HITGuard Release April 2021

Bisher war es möglich am Dashboard auszuwerten, wie gut die Erfüllung bestimmter Normen/Standards durch die bereits absolvierten Überprüfungen gegeben ist. Diese Information wird nun um die Aussage erweitert, einer wie umfangreichen Betrachtung von Prüffragen zum jeweiligen Thema man sich bisher unterzogen hat (=Fragen Deckung).

Die Fragen Deckung wird mit zwei Kennzahlen verdeutlicht:

• Fragen Deckung Total: Es wird die Anzahl der beantworteten Prüffragen je Kapitel des Standards/der Norm angezeigt.

Man kann dadurch erkennen, ob man sich in bestimmten Themenbereichen mehr oder weniger viele Prüffragen gestellt hat, als in anderen Themenbereichen. Das hilft dabei den Fokus für kommende Überprüfungen setzen zu können.

• Fragen Deckung Prozentuell: % der beantworteten vs. möglichen stellbaren Prüffragen bei Auswahl der Quelle (=Wissensdatenbank) gegen welche die Erfüllung gemessen werden soll

Man kann durch diese Kennzahl Informationen darüber gewinnen, ob man sich zu einer bestimmten Wissensdatenbank mit allen dort zu einem Kapitel eines Standards/einer Norm vorhandenen Prüffragen bereits auseinandergesetzt hat.

Die getroffene Auswahl (Standard/Norm bzw. Wissensdatenbank) wird je Managementsystem gespeichert. Wird das Dashboard später erneut aufgerufen, werden die Daten entsprechend der gespeicherten Auswahl automatisch geladen.

Überprüfungen können nun auch abgeschlossen werden, wenn nicht alle Fragen beantwortet wurden und das unabhängig davon, ob die Überprüfung zu einer Abweichungsanalyse nach einer Wissensdatenbank oder zu einer Erfassung von Prüfergebnissen erstellt wurde.

Alle Berichte können nun wahlweise im PDF- oder Word-Format generiert werden.

Der Bericht für die Schutzbedarfsanalyse kann nun über Berichtsoptionen situativ passend konfiguriert werden. Zum einen gibt es die Möglichkeit Zusammenfassungen zu mehreren Schutzbedarfsanalysen einzubinden oder weg zu lassen und es können nun die Interviewdetailergebnisse ebenfalls gezielt angedruckt bzw. nicht angedruckt werden.

Wie man in der Abbildung erkennen kann, gibt es eine neue weitere Option „Anhang mit Erklärungen andrucken“. Diese Option wird auch bei einer Vielzahl weiterer Berichte angeboten. Damit kann gesteuert werden, ob Erläuterungen - zu für den Berichtsempfänger eventuell erklärungsbedürftigen Elementen - im Anhang beigelegt werden sollen. Z.B. sind dies Erklärungen zu den Bedeutungen von Reifegraden oder Technikfragen.

Generell wurden die Default-Einstellungen für Berichtsoptionen angepasst. Das Andrucken von Schutzzielen in Berichten erwies sich bei vielen unserer Kunden als weniger wünschenswert und wird daher nicht mehr standardmäßig vorausgewählt. Auch die Beschreibungstexte zu den Prüffragen werden aus Performance-Gründen standardmäßig nicht mehr ausgewählt.

Die beiden neuen Berichte unter Risikomanagement > Berichte > Strukturanalyse sollen dazu dienen, die aus den Schutzbedarfsanalysen gewonnen Anforderungen hinsichtlich RTO (Recovery Time Objective, max. vertretbare Wiederanlaufzeit) und RPO (Recovery Point Objective, max. vertretbare Datenverlust) an einzelne Applikationen / IT-Services den tatsächlichen Gegebenheiten bzgl. Wiederanlauf und Datensicherung gegenüberzustellen. So kann erkannt werden, ob Handlungsbedarf z.B. bei Backup-Intervallen besteht.

RTO Erfüllung

Dieser Bericht stellt wahlweise für eine ausgewählte Ressource oder die gesamte Struktur dar, ob die aus den diversen Schutzbedarfsanalysen abgeleiteten Anforderungen an die Ressourcen hinsichtlich der maximal vertretbaren Wiederanlaufzeit jeweils erfüllt werden können oder nicht.

RPO Erfüllung

Dieser Bericht stellt wahlweise für eine ausgewählte Ressource oder die gesamte Struktur dar, ob die aus den diversen Schutzbedarfsanalysen abgeleiteten Anforderungen an die Ressourcen hinsichtlich des maximal vertretbaren Datenverlusts jeweils erfüllt werden können oder nicht.

Audits (Risikomanagement > Auditverwaltung > Audits) können nun mit einer wählbaren Farbe belegt werden.

Damit ist es möglich im Kalender des Auditprogramms (Risikomanagement > Auditverwaltung > Auditprogramme) unterschiedliche Audits auf einen Blick voneinander zu unterscheiden.

Unter Datenschutz > Berichte > TOMs finden sich nun die Berichte zu den technischen und organisatorischen Maßnahmen und Kontrollen, die in Ihrem Datenschutzmanagementsystem erfasst sind.

