HITGuard Release August 2024

Das Risikomanagement haben wir mit dieser Release um das Management von Chancen, das ESG Management, die Verwaltung von Bedrohungen und eigene Einstellungen erweitert. Details dazu finden Sie in den nachfolgenden Kapiteln.

Da das Chancenmanagement immer mehr an Bedeutung gewinnt, haben wir HITGuard so erweitert, dass neben Risiken auch identifizierte Chancen separat dargestellt und damit deutlich einfacher verwaltet und behandelt werden können.

Risiken und Chancen sind in den Übersichten mit je eigenen Icons und Badges gekennzeichnet.

Die folgenden Menüpunkte wurden umbenannt:

• zuvor: Risikobewertung → jetzt: Risiken & Chancen
• zuvor: Risikobehandlung → jetzt: Behandlung R&C

Auch unter Meine Aufgaben sowie auf den entsprechenden Berichtseiten wurden die Bezeichnungen um die Chance erweitert.

Als ersten Schritt können zusätzlich zu den Schadensausmaßen für Risiken in der Risikopolitik nun auch Nutzen für Chancen und die dazugehörigen Kriterien definiert werden.

Auch die Risikomatrix, sowohl in der Risikopolitik wie auch in den diverse Abbildungen (Kennzahl am Dashboard und Grafiken in Berichten), wird um diese neuen Klassen erweitert und zeigt das gesamte Spektrum vom größten Schadensausmaß bis zum größten Nutzen. Wie gewohnt sind die Farben der Matrix auch hier frei konfigurierbar.

Beim Einmelden, Erstbewerten und Überprüfen/Neubewerten von Risiken kann statt dem Schadensausmaß ein Nutzen ausgewählt werden und das Risiko damit in eine Chance umgewandelt werden. Die Schadensausmaße und Nutzen sind farblich hinterlegt, um die Bewertung einfacher zu gestalten.

Zusätzlich wurde die Behandlungsstrategie in die allgemeine Strategie umgewandelt und enthält neben Strategien für die Behandlung von Risiken auch jene zum Ausnutzen von Chancen.

Die Entwicklung des Risikos bzw. der chance reflektiert ebenfalls die erweiterten Möglichkeiten, wodurch etwas, das heute ein Risiko darstellt, in Zukunft in eine Chance für das Unternehmen umgewandelt werden und als solche ausgenutzt werden kann.

Im Menüpunkt Behandlung R&C wurden ebenfalls die Chancen integriert, sodass auch deren Behandlung entsprechend ausgewertet werden kann. Auch hier unterstützen farbige Badges bei der Unterscheidung zwischen Risiken und Chancen.

Der Allgemeine Risikobericht und der Brutto-Netto-Risikobericht können nun auch chancen sowie deren Entwicklung abbilden. Zusätzlich erlaubt die Risikomatrix am Dashboard die Abbildung von Chancen gemeinsam mit Risiken, sodass die Potenziale von Gefahren und Verbesserungen gemeinsam betrachtet werden können.

HITGuard bietet ab diesem Release die Möglichkeit, die Doppelte Wesentlichkeitsanalyse für diverse Handlungsfelder aus den Bereichen Environmental - Social - Governance (ESG) durchzuführen. Dafür gibt es neue Einstellungen, neue Menüpunkte und eine neue Kennzahl.

Um das ESG Management nutzen zu können muss nach der Beschaffung der Lizenz die neue Rolle an die gewünschten Experten, Professionals und Beobachter vergeben werden. Dies können Experten und Administratoren auf der Seite Administration > Benutzerrollen tun.

Dann wird das ESG in den neuen Einstellungen des Risikomanagements aktiviert (zu finden unter Risikomanagement > Einstellungen), wodurch den Usern die neuen Menüpunkte zur Verfügung stehen.

Mehr zu den Einstellungen finden Sie im Kapitel Einstellungen für das Risikomanagement.

In der Risikopolitik gibt es die neuen Reiter "Kriterien für Auswirkungen" und "Klassifikationen der Auswirkung". Hier werden, ähnlich wie für Schadensausmaße und Nutzen, die Grundeinstellungen für Auswirkungen getätigt (siehe Folgekapitel). Die Klassifikationen dienen zur Bewertung aus verschiedenen Perspektiven:

• Umfang - wie groß/wie schwer ist die Auswirkung auf die Umwelt und die Lebensqualität Betroffener (z.B. wenig bis sehr schwerwiegend)
• Geltungsbereich - wie weitreichend ist die Auswirkung auf die Umwelt und die Lebensqualität Betroffener (z.B. regional oder gar weltweit)
• Abhilfe - wie leicht kann der Auswirkung entgegengewirkt werden bzw. können Auswirkungen wieder gut gemacht werden (z.B. reversibel bis irreversibel)
  Achtung: Dieses Kriterium ist nur bei negativen Auswirkungen relevant.

Weiters werden hier die Auswirkungsfaktoren für jede definierte Klasse festgelegt. Aus diesen, gemeinsam mit dem Risikofaktor der gewählten Eintrittswahrscheinlichkeit, wird dannn die Auswirkungskennzahl jeder Auswirkung errechnet. Dieser Mechanismus ist vergleichbar mit der Berechnung der Risikokennzahl aus den Risikofaktoren von Eintrittswahrscheinlichkeit und Schadensausmaß. Diese errechnete Auswirkungskennzahll sagt aus,k wie groß oder klein die Auswirkung durch ein Unternehmen auf seine Umwelt ist (=Außenwirkung).

Mehr zur Auswirkungskennzahl finden Sie hier.

Im neuen Menüpunkt Auswirkungen können diese erfasst, verwaltet und bewertet werden. Für jede Auswirkung, die ein Unternehmen auf seine Umwelt, z.B. im sozialen oder ökologischen Sinne, erfassen möchte, können Eintrittswahrscheinlichkeit, Umfang und Geltungsbereich dokumentiert werden. Im Fall von negativen Auswirkugnen wird auch die Möglichkeit Abhilfe zu schaffen beurteilt. In der Übersicht zeigt ein "Plus"- oder "Minus"-Icon, ob es sich bei der erfassten Auswirkung letztendlich um eine positive oder eine negative Auswirkung handelt.

Auswirkungen können mit Abweichungen, Bedrohungen, Maßnahmen & Kontrolen verknüpft werden und verfügen auch über eine Zeitliche Entwicklung, die eingesehen werden kann.

Mehr zu Bedrohungen finden Sie im Kapitel Bedrohungen.

Der nächste Schritt im ESG Management ist die Erfassung und Bewertung von ESG Themen, also den Handlungsfeldern der Bereiche Umwelt, Soziales und Unternehmensführung. Diese können frei erfasst werden. Für das Vorgehen entsprechend der European Sustainability Reporting Standards folgt man der Themenliste nach ESRS 1 AR 16, die man in HITGuard per Knopfdruck importieren kann.

Jedes Thema kann im Anschluss mit Risiken, Chancen und Auswirkungen versehen werden, wodurch es einen Score erhält. Dieser gibt Aufschluss darüber, ob man im jeweiligen Bereich berichtspflichtig ist oder nicht.

Jedes Handlungsfeld hat einen Netto- und einen Brutto-Score. Der Netto-Score zeigt dabei die Kombination der Kennzahlen von Risiko/Chance und Auswirkung, die dieses Handlungsfeld besitzt. Der Brutto-Score zeigt die Bewertung des Handlungsfelds in Relation zu den anderen Themen, indem hier die jeweils höchste Risiko-/Chancenkennzahl und die jeweils höchste Auswirkungskennzahl seiner selbst und aller untergeordneten Handlungsfelder berücksichtigt werden. Diese Scores werden auch für die Platzierung der Handlungsfelder im neuen KPI verwendet.

Mehr zu den ESG Themen finden sie hier.

Mit dieser Kennzahl haben wir die Möglichkeit geschaffen, die evaluierten Handlungsfelder /wie z.B. jene nach European Sustainability Reporting Standards; ESRS 1 AR 16) in einer Matrix relativ zueinander darzustellen.

Auf der Achse der finanziellen Wesentlichkeit sind die Handlungsfelder nach ihrer je höchsten zugeordneten Risikokennzahl (oder Chancenkennzahl) positioniert. Auf der Achse der Auswirkungswesentlichkeit bestimmt ihre jeweils höchste Auswirkungskennzahl, wo sich jedes der Handlungsfelder befindet.

Man kann damit also auf einen Blick ersehen, bei welchen Themen/Handlungsfeldern- eine hohe Auswirkung auf die Organisation und/oder die Umwelt besteht. Daraus lässt sich weiters ableiten, ob es sich um ein wesentliches oder ein nicht wesentliches Handlungsfeld im Sinne der Nachhaltigkeitsberichtserstattung handelt.

