HITGuard Release Dezember 2024

HITGuard bietet ab diesem Release die Möglichkeit, auch das Supplier Risk Management im Tool zu verwalten. Ziel dieses neuen Add-ons ist es, mit Lieferanten verbundene Risiken zu bewerten und zu verwalten. Dazu haben wir die Möglichkeit geschaffen, Lieferanten Fragebögen zur Beantwortung direkt aus HITGuard zu übermitteln. Die Lieferanten und ihre User melden sich dafür über sichere Anmeldeverfahren am HITGuard Lieferantenportal an. Dafür gibt es neue Einstellungen und neue Menüpunkte für die Verwaltung der Lieferanten bzw. Erweiterungen in den Überprüfungen, um diese zur Beantwortung aus HITGuard an Lieferanten zu versenden.

Um das Supplier Risk Management (SRM) nutzen zu können, muss nach dem Einspielen der Lizenz die neue Rolle an die gewünschten Experten, Professionals und Beobachter vergeben werden. Dies können Experten und Administratoren auf der Seite Administration > Benutzerrollen tun.

Danach wird das SRM in den Einstellungen des Risikomanagements im jeweiligen Managementsystem aktiviert (zu finden unter Risikomanagement > Einstellungen), wodurch den berechtigten Usern die Verwendung der Lieferanten im Kontext von Überprüfungen zur Verfügung steht. Mehr zu Überprüfungen im Kapitel Lieferantenbewertungen.

Zuletzt muss unter Administration > Globale Einstellungen > Allgemeine Einstellungen der eigene Firmenname eingetragen werden, der dann in den diversen Mails an die eingetragenen Lieferantenbenutzer angedruckt wird (z.B. bei der Einladung zur Beantwortung einer Überprüfung für Ihr Unternehmen).

Unter Administration > Globale Einstellungen gibt es auch die Sektion „Sicherheitseinstellungen für Lieferanten-Risikomanagement“, wo weitere Konfigurationen für das SRM getätigt werden können.

Das Anlegen von Lieferanten in HITGuard funktioniert unter dem neuen Menüpunkt Administration > Lieferanten. Hier können beliebig viele Lieferantenunternehmen verwaltet werden, für die Stammdaten und Benutzer (sobald ein Firmenname unter Administration > Globale Einstellungen eingetragen ist) erfasst werden können.

Ist der Lieferant erstellt, können ihm Benutzer hinzugefügt werden. Dies sind nun die einzelnen Personen bzw. Ansprechpartner beim Unternehmen des Lieferanten, an die später Überprüfungen geschickt werden können sollen.

Benutzer von Lieferanten werden mit ihrem Vor- und Nachnamen erfasst sowie der E-Mail-Adresse, die als Benutzername dient. Benutzer erhalten nach Erstellung ein Einladungsmail von HITGuard, über das sie ein Passwort setzen und ihre Registrierung abschließen können. Mit ihrer E-Mail-Adresse und dem Passwort können sie sich dann am eigenen Supplier Portal anmelden.

Sobald ein Benutzer dem Registrierungslink gefolgt ist und sein eigenes Passwort erstellt hat, wird er in der Übersicht der Lieferantenbenutzer als verifiziert angezeigt.

Er kann sich dann auch am Lieferantenportal anmelden und dort eine Übersicht der ihm zugeteilten und angeforderten Überprüfungen einsehen.

Es ist weiters möglich, die 2-Faktor-Authentifizierung für Lieferantenbenutzer zu aktivieren. Ist diese Option gewählt, werden sie bei der Anmeldung direkt zur Einrichtung des zweiten Faktors weitergeleitet und können diesen dann zur Anmeldung am Supplier Portal nutzen.

Ändert sich etwas in der Kommunikationsstruktur mit dem Lieferanten, können Benutzer jederzeit deaktiviert oder auch vollständig gelöscht werden.

Für Lieferantenbenutzer können auch Administratorenrechte vergeben werden. Adminbenutzer haben dann ebenfalls die Möglichkeit, weitere Lieferantenbenutzer anzulegen, können aber selbst keine Adminrechte vergeben. Die Verwaltung der einzelnen Benutzer kann damit an den Lieferanten selbst ausgelagert werden, was weitere Ressourcen einspart.

Beim Erstellen von Überprüfungen können diese als Lieferantenbewertungen gekennzeichnet werden. Sie werden dann automatisch als Self Assessment erstellt und beim Interviewpartner sind die Lieferanten anstelle der üblichen HITGuard-Benutzer auswählbar.

Die Benutzer des Lieferanten funktionieren dabei wie ein Team; die Überprüfung wird also allen Benutzern des Lieferanten zur Beantwortung übermittelt.

Für eine deutlichere Kennzeichnung wurde das Enddatum bei Self Assessments allgemein (also bei Lieferantenbewertungen und bei HITGuard-Usern als Interviewpartner) auf Beantwortungsfrist umbenannt.

Auswirkungen (die dann zur Verfügung stehen, wenn im Risikomanagement die ESG Funktionalitäten aktiviert wurden) können jetzt mit zwei weiteren Eigenschaften versehen werden, um ihre Position in der Wertschöpfungskette und den erwarteten zeitlichen Horizont darzustellen.

Des Weiteren ist es möglich, eine Eintrittswahrscheinlichkeit unter Risikomanagement > Risikopolitik als faktisch festzulegen. D.h. dass eine Auswirkung (oder ein Risiko/eine Chance) mit dieser Eintrittswahrscheinlichkeit nicht nur wahrscheinlich, sondern bestimmt eintreten wird. Diese Eintrittswahrscheinlichkeit ist dann bei der Auswahl in der Auswirkung/dem Risiko/der Chance wie auch in den dazugehörigen Übersichten mit einem eigenen Badge gekennzeichnet, um sicher eintretende Umstände hervorzuheben.

Das Risiko/die Chance kann nun zusätzlich um ein Informationsfeld erweitert werden, mit dem man die monetäre Auswirkung als Wert erfassen kann. Damit kann man den monetären Schaden/Nutzen zusätzlich zur Bandbreite des Schadens-/Nutzensausmaß konkretisieren.

Das Einblenden dieses Feldes kann unter Risikomanagement > Einstellungen aktiviert werden.

Nach der Einführung von Bedrohungen im letzten Release gibt es jetzt auch ein dazugehöriges KPI. In diesem wird dargestellt, wie vielen Risiken mit den jeweiligen Bedrohungen verlinkt sind. Man kann so erkennen, welche Bedrohungslagen für das Unternehmen besonders relevant sind und worauf man daher seine Aufmerksamkeit richten soll.

Über den Filter stehen diverse Konfigurationsmöglichkeiten zur Verfügung. Mehr zu diesem neuen KPI finden Sie hier.

Das KPI, das die Maßnahmen zu aktiven Risiken und Chancen zeigt, wurde um die Kontrollen erweitert und umbenannt: „Aktive Risiken/Chancen und ihre Behandlung“. Es wurde auch ein zweiter Donut hinzugefügt, der die Kategorie „Mit Behandlung“ weiter aufschlüsselt und mehr Details dazu liefert, nämlich ob die Behandlung aktuell in Durchführung oder bereits abgeschlossen ist.

Für das ESG-Add-on gibt es nun einen ESG-Bericht in HITGuard, mit dem eine Auswertung der Handlungsfelder gedruckt werden kann. Er enthält nach Belieben eine tabellarische Übersicht der gewählten ESG Themen und ihre Risiken, Chancen und Auswirkungen. Zu diesen Risiken, Chancen und Auswirkungen können auch weitere Details, wie z.B. Informationen zu Maßnahmen, Kontrollen oder ihrer zeitlichen Entwicklung angedruckt werden.

Auf der Seite „Risikomanagement > Einstellungen“ können Experten jene Schwellwerte definieren, ab denen ein Handlungsfeld als wesentlich und damit berichtsrelevant gilt. Diese Schwellwerte werden im KPI zur doppelten Wesentlichkeit und auch im neuen ESG Bericht berücksichtigt.

Im Bericht zu Schutzbedarfsanalysen gibt es eine neue Berichtsoption, mit der eingestellt werden kann, Schutzbedarfe welchen Ausmaßes man im Bericht sehen möchte. Man kann sich so also einen Bericht generieren, der z.B. nur die am kritischsten bewerteten Ressourcen beinhaltet (bspw. alle Ressourcen mit zumindest einer Bewertung von Hoch oder höher).

Im Planer für Audits/Auditprogramme können nun auch Neubewertungen von Prüfobjekten berücksichtigt werden. Dafür gibt es zwei Möglichkeiten. Existiert für ein Thema bereits eine abgeschlossene Überprüfung, schlägt der Planer erstens eine Neubewertung vor. Ein Rufzeichen kennzeichnet die betroffenen Themen in der Wissensdatenbank oder der Themensammlung.

Fügt man eines dieser Themen zur Überprüfung hinzu, ist es ebenfalls hervorgehoben.

Über den Rufzeichen Button kann ein Dialog geöffnet werden, in dem man die bekannten Optionen aus Schritt 2 der Überprüfung „Neubewertung bestehender Prüfobjekte“ zur Verfügung hat, nämlich Antworten zu übernehmen oder Begründungen einzufügen.

Eine neue Möglichkeit bietet der Planer weiters mit der Option, sich alle zur Neubewertung verfügbaren Prüfobjekte gesammelt anzeigen zu lassen. Auch hier stehen die Optionen aus dem Schritt 2 der Überprüfung „Neubewertung bestehender Prüfobjekte“ zur Verfügung.

Das KPI „Antworten nach Bewertung“ zeigt die Antworten aus Überprüfungen nach den jeweiligen Antwortkategorien (wie Ja, Nein, Teilweise, je nach Beantwortungsschema) an. Nun wurde dieses KPI so erweitert, dass – wenn man die Details zu einer Antwortkategorie über einen Doppelklick auf das jeweilige Diagrammsegment öffnet –die Ergebnisse im Detail nun auch nach dem Thema der Wissensdatenbank und dem einzelnen Prüfobjekt gefiltert und sortiert dargestellt werden können.

Fristdefinitionen, die sich ändern sollen oder aus anderen Gründen nicht mehr gebraucht werden, können jetzt deaktiviert werden. Bereits daraus erstellte Fristen bleiben bestehen, jedoch werden diese Definitionen nicht mehr zur Auswahl angeboten oder bei neu eingegangenen Nachrichten automatisch zugewiesen. Werden sie wieder benötigt, können deaktivierte Fristen auch wieder aktiviert werden.

Für das Hinweisgeberportal im Fallmanagement wurden die gesetzlichen Vorschriften des Barrierefreiheitsgesetzes (BaFG) hinsichtlich der erreichbaren Oberfläche für Einmelder und Einmelderinnen umgesetzt. Die Seite ist nun noch leichter mit der Tastatur bedienbar und entspricht der Web Content Accessibility Guideline.

Practitioner haben nun die Möglichkeit, über den Menüpunkt „Meine Aufgaben > Maßnahmen“ sowie im Zuge von ihnen zugewiesenen Überprüfungen neue Vorschläge für Maßnahmen einzureichen. Diese werden von ihnen vorausgefüllt und sich selbst oder einer anderen Person/Team zugewiesen und können dann von den Experten des Managementsystems angenommen oder verworfen werden.

Mehr zum Einreichen von Maßnahmen finden Sie hier.

Die Berichte aus dem Modul „Kontrollen“ bieten jetzt mehr Freiheit in der Konfiguration ihrer grafischen Inhalte. Im Bericht „Kontrollenbericht zu Standard/Norm“ kann eingestellt werden, ob das bekannte Balkendiagramm für den gesamten Standard und/oder pro Kapitel des Standards angedruckt werden soll.

Für diesen Bericht und den Bericht „Kontