Im Zuge von Überprüfungen kann es Unklarheiten bei der Beantwortung von Prüffragen geben. Manchmal tauchen Rückfragen dazu auf, die nicht gleich beantwortet werden können. Diese Prüffragen und auch gesamte Prüfobjekte können mit „Abklärungsbedarf“ markiert werden. Sie sind dann in der Ansicht Risikomanagement → Schwachstellen → Abklärungsbedarf aufgelistet und können strukturiert abgearbeitet werden.

Mehr dazu finden Sie unter Schwachstellen → Abklärungsbedarf.

Eine Abweichung stellt einen Unterschied zum gewünschten Target Score dar, der in einer Abweichungsanalyse oder einem Prüfergebnis erkannt wird. Generell handelt es sich dabei um Untererfüllungen, die dann als Risiken dargestellt oder zu solchen zusammengefasst werden und mit Maßnahmen behandelt und behoben werden können. Auch Übererfüllungen werden erkannt, diese können im Chancenmanagement nützlich sein.

Mehr zu Abweichungen finden Sie hier.

In einer Abweichungsanalyse wird mithilfe eines Assistenten ein Prüffragenkatalog aus einer Wissensdatenbank beantwortet, wodurch Abweichungen vom angestrebten Score erkannt werden. Sie kann als Interview durchgeführt oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Es ist auch möglich, im Rahmen eines Interviews neue Prüfobjekte zu erstellen.

Mehr zur Abweichungsanalyse finden Sie hier.

Eine Akte wird für eine oder mehrere eingegangene Meldungen im Fallmanagement erstellt und unterstützt das Support Team dabei, die gemeldeten Probleme zu lösen, Umstände zu klären und Vorfälle zu behandeln. Neben den dazugehörigen Meldungen können auch Überprüfungen, Risiken, Maßnahmen und Kontrollen mit der Akte verknüpft werden.

Mehr zu Akten finden Sie hier.

Eine Analysezeitraum dient dazu, verschiedene Elemente eines Managementsystems auswert- und vergleichbar zu machen. Anhand verschiedener KPIs am Dashboard können die Analysezeiträume einander gegenübergestellt und miteinander verglichen werden.

Analysezeiträume werden durch Experts im Managementsystem definiert und manuell oder in festgelegten Intervallen überführt. Jeder Analysezeitraum hat ein Start- und ein Enddatum, einen Target Score und es können die enthaltenen Organisationseinheiten festgelegt werden. Für die Maßnahmenverfolgung wird zusätzlich ein Redaktionsschluss festgelegt, damit Fortschrittsmeldungen zeitgerecht eingeholt werden können.

Mehr zu Analysezeiträumen finden Sie unter Administration → Managementsysteme.

Ein Audit ist eine Ansammlung an Überprüfungen (Gesprächstermine) zu einem bestimmten Themenblock. Beispiel: die Befragung zum Arbeitsschutz mehrer Standorte in einem Land. Mehrere Audits können zu einem Auditprogramm zusammengefasst werden.

Zur vereinfachten Planung von Auditprogrammen und Audits können Organisationseinheiten, die thematisch oder regional beieinander liegen und daher gemeinsam oft gemeinsam auditiert werden, in Clustern zusammengefasst werden.

Mehr zu Auditclustern finden Sie unter Auditmanagement → Auditcluster.

Ein Auditprogramm ist eine Ansammlung an Audits zu einem bestimmten Themenblock. Beispiel: die Befragung zu Arbeitsschutz, Umweltschutz und Energiepolitik mehrerer Standorte in mehreren Ländern.

Begleiter unterstützen externe Lead-Auditoren in der Durchführung von Überprüfungen.

Bei Beobachtern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Das Betreuungsteam ist das Team, das im Fallmanagement für eingehende Meldungen zuständig ist.

Mehr zum Betreuungsteam finden Sie hier.

Die Betroffenenkategorien sind Kategorien der von der Datenverarbeitung betroffenen Personen. Sie werden in HITGuard erfasst und dann im Zuge von Verarbeitungstätigkeiten mit Datenkategorien verknüpft.

