflichtfelder
* Datensatz-ID
* Bezeichnung
vorhanden und ausgefüllt sein. Nur wenn dies der Fall ist, ist der Import durchführbar.


Weiters können die Felder
* Abkürzung
* Beschreibung
* übergeordnete OE Datensatz-ID
* Straße
* Postleitzahl
* Stadt
* Land
* Sortierreihenfolge
zugewiesen werden.


Wird die übergeordnete OE Datensatz-ID zugewiesen, so muss eine Organisationseinheit mit dieser ID entweder schon in HITGuard existieren, oder aber in diesem Import angelegt werden. Weiters dürfen keine Zyklen vorhanden sein. Zyklen sind es dann, wenn z.B. Organisationseinheit A Organisationseinheit B als übergeordnete ID eingetragen hat und Organisationseinheit B Organisationseinheit A als übergeordnete ID. Der Importer erkennt diese Zyklen, verhindert den Import und verweist auf den Zyklusfehler.

=== Aktualisieren von Organisationseinheiten / Strukturen === 


Wird beim Import die Datensatz-ID der Organisationseinheit gefunden, so wird keine neue Organisationseinheit angelegt, sondern die vorhandene aktualisiert. Das heißt: Die vorhandenen Felder der Importdatei aktualisieren die bereits vorhandenen Felder wie z.B. Land, Adresse oder Verantwortlicher. Dies ermöglicht die Pflege einzelner Organisationseinheiten bzw. größere Organisationsstrukturen.


Beispiel:
:Es wird sich dafür entschieden eine neue Abteilung zu erstellen, die bereits existierenden Organisationseinheiten übergeordnet ist. In diesem Fall können die bereits existierenden Organisationseinheiten durch Änderung ihrer übergeordneten ID dieser neuen Abteilung untergeordnet werden.

=== Vorlage === 
*[[Media:Import Vorlage OrgEh.xlsx|Import Vorlage OrgEh.xlsx]]

== Ressourcen importieren == 


Um Ressourcen zu importieren, wird beim Import der Typ "Ressource" ausgewählt.


Es gibt zwei Optionen:
* Neue Ressourcen anlegen
* Aktualisierung bestehender Ressourcen


Für Informationen über Verantwortliche siehe [[#ver|Benutzerverwaltung]].

=== Anlegen neuer Ressourcen === 


Beim Import einer Datei prüft HITGuard anhand der Datensatz-ID im Importfile, ob diese bereits existiert oder nicht. Existiert sie nicht, wird sie neu angelegt.


Um eine Ressource neu anzulegen, müssen die Pflichtfelder
* Datensatz-ID
* und Bezeichnung
vorhanden und ausgefüllt sein. Zusätzlich gelten alle Voraussetzungen der Benutzerverwaltung, falls Verantwortliche eingetragen sind (siehe Benutzerverwaltung).


Weiters können die Felder:
* Beschreibung
* und Modellsegment
zugewiesen werden.
 Beim Modellsegment sind folgende Werte erlaubt: "Anwendungsebene", "IT-Infrastruktur Ebene", "Physische Sicherheit" und "Prozessebene". Wird das Feld nicht zugewiesen, werden die Ressourcen dem Modellsegment "Anwendungsebene" zugeordnet.

=== Aktualisieren von Ressourcen === 


Wird beim Import die Datensatz-ID der Ressource gefunden, so wird keine neue Ressource angelegt, sondern die vorhandene aktualisiert. Das heißt: die vorhandenen Felder des Importfiles aktualisieren die bereits vorhandenen Felder.

=== Vorlage === 


*[[Media:Import Vorlage Ressource.xlsx|Import Vorlage Ressource.xlsx]]

== Maßnahmen, Kontrollen und Prüffragen in Wissensdatenbanken (WDB) importieren == 


Der Importer bietet die Möglichkeit Maßnahmen, Kontrollen und/oder Prüffragen in eine bestehende Wissensdatenbank zu importieren. Dafür wird beim Importer der Typ "WDB" ausgewählt. Anschließend wird noch angegeben, in welche Wissensdatenbank die Maßnahmen, Kontrollen und Prüffragen importiert werden sollen. Dabei muss es sich um eine nicht veröffentlichte Wissensdatenbank handeln.


Um Maßnahmen, Kontrollen und oder Prüffragen zu importieren, müssen die Felder
* Titel
* Datensatz-ID
zugewiesen werden.

Achtung: Ist die Datensatz-ID bereits in der WDB vorhanden, wird kein neuer Datensatz angelegt, sondern der alte aktualisiert.


Weiters gibt es in allen Reitern die Felder:
* Gliederung
* Beschreibung
* Stand : Datumswert


Im Reiter Prüffragen gibt es zusätzlich die Felder:
* Fragestellung
* Art der Frage : Hierdurch wird der Typ der Prüffrage festgelegt. Erlaubte Werte des Feldes sind: "Prozessfrage" oder "Technikfrage. Prozessfragen können mit Reifegrad 1 - bis Reifegrad 5 beantwortet werden, Technikfragen mit Ja/Nein/Teilweise. Wird die Spalte nicht belegt, so werden alle Prüffragen als Technikfragen importiert.


'''Hinweis:''' Für einen Import müssen nicht Spalten aus allen drei Reitern zugewiesen werden. Sie können also Prüffragen, Maßnahmen oder Kontrollen getrennt importieren.

=== Vorlagen === 


*[[Media:Import Vorlage Prüffrage.xlsx|Import Vorlage Prüffrage.xlsx]]
*[[Media:Import Vorlage Maßnahme.xlsx|Import Vorlage Maßnahme.xlsx]]
*[[Media:Import Vorlage Kontrolle.xlsx|Import Vorlage Kontrolle.xlsx]]
*[[Media:Import Vorlage PF M K.xlsx|Import Vorlage PF M K.xlsx]]

== Benutzerverwaltung == 


Beim Importieren von Organisationseinheiten, Datenkategorien und Ressourcen, kann optional ein Verantwortlicher angegeben werden.


Wird nur der Benutzername angegeben, wird der Verantwortliche nur zugewiesen, nicht aber verändert. Existiert der Benutzer also schon und muss nicht aktualisiert werden. Es können beim Reiter "Verantwortliche" alle Felder bis auf den Benutzernamen ignoriert werden. Mit Hilfe des Importers ist es aber möglich, Benutzer zu aktualisieren oder anzulegen.

=== Anlage eines neuen Benutzers === 


Wird beim Import ein Verantwortlicher eingetragen, der noch nicht in HITGuard angelegt ist, gibt es zwei Varianten, wie HITGuard damit umgeht:
# Active Directory Integration ist deaktiviert:
#:
#: Der Benutzer wird komplett neu angelegt, damit dies durchgeführt werden kann, müssen in der Importdatei die Pflichtfelder des Verantwortlichen vorhanden und eingetragen sein. Diese sind:
#::* Benutzername
#::* E-Mail
#::* Passwort (zwischen 10 und 20 Zeichen, wobei mindestens 3 von den 4 Kriterien Sonderzeichen, Großschreibung, Kleinschreibung und Ziffern erfüllt werden müssen)
#: [[Datei:Verantwortlichen import 1.png|left|thumb|900px|Pflichtfelder bei Anlage eines neuen Benutzers]] 
# Active Directory Integration ist aktiviert:
#:
#: Ist die Active Directory Integration aktiviert, so können nur noch Benutzer, die im Active Directory existieren angelegt werden. Es können allerdings weiterhin die Felder Vorname, Nachname und E-Mail zugewiesen werden. Das heißt: Es besteht die Möglichkeit Daten des Benutzers beim Import zu ändern und so eventuell Fehler oder nicht geführte Informationen des Active Directories in HITGuard zu ergänzen bzw. zu korrigieren.

=== Aktualisieren von Benutzern === 


Es ist möglich Benutzer mit Hilfe des Importers zu aktualisieren. Dies ist z.B. hilfreich, wenn sich E-Mail oder auch der Nachname eines Benutzers ändern. Der Importer prüft bei jeden Import, falls ein Benutzer eingetragen ist, ob auch Zusatzfelder, wie E-Mail, Nachname, usw. im Importfile existieren, falls ja, wird der Inhalt dieser Felder mit dem neuen Inhalt aktualisiert.


Dies ermöglicht es in HITGuard Informationen über Benutzer zu führen, die im Active Directory nicht vorhanden bzw. nicht gepflegt werden. Dabei ist zu bemerken, dass HITGuard nicht das Active Directory aktualisiert!

==== Deaktivierte Benutzer ==== 


Wird bei einer Aktualisierung ein deaktivierter Benutzer als Verantwortlicher eingetragen oder aktualisiert, so wird dieser Benutzer dadurch nicht aktiviert, er wechselt den Status also nicht. Er wird aber aktualisiert und als Verantwortlicher eingetragen.

== Aufbau einer Importdatei == 


Der Importer unterstützt zwei Formattypen:
* CSV
* Excel-Dateien

=== Excel === 


Der Aufbau einer Excel Datei besteht aus einer Tabelle in der alle relevanten Daten als Spalte in einer Tabelle repräsentiert werden. Jede Zeile entspricht z.B. einer neuen Organisationseinheit oder anderen zu importierenden Struktur. Beim Import kann bzw. muss je nach Aufbau die erste Zeile übersprungen werden wenn es sich bei dieser Zeile um die Spaltenüberschriften handelt.


[[Datei:Excel org import example.PNG|left|thumb|900px|Beispiel für einen Excel Import]]
 

=== CSV === 


Der Aufbau einer CSV-Datei besteht meist aus einer Zeile, in der die Spaltenüberschriften mit Strichpunkten getrennt stehen. Jede weitere Zeile enthält Informationen über die zu importierende Struktur. Dabei ist wichtig, dass jede Zeile gleich viele Spalten aufweist (also gleich viele Strichpunkte hat). Beim Import kann bzw. muss je nach Aufbau die erste Zeile übersprungen werden wenn es sich bei dieser Zeile um die Spaltenüberschriften handelt.


[[Datei:Csv org import example.PNG|left|thumb|701px|Beispiel für einen CSV Import]]
 

</translate>

Kontrolldefinitionen

2021-02-12T13:41:03Z

Sala:

<translate>


Experten und Professionals sehen unter "Kontrollen → Kontrolldefinitionen" '''alle''' Kontrollen, die im aktiven Managementsystem angelegt wurden.


[[Datei:Kontrollen aktives Mms.png|left|thumb|900px|Managementsystem wählen]]
 


__TOC__

== Kontrolle anlegen / bearbeiten == 


Beim Anlegen einer Kontrolle ist zu beachten, dass das richtige Managementsystem ausgewählt wurde, da Kontrollen nur für das aktive Managementsystem angelegt werden.


Um eine neue Kontrolle anzulegen, klicken Sie auf den Button "Plus".


Zum Bearbeiten einer existierenden Kontrolle klicken Sie doppelt auf die gewünschte Kontrolle.


[[Datei:Kontrolle bearbeiten Maske.png|left|thumb|800px|Maske zum Bearbeiten einer Kontrolle]]
 

=== Kopfdaten === 


:OrgEh:
:* Hier tragen Sie die Organisationseinheit ein, in der die Kontrolle durchzuführen ist.


:Abkürzung:
:*Das ist das Kürzel unter dem die Kontrolle zu finden ist (z.B. Orgeh + laufende Nummer Per_K_001).


:Status:
:*Aktiv: Die Kontrolle ist durchzuführen sobald sie anfällt.
:*Ausgesetzt: Die Kontrolle ist aus einem bestimmten Anlass nicht durchzuführen, sie kann aber wieder aktiviert werden.
:*Deaktiviert: Die Kontrolle wird im Normalfall nicht mehr aktiv. Dieser Status steht für Kontrollen, die aus Archivierungszwecken nicht mehr gelöscht werden können, da bereits Kontrollen durchgeführt wurden.


:Bezeichnung:
:* Hier sollten Sie kurz beschreiben, mit welcher Thematik sich die Kontrolle beschäftigt.


:Kontrollmaßnahme:
:*Bei der Kontrollmaßnahme beschreiben Sie die Kontrolle und erklären worauf bei der Durchführung zu achten ist.


:Anmerkung:
:*Hier tragen Sie weitere Informationen ein, die bei der Kontrolldurchführung zu beachten sind.


:Norm-Mapping:
:* Hier können Sie die Kontrolle auf eine Norm mappen. Im Normalfall wird dieses Feld aber befüllt, weil die Kontrolle aus einer Wissensdatenbank-Vorlage ausgewählt wurde (blauer Button neben dem Feld "Abkürzung").


:Kontrolltypen:
:*Organisatorisch: Es werden organisatorische Abläufe geprüft.
:*Technisch: Es werden technische Abläufe geprüft.
:*Vorbeugend: Die Kontrolle dient zur Vorbeugung eines Risikos/Schadens (z.B. Überprüfen eines Feuerlöschers).
:*Korrigierend: Die Kontrolle dient zur Überprüfung eines bekannten Problems und beurteilt, ob besagtes Problem verringert wurde.


:Priorität:
:*Es gibt keine offizielle Definition für eine Schlüsselkontrolle. Eine Unterscheidung kann jedoch Zeit bei der Dokumentation und Prüfung von nicht wichtigen Kontrollen sparen. Als Entscheidungshilfe können folgende Merkmale dienen: <ul><li>Sie ist erforderlich, um eine angemessene Sicherheit dafür zu bieten, dass wesentliche Fehler vermieden oder rechtzeitig erkannt werden.</li><li>Sie ist die einzige Kontrolle, die das Risiko wesentlicher, falscher Angaben abdeckt.</li><li>Wenn sie fehlschlägt, ist es höchst unwahrscheinlich, dass eine andere Kontrolle die Abwesenheit der Kontrolle erkennen könnte.</li><li>Es handelt sich um eine Kontrolle, die mehr als ein Risiko abdeckt oder eine gesamte Prozessausführung unterstützt.</li></ul> 
::Hinweis: Wurde für eine Schlüsselkontrolle kein Schwellwert definiert, eskaliert jedes Scheitern der Kontrolle bis zum Managementsystem-Verantwortlichen!


:Schwellwert:
:*Alarmiert, falls der Schwellwert überschritten wurde: <ul><li>Managementsystem Verantwortliche(n)</li><li>sowie Personen und Teamleiter, die im Eingabefeld "Funktionale Eskalation zu" eingetragen sind</li></ul> Abhängig vom gewählten Zeitraum ist der Prüfungszeitraum von Schnellwertverletzungen:<ul><li>Jahr: Seit Jahresbeginn,</li><li>Quartal: Seit letztem Quartalsbeginn,</li><li>Monat: Seit Monatsbeginn,</li><li>Woche: Seit Wochenbeginn,</li><li>Tag: Seit Tagesbeginn,</li><li>Stunde: Seit Stundenbeginn.</li></ul> Hinweis: Wird ein bereits verletzter Schwellwert innerhalb des Zeitraums erneut verletzt, so kommt es bei jeder neuerlichen Verletzung zu einer Eskalation.

=== Prüfungsdaten=== 


:Umsetzer:
:* Hier tragen Sie die Personen ein, die für die Durchführung der Kontrolle zuständig sind.


:Prüfverhalten:
:* Hier definieren Sie, wann entschieden wird, ob eine Kontrolle als durchgeführt zählt, wenn mehrere Prüfer existieren.
::* Alle müssen akzeptieren
::* Erste Rückmeldung entscheidet
::* Die Mehrheit entscheidet
::* Alle müssen der Reihe nach akzeptieren


:Prüfer:
:* Hier tragen Sie die Personen ein, die die Durchführung der Kontrolle prüfen.


:Erstmalig:
:* Hier stellen Sie das Datum der ersten Kontrolle ein. Weiters können Sie entscheiden, ob die Kontrolle wiederkehrend ist und wenn ja, in welchem Intervall die Kontrolle durchgeführt werden soll.


:Deadline:
:* Soll die Kontrolle eine Deadline haben, müssen Sie diese angeben und definieren. Zudem wird vermerkt welche Personen beim Überschreiten der Deadline informiert werden.


:E-Mail Benachrichtigungen sobald anhängig:
:* Ist dieser Punkt aktiviert, wird, sobald eine Kontrolle durchgeführt wurde, der Umsetzer benachrichtigt. Dies kann unerwünscht sein, wenn eine Kontrolle beispielsweise täglich durchzuführen ist.


:Erinnerungen:
:* Hier können Sie mehrere E-Mail Erinnerungen für den Umsetzer konfigurieren.


:Anlagen:
:* Hier können Sie Dateien hochladen, die für den Umsetzer bei jeder Kontrolle ersichtlich sind. Dies kann beispielsweise eine Prüfprotokollvorlage sein, die der Umsetzer bei jeder Kontrolle herunterladen sowie ausfüllen und anschließend als Evidenz retournieren kann. Zu beachten ist, dass der Umsetzer die hier hoch geladenen Dateien nicht verändern kann.

== Durchgeführte Kontrollen == 


Wechseln Sie auf den Tab "Durchgeführte Kontrollen" bekommen Sie einen Überblick über die bereits durchgeführten Kontrollen.


[[Datei:Durchgeführte Kontrollen.PNG|left|thumb|900px|Übersicht der durchgeführten Kontrollen]]
 


Klicken Sie anschließend auf eine Kontrolle, öffnet sich ein Dialog in dem Sie die Details zur Kontrolldurchführung sehen.


Achtung Durch Ändern des Status wird die Kontrolle an den Durchführungsverantwortlichen oder den Prüfer zur erneuten Durchführung / Bewertung ausgesendet.


[[Datei:Detail durchgeführte Kontrolle.PNG|left|thumb|900px|Details zu einer durchgeführten Kontrolle]]
 

== Verknüpfungen== 


[[Datei:Kontrolle Verknüpfung Breadcrump.png|left|thumb|800px|Kontrolle Verknüpfungsmenü]]
 


Wird eine Kontrolle z.B. einem Risiko oder einer Verarbeitungstätigkeit zugeordnet, so wird diese Verknüpfung in diesem Reiter angezeigt.


Wichtig: Dieser Reiter ist nur ersichtlich, wenn die Kontrolle mit Entitäten verknüpft ist.


[[Datei:Kontrolle Verknüpfungen.png|left|thumb|800px|Kontrolle Verknüpfungen]]
 


Durch Klicken auf den blauen Link wird die jeweilige Entität geöffnet.


Hinweis: Wird die Entität nicht in Blau dargestellt, dann fehlt Ihnen die Berechtigung diese einzusehen bzw. befindet sie sich in einem anderen Managementsystem.

</translate>

Globale Einstellungen

2021-02-12T13:34:06Z

Sala:

<translate>


Globale Einstellungen können nur als Administrator oder Experte geändert werden!

== Allgemeine Einstellungen == 


* Standard Sprache
:: Hier wird die Sprache ausgewählt, in der die Applikation standardmäßig angezeigt werden soll. Jeder Benutzer kann sich aber über das Flaggensymbol, rechts oben, die Sprache einstellen, die er standardmäßig verwenden möchte.
* Organisationsform
:: Hier kann festgelegt werden, ob Unternehmungen eher funktionsorientiert (Einkauf, Produktion, Vertrieb, etc.) oder prozessorientiert sind. Dies hat Auswirkungen auf die Einstellung von Business Impact Analysen.

== Lightweight Directory Access Protocol (LDAP) == 


[[Datei:LDAP LightweightDirectoryAccessProtocol.PNG|thumb|left|800px|LDAP]] 


Diese Einstellung aktiviert die LDAP Integration.


Dadurch können sich Benutzer über ihre Active Directory Credentials anmelden.


*Automatische Benutzeranlage:
::Diese Option ermöglicht es, Benutzerinformationen, bei erstmaliger Anmeldung, aus einem Active Directory zu laden. Dadurch ersparen Sie sich die Arbeit alle Benutzer in HITGuard neu anzulegen. Es müssen den Benutzern lediglich noch Benutzerrollen zugeordnet werden.

*Lokale Anmeldung deaktiviert:
::Falls LDAP Integration aktiviert ist, kann die lokale Anmeldung deaktiviert werden. Benutzer können sich dann nur mehr über ihre LDAP-Anmeldedaten im System anmelden.
::Sind beide Anmeldemodi (LDAP und Lokal) aktiviert können sich Benutzer sowohl mit ihren LDAP als auch mit ihren lokalen Anmeldedaten im System einloggen. Für mehr Informationen hierzu siehe [[Special:MyLanguage/Login Möglichkeiten|Login Möglichkeiten]].


Ist die LDAP Integration aktiviert, müssen Sie die Domäne sowie den Root Container Ihres Active Directorys angeben. 
 

== E-Mail Einstellungen == 


Hier werden die Einstellungen für das automatische Mailing getroffen. Es kann die Absenderadresse sowie der SMTP Server eingestellt werden. Wenn Sie möchten, dann ändern Sie die Einstellungen für das Mailing auf eine '''Unternehmensadresse''', am besten auch für Testzwecke auf die Adresse einer Ressource Mailbox, denn sie müssen auch das Passwort hier hinterlegen. Es kann für jedes Managementsystem eine eigene E-Mail-Adresse gewählt werden (siehe [[Special:MyLanguage/Managementsysteme#masy_email| Managementsystem E-Mail]]). 


[[Datei:Email_Einstellungen.PNG|thumb|left|800px]] 

== Benutzerauswahlfeld == 


Hier kann eingestellt werden, welche Informationen bei der Auswahl eines Verantwortlichen angezeigt werden sollen. 
Beispielsweise kann angezeigt werden in welchem Unternehmen und welcher Abteilung sich ein Benutzer befindet.


[[Datei:Benutzerauswahlfeld 1.PNG|thumb|left|800px]] 


[[Datei:Benutzerauswahlfeld.PNG||Beispiel Benutzerauswahlfeld|thumb|left|800px]] 

== Optionale Maßnahmeneigenschaften == 


Hiermit lässt sich konfigurieren, welche Optionen beim Erstellen von Managementsystemen standardmäßig aktiviert sein sollen. Unter "Administration → Managementsysteme" ist es möglich, diese Optionen für jedes Managementsystem einzeln zu konfigurieren. Dies hat Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen.


[[Datei:Optionale Maßnahmeneigenschaften 1.PNG|thumb|left|801px]] 


*Aufwand und Auswirkung:
:: Der Aufwand beschreibt wie viel Ressourcen, personeller, monetärer oder zeitlicher Natur, es bedarf um eine Maßnahme umzusetzen Hierzu können unter "Maßnahmen → Einstellungen → Aufwandsklassen" sogenannte [[Special:MyLanguage/Einstellungen#aufkla|Aufwandsklassen]] definiert werden.


:: Die Auswirkung beschreibt wie hoch das Risiko bzw. wie stark die Auswirkung auf Geschäftsprozesse ist. Hierzu können unter "Maßnahmen → Einstellungen → Auswirkungsklassen" [[Special:MyLanguage/Einstellungen#auskla|Auswirkungsklassen]] definiert werden.


*Automatische Fristermittlung:
::Falls aktiviert, wird für die Maßnahme nach der Eingabe von "Aufwand", "Auswirkung" und "Fristbeginn" ein Vorschlagswert für das Feld "Fristende" berechnet. Als Berechnungsgrundlage dient hierzu die in der Administration verwaltete "Matrix zu Fristermittlung". Dies soll eine neutrale und möglichst objektive Ermittlung der Umsetzungsdauer ermöglichen.


::"Aufwand und Auswirkung" muss hierfür aktiviert sein.


*Plandatum:
::Ermöglicht die Eingabe eines "Plandatums". Dieses kann vom "Fristende"-Datum abweichen und datiert den Tag bis der Verantwortliche die Maßnahme voraussichtlich umgesetzt haben wird. Falls aktiviert, wird auch bei Fortschrittsmeldungen vom Verantwortlichen die Eingabe eines Plandatums erwartet.


::Falls aktiviert ist Plandatum ein Pflichtfeld!


*Verschoben:
::Hiermit können Maßnahmen als "verschoben" gekennzeichnet werden. Wird das "Plandatum" einer Maßnahme nachträglich geändert, unterstützt HITGuard dies indem es vorschlägt die Maßnahme als "verschoben" zu kennzeichnen.


*Risikoreduktion:
::Wurde eine Maßnahme in Teilen umgesetzt und fand dadurch eine Reduktion des durch die Maßnahme zu behebenden Risikos statt, so kann für die Maßnahme der Kennzeichner "Risikoreduktion" gesetzt werden. Die Ampel wird dadurch im laufenden Analysezeitraum um eine Stufe heruntergesetzt (z.B. von Rot auf Gelb). Der Kennzeichner wird im nächsten Analysezeitraum automatisch wieder entfernt.


*KO-Kriterium:
::Hiermit können Maßnahmen als kritisch gekennzeichnet werden. Sie werden in Berichten gesondert dargestellt.


*Neu geplant:
::Ermöglicht ein neues Einplanen der Maßnahme. Wird die Maßnahme als "neu geplant" gekennzeichnet und die Frist der Maßnahme geändert, so wird die Ampel für diese Maßnahme auf Grün zurückgestellt.


*Fortschritte aktiv melden:
:: Dadurch wird unter "Meine Aufgabe → Maßnahmenstatus" der Button [[Special:MyLanguage/Maßnahmenstatus|"Fortschritt melden"]] verfügbar. Dieser ermöglicht es den Usern für ihre Maßnahmen selbstständig eine Fortschrittsmeldung abzusetzen (ohne dass für diese Maßnahme explizit eine Fortschrittsmeldung angefordert wurde).

</translate>

Datenschutz-Folgenabschätzung

2021-02-12T13:28:04Z

Sala:

<translate>


Für eine jede Verarbeitungstätigkeit (VT) muss, laut Datenschutz-Grundverordnung, dokumentiert und entschieden werden, ob eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen ist. Dies erfolgt im Zuge einer DSFA-Erforderlichkeitsprüfung.


Für verwandte VT kann ein und dieselbe DSFA-Erforderlichkeitsprüfung gelten um zu erklären, dass eine DSFA für die VT notwendig ist oder nicht.


Eine DSFA in HITGuard kombiniert die DSFA-Erforderlichkeitsprüfung und die darauffolgende DSFA. Zuerst wird die Erforderlichkeitsprüfung durchgeführt. Je nach Ergebnis der Prüfung kann der Dokumentationsschritt entweder abgeschlossen oder folglich eine DSFA durchgeführt und somit dokumentiert werden.


In HITGuard sind diese DSFA unter dem Menüpunkt "Datenschutz → DSFA" zu finden und zu verwalten.


Dort besteht auch die Möglichkeit existierende DSFA-Dokumente abzulegen.


Wichtig:
Es kann ein Standard-DSFA-Bericht und ebenso ein Bericht für die Konsultation der Datenschutzbehörde erstellt werden.

== DSFA == 


Um eine DSFA zu erstellen wird in der Übersicht der DSFA ("Datenschutz → DSFA") der "Plus"-Button geklickt.


Um eine DSFA zu bearbeiten wird doppelt auf die gewünschte DSFA geklickt.


Im nachfolgendem Bild befindet sich eine Übersicht über alle DSFA:


[[Datei:DSFA Übersicht.PNG|left|thumb|900px|Übersicht der DSFA]]
 

=== Überprüfungsdetails === 


Im Nachfolgenden werden die Überprüfungsdetails einer DSFA beschrieben.


[[Datei:DSFA Schritt 1 Überprüfungsdetails.PNG|left|thumb|900px|Überprüfungsdetails]]
 


Bezeichnung:
* Hier wird eine Bezeichnung für die DSFA vergeben.


Bestätiger:
* Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzlich berufene Unternehmensleiter


Sachbearbeiter:
* Jene Personen, die im Unternehmen die Verarbeitungstätigkeiten verantworten


Prüfer:
* Die Person, die die DSFA bearbeitet. Es wird der User, der in HITGuard die DSFA anlegt, vorgeschlagen


Versionsdatum:
* Hier muss ein Datum für die Version der DSFA eingetragen werden.


Versionsnummer:
* Hier muss eine Versionsnummer für die DSFA eingetragen werden. Das dient der Historisierung.


Zugeordnete Verarbeitungstätigkeiten:
* Hier können Verarbeitungstätigkeiten (VT) zu der DSFA zugeordnet werden. Die DSFA gilt für alle zugeordneten VT.
* Eine VT kann einer DSFA nur zugeordnet werden, wenn sie noch zu keiner DSFA gehört.
* Haupt-VT: Die Daten dieser VT werden in Folge der DSFA geladen.
* Es stehen keine deaktivierten Verarbeitungstätigkeiten zur Auswahl.
* Wird eine Verarbeitungstätigkeit deaktiviert, dann wird diese hier als deaktiviert gekennzeichnet.

=== Erforderlichkeitsprüfung === 
----


Die Erforderlichkeitsprüfung ist der Schritt zur Erkenntnis, ob für die zugeordneten Verarbeitungstätigkeiten eine DSFA durchgeführt werden muss.


Um einzuschätzen, ob eine DSFA notwendig ist, werden drei Fälle unterschieden:
# Es handelt sich um eine Ausnahme von der DSFA
# Die Erforderlichkeit der DSFA ist vorgegeben
# Es wird eine Schwellwertanalyse durchgeführt um festzustellen, ob eine DSFA von Nöten ist


Für verwandte Verarbeitungstätigkeiten kann eine DSFA-Erforderlichkeitsprüfung oder eine DSFA gelten. Dies ist dann der Fall, wenn die VT ein ähnliches Risiko adressieren. Daher besteht die Möglichkeit bei den Überprüfungsdetails mehrere Verarbeitungstätigkeiten mit der DSFA zu verknüpfen. Die als "Haupt VT" gekennzeichnete Verarbeitungstätigkeit ist jene Basis, von der HITGuard in den DSFA-Schritten des Assistenten die erfassten Informationen aus der VT (z.B. Datenkategorien, verwendete Betriebsmittel etc.) heranzieht.

==== Ausnahme von der DSFA ==== 


Es gibt Fälle in denen es nicht notwendig ist eine Datenschutz-Folgenabschätzung durchzuführen. Dazu zählen unter anderem:


Vorwegnahme:
:Wenn die Verarbeitungstätigkeiten vor Mai 2018 von der Datenschutzbehörde geprüft und genehmigt worden sind und sich nicht verändert haben, kann die Datenschutz-Folgenabschätzung entfallen.


Whitelisting:
:Wenn die Verarbeitungstätigkeit auf der Liste der Arten von Verarbeitungstätigkeiten steht, für die keine DSFA notwendig ist, die die Aufsichtsbehörde erstellen kann (Art. 35 Abs. 5), kann die Datenschutz-Folgenabschätzung entfallen.


Ähnlichkeitsprüfung:
:Wenn die Überprüfung ähnlicher Verarbeitungstätigkeiten aufgrund von Art, Umfang, Umständen und Zweck ähnlich hohe Risiken ergibt, dann kann eine Datenschutz-Folgenabschätzung gemeinsam vorgenommen werden (Art. 35 Abs. 1 DSGVO).


Je nachdem, ob es sich um eine Ausnahme handelt oder nicht, ist die Erforderlichkeitsprüfung hiermit abgeschlossen, die DSFA ist erledigt oder geht im nächsten Schritt weiter.


Wichtig:
:* Wird "Ja" gewählt muss begründet werden warum keine Datenschutz-Folgenabschätzung durchzuführen ist!
:* "Ja" bedeutet, dass die Erforderlichkeitsprüfung abgeschlossen ist und keine weiteren Prüfschritte durchzuführen sind.


[[Datei:DSFA Schritt 2.1 Ausnahme.PNG|left|thumb|900px|Ausnahme von der DSFA]]
 

==== Erforderlichkeit der DSFA vorgegeben ==== 


Im Gegensatz zum vorherigen Punkt setzt dieser voraus, dass keine Ausnahme von der DSFA vorhanden ist.


Es gibt Fälle in denen es vorgeschrieben ist eine Datenschutz-Folgenabschätzung durchzuführen. Dazu zählen:
* Art. 35 Abs. 3 DSGVO:
:: Betrifft die automatisierte Verarbeitung einschließlich Profiling, die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten bzw. strafrechtliche Verurteilungen und Straftaten sowie systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche.


* Nennung auf der Blacklist:
:: Die Aufsichtsbehörde erstellt eine Liste an Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist. Nach Veröffentlichung dieser Liste gilt es diese hier zu berücksichtigen.


Zusätzlich kann eine Begründung für die Entscheidung erfasst werden.


Wichtig:
:* "Ja" überspringt den Punkt "Schwellwertanalyse", da die DSFA definitiv durchzuführen ist.


[[Datei:DSFA Schritt 2.2 Erforderlichkeit.PNG|left|thumb|900px|Erforderlichkeit der DSFA vorgegeben]]
 

==== Schwellwertanalyse ==== 


Sofern die Erforderlichkeit einer DSFA nicht durch eine klare Verpflichtung zur Durchführung bzw. Nicht-Durchführung vorgegeben ist, liegt es im Ermessen des Verantwortlichen die Erforderlichkeit der Durchführung der DSFA zu beurteilen.
Dabei helfen die Angaben der Art. 29 Datenschutzgruppe. Die Handhabung der Liste der Kriterien ist wie folgt, mittels einer Faustregel zu empfehlen: Ein hohes Risiko besteht jedenfalls, wenn mindestens zwei der Kriterien erfüllt sind. In diesem Fall sollte eine DSFA durchgeführt werden.


Um herauszufinden welche Kriterien erfüllt werden, sollte zuerst das Working Paper "248 Kriterien des europäischen Datenschutzausschusses" durchgegangen werden!


Im Anschluss muss entschieden werden, ob eine DSFA durchzuführen ist. Für diese Entscheidung muss eine Begründung festgehalten werden.


[[Datei:DSFA Schritt 2.3 Schwellwertanalyse.PNG|left|thumb|900px|Erforderlichkeit der DSFA vorgegeben]]
 

=== Vorhandene DSFA === 


Die DSFA-Erforderlichkeitsprüfung sollte zu jeder Verarbeitungstätigkeit durchgeführt werden. Mit HITGuard können diese Überprüfungsschritte nachweislich dokumentiert werden. In manchen Fällen ist die Erforderlichkeitsprüfung für das Verarbeitungsregister zu dokumentieren. Die DSFA wurde aber bereits durchgeführt, wenn diese zum Beispiel gemeinsam mit einem externen Berater erstellt wurde. In diesem Fall möchten Sie ggf. keine weitere DSFA mehr in HITGuard dokumentieren. Für die zentrale Sammlung Ihrer Dokumente im Falle einer behördlichen Kontaktaufnahme möchten Sie alle Dokumente in HITGuard zusammenführen. In diesem Fall können Sie in diesem Schritt kennzeichnen, dass eine DSFA bereits erfolgt ist. Laden Sie den DSFA Bericht hier hoch und legen Sie fest, dass in HITGuard keine weiteren DSFA Dokumentationsschritte mehr durchzuführen sind.


Wichtig:
:* Durch Setzen des "DSFA bereits durchgeführt" werden die nachfolgenden Schritte der DSFA deaktiviert, da die DSFA bereits vorhanden ist.


[[Datei:DSFA Schritt 3 DSFA vorhanden.PNG|left|thumb|900px|Vorhandene DSFA]]
 

=== Informationen zur Verarbeitung === 
----
Wenn eine DSFA in HITGuard durchzuführen ist, sind zunächst die geplanten Verarbeitungstätigkeiten zu beschreiben.


Art. 35 Abs. 7 (a) DSGVO fordert eine systematische Beschreibung der geplanten Verarbeitungstätigkeiten inkl. dem Zwecke der Verarbeitung.
Dazu wird Ihnen von HITGuard aus der Haupt-Verarbeitungstätigkeit der dort bereits erfasste Zweck der Verarbeitung geladen. Sie können diese Information um zusätzliche Informationen wie Einsatzgebiet, Nutzer, etc. ergänzen.