Wenn Sie Interesse an dieser Modulerweiterung haben, wenden Sie sich jederzeit gerne an uns unter kontakt@togethersecure.at, um mehr zu erfahren.

Der Risikomanagementprozess wird ab diesem Release um die Integration von Bedrohungen in Risiken und Überprüfungen erweitert.

Unter Risikomanagement > Bedrohungen kann man Bedrohungen erfassen. Diese kann man gänzlich neu anlegen oder auch per Knopfdruck aus Wissensdatenbanken heraus (d.h. auf Basis von Vorlagen) erstellen. Die Bedrohungen können dabei auch mit gewichteten Schutzzielen versehen werden.

Vorbereitete Bedrohungen stehen Ihnen derzeit in den folgenden Wissensdatenbanken-Abos zum Import zur Verfügung:

• Assessment zur Umsetzung der Datenschutz-Grundversorgung (DSGVO)
• Informationssicherheitsmanagement nach ISO/IEC 27001:2022
• IT-Grundschutz-Kompendium - Edition 2023

Bedrohungen können direkt in Überprüfungen mit erkannten Abweichungen verknüpft werden. Dies ist vor allem dann sinnvoll, wenn z.B. bei der Verwendung einer Wissensdatenbank - wie der IT-Grundschutz Wissensdatenbank des BSI - Bedrohungslagen zu den einzelnen Abweichungen hinterlegt sind. D.h. wenn eine Abweichung gefunden wird, dann ist es sinnvoll, die entsprechende(n) Bedrohung(en) dazu anzulegen. So ist auch gleich erkennbar, welche Bedrohungslagen durch identifizierte Abweichungen potenziell auf das Unternehmen wirken.

Werden Abweichungen aus der Überprüfung dann zu Risiken zusammengefasst, dann ist die Beziehung zu diesen Bedrohungen auch dort ersichtlich. Dafür gibt es einen eigenen Reiter, in dem Bedrohungen auch verknüpft und neu erstellt werden können.

Mehr zu Bedrohungen finden Sie hier.

Für das Risikomanagement gibt es ab sofort eine neue Seite "Einstellungen", die User der Rolle Expert pflegen können.

Hier kann das ESG Modul im Risikomanagement aktiviert werden, unter der Voraussetzung, dass die Lizenz vorhanden ist. Weiters kann das gesamte Risikomanagement an die Anforderungen des Managementsystems angepasst werden, indem einzelne Menüpunkte ein- und ausgeblendet werden können. Das ist vor allem deshalb interessant, weil nicht alle Managementsysteme Aspekte wie Strukturanalyse, Bedrohungen oder ESG Themen im Risikomanagement nutzen und die nicht benötigten Menüpunkte sonst stören.

Insbesondere für das Risiko, die Chance und die Auswirkung gibt es in diesem Menüpunkt Customizing Optionen. Die Kategorien von Risiken/Chancen (zuvor Risikokategorien) und die Klassifikation von Schadensausmaß und Nutzen (zuvor Schadensausmaßklassifikation), die für das Managementsystem eingestellt werden können, wurden von dessen Einstellungsseite hierher verschoben. Innerhalb des Risikos, der Chance und der Auswirkung können hier auch die Reiter Abweichungen und/oder Bedrohungen ein- und ausgeblendet werden.

Practitioner, denen Risiken oder Chancen zur Überprüfung zugewiesen werden, sehen bei diesen nun mehr Stammdaten: die zugeteilten Risikokategorien, Schutzziele & Gewichtungen, Norm-Mappings und betroffenen Strukturelemente sind für sie nun ebenfalls ersichtlich. Weiters haben sie auch lesenden Zugriff auf die Reiter Abweichungen, Bedrohungen und Maßnahmen & Kontrollen.

Sehr oft gibt es sich wiederholende Schemas an zu verwendenden Themenblöcken aus Wissensdatenbanken für die zu planenden Überprüfungen. Daher haben wir einen Weg gesucht, wiederholt auftretende Überprüfungen und Audits schneller und einfacher anlegen zu können. Dafür haben wir Themensammlungen und einen Planer geschaffen.

Unter Auditmanagment > Einstellungen | Themensammlungen können solche von Usern der Rolle Expert erstellt werden. Dafür werden Wissensdatenbanken (eine oder mehrere) ausgewählt, deren Themen dann per Drag & Drop in die Sammlung hinzugefügt werden können. Auch die Reihenfolge können Sie dabei vorgeben.

In der Übersicht ist deutlich dargestellt, auf welchen Wissensdatenbanken in der jeweiligen Version die Sammlung basiert.

Themensammlungen können in Überprüfungen zum Hinzufügen von Prüfobjekten verwendet werden, indem man auf den Reiter "Erstbewertung auf Vorlagenbasis" navigiert. Dort ist es möglich, eine vorbereitete Sammlung teilweise (per Klick auf das jeweilige + vor dem Thema) oder in ihrer Gesamtheit (bei Klick auf das türkise + über der Themenliste) zum Termin hinzuzufügen.

Die weiteren Schritte entsprechen dem gewohnten Umgang mit Abweichungsanalysen.

Mehr dazu finden Sie hier

Um die Themensammlungen nicht nur direkt in Abweichungsanalysen, sondern auch beim Erstellen und Durchplanen von Auditprogrammen und Audits verwenden zu können, haben wir ein weiteres neues Feature im Auditmanagement eingeführt: den Auditplaner.

Dieser Button führt aus dem Auditprogramm, aus dem Audit und aus den jeweiligen Übersichten direkt in die Ansicht des Planers. In dieser können die Stammdaten bearbeitet und weitere Audits und Überprüfungen hinzugefügt werden. Dann besetzt man die vorgesehenen Überprüfungstermine8 mit den geplanten Gesprächsthemen aus den Themensammlungen oder wählt solche gezielt aus Wissensdatenbanken aus.

Auf der rechten Seite des Planers können nämlich die Themensammlungen sowie Wissensdatenbanken ausgewählt und ihre Elemente per Drag & Drop auf Ebene der Überprüfungen hinzugefügt werden. Wenn ein Thema mehrmals in die zu planenden Überprüfungen gezogen wird, dann wird mit einer kleinen farbig hinterlegten Anzahl gezeigt, wie oft ein Thema bereits hinzugefügt wurde.

Man kann aus den geplanten Elementen über das kleine Pfeilsymbol auch in die Auditprogramme, Audits und Überprüfungen springen, um sie in den üblichen Masken detailliert zu sehen und weiter zu bearbeiten.

Mehr zum Auditplaner finden Sie hier.

Blocker, die für Audits erstellt werden, werden nun auch auf der Übersichtsseite des Audits (Auditmanagement > Auditplanung > Audits) sowie im Auditprogramm (unter Zugeordnete Audits) angezeigt - sie können direkt dort auch angelegt werden. Zur vollständigen Information bei der Planung werden Blocker auch in den Dropdowns zur Auditauswahl angezeigt, wenn man eine Überprüfung oder einen Sonstigen Termin im kalender anlegt, können hier aber nicht ausgewählt werden.

Der Auditkalender wurde aus dem Menüpunkt "Auditplanung" ausgegliedert und hat nun seinen eigenen Menüpunkt im Auditmanagement. Klickt man auf "Auditplanung", landet man direkt auf der Seite mit der Auflistung aller bestehenden Audits.

Im Auditkalender selbst gibt es jetzt einen Button, mit dem die Einstellungen auf den Standard (Anzeige als Monat, aktuelles Datum im Fokus) zurückgesetzt werden können.

Zuletzt haben wir auch das Merkverhalten der verschiedenen optionen im Auditkalender verbessert, sodass Einstellungen wie die Zeitraumansicht und die Termindauer nun von Einstieg zu Einstieg beibehalten werden.

Die Beantwortungsübersicht in Form eines Donutdiagramms kann auf der Ebene des Audits (nur im Audibericht), der Überprüfung und auch des Prüfobjekts konfiguriert werden. Zusätzlcih kann für alle Donuts gemeinsam eingestellt werden, ob auch entbehrliche Prüffragen beinhaltet sein sollen oder nur Antworten von Reifegraden oder Ja/Nein/Teilweise gezeigt werden sollen.

Betrifft die Berichte:

• Auditmanagement > Audit
• Auditmanagement > Überprüfungsprotokolle > Abweichungsanalyse
• Risikomanagement > Abweichungsanalyse
• Risikomanagement > Konformität > Nach Überprüfungen

Die Seite Auditbehandlung zeigt alle Maßnahmen und Kontrollen, die mit Audits in Verbindung stehen. Um für die individuellen Audits die Maßnahmen und Kontrollen ihrer zugewiesenen Überprüfungen einsehen zu können, gibt es innerhalb des Audits einen neuen Reiter "Maßnahmen & Kontrollen".