Mehr zu Betroffenenkategorien finden Sie hier.

Eine Chance kann eine Sammlung aus positiven Abweichungen sein, die ein konkretes Potenzial für die verknüpften Entitäten bilden. Chancen können unter Risikomanagement > Risiken & Chancen eingesehen und bearbeitet werden. Sie könnenn sich in verschiedenen Status befinden und werden mit Maßnahmen und Kontrollen behandelt. Eine Reihe an KPIs liefern weitere Auskunft über den Zustand der Chancen.

Co-Auditoren unterstützen interne Lead-Auditoren in der Durchführung von Überprüfungen.

Beim Compliance Manager handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Ein Dashboard in HITGuard ist eine konfigurierbare Seite mit einer oder mehreren Kennzahlen, die man für Auswertungen und Reporting verwenden kann.

Datenkategorien werden verwendet, um Daten für die Verwendung in HITGuard zu kategorisieren. Beispielsweise gibt es eine Datenkategorie Mitarbeiterdaten, die als Unterkategorie Kontaktdaten, Bankdaten oder Vertragsdaten des Mitarbeiters anführt. Zu den Datenkategorien kann in der Strukturanalyse eingesehen werden in welchen Applikationen, über welche Verarbeitungstätigkeiten und in welchen Fachbereichen sie verarbeitet werden.

Mehr zu Datenkategorien finden Sie hier.

Die Datenklassifikation gibt vor wie Daten, abhängig von ihrer Klassifizierung, zu handhaben sind. Dies richtet sich nach der Vertraulichkeit der Daten und dem damit einhergehenden erwünschtem Schutzniveau. Die Anzahl der Kategorien, der Name der Datenklasse sowie deren Beschreibung sind unter Risikomanagement > Risikopolitik frei definierbar.

DSFA steht für Datenschutz-Folgenabschätzung. Für eine jede Verarbeitungstätigkeit (VT) muss, laut DSGVO, dokumentiert entschieden werden, ob eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen ist. Dies erfolgt im Zuge einer sogenannten DSFA-Erforderlichkeitsprüfung. Diese DSFA und DSFA-Erforderlichkeitsprüfung kann in HITGuard unter Datenschutz → DSFA durchgeführt werden.

Die Eintrittswahrscheinlichkeit bezeichnet die geschätzte Wahrscheinlichkeit für das Eintreten eines bestimmten Ereignisses in einem bestimmten zukünftigen Zeitraum (z.B. ein Mal in 30 Jahren). Klassen an Eintrittswahrscheinlichkeiten können in der Risikopolitik definiert werden. Die Anzahl der Kategorien, der Name der Eintrittswahrscheinlichkeitsklassen sowie deren Beschreibung und hinterlegte Eintrittswahrscheinlichkeiten (in Häufigkeit je Zeitraum) ist dabei frei konfigurierbar.

Die Erforderlichkeitsprüfung ist der Schritt zur Erkenntnis, ob für die zugeordneten Verarbeitungstätigkeiten eine DSFA durchgeführt werden muss.

In Maßnahmen muss festgehalten werden, wann die Notwendigkeit der Umsetzung erkannt wurde. Dieses Feld ist daher ein Pflichtfeld.

In Maßnahmen kann festgehalten werden, anhand welchen Ereignisses die Notwendigkeit der Maßnahmenumsetzung erkannt wurde. Werden Maßnahmen aus einem Risiko oder aus einer Überprüfung heraus erstellt, ist dieses Feld mit dessen Bezeichnung vorbesetzt.

Bei Experten handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Externe im Kontext des Datenschutzes sind betriebsfremde juristische oder natürliche Personen, also Unternehmen oder Einzelpersonen, die personenbezogene Daten von Ihrem Unternehmen erhalten bzw. an Ihr Unternehmen übermitteln. Externe können unter Datenschutz > Externe erfasst werden.

Mehr zu Externen im Datenschutz hier.

Externe Auditoren sind Lead Auditoren, die nicht aus der Organisation kommen und daher auch keinen eigenen HITGuard Zugang haben. Sie sollten daher Audits immmer in Begleitung durchführen. Sie können unter Auditmanagement > Externe Auditoren erfasst und dann in Audits und Überprüfungen als Lead-Auditoren eingetragen werden. Externe Auditoren können Personen oder Unternehmen sein.

In den Einstellungen des Auditmanagement kann das Erfassen von Feststellungsarten aktiviert werden. Dann stehen bei Beantwortungen in Überprüfungen folgende Zusätze zur Verfügung: Hauptabweichung, Nebenabweichung, Hinweis, Empfehlung, Vorbildliche Umsetzung. Diese können in KPIs und Berichten besonders hervorgehoben werden.

Eine Fortschrittsmeldung ist eine Meldung vom Verantwortlichen einer Maßnahme an den oder die Verantwortlichen eines Managementsystems, wie der aktuelle Status der Maßnahme ist. Fortschrittsmeldungen werden in der Regel angefordert, können aber unter Umständen auch proaktiv eingemeldet werden.

Mehr zu Fortschrittsmeldungen finden Sie hier.

Funktionen können im Auditmanagement dazu verwendet werden, mehr Information zu Überprüfungen darzustellen. So kann ein einzelner User beispielsweise durch die Brille eines Teamleiters oder eines Facility Managers befragt werden.

Mehr zu Funktionen finden Sie hier.

In HITGuard ist es möglich existierende Daten z.B. Risiken oder Organisationseinheiten aus anderen Quellen (z.B. SAP) zu importieren. Die ID macht es möglich, Datenstände über Applikationen hin konsistent zu halten. Wird ein Import durchgeführt und die ID des Importdatensatzes stimmt mit einer vorhandenen ID überein, dann wird nicht ein neuer Datensatz importiert, sondern der vorhandene Datensatz mit dem Importdatensatz aktualisiert.

Beispiel: Sie verwenden SAP um Organisationseinheiten zu verwalten und importieren diese monatlich nach HITGuard um alle Änderungen aus SAP in HITGuard mitzunehmen.

Mehr dazu finden Sie unter Administration → Datenimport.

Eine Informationserhebung ist eine Prüffrage in einer Wissensdatenbank, die keine Bewertung hat. Hier können Informationen erhoben werden, z.B. Mitarbeiterzahlen oder Vorgabedokumente.

Ist eine Überprüfung oder Schutzbedarfsanalyse in HITGuard vom Typ Interview, dann heißt das, dass diese Tätigkeit nicht vom Interviewpartner durchzuführen ist. Der Lead-Auditor und etwaige Co-Auditoren/Begleiter führen die Überprüfung gemeinsam mit dem Verantwortlichen und/oder Interviewpartner als Interview durch und füllen alle Formulare selbst aus.

Eine Kante ist eine Verbindungslinie zwischen zwei Entitäten in der Strukturanalyse. Sie zeigt, ob eine Abnhängigkeitsbeziehung besteht, in welche Richtung die Abhängigkeit läuft (Pfeilrichtung, wer hängt von wem ab) und mit welchem Prozentsatz bezüglich der Schutzziele die Abhängigkeit gewichtet ist.

Mehr zu Kanten und ihrer Verwendung finden Sie hier.

Kontrolldefinitionen sind die Grundlage von Kontrollen in HITGuard. Sie werden von Experten oder Professionals angelegt und mit Stammdaten, Umsetzern und Prüfern und einem Wiederholungsschema versehen.

Kontrollen sind die wiederkehrenden Aufgaben, die aufgrund von Kontrolldefinitionen ausgelöst werden.

Der Begriff KPI steht für Key-Performance-Indikator bzw. Leistungskennzahl und bezeichnet in der Betriebswirtschaftslehre Kennzahlen, anhand derer der Fortschritt oder der Erfüllungsgrad hinsichtlich wichtiger Zielsetzungen oder kritischer Erfolgsfaktoren innerhalb einer Organisation gemessen und/oder ermittelt werden kann. In HITGuard können KPIs auf Dashboards hinzugefügt werden und dienen dem Überblick und dem Reporting.

Mehr zu Dashboards finden Sie hier.

LDAP oder Lightweight Directory Access Protocol ist ein Netzwerkprotokollstandard, der in HITGuard zur Authentifizierung von Benutzern verwendet werden kann. Damit können sich Benutzer mit den Anmeldedaten aus Ihrem Authentication Provider anmelden.

Mehr Information darüber finden Sie unter Login Möglichkeiten und unter Globale Einstellungen.

Der Lead-Auditor ist der federführende Auditor bei den dazugehörigen Überprüfungen. Er oder sie leitet die Interviews mit den Interviewpartnern und wird dabei von Co-Auditoren oder Begleitern unterstützt.

Ist das Auditmanagement für ein Managementsystem aktiviert, kann man uner Administration > Organisationseinheiten den Lokalen Managementbeauftragten konfigurieren. Der LMB ist der Auditkoordinator und Ansprechpartner, der für jede OrgEh vom Typ Gesellschaft festgelegt werden sollte.

Ein Managementsystem ist eine inhaltliche Bündelung von Elementen, also Maßnahmen und Fortschrittsmeldungen, Kontrollen, Feststellungen und Abweichungen, Audits und Überprüfungen etc.

Dabei werden die Elemente zu einem Team an verantwortlichen Experten und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. dem Information Security Management-Team oder dem Datenschutz-Team). Ebenso werden alle darin verwalteten Elemente im Sinne der Analysezeiträume historisiert und dadurch vergleichbar gemacht.

Eine Maßnahme ist eine einmalige Aufgabe in HITGuard, die einem Verantwortlichen zur Umsetzung zugeteilt wird. Der Fortschritt kann regelmäßig erhoben werden, um die Umsetzung nachverfolgen zu können. Maßnahmen helfen beispielsweise dabei, in ihrem Managementsystem Risiken zu reduzieren und entdeckte Schwachstellen zu korrigieren.

In HITGuard können Hinweisgeber Vorfälle melden oder Mitarbeiter und andere Stakeholder Fragen stellen. Dafür gibt es ein eigenes Portal, das aktiviert werden kann, um Meldungen abzugeben. Diese werden an die Mitarbeiter des Managementsystems gesendet, damit diese sie beantworten und bearbeiten können. Meldungen können je nach Einstellung offen oder anonym sein.

Norm-Mappings sind Referenzen auf Kapitel von Standards und Normen, die beispielsweise Maßnahmen, Kontrolldefinitionen, Prüfobjekte oder auch Dokumente mit diesen in Beziehung setzen. Es gibt in HITGuard auch Mappings zwischen einzelnen Standards und Normen, um diese gegeneinander auswerten zu können.

OrgEhs oder Organisationseinheiten bilden den Aufbau eines Unternehmens ab. Ein Unternehmen besteht dabei meist aus mehreren Organisationseinheiten, die sich an den einzelnen Verarbeitungsprozessen beteiligen, die wiederum in einer bis mehreren Organisationseinheiten stattfinden. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT-gestützt unter Verwendung von IT-Systemen. In HITGuard können die in den OrgEhs auftretenden Prozessschritte, die dabei verwendeten Daten und Ressourcen mit der Strukturanalyse abgebildet werden.

Die Parteilichkeit zeigt, ob es sich bei einem Audit um ein internes oder ein externes Audit handelt.

Bei Practitionern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie hier.

Bei Professionals handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie hier.

Ein Prozess ist eine Reihe von verbundenen Aktivitäten, die Inputs in Outputs umwandeln. Ein Prozess kann gekapselt und Teil eines anderen Prozesses sein und/oder andere Prozesse enthalten bzw. diese anstoßen. Prozesse gehen oft über Abteilungs- und Betriebsgrenzen hinweg und gehören zur Ablauforganisation eines Betriebs.