Standardmäßig werden die allgemeinen TOMs im Report angezeigt. Wenn die Berichtsoption "spezifische TOMs andrucken" aktiviert ist und ein VT-Verantwortlicher, ein Gesellschaftsregister oder ein Organisationsregister ausgewählt wurde, werden zusätzlich die spezifischen TOMs für den VT-Verantwortlichen angedruckt. Die Auswahl kann auf VT-Verantwortliche und auf Gesellschafts- bzw. Organisationsregister eingeschränkt werden bzw. ist eine Kombination aus VT-Verantwortlichen und Gesellschafts- bzw. Organisationsregistern ebenfalls zulässig. Die spezifischen TOMs werden immer für die zuletzt abgeschlossene Version einer Verarbeitungstätigkeit geladen. Nicht abgeschlossene Verarbeitungstätigkeiten werden für diesen Bericht nicht berücksichtigt.

Für die Verarbeitungstätigkeiten gibt es eine Menge an unterschiedlichen Berichten. Bisher fehlte aber im Bericht die detaillierte Information zur Verarbeitungstätigkeit hinsichtlich der Durchführung einer Datenschutz-Folgeabschätzung (DSFA) bzw. dem Ergebnis aus der Erforderlichkeitsprüfung zur DSFA. Dies wurde nun wie folgt ergänzt:

In den globalen Einstellungen kann nun gesteuert werden, ob bei der Anlage einer Gefährdungslage in der Applikation diese standardmäßig als „privat“ gekennzeichnet werden soll oder nicht. So kann das Standardverhalten die Kultur des Unternehmens hinsichtlich Transparenzanforderungen besser unterstützen.

Je Managementsystem kann für dieses nun eine Auswahl an Standards/Normen festgelegt werden, die dort für Überprüfungen, Auswertungen etc. genutzt werden können.

Wenn ein Managementsystem neu angelegt wird bzw. ein Analysezeitraum erstmals angelegt wird, dann werden nun standardmäßig alle Organisationseinheiten für das Managementsystem aktiviert. Es müssen nun jene Organisationseinheiten abgewählt werden, die im Managementsystem keine Verwendung finden.

Wird eine neue Organisationseinheit in der Administration neu hinzugefügt, egal ob manuell oder per Import, dann wird sie zu aktuellen Analyse-Zeiträumen in Managementsystemen automatisch hinzufügt, wenn die neue Organisationseinheit unter eine übergeordnete Organisationseinheit gehört, die im Managementsystem bzw. Analysezeitraum ebenfalls aktiviert ist. Wenn die Organisationseinheit keine übergeordnete Organisationseinheit hat, dann wird sie den aktuellen Analyse-Zeiträumen nicht automatisch zugewiesen. Dies soll verhindern, dass bei umfangreichen Imports jedes Managementsystem ggf. ungewollt eine Vielzahl an neuen Organisationseinheiten in Zuordnungs- und Auswahlmöglichkeiten aufscheint.

Die Verwaltung der Löschfristen zu den Datenkategorien findet sich unter Administration > Datenkategorien | Löschfristen:

Die hier erfassten können den Datenkategorien zugeordnet werden.

Einer Datenkategorie kann eine Löschfrist zugeordnet werden, muss aber nicht. Wurde eine Löschfrist hinterlegt, wird sie bei der Erstellung einer Verarbeitungstätigkeit für die jeweilige Datenkategorie vorgeschlagen. Der Vorschlagswert kann im Anschluss noch geändert werden. Bestehende Verarbeitungstätigkeiten werden nicht verändert, wenn die Löschfrist zu einer Datenkategorie nachträglich gesetzt bzw. geändert wird.

Die Lizenzierung in HITGuard wird nun transparent unter dem Menüpunkt Administration > Lizenzierung dargestellt. Sie benötigen daher, für das Aktivieren neuer Lizenzen zukünftig nicht mehr unsere unmittelbare Unterstützung in der Software. Stattdessen erhalten Sie von uns die einzuspielenden Lizenzdateien und können die Lizenzen somit verlängern bzw. die neu freigeschaltete Lizenz an Kollegen vergeben.

Unter Administration > Managementsysteme bzw. unter Administration > Benutzerrollen ist für Sie nun auch auf einen Blick ersichtlich in welchen Bereichen Sie über- bzw. unterlizenziert sind:

Bei allen Elementen der Wissensdatenbank (Thema, Frage, Bedrohung, Kontrolle, Maßnahme) wurden die Beschreibungstextfelder durch einen HTML-Editor ersetzt. Nun ist es möglich die Elemente mit diversen Formatierungen und sogar Bildern zu versehen. Damit lässt sich die Anzeige der Elemente in den Assistenten der Überprüfung bzw. in Maßnahmen, Kontrollen, den entsprechenden Berichten etc. beeinflussen.

Das neue Feld „Hinweis für Prüfer“ ist eine Erweiterung zur Prüffrage. Dort können Hinweistexte (z.B. für zu ziehende Stichproben) oder Links auf zu prüfende Dokumente oder ähnliches erfasst werden.

Dieses Feld wird in der Überprüfung angezeigt, aber nur wenn die Überprüfung nicht im Kontext "Meine Aufgaben" geöffnet wird. D.h. nur wenn die Überprüfung aus der Auditverwaltung zum Audit heraus, oder aus Risikomanagement Schwachstellen heraus geöffnet wird können die Auditoren die Hinweise sehen. Der Hinweis des Prüfers wird in den Berichten nicht angedruckt.

Die Eingabemöglichkeit „Notizen des Autors“ kann genutzt werden, damit der Autor der Prüffrage sich Notizen zur Überarbeitung der Prüffrage oder Links auf Quellen oder andere Materialien hinterlegen kann. Diese Information wird in keiner Überprüfung bzw. Auswertung sichtbar und ist rein für redaktionelle Zwecke gedacht.