Auch die Zuständigkeiten für die Verarbeitung, wie den Verantwortlichen der Verarbeitungstätigkeit bzw. etwaige Auftragsverarbeiter und Informationen zur gemeinsamen Verarbeitung werden Ihnen aus der Haupt-VT präsentiert.


[[Datei:DSFA Schritt 4 Informationen.PNG|left|thumb|900px|Informationen zur Verarbeitung]]
 

==== Normen und Standards ==== 
In diesem Punkt sind Normen und Standards anzuführen, die für die Verarbeitung herangezogen werden. Darunter fallen auch Richtlinien und Datenschutzzertifizierungen (Art. 42 DSGVO) sowie genehmigte Verhaltensregeln (Art 40 DSGVO).


Genehmigte Verhaltensregeln werden häufig als „Code of Conduct“ bezeichnet. Sie werden von einem Zusammenschluss, z.B. einem Verband oder Verein wie Berufsverbänden oder Kammern veröffentlicht. Der Zusammenschluss gibt die genehmigten Verhaltensregeln als verbindliche Vorgaben aus, um die datenschutzrechtliche Verhaltensweisen der Mitglieder festzulegen. In der DSFA ist zu beschreiben, ob es genehmigte Verhaltensregeln gemäß Art. 40 DSGVO gibt, zu denen das Unternehmen sich bekennen und deren Anforderungen sie umsetzen bzw. einhalten.


[[Datei:DSFA Schritt 4.1 Normen.PNG|left|thumb|900px|Normen und Standards]]
 

==== Daten und Betriebsmittel ==== 
In der DSFA ist unter diesem Punkt eine detaillierte Darstellung der geplanten Verarbeitungstätigkeiten, einschließlich folgender Informationen zu finden:
- alle verarbeiteten personenbezogenen Daten inklusive der Angaben zu Betroffenenkategorien, Empfänger und der Informationen zur Aufbewahrung der Daten
- der dafür eingesetzten Informationssysteme (= Betriebsmittel)


HITGuard unterstützt Sie in diesem Punkt, da es alle relevanten Informationen dazu, die bereits in der Haupt-VT erfasst wurden, hier auflistet.


[[Datei:DSFA Schritt 4.2 Daten.PNG|left|thumb|900px|Daten und Betriebsmittel]]
 


Hier kann außerdem eine Detaillierte Beschreibungen zu den eingesetzten IT-Betriebsmitteln erfasst werden. Weiters können Dokumente mit visualisierten Darstellungen zu IT-Betriebsmitteln und ihren Abhängigkeiten abgelegt werden.


[[Datei:DSFA Betriebmittel Datei.PNG|left|thumb|900px|Daten und Betriebsmittel: Datei hochladen]]
 

==== Lebenszyklus von Daten und Prozessen ==== 


In diesem Punkt der DSFA ist eine detaillierte Darstellung der geplanten Verarbeitungstätigkeiten, einschließlich folgender Informationen zu erfassen:
- Beschreibung der Prozessschritte für eine detaillierte Darstellung der Funktionsweise und der Abläufe der Verarbeitungstätigkeit
- Interne und externe Schnittstellen sowie Datenflüsse


Um die Erklärung zu verdeutlichen, können in diesem Schritt Dokumente wie Datenflussdiagramme beigelegt werden. Sie können neben der Erfassung einer ausführlichen Beschreibung auch ein Dokument hochladen.


[[Datei:DSFA Schritt 4.3 Lebenszyklus.PNG|left|thumb|900px|Lebenszyklus von Daten und Prozessen]]
 

==== Notwendigkeit und Verhältnismäßigkeit ==== 


In diesem Punkt der DSFA wird gemäß Art. 35 Abs. 7 (b) DSGVO die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeiten begründet.


Dazu müssen mehrere Punkte geklärt werden:
* Rechtmäßigkeit der Verarbeitung:
:: Hier werden die Rechtmäßigkeiten der Verarbeitungen der einzelnen Datenkategorien aufgelistet. (Datenkategorien aus Haupt-VT)
* Zweckbindungsprinzip (Art. 5 Abs 1 b DSGVO):
:: Es muss erklärt werden warum die Verarbeitungszwecke bestimmt, eindeutig definiert und rechtmäßig sind.
* Datenminimierung (Art. 5 Abs. 1 c DSGVO):
:: Es muss erklärt werden warum die erhobenen Daten erforderlich, notwendig und relevant sind.
* Richtigkeit (Art. 5 Abs. 1 d DSGVO):
:: Es muss beschrieben werden, welche Schritte unternommen werden um die Qualität der Daten (Korrektheit, Aktualität, etc.) sicherzustellen.
:: Es können Maßnahmen und Kontrollen, die die Qualität der Daten sicherstellen, verknüpft werden.
* Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO):
:: Es muss die Speicherdauer (Löschfrist) der Daten inklusive Begründung für diese angegeben werden. Dies erfolgt allerdings schon im Schritt "Daten und Betriebsmittel" und wird daher hier nicht angeführt.


[[Datei:DSFA Schritt 4.4 Notwendigkeit 1.PNG|left|thumb|900px|Notwendigkeit und Verhältnismäßigkeit 1]]
 
[[Datei:DSFA Schritt 4.4 Notwendigkeit 2.PNG|left|thumb|900px|Notwendigkeit und Verhältnismäßigkeit 2]]
 

==== Persönlichkeitsrechte der Betroffenen ==== 


In diesem Punkt der DSFA wird erfasst was unternommen wird, um die Persönlichkeitsrechte der Betroffenen zu gewähren.


Dazu müssen mehrere Punkte der DSGVO geklärt werden:
* Informationspflicht (Art 12-14 DSGVO) und Einwilligung des Betroffenen (Art. 6 DSGVO):
:: Es muss beschrieben werden wie die Betroffenen über die Verarbeitung informiert werden, welche Informationen Ihnen auf welche Art und Weise zur Verfügung gestellt werden und wie die Einwilligung der Verarbeitung eingeholt wird, falls diese erforderlich ist.
:: Dafür können hier Maßnahmen und Kontrollen zum Nachweis der Einhaltung der Informationspflicht und Einwilligung des Betroffenen verknüpft werden.
* Betroffenenrechte (Art 13-22 DSGVO):
:: Es muss erklärt werden, wie Betroffene ihr Recht auf Auskunft, Berechtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragung und Widerspruch ausüben können.
:: Dafür können hier Maßnahmen und Kontrollen zum Nachweis der Einhaltung der Betroffenenrechte zugeordnet werden.
* Auftragsverarbeitung (Art 28 DSGVO):
:: Es muss erklärt werden, ob und warum die Verpflichtungen der Auftragsverarbeiter klar definiert und vertraglich geregelt sind.
:: Dazu wird eine Liste der Auftragsverarbeiter angezeigt. Diese kommen aus der Haupt-Verarbeitungstätigkeit.
* Datenübermittlung in Drittländer (Art 44-49 DSGVO):
:: Es muss erklärt werden, ob Datenübermittlungen in Länder außerhalb der EU stattfinden sowie ob und wie diese Daten angemessen geschützt werden.
:: Dazu wird eine Liste der Empfänger in Drittländer angezeigt. Diese kommt aus der Haupt-VT.
* Standpunkt der Betroffenen
:: Es muss beschrieben werden, ob und wie der Standpunkt der Betroffenen erhoben wurde.
:: Falls er nicht erhoben wurde, muss dies begründet werden!


[[Datei:DSFA Schritt 4.5 Persönlichkeitsrechte 1.PNG|left|thumb|900px|Persönlichkeitsrechte der Betroffenen 1]]
 
[[Datei:DSFA Schritt 4.5 Persönlichkeitsrechte 2.PNG|left|thumb|900px|Persönlichkeitsrechte der Betroffenen 2]]
 

=== Risikobewertung und Maßnahmenplanung === 
----


Bei der Risikobewertung werden Risiken für die Rechte und Freiheiten der betroffenen Personen analysiert. D.h. die Analyse des Risikos erfolgt aus der Sicht des Betroffenen und nicht des Unternehmens. Dabei werden Risiken identifiziert und bewertet. Dies erfolgt im Bereich des Risikomanagements von HITGuard. Die identifizierten Gefährdungslagen - die weitgehend dem in der DSGVO verwendeten Begriff des Risikos entsprechen - können hier mit der DSFA verknüpft werden.


Zu den identifizierten Gefährdungslagen werden in HITGuard Maßnahmen und Kontrollen zur Risikobehandlung beschlossen. Diese Maßnahmen und Kontrollen werden vom Tool selbstständig anhand der verknüpften Gefährdungslagen in der DSFA dargestellt.


[[Datei:DSFA Schritt 5 Risikobewertung.PNG|left|thumb|900px|Risikobewertung und Maßnahmenplanung]]
 

=== Konsultationen === 
----


In diesem Punkt wird erfasst, ob der Rat des Datenschutzbeauftragten eingeholt wurde und ob die Datenschutzbehörde konsultiert wurde.


Gemäß Art. 35 Abs. 2 DSGVO hat der Verantwortliche bei der Durchführung einer DSFA den Rat des Datenschutzbeauftragten einzuholen, wenn ein Datenschutzbeauftragter benannt wurde. Diese Konsultation bzw. das Ergebnis daraus oder Gründe für ihre Nicht-Durchführung können und sollen hier dokumentiert werden.


Wenn aus einer DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, dann muss der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde konsultieren, falls er keine Maßnahmen zur Eindämmung des Risikos trifft oder treffen kann. Auch dieser Schritt ist hier in HITGuard dokumentierbar indem dem sie die Entscheidung der Datenschutzbehörde erfassen bzw. auf den DSFA Bericht verweisen.


[[Datei:DSFA Schritt 6 Konsultation.PNG|left|thumb|901px|Konsultationen ]]
 

</translate>

Maßnahmenstatus

2021-02-12T12:55:44Z

Sala:

<translate>


Unter "Meine Aufgaben → Maßnahmenstatus" finden Sie alle Fortschrittsmeldungen, die von Ihnen verlangt werden, die Sie bereits bearbeitet haben sowie alle offenen oder erledigten Maßnahmen.

==Fortschrittsmeldungen== 


Die Fortschrittsmeldungen für die Sie zuständig sind finden Sie unter "Meine Aufgaben → Maßnahmenstatus → Fortschrittsmeldungen".


[[Datei:Meine Aufgaben Fortschritssmeldungen.PNG|left|thumb|901px|Meine Fortschrittsmeldungen]]
 


Wie in der Abbildung oben zu sehen ist, können die Fortschrittsmeldungen im linken Bereich nach Status gefiltert werden. Unter den einzelnen Punkten sehen Sie:


Alle
* Alle Fortschrittsmeldungen für Maßnahmen für die Sie verantwortlich sind. Der Status der Fortschrittsmeldung spielt dabei keine Rolle.


Angefordert
* Die Maßnahmen für die Sie verantwortlich sind und für die eine Fortschrittsmeldung angefordert wurde.


Beantwortet
* Die Maßnahmen zu denen Sie als Verantwortlicher eine Fortschrittsmeldung abgegeben haben, die aber noch niemand akzeptiert hat.
* Die Experten und Fachmänner, die eine Fortschrittsmeldung angefordert haben, finden die beantworteten Meldungen unter [[Special:MyLanguage/Fortschrittsmeldungen | "Maßnahmen → Fortschrittsmeldungen"]].


Akzeptiert
* Die Fortschrittsmeldungen zu den Maßnahmen, die akzeptiert wurden.

Fortschritt melden
* Dieser Button ermöglicht es auch für noch nicht angeforderte Fortschrittsmeldungen den Fortschritt zu melden. Haben Sie den Fortschritt zu einer Maßnahme gemeldet, wird diese als beantwortet gekennzeichnet. Das bedeutet, dass zu dieser Maßnahme erst wieder ein Fortschritt gemeldet werden kann, wenn die Beantwortung akzeptiert wurde.
* Diese Option ist nur dann verfügbar, wenn unter [[Special:MyLanguage/Globale_Einstellungen#glop_opme | "Administration → Globale Einstellungen → Optionale Maßnahmeeigenschaften"]] die Option "Fortschritte aktiv melden" aktiviert wurde.
* Ist die Maßnahme einem Team zugeordnet und meldet jemand selbstständig den Fortschritt, werden die Teammitglieder nicht informiert.
:[[Datei:Maßnahme status fortschrit melden.PNG|left|thumb|600px|Meine Fortschrittsmeldungen]]
 

===Fortschrittsmeldung beantworten / Fortschritt melden === 


Klicken Sie unter Maßnahmenstatus auf eine Fortschrittsmeldung, werden Sie zu ihrer Maßnahme weitergeleitet. Es können nur angeforderte Fortschrittsmeldungen ausgefüllt und bearbeitet werden. Wurde jedoch der Button "Fortschritt melden" verwendet, können auch Fortschrittsmeldungen für noch nicht angeforderte Maßnahmen erstellt werden.

Alle anderen Status der Fortschrittsmeldung sind schreibgeschützt und können eingesehen, aber nicht bearbeitet werden.


Um eine Fortschrittsmeldung zu beantworten, klicken Sie doppelt auf die gewünschte Maßnahme. Anschließend muss die Fortschrittsmeldung entweder ausgefüllt und retourniert oder diese Aufgabe an einen Sachbearbeiter delegiert werden (siehe nachfolgende Abbildung).


[[Datei:Meine Aufgaben Fortschritssmeldung abgeben.PNG|left|thumb|900px|Fortschrittsmeldung retournieren]]
 


Im oberen Bereich sehen Sie die Kopfdaten zur Maßnahme. Anschließend folgt die aktuell abzugebende Fortschrittsmeldung. Darunter finden Sie alle bereits existierenden und akzeptierten Meldungen zu dieser Maßnahme.


Statusmeldung:
* Erfassen Sie hier den Bearbeitungsstatus der aktuellen Maßnahme mit ein paar Worten.


Plandatum:
* Hier geht es um das geplante Datum der Umsetzung. Dieses ergibt sich direkt aus der Maßnahme. Ändert sich der Ablauf, können Sie hier ein neues Plandatum eintragen.


Fortschritt:
* Geben Sie hier an, wie weit Sie mit der Umsetzung der Maßnahme sind.
* Achtung: Befindet sich die Maßnahme im Status "Ausgesetzt" kann zwar eine Fortschrittsmeldung angefordert und beantwortet werden, aber kein Fortschritt angegeben werden!


Kommentar:
* Hier können Zusatzinformationen zum Statusaustausch zwischen Prüfer und Verantwortlichem erfasst werden.


Sachbearbeiter:
* Sie haben die Möglichkeit die Beantwortung der Fortschrittsmeldung an einen oder mehrere Bearbeiter zu delegieren. Wenn ein Bearbeiter die Fortschrittsmeldung beantwortet, wird sie wieder an Sie retourniert. Nach Ihrer Überprüfung können Sie die Fortschrittsmeldung an den Anforderer retournieren, sie noch abändern oder erneut delegieren sowie eine Bemerkung für den Bearbeiter hinterlassen.


Evidenzen:
* Hier haben Sie die Möglichkeit Dokumente hochzuladen, die den Status der Maßnahme prüfen.

==Offene / Erledigte Maßnahmen== 


Unter "Meine Aufgaben → Maßnahmenstatus → Offene Maßnahmen" finden Sie alle Maßnahmen, für die Sie verantwortlich sind und die noch nicht erledigt sind.


Unter "Meine Aufgaben → Maßnahmenstatus → Erledigte Maßnahmen" finden Sie alle Maßnahmen, für die Sie verantwortlich sind und die bereits erledigt sind.


[[Datei:Meine Aufgaben Offene Maßnahmen.PNG|left|thumb|900px|Meine offenen Maßnahmen]]
 


Klicken Sie in einer der Ansichten auf eine Maßnahme, werden Sie zu dieser weitergeleitet. Hier sehen Sie die Kopfdaten zur Maßnahme sowie alle Fortschrittsmeldungen. Hier ist es lediglich möglich die Maßnahme einzusehen. Das heißt, Sie können hier weder die Maßnahme noch die Fortschrittsmeldung bearbeiten.


[[Datei:Meine Aufgaben offene Maßnahme.PNG|left|thumb|900px|Details zu einer offenen Maßnahme]]
 
</translate>

HITGuard Release Jänner 2021/en

2021-02-04T20:38:35Z

Sala: Die Seite wurde neu angelegt: „Instructions on how to perform data imports can be found here in our documentation.“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Configuration of proactive progress reporting ===

Proactive reporting of progress by the Practitioner (in addition to reactive reporting when prompted by the Expert) can be turned on or off via the global settings (Administration > Global Settings | Optional Action Properties).

[[Datei:RN Jänner2021 16.png|left]]
 

=== Extension of the data import with processes ===

The administration of import configurations can be found under Administration > Data Import. Here, configurations for individual import formats can be managed, maintained and executed. Now there is also the possibility to import processes.

[[Datei:RN Jänner2021 17.png|left]]
 
Once an import configuration has been created, it can be run again and again with new import files. In doing so, fields are also updated if the record ID from the third-party system remains constant.

Instructions on how to perform data imports can be found here in our documentation.

Translations:HITGuard Release Jänner 2021/67/en

2021-02-04T20:38:34Z

Sala: Die Seite wurde neu angelegt: „Instructions on how to perform data imports can be found here in our documentation.“

Instructions on how to perform data imports can be found here in our documentation.

HITGuard Release Jänner 2021/en

2021-02-04T20:38:25Z

Sala: Die Seite wurde neu angelegt: „left Once an import configuration has been created, it can be run again and again with new import files. In doin…“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Configuration of proactive progress reporting ===

Proactive reporting of progress by the Practitioner (in addition to reactive reporting when prompted by the Expert) can be turned on or off via the global settings (Administration > Global Settings | Optional Action Properties).

[[Datei:RN Jänner2021 16.png|left]]
 

=== Extension of the data import with processes ===

The administration of import configurations can be found under Administration > Data Import. Here, configurations for individual import formats can be managed, maintained and executed. Now there is also the possibility to import processes.

[[Datei:RN Jänner2021 17.png|left]]
 
Once an import configuration has been created, it can be run again and again with new import files. In doing so, fields are also updated if the record ID from the third-party system remains constant.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/66/en

2021-02-04T20:38:25Z

Sala: Die Seite wurde neu angelegt: „left Once an import configuration has been created, it can be run again and again with new import files. In doin…“

[[Datei:RN Jänner2021 17.png|left]]
 
Once an import configuration has been created, it can be run again and again with new import files. In doing so, fields are also updated if the record ID from the third-party system remains constant.

HITGuard Release Jänner 2021/en

2021-02-04T20:38:12Z

Sala: Die Seite wurde neu angelegt: „The administration of import configurations can be found under Administration > Data Import. Here, configurations for individual import formats can be managed,…“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Configuration of proactive progress reporting ===

Proactive reporting of progress by the Practitioner (in addition to reactive reporting when prompted by the Expert) can be turned on or off via the global settings (Administration > Global Settings | Optional Action Properties).

[[Datei:RN Jänner2021 16.png|left]]
 

=== Extension of the data import with processes ===

The administration of import configurations can be found under Administration > Data Import. Here, configurations for individual import formats can be managed, maintained and executed. Now there is also the possibility to import processes.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/65/en

2021-02-04T20:38:11Z

The administration of import configurations can be found under Administration > Data Import. Here, configurations for individual import formats can be managed, maintained and executed. Now there is also the possibility to import processes.

HITGuard Release Jänner 2021/en

2021-02-04T20:38:00Z

Sala: Die Seite wurde neu angelegt: „left === Extension of the data import with processes ===“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Configuration of proactive progress reporting ===

Proactive reporting of progress by the Practitioner (in addition to reactive reporting when prompted by the Expert) can be turned on or off via the global settings (Administration > Global Settings | Optional Action Properties).

[[Datei:RN Jänner2021 16.png|left]]
 

=== Extension of the data import with processes ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/64/en

2021-02-04T20:38:00Z

Sala: Die Seite wurde neu angelegt: „left === Extension of the data import with processes ===“

[[Datei:RN Jänner2021 16.png|left]]
 

=== Extension of the data import with processes ===

HITGuard Release Jänner 2021/en

2021-02-04T20:37:48Z

Sala: Die Seite wurde neu angelegt: „Proactive reporting of progress by the Practitioner (in addition to reactive reporting when prompted by the Expert) can be turned on or off via the global sett…“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Configuration of proactive progress reporting ===

Proactive reporting of progress by the Practitioner (in addition to reactive reporting when prompted by the Expert) can be turned on or off via the global settings (Administration > Global Settings | Optional Action Properties).

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/63/en

2021-02-04T20:37:47Z

Proactive reporting of progress by the Practitioner (in addition to reactive reporting when prompted by the Expert) can be turned on or off via the global settings (Administration > Global Settings | Optional Action Properties).

HITGuard Release Jänner 2021/en

2021-02-04T20:37:37Z

Sala: Die Seite wurde neu angelegt: „=== Configuration of proactive progress reporting ===“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Configuration of proactive progress reporting ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/62/en

2021-02-04T20:37:36Z

Sala: Die Seite wurde neu angelegt: „=== Configuration of proactive progress reporting ===“

=== Configuration of proactive progress reporting ===

Translations:HITGuard Release Jänner 2021/61/en

2021-02-04T20:37:27Z

Sala: Die Seite wurde neu angelegt: „left “

[[Datei:RN Jänner2021 15.png|left]]

HITGuard Release Jänner 2021/en

2021-02-04T20:37:24Z

Sala: Die Seite wurde neu angelegt: „The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/60/en

2021-02-04T20:37:24Z

Sala: Die Seite wurde neu angelegt: „The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.“

The backup interval is also recorded in hours. However, it is also possible to indicate for a resource that a backup is not relevant for it.

HITGuard Release Jänner 2021/en

2021-02-04T20:37:15Z

Sala: Die Seite wurde neu angelegt: „The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery tim…“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/59/en

2021-02-04T20:37:15Z

The recovery time is recorded in hours for this resource (independent of the recovery times of required systems). It can be documented whether the recovery time is secured by an SLA, for example. Comments can be recorded and documents filed for this purpose.

HITGuard Release Jänner 2021/en

2021-02-04T20:37:05Z

Sala: Die Seite wurde neu angelegt: „For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/58/en

2021-02-04T20:37:05Z

Sala: Die Seite wurde neu angelegt: „For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.“

For resources, recovery time and backup interval can now be mapped as information on the current status of the ACTUAL analysis.

HITGuard Release Jänner 2021/en

2021-02-04T20:36:52Z

Sala: Die Seite wurde neu angelegt: „=== Acquisition of the backup interval as well as the recovery time for resources ===“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Acquisition of the backup interval as well as the recovery time for resources ===

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/57/en

2021-02-04T20:36:52Z

Sala: Die Seite wurde neu angelegt: „=== Acquisition of the backup interval as well as the recovery time for resources ===“

=== Acquisition of the backup interval as well as the recovery time for resources ===

HITGuard Release Jänner 2021/en

2021-02-04T20:36:44Z

Sala: Die Seite wurde neu angelegt: „== Administration news ==“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Administration news ==

=== Erfassung des Backup Intervalls sowie der Wiederherstellzeit für Ressourcen ===

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/56/en

2021-02-04T20:36:44Z

Sala: Die Seite wurde neu angelegt: „== Administration news ==“

== Administration news ==

HITGuard Release Jänner 2021/en

2021-02-04T20:36:30Z

Sala: Die Seite wurde neu angelegt: „Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for t…“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

== Neues zur Administration ==

=== Erfassung des Backup Intervalls sowie der Wiederherstellzeit für Ressourcen ===

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/55/en

2021-02-04T20:36:30Z

Under Data Protection > Reports > Processing Register > External Processors, a report can now be generated containing all processing activities performed for the company by external processors. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

HITGuard Release Jänner 2021/en

2021-02-04T20:36:17Z

Sala: Die Seite wurde neu angelegt: „==== Print processing activities of external processors ====“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities of external processors ====

Unter Datenschutz > Berichte > Verarbeitungsregister > externe Auftragsverarbeiter kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die durch externe Auftragsverarbeiter für das Unternehmen erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

== Neues zur Administration ==

=== Erfassung des Backup Intervalls sowie der Wiederherstellzeit für Ressourcen ===

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/54/en

2021-02-04T20:36:17Z

Sala: Die Seite wurde neu angelegt: „==== Print processing activities of external processors ====“

==== Print processing activities of external processors ====

HITGuard Release Jänner 2021/en

2021-02-04T20:36:07Z

Sala: Die Seite wurde neu angelegt: „Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed eithe…“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Verarbeitungstätigkeiten externer Auftragsverarbeiter drucken ====

Unter Datenschutz > Berichte > Verarbeitungsregister > externe Auftragsverarbeiter kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die durch externe Auftragsverarbeiter für das Unternehmen erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

== Neues zur Administration ==

=== Erfassung des Backup Intervalls sowie der Wiederherstellzeit für Ressourcen ===

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/53/en

2021-02-04T20:36:07Z

Under Data Protection > Reports > Processing Register > on behalf of others, a report can now be generated containing all processing activities performed either by an organizational unit of one's own company or for a specific external customer. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

HITGuard Release Jänner 2021/en

2021-02-04T20:35:57Z

Sala: Die Seite wurde neu angelegt: „==== Print processing activities on behalf of others in a report ====“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Print processing activities on behalf of others in a report ====

Unter Datenschutz > Berichte > Verarbeitungsregister > im Auftrag anderer kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die entweder durch eine Organisationseinheit des eigenen Unternehmens oder für einen bestimmten externen Kunden erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

==== Verarbeitungstätigkeiten externer Auftragsverarbeiter drucken ====

Unter Datenschutz > Berichte > Verarbeitungsregister > externe Auftragsverarbeiter kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die durch externe Auftragsverarbeiter für das Unternehmen erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

== Neues zur Administration ==

=== Erfassung des Backup Intervalls sowie der Wiederherstellzeit für Ressourcen ===

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/52/en

2021-02-04T20:35:57Z

Sala: Die Seite wurde neu angelegt: „==== Print processing activities on behalf of others in a report ====“

==== Print processing activities on behalf of others in a report ====

HITGuard Release Jänner 2021/en

2021-02-04T20:35:48Z

Sala: Die Seite wurde neu angelegt: „Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own…“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

==== Verarbeitungstätigkeiten im Auftrag anderer in einem Report drucken ====

Unter Datenschutz > Berichte > Verarbeitungsregister > im Auftrag anderer kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die entweder durch eine Organisationseinheit des eigenen Unternehmens oder für einen bestimmten externen Kunden erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

==== Verarbeitungstätigkeiten externer Auftragsverarbeiter drucken ====

Unter Datenschutz > Berichte > Verarbeitungsregister > externe Auftragsverarbeiter kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die durch externe Auftragsverarbeiter für das Unternehmen erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

== Neues zur Administration ==

=== Erfassung des Backup Intervalls sowie der Wiederherstellzeit für Ressourcen ===

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/51/en

2021-02-04T20:35:48Z

Under Data Protection > Reports > Processing Register > Own Processing Activity, a report can now be generated that optionally contains one or more or all own processing activities. For this purpose, the processing activities are offered in the latest valid version with the status "Processing completed".

HITGuard Release Jänner 2021/en

2021-02-04T20:35:38Z

Sala: Die Seite wurde neu angelegt: „==== Print multiple processing activities in one report ====“

== Integration of the online help==
The online help has been integrated into HITGuard. You will now find the last item "Help" right after "Administration" in the dark gray menu bar. Under Help > Online Help you can access the detailed user manual for HITGuard

[[Datei:RN Jänner2021 1.png|left]]
 

Under Help > First Steps you will also find an introduction to the navigation and interface of HITGuard. When the software is started for the first time, this appears automatically.

[[Datei:RN Jänner2021 2.png|left]]
 

In addition, a step-by-step guide has been integrated into HITGuard. This will be successively expanded over the coming months. In the screens where this is already available, an "i" appears in the lower left corner of the software. A click on the "i" starts the step-by-step guide.

[[Datei:RN Jänner2021 3.png|left]]
 

== New under "My tasks" ==
=== Proactive reporting of an action progress ===

Previously, a Practitioner could only report progress on a measure when prompted to do so by the Expert/Professional. This reactive reporting is still possible. In addition, the practitioner (if configured to do so; see 5.2 Configuring proactive progress reporting) can now also proactively report the progress on a measure. To do this, the practitioner simply has to use the new "Report progress" button in the menu under My Tasks > Action Status and can then select the action for which he or she would like to report progress.

[[Datei:RN Jänner2021 4.png|left]]
 

In the measure selection, the practitioner will find all open measures assigned to him/her as the responsible person or as the responsible team member or team leader.

When selecting a measure for which a requested progress note already exists for the Practitioner, it opens for processing. If no progress report has been requested yet, a new progress report is created. This must then be returned immediately. No report can be created for tasks for which a returned progress report currently exists that has not yet been accepted by the expert/professional. This task is listed in the selection, but cannot be selected and is marked with "answered".

=== Upload evidence for inspections by inspector ===
In the course of reviewing a control, the reviewer can now also upload evidence. This can be useful, for example, if a reviewer wants to comment on evidence and return the revised document to the implementer for re-editing.

== What's new in risk management ==

=== Restriction of compliance evaluation on the dashboard ===

Experts/professionals can visually query compliance with various standards on the dashboard. This query has now been extended to include the option of restricting the display to the defined scope of the standard or norm.

[[Datei:RN Jänner2021 5.png|left]]
 

=== Extensions of the structural analysis for the representation of RTO and RPO ===

Provided that you collect the protection targets RTO and RPO for your analyses and have activated the option "Display in graph" in the risk policy for this, a new feature is available to you.

[[Datei:RN Jänner2021 6.png|left]]
 

Note that for the representation described below, you must also complete the collection of recovery time and backup interval (see 5.1 Collection of backup interval as well as recovery time for) on the resources.

If these requirements are met, you can visually evaluate whether the recorded requirements for Recovery Time Objective (RTO; max. reasonable recovery time) and Recovery Point Objective (RPO; max. reasonable data loss) are met by the actual recovery times or backup intervals of the systems.

In the structural analysis, the following selection appears in the analysis mode in the navigation area, which can be used to trigger an analysis for RTO or RPO fulfillment. To start the analysis, select one of the two options and click the "Apply" button:

[[Datei:RN Jänner2021 7.png|left]]
 

In the graph, the requirements from the protection needs analyses are displayed on the edges between the organizational unit and resource at the application level. If the requirements for RTO are met or not met by the underlying path, e.g., recovery times, then the requirement is shown in green, otherwise in red.

[[Datei:RN Jänner2021 8.png|left]]
 

The resources themselves show in a gray bubble each e.g. for the RTO fulfillment the "Net recovery time" with an "N" of the resource itself as well as the "Gross recovery time" with a "B" for the summed recovery time of the resource chain incl. the respective node.

The illustrated example shows the RTO fulfillment. The logic for RPO fulfillment is very similar, with the difference that the backup times for the entire resource chain are not summed up, but the highest recovery time of a resource in the chain is always shown here in the gross value.

If no times have been entered for a resource yet, a yellow configuration icon is displayed for the resource.

[[Datei:RN Jänner2021 9.png|left]]
 

If no times are to be deliberately recorded for a resource, then a gray icon like the following is displayed:

[[Datei:RN Jänner2021 10.png|left]]
 

=== Representation of the assigned checks to the audit on its own tab sheet ===

Under Risk Management > Audit Management > Audit, the structuring of the individual tab sheets has been revised. To make them easier to find, the assigned audits have been placed on their own tab sheet.

[[Datei:RN Jänner2021 11.png|left]]
 

=== Visualization of audit planning in the audit program ===

Under Risk Management > Audit Management > Audit Programs you can create or edit an audit program. If you open an audit program here, you will find a new tab sheet, the "Appointment calendar":

[[Datei:RN Jänner2021 12.png|left]]
 

This representation allows the different audits in the audit program to be displayed together in one calendar.

=== New structuring, reports and options for risk management > Reports ===

==== Report Administration Customization ====

The report administration component has been revised/extended. More reports, variants and options are now available and the menu navigation through this selection has been improved.

==== Audit plan with management summary and compliance report ====

The report options under Risk management > Reports > Audit management > Audit plan have been extended and now offer an option "Print compliance report for audit plan". This allows the individual audit result details from the reviews to be evaluated in the report for the respective audit.

==== Deviations from the Hazard Situation Report ====

The report options under Risk management > Reports > Hazard situations have been expanded and now offer an option "Include deviations". This allows the individual deviations from the checks - if any - to be printed in the report for the respective hazard situation.

==== Scope restrictions in various reports ====

In the following reports, the evaluation is now restricted to the scope of the standard or norm:
*Risk management > Reports > Conformity > By standards and norms.
*Risk management > Reports > Standards and norms > Statement of applicability
*Risk management > Reports > Standards and norms > Management summary
If this is not desired and the entire standard or norm is to be considered, then the option "Include non-applicable chapters in statistics" must be activated.

==== Report options of the standard and norms reports have been extended ====

The two reports under Risk Management > Reports > Standards and norms have been extended to the effect that it is now possible to configure whether the statistics (donut diagrams) for the measure and control fulfillments are to be displayed or not. The option "Print statistics" is used for this purpose.

In addition, it is now possible to configure whether the measures and controls are to be printed in detail in the "Statement of Applicability" report. If this is not desired, the report chapters Measures and Controls will be omitted. For this purpose, the option "Print measure and control details" is used.

Note: Option "Use only lowest level chapters as calculation base for statistics" has been removed for both reports. The logic now always behaves as if the "Use only lowest level chapters as calculation base for statistics" option is active. This also applies to calling this report under Administration > Standards and Norms.

== News in data protection ==

=== Further recording options for operating resources used ===

If you have not mapped a corresponding structural analysis of the resources used in HITGuard for a data protection impact assessment, or if you want to describe them additionally in text, or if you have a document in which the resources used are explained in detail, you can now also record this information in the DSFA in HITGuard.

[[Datei:RN Jänner2021 13.png|left]]
 

=== New reports ===

The menu item Data Protection > Reports is new and offers a wide range of possible configurations of reports on processing activities, data protection impact assessments and categories of data subjects:

[[Datei:RN Jänner2021 14.png|left]]
 

==== Print multiple processing activities in one report ====

Unter Datenschutz > Berichte > Verarbeitungsregister > Eigene Verarbeitungstätigkeit kann nun ein Bericht generiert werden der wahlweise eine oder mehrere oder alle eigenen Verarbeitungstätigkeiten enthält. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

==== Verarbeitungstätigkeiten im Auftrag anderer in einem Report drucken ====

Unter Datenschutz > Berichte > Verarbeitungsregister > im Auftrag anderer kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die entweder durch eine Organisationseinheit des eigenen Unternehmens oder für einen bestimmten externen Kunden erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

==== Verarbeitungstätigkeiten externer Auftragsverarbeiter drucken ====

Unter Datenschutz > Berichte > Verarbeitungsregister > externe Auftragsverarbeiter kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die durch externe Auftragsverarbeiter für das Unternehmen erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

== Neues zur Administration ==

=== Erfassung des Backup Intervalls sowie der Wiederherstellzeit für Ressourcen ===

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

[[Datei:RN Jänner2021 15.png|left]]
 

=== Konfiguration der proaktiven Fortschrittsmeldung ===

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

[[Datei:RN Jänner2021 16.png|left]]
 

=== Erweiterung des Datenimports um Prozesse ===

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

[[Datei:RN Jänner2021 17.png|left]]
 

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.

Translations:HITGuard Release Jänner 2021/50/en

2021-02-04T20:35:37Z

Sala: Die Seite wurde neu angelegt: „==== Print multiple processing activities in one report ====“

==== Print multiple processing activities in one report ====