Prozessfragen sind Prüffragen in Wissensdatenbanken, die mit einem Reifegrad nach dem CMMI-Modell beantwortet werden (Reifegrad 0 bis Reifegrad 5).

Der Prüfer ist in HITGuard der Benutzer, der die Durchführung einer Kontrolle überprüft.

Mehr zu Kontrollen finden Sie hier.

Beim Prüfergebnis werden mithilfe eines Assistenten Fragenkataloge und deren Antworten in HITGuard eingepflegt, die nicht aus einer Wissensdatenbank stammen. Die Prüfobjekte und Prüffragen können nach einer Überprüfung vollständig beantwortet erfasst, in einem Interview gemeinsam bearbeitet, oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Beispielsweise können so die Inhalte eines externen Audits dokumentiert und in Auswertungen miteinbezogen werden.

Prüfobjekte sind Ansammlungen von Prüffragen, die entweder frei erstellt werden können (Prüfergebnis) oder von Themen aus Wissensdatenbanken kommen (Abweichungsanalyse). Prüfobjekte werden bewertet, indem Prüffragen beantwortet und diese Antworten zu einem Durchschnittswert zusammengerecht werden. Durch Neubewertungen entsteht eine Historie des Prüfobjekts, in der man die Entwicklung des Prüfobjekts nachverfolgen kann.

Das ist jenes Datum bei dem alle Fortschrittsmeldungen zu den Maßnahmen eines Analysezeitraums abgeschlossen sein sollten. Fortschrittsmeldungen können über Maßnahmen > Fortschrittsmeldungen auch jederzeit manuell angefordert werden. Dieses Datum muss vor oder am Datum des Analysezeitraumende liegen.

Ressourcen sind Systeme, Personen, Gebäude oder andere Entitäten, die für die Durchführung von Prozessen oder für die Funktionalität einer Organisationseinheit benötigt werden. HITGuard bietet über die Strukturanalyse die Möglichkeit Ressourcenstrukturen aufzubauen und dessen Auswirkungen und Abhängigkeiten auf andere Systeme grafisch darzustellen.

Bei der Datenimport/-export Schnittstelle von HITGuard handelt es sich um eine REST Schnittstelle, die sich an die OpenAPI 3.0 Spezifikation hält. Es handelt sich dabei also um eine Schnittstelle, die von Applikationen angesprochen werden kann. Mit dieser Schnittstelle können Sie diverse Systeme mit HITGuard interagieren lassen.

Mehr zur REST API finden Sie hier.

Es gibt beim Generieren von Berichten auch die Option, die Berichte mit Revisionsinformationen zu generieren und zu archivieren. Dadurch kann der Bericht jederzeit von Experten unter Administration > Berichtsarchiv eingesehen, neu generiert sowie erneut heruntergeladen werden. Erstellt man den Bericht mit Revisionsinformation, so kann man den Titel für das Deckblatt des Berichts editieren und weitere Informationen festhalten. Dazu gehören Datenklassifikation, Copyright, Revisionsnummer, Revisionsdatum und diverse Namen und Daten.

Ein Risiko kann eine Sammlung aus negativen Abweichungen sein, die eine konkrete Gefahr für die verknüpften Entitäten bilden. Risiken können unter Risikomanagement > Risiken & Chancen eingesehen und bearbeitet werden. Sie könnenn sich in verschiedenen Status befinden und werden mit Maßnahmen und Kontrollen behandelt. Eine Reihe an KPIs liefern weitere Auskunft über den Zustand der Risiken.

Die Risikokennzahl sagt aus, wie schwerwiegend ein Risiko oder wie gut eine Chance ist. Sie wird kalkuliert, indem der Faktor der Eintrittswahrscheinlichkeit und der Faktor des Schadensausmaßes/Nutzens multipliziert werden. Anhand der Risikokennzahl wird das Risiko bzw. wird die Chance in der Risikomatrix platziert und eingefärbt.

Die Risikomatrix ergibt sich für jede Schutzbedarfsklasse aus der Kombination von Schadensausmaß oder Nutzen (vertikal) und Eintrittswahrscheinlichkeit (horizontal). Hierzu werden die jeweiligen Risikofaktoren multipliziert um die Risikokennzahl oder Chancenkennzahl zu erhalten. Je größer die Risikokennzahl oder Chancenkennzahl (also je weiter weg von Null) desto kritischer ist ein Risiko und umso dringender muss es behandelt werden um schwerwiegende Folgen zu verhindern, bzw desto größer ist eine Chance und umso eher sollte sie ausgenutzt werden um daraus zu gewinnen.

Die Risikopolitik ist ein Konglomerat aus Parametern und Einstellungen für das Risikomanagement in HITGuard. Dazu gehören beispielsweise die Schutzziele, Schadensausmaße, Eintrittswahrscheinlichkeiten oder auch die Risikomatrix. Unter Risikomanagement → Risikopolitik können diese und mehr Faktoren für alle Managementsysteme konfiguriert werden, um den maximalen Nutzen aus den verschiedenen Analysen und Workflows im Risikomanagement ziehen zu können.

Mehr zur Risikopolitik finden Sie hier.

RPO oder Recovery Point Objective gibt an, wie viel Datenverlust in Kauf genommen werden kann. Dabei gibt die RPO den Zeitraum an, der zwischen zwei Datensicherungen liegen darf. Das heißt: Wie viele Daten/Transaktionen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen dürfen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden.

RTO oder Recovery Time Objective gibt an, wie lange ein Geschäftsprozess/System ausfallen darf. Dabei gibt die RTO die Zeit an, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur – Daten – Nacharbeitung von Daten – Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage, in Einzelfällen Wochen, betragen.

Der Sachbearbeiter ist jener Benutzer, dem vom Verantwortlichen die Bearbeitung einer Aufgabe in den verschiedenen Modulen HITGuards zugewiesen wird. Für viele Elemente, wie Risiken oder Verarbeitungstätigkeiten, werden sowohl Verantwortlicher wie auch Sachbearbeiter festgelegt, um Arbeit delegieren zu können.

Ist eine Überprüfung, Schutzbedarfsanalyse oder Verarbeitungstätigkeit in HITGuard vom Typ Self Assessment, dann heißt das, dass diese Tätigkeit z.B. vom Sachbearbeiter oder Interviewpartner durchzuführen ist. Der Verantwortliche kann dann vom Sachbearbeiter oder Interviewpartner eine Beantwortung der Tätigkeit anfordern. Der Sachbearbeiter oder Interviewpartner beantwortet diese und retourniert sie an den Verantwortlichen. Dieser kann die Beantwortung anschließend prüfen und akzeptieren oder eine neue Beantwortung anfordern.

In Wissensdatenbanken können Prüffragen als Strukturfragen hinterlegt werden. Ihre Antwort ist nicht Teil der Berechnung des Scores. Sie definieren lediglich, ob und welche Teilfragen dann beantwortet werden sollen.

Teams bestehen aus mindestens einem Mitglied und sind für die Umsetzung der Ihnen zugeteilten Aufgaben (Maßnahmen, Kontrollen, Audits, Business Impact Analysen, etc.) verantwortlich. Die Mitglieder eines Teams sind für die Bearbeitung der ihnen zugewiesenen Aufgaben verantwortlich und bekommen per E-Mail die Aufforderung diese Aufgaben umzusetzen.

Der Teamleiter hat nur die Aufgabe, einen Überblick über sein Team zu haben. Er kann sehen, welche Aufgaben seinem Team zugeteilt sind, ist aber nicht für die Umsetzung (außer er ist Mitglied) dieser Aufgaben verantwortlich. Er erhält deshalb auch keine E-Mails, die ihn auffordern eine Aufgabe umzusetzen. Er kann aber, falls nötig, die Aufgaben dennoch umsetzen. Teamleiter werden nur bei Überschreitung der Deadline z.B. von Kontrollen oder Fortschrittsmeldungen informiert.

Mehr zum Team finden Sie hier.

Technikfragen sind Prüffragen in Wissensdatenbanken, die mit Ja, Nein oder Teilweise beantwortet werden.

Jede Strukturfrage einer Wissensdatenbank kann Teilfragen haben. Im Gegensatz zur Strukturfrage fließen diese in die Berechnung des Scores ein. Es ist möglich, die Antworten abhängig von der Antwort auf die Strukturfrage zu definieren.

TOMs sind technische und organisatorische Maßnahmen oder Kontrollen, die für den Umgang mit personenbezogenen Daten verwendet werden.

Nach Art. 32 DSGVO sind Verantwortliche und der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Kriterien, die die TOM erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

Mehr zur Erstellung und Verwendung von TOMs in HITGuard finden Sie hier.

Es gibt in HITGuard drei Arten von Überprüfungen:

1. Abweichungsanalysen
2. Schutzbedarfsanalysen
3. Prüfergebnisse

Der Umsetzer wird bei Kontrolldefinitionen festgelegt. Es ist jener Benutzer, der die Kontrolle durchführt, nachdem sie auslöst, und sie dann zur Prüfung retourniert.

Mehr zu Kontrollen finden Sie hier.

Für die verschiedenen Elemente in HITGuard kann eine (oder mehrere) verantwortliche Person oder ein (oder mehrere) verantwortliches Team festgelegt werden. Bei Elementen der Stammdaten (z.B. Ressourcen oder Organisationseinheiten) ist der Verantwortliche rein informativ und aktuell nicht aktiv in Workflows involviert. Bei Elementen der verschiedenen Managementmodule ist der Verantwortliche auch in Workflows involviert. Beispielsweise implementiert er eine Maßnahme und meldet deren Fortschritt, überprüft Risiken und Verarbeitungstätigkeiten und sieht Überprüfungen unter Meine Aufgaben.

Die Rolle des Verantwortlichen für jedes Element ergibt sich aus dem Kontext bzw. kann auf der jeweiligen Seite in der Online Hilfe nachgeschlagen werden.

Ein Verarbeitungsregister in HITGuard ist die Sammlung aller Verarbeitungstätigkeiten des Managementsystems. Es kann in Gesellschafts- und Organisationsregister aufgeteilt werden.

VT ist die Abkürzung für Verarbeitungstätigkeit. Eine gesetzliche Definition des Begriffs findet sich in Art. 4 der DSGVO, dort wird der Begriff „Verarbeitung“ wie folgt definiert:

• jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. D.h. jeder Vorgang oder Prozess, der in irgendeiner Form personenbezogene Daten verarbeitet, egal ob sie nur gespeichert oder für Auswertungen verwendet werden, ist eine Verarbeitungstätigkeit.

Eine Wirksamkeitsprüfung dient dazu festzustellen, ob die Umsetzung einer Maßnahme kurz- oder auch langfristig den gewünschten Effekt erzielt hat. Dies wird in Form einer Folgemaßnahme oder einer Kontrolle überprüft, die sich mit dem neuen Ist-Zustand auseinandersetzt.

Eine Wissensdatenbank ist ein Katalog von Prüffragen, anhand dessen Compliance und Score festgestellt werden können. Wissensdatenbanken können von TogetherSecure als Abonnement bezogen oder direkt im Tool frei erstellt werden.

Mehr zu Wissensdatenbanken finden Sie unter Administration → Wissensdatenbanken.

Workflowpläne sind dazu da, die einmalige oder wiederkehrende Ausführung von Workflows automatisiert anzustoßen. Dabei geht es um die Neubewertung von bereits dokumentierten Ergebnissen von Schutzbedarfsanalysen, Abweichungsanalysen und Prüfergebnissen.

Der zentrale Managementbeauftragte kann bei aktiviertem Auditmanagement Add-on unter Auditmanagement > Einstellungen eingetragen werden. Dieser User wird dann bei allen neuen Auditprogrammen als Ersteller vorbesetzt.