Im Zuge von Überprüfungen kann es Unklarheiten bei der Beantwortung von Prüffragen geben. Manchmal tauchen Rückfragen dazu auf, die nicht gleich beantwortet werden können. Diese Prüffragen und auch gesamte Prüfobjekte können mit „Abklärungsbedarf“ markiert werden. Sie sind dann in der Ansicht Risikomanagement → Schwachstellen → Abklärungsbedarf aufgelistet und können strukturiert abgearbeitet werden.

Mehr dazu finden Sie unter Schwachstellen → Abklärungsbedarf.

Eine Abweichung stellt einen Unterschied zum gewünschten Target Score dar, der in einer Abweichungsanalyse oder einem Prüfergebnis erkannt wird. Generell handelt es sich dabei um Untererfüllungen, die dann als Risiken dargestellt oder zu solchen zusammengefasst werden und mit Maßnahmen behandelt und behoben werden können. Auch Übererfüllungen werden erkannt, diese können im Chancenmanagement nützlich sein.

Mehr zu Abweichungen finden Sie hier.

In einer Abweichungsanalyse wird mithilfe eines Assistenten ein Prüffragenkatalog aus einer Wissensdatenbank beantwortet, wodurch Abweichungen vom angestrebten Score erkannt werden. Sie kann als Interview durchgeführt oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Es ist auch möglich, im Rahmen eines Interviews neue Prüfobjekte zu erstellen.

Mehr zur Abweichungsanalyse finden Sie hier.

Eine Akte wird für eine oder mehrere eingegangene Meldungen im Fallmanagement erstellt und unterstützt das Support Team dabei, die gemeldeten Probleme zu lösen, Umstände zu klären und Vorfälle zu behandeln. Neben den dazugehörigen Meldungen können auch Überprüfungen, Risiken, Maßnahmen und Kontrollen mit der Akte verknüpft werden.

Mehr zu Akten finden Sie hier.

Eine Analysezeitraum dient dazu, verschiedene Elemente eines Managementsystems auswert- und vergleichbar zu machen. Anhand verschiedener KPIs am Dashboard können die Analysezeiträume einander gegenübergestellt und miteinander verglichen werden.

Analysezeiträume werden durch Experts im Managementsystem definiert und manuell oder in festgelegten Intervallen überführt. Jeder Analysezeitraum hat ein Start- und ein Enddatum, einen Target Score und es können die enthaltenen Organisationseinheiten festgelegt werden. Für die Maßnahmenverfolgung wird zusätzlich ein Redaktionsschluss festgelegt, damit Fortschrittsmeldungen zeitgerecht eingeholt werden können.

Mehr zu Analysezeiträumen finden Sie unter Administration → Managementsysteme.

Zur vereinfachten Planung von Auditprogrammen und Audits können Organisationseinheiten, die thematisch oder regional beieinander liegen und daher gemeinsam oft gemeinsam auditiert werden, in Clustern zusammengefasst werden.

Mehr zu Auditclustern finden Sie unter Auditmanagement → Auditcluster.

Begleiter unterstützen externe Lead-Auditoren in der Durchführung von Überprüfungen.

Bei Beobachtern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Das Betreuungsteam ist das Team, das im Fallmanagement für eingehende Meldungen zuständig ist.

Mehr zum Betreuungsteam finden Sie hier.

Co-Auditoren unterstützen interne Lead-Auditoren in der Durchführung von Überprüfungen.

Beim Compliance Manager handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

DSFA steht für Datenschutz-Folgenabschätzung. Für eine jede Verarbeitungstätigkeit (VT) muss, laut DSGVO, dokumentiert entschieden werden, ob eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen ist. Dies erfolgt im Zuge einer sogenannten DSFA-Erforderlichkeitsprüfung. Diese DSFA und DSFA-Erforderlichkeitsprüfung kann in HITGuard unter Datenschutz → DSFA durchgeführt werden.

In Maßnahmen kann festgehalten werden, anhand welchen Ereignisses die Notwendigkeit der Maßnahmenumsetzung erkannt wurde. Werden Maßnahmen aus einem Risiko oder aus einer Überprüfung heraus erstellt, ist dieses Feld mit dessen Bezeichnung vorbesetzt.

Bei Experten handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Externe im Kontext des Datenschutzes sind betriebsfremde juristische oder natürliche Personen, also Unternehmen oder Einzelpersonen, die personenbezogene Daten von Ihrem Unternehmen erhalten bzw. an Ihr Unternehmen übermitteln. Externe können unter Datenschutz > Externe erfasst werden.

Mehr zu Externen im Datenschutz hier.

Externe Auditoren sind Lead Auditoren, die nicht aus der Organisation kommen und daher auch keinen eigenen HITGuard Zugang haben. Sie sollten daher Audits immmer in Begleitung durchführen. Sie können unter Auditmanagement > Externe Auditoren erfasst und dann in Audits und Überprüfungen als Lead-Auditoren eingetragen werden.

In den Einstellungen des Auditmanagement kann das Erfassen von Feststellungsarten aktiviert werden. Dann stehen bei Beantwortungen in Überprüfungen folgende Zusätze zur Verfügung: Hauptabweichung, Nebenabweichung, Hinweis, Empfehlung, Vorbildliche Umsetzung. Diese können in KPIs und Berichten besonders hervorgehoben werden.

Eine Fortschrittsmeldung ist eine Meldung vom Verantwortlichen einer Maßnahme an den oder die Verantwortlichen eines Managementsystems, wie der aktuelle Status der Maßnahme ist. Fortschrittsmeldungen werden in der Regel angefordert, können aber unter Umständen auch proaktiv eingemeldet werden.

Mehr zu Fortschrittsmeldungen finden Sie hier.

Funktionen können im Auditmanagement dazu verwendet werden, mehr Information zu Überprüfungen darzustellen. So kann ein einzelner User beispielsweise durch die Brille eines Teamleiters oder eines Facility Managers befragt werden.

Mehr zu Funktionen finden Sie hier.

In HITGuard ist es möglich existierende Daten z.B. Risiken oder Organisationseinheiten aus anderen Quellen (z.B. SAP) zu importieren. Die ID macht es möglich, Datenstände über Applikationen hin konsistent zu halten. Wird ein Import durchgeführt und die ID des Importdatensatzes stimmt mit einer vorhandenen ID überein, dann wird nicht ein neuer Datensatz importiert, sondern der vorhandene Datensatz mit dem Importdatensatz aktualisiert.

Beispiel: Sie verwenden SAP um Organisationseinheiten zu verwalten und importieren diese monatlich nach HITGuard um alle Änderungen aus SAP in HITGuard mitzunehmen.

Mehr dazu finden Sie unter Administration → Datenimport.

Eine Informationserhebung ist eine Prüffrage in einer Wissensdatenbank, die keine Bewertung hat. Hier können Informationen erhoben werden, z.B. Mitarbeiterzahlen oder Vorgabedokumente.

Ist eine Überprüfung oder Schutzbedarfsanalyse in HITGuard vom Typ Interview, dann heißt das, dass diese Tätigkeit nicht vom Interviewpartner durchzuführen ist. Der Lead-Auditor und etwaige Co-Auditoren/Begleiter führen die Überprüfung gemeinsam mit dem Verantwortlichen und/oder Interviewpartner als Interview durch und füllen alle Formulare selbst aus.

Eine Kante ist eine Verbindungslinie zwischen zwei Entitäten in der Strukturanalyse. Sie zeigt, ob eine Abnhängigkeitsbeziehung besteht, in welche Richtung die Abhängigkeit läuft (Pfeilrichtung, wer hängt von wem ab) und mit welchem Prozentsatz bezüglich der Schutzziele die Abhängigkeit gewichtet ist.

Mehr zu Kanten und ihrer Verwendung finden Sie hier.

Kontrolldefinitionen sind die Grundlage von Kontrollen in HITGuard. Sie werden von Experten oder Professionals angelegt und mit Stammdaten, Umsetzern und Prüfern und einem Wiederholungsschema versehen.

Kontrollen sind die wiederkehrenden Aufgaben, die aufgrund von Kontrolldefinitionen ausgelöst werden.

Der Begriff KPI steht für Key-Performance-Indikator bzw. Leistungskennzahl und bezeichnet in der Betriebswirtschaftslehre Kennzahlen, anhand derer der Fortschritt oder der Erfüllungsgrad hinsichtlich wichtiger Zielsetzungen oder kritischer Erfolgsfaktoren innerhalb einer Organisation gemessen und/oder ermittelt werden kann. In HITGuard können KPIs auf Dashboards hinzugefügt werden und dienen dem Überblick und dem Reporting.

Mehr zu Dashboards finden Sie hier.

LDAP oder Lightweight Directory Access Protocol ist ein Netzwerkprotokollstandard, der in HITGuard zur Authentifizierung von Benutzern verwendet werden kann. Damit können sich Benutzer mit den Anmeldedaten aus Ihrem Authentication Provider anmelden.

Mehr Information darüber finden Sie unter Login Möglichkeiten und unter Globale Einstellungen.

Ein Managementsystem ist eine inhaltliche Bündelung von Elementen, also Maßnahmen und Fortschrittsmeldungen, Kontrollen, Feststellungen und Abweichungen, Audits und Überprüfungen etc.

Dabei werden die Elemente zu einem Team an verantwortlichen Experten und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. dem Information Security Management-Team oder dem Datenschutz-Team). Ebenso werden alle darin verwalteten Elemente im Sinne der Analysezeiträume historisiert und dadurch vergleichbar gemacht.

OrgEhs oder Organisationseinheiten bilden den Aufbau eines Unternehmens ab. Ein Unternehmen besteht dabei meist aus mehreren Organisationseinheiten, die sich an den einzelnen Verarbeitungsprozessen beteiligen, die wiederum in einer bis mehreren Organisationseinheiten stattfinden. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT-gestützt unter Verwendung von IT-Systemen. In HITGuard können die in den OrgEhs auftretenden Prozessschritte, die dabei verwendeten Daten und Ressourcen mit der Strukturanalyse abgebildet werden.

Bei Practitionern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie hier.

Bei Professionals handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie hier.

Prozessfragen sind Prüffragen in Wissensdatenbanken, die mit einem Reifegrad nach dem CMMI-Modell beantwortet werden (Reifegrad 0 bis Reifegrad 5).

Beim Prüfergebnis werden mithilfe eines Assistenten Fragenkataloge und deren Antworten in HITGuard eingepflegt, die nicht aus einer Wissensdatenbank stammen. Die Prüfobjekte und Prüffragen können nach einer Überprüfung vollständig beantwortet erfasst, in einem Interview gemeinsam bearbeitet, oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Beispielsweise können so die Inhalte eines externen Audits dokumentiert und in Auswertungen miteinbezogen werden.

Die Risikopolitik ist ein Konglomerat aus Parametern und Einstellungen für das Risikomanagement in HITGuard. Dazu gehören beispielsweise die Schutzziele, Schadensausmaße, Eintrittswahrscheinlichkeiten oder auch die Risikomatrix. Unter Risikomanagement → Risikopolitik können diese und mehr Faktoren für alle Managementsysteme konfiguriert werden, um den maximalen Nutzen aus den verschiedenen Analysen und Workflows im Risikomanagement ziehen zu können.

Mehr zur Risikopolitik finden Sie hier.

RPO oder Recovery Point Objective gibt an, wie viel Datenverlust in Kauf genommen werden kann. Dabei gibt die RPO den Zeitraum an, der zwischen zwei Datensicherungen liegen darf. Das heißt: Wie viele Daten/Transaktionen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen dürfen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden.

RTO oder Recovery Time Objective gibt an, wie lange ein Geschäftsprozess/System ausfallen darf. Dabei gibt die RTO die Zeit an, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur – Daten – Nacharbeitung von Daten – Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage, in Einzelfällen Wochen, betragen.

Der Sachbearbeiter ist jener Benutzer, dem vom Verantwortlichen die Bearbeitung einer Aufgabe in den verschiedenen Modulen HITGuards zugewiesen wird. Für viele Elemente, wie Risiken oder Verarbeitungstätigkeiten, werden sowohl Verantwortlicher wie auch Sachbearbeiter festgelegt, um Arbeit delegieren zu können.

Ist eine Überprüfung, Schutzbedarfsanalyse oder Verarbeitungstätigkeit in HITGuard vom Typ Self Assessment, dann heißt das, dass diese Tätigkeit z.B. vom Sachbearbeiter oder Interviewpartner durchzuführen ist. Der Verantwortliche kann dann vom Sachbearbeiter oder Interviewpartner eine Beantwortung der Tätigkeit anfordern. Der Sachbearbeiter oder Interviewpartner beantwortet diese und retourniert sie an den Verantwortlichen. Dieser kann die Beantwortung anschließend prüfen und akzeptieren oder eine neue Beantwortung anfordern.

In Wissensdatenbanken können Prüffragen als Strukturfragen hinterlegt werden. Ihre Antwort ist nicht Teil der Berechnung des Scores. Sie definieren lediglich, ob und welche Teilfragen dann beantwortet werden sollen.

Teams bestehen aus mindestens einem Mitglied und sind für die Umsetzung der Ihnen zugeteilten Aufgaben (Maßnahmen, Kontrollen, Audits, Business Impact Analysen, etc.) verantwortlich. Die Mitglieder eines Teams sind für die Bearbeitung der ihnen zugewiesenen Aufgaben verantwortlich und bekommen per E-Mail die Aufforderung diese Aufgaben umzusetzen.

Der Teamleiter hat nur die Aufgabe, einen Überblick über sein Team zu haben. Er kann sehen, welche Aufgaben seinem Team zugeteilt sind, ist aber nicht für die Umsetzung (außer er ist Mitglied) dieser Aufgaben verantwortlich. Er erhält deshalb auch keine E-Mails, die ihn auffordern eine Aufgabe umzusetzen. Er kann aber, falls nötig, die Aufgaben dennoch umsetzen. Teamleiter werden nur bei Überschreitung der Deadline z.B. von Kontrollen oder Fortschrittsmeldungen informiert.

Mehr zum Team finden Sie hier.

Technikfragen sind Prüffragen in Wissensdatenbanken, die mit Ja, Nein oder Teilweise beantwortet werden.

Jede Strukturfrage einer Wissensdatenbank kann Teilfragen haben. Im Gegensatz zur Strukturfrage fließen diese in die Berechnung des Scores ein. Es ist möglich, die Antworten abhängig von der Antwort auf die Strukturfrage zu definieren.

TOMs sind technische und organisatorische Maßnahmen oder Kontrollen, die für den Umgang mit personenbezogenen Daten verwendet werden.

Nach Art. 32 DSGVO sind Verantwortliche und der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Kriterien, die die TOM erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

Mehr zur Erstellung und Verwendung von TOMs in HITGuard finden Sie hier.

Es gibt in HITGuard drei Arten von Überprüfungen:

1. Abweichungsanalysen
2. Schutzbedarfsanalysen
3. Prüfergebnisse

Der Umsetzer wird bei Kontrolldefinitionen festgelegt. Es ist jener Benutzer, der die Kontrolle durchführt, nachdem sie auslöst, und sie dann zur Prüfung retourniert.

Mehr zu Kontrollen finden Sie hier.

Für die verschiedenen Elemente in HITGuard kann eine (oder mehrere) verantwortliche Person oder ein (oder mehrere) verantwortliches Team festgelegt werden. Bei Elementen der Stammdaten (z.B. Ressourcen oder Organisationseinheiten) ist der Verantwortliche rein informativ und aktuell nicht aktiv in Workflows involviert. Bei Elementen der verschiedenen Managementmodule ist der Verantwortliche auch in Workflows involviert. Beispielsweise implementiert er eine Maßnahme und meldet deren Fortschritt, überprüft Risiken und Verarbeitungstätigkeiten und sieht Überprüfungen unter Meine Aufgaben.

Die Rolle des Verantwortlichen für jedes Element ergibt sich aus dem Kontext bzw. kann auf der jeweiligen Seite in der Online Hilfe nachgeschlagen werden.

Ein Verarbeitungsregister in HITGuard ist die Sammlung aller Verarbeitungstätigkeiten des Managementsystems. Es kann in Gesellschafts- und Organisationsregister aufgeteilt werden.

VT ist die Abkürzung für Verarbeitungstätigkeit. Eine gesetzliche Definition des Begriffs findet sich in Art. 4 der DSGVO, dort wird der Begriff „Verarbeitung“ wie folgt definiert:

• jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. D.h. jeder Vorgang oder Prozess, der in irgendeiner Form personenbezogene Daten verarbeitet, egal ob sie nur gespeichert oder für Auswertungen verwendet werden, ist eine Verarbeitungstätigkeit.

Eine Wirksamkeitsprüfung dient dazu festzustellen, ob die Umsetzung einer Maßnahme kurz- oder auch langfristig den gewünschten Effekt erzielt hat. Dies wird in Form einer Folgemaßnahme oder einer Kontrolle überprüft, die sich mit dem neuen Ist-Zustand auseinandersetzt.

Eine Wissensdatenbank ist ein Katalog von Prüffragen, anhand dessen Compliance und Score festgestellt werden können. Wissensdatenbanken können von TogetherSecure als Abonnement bezogen oder direkt im Tool frei erstellt werden.

Mehr zu Wissensdatenbanken finden Sie unter Administration → Wissensdatenbanken.

Der zentrale Managementbeauftragte kann bei aktiviertem Auditmanagement Add-on unter Auditmanagement > Einstellungen eingetragen werden. Dieser User wird dann bei allen neuen Auditprogrammen als Ersteller vorbesetzt.