Vor allem wenn man mehrere Managementsysteme mit Fallmanagement betreibt und User beim Melden zwischen mehreren Schwerpunkten auswählen können, kann es passieren, dass sich im Stressmoment jemand irrt. Die Meldung landet dann nicht bemi zuständigen Betreuungsteam und die Antwort oder Hilfe kann sich verzögern.

Damit Meldungen schnell und effizient vom richtigen Team bearbeitet werden können, ist es ab jetzt möglich, Meldungen von einem Managementsystem mit aktiviertem Fallmanagement in ein anderes zu verschieben und sie damit dem korrekten Team zuzuweisen. Dazu kann man unter Fallmanagement > Meldungen die betroffene Meldung in der Liste selektieren und dann mit dem "Verschieben" Button (in der Symbolleiste neben dem "Plus" Button) die Funktionalität aufrufen.

Das Betreuungsteam wird auch per E-Mail über die verschobene Meldung informiert.

Wenn Fristen automatisch zugewiesen wurden, werden diese im alten Managementsystem gelöscht. Im neuen Managementsystem werden automatisch zugewiesene Fristen ab dem zeitpunkt aktiviert, zu dem die ursprüngliche Meldung eingegangen ist. Somit kann sichergestellt werden, dass wichtige Deadlines der Bearbeitung, z.B. bei Datenschutzvorfällen, die der Behörde gemeldet werden müssen, nicht verpasst werden.

Mehr zum Verschieben von Meldungen finden Sie hier.

In Berichten, die Kontrollen enthalten, kann für das Durchführungsprotokoll eingestellt werden, welchen Status Kontrolldurchführungen haben sollen, die darin enthalten sind. So kann beispielsweise in der Statistik die gesamte Geschichte der Kontrolldefinition gezeigt werden, während im Durchführungsprotokoll nur die Details der fehlgeschlagenen oder erfolgreich abgeschlossenen Kontrollen vorkommen.

Betrifft die Berichte:

• Kontrollen > Kontrollbericht
• Kontrollen > Kontrollbericht zu Standard/Norm
• Risikomanagement > Risiko > Allgemein

Im Kontrollenbericht und im Kontrollbericht zu Standard/Norm kann neu der genaue Zeitraum der Kontrolldurchführungen eingestellt werden. So kann man zu den Kontrolldefinitionen einschränken, ab wann und/oder bis wann die Durchführungen enthalten sein sollen.

Betrifft die Berichte:

• Kontrollen > Kontrollbericht
• Kontrollen > Kontrollbericht zu Standard/Norm

In der Verarbeitungstätigkeit wird ein neuer Schritt direkt nach dem Schrit 2 Betroffene zur Verfügung gestellt, in dem das bereschtigte Interesse begründet und im Detail erläutert werden kann. Voraussetzung ist, dass man im Schritt 2 bei mindestens einer Betroffenenkategorie die Rechtsgrundlage "Berechtigte Interessen des Verantwortlichen oder eines Dritten" ausgewählt hat.

Ist die Verarbeitungstätigkeit in einer DSFA als Haupt-VT hinterlegt, wird dort unter Punkt 4 "Notwendigkeit und Verhältnismäßigkeit" die Erläuterung des berechtigten Interesses aus der VT ebenfalls angezeigt bzw. im Bericht angedruckt.

Mehr zu Verarbeitungstätigkeiten finden Sie hier.

Zusätzlich zu hochgeladenen Dokumenten können jetzt auch Links abgelegt werden. Das funktioniert überall, wo bereits Dokumente hochgeladen werden konnten, wie z.B. als Evidenz zu Maßnahmen, Kontrollen, Überprüfugen, DSFAs, Akten etc. oder direkt im Doku-Management selbst.

Im Doku-Management können die Links genauso wie Dokumente mit Mappings versehen und mti Doppelklick geöffnet werden.

Mehr zum Hochladen und Verwalten von Dokumenten und Links im Doku-Management finden Sie hier.

Ressourcen können meinem neuen Modellsegment zugeteilt werden, der OT-Infrastruktur, das auch in der Strukturanalyse mitverwendet werden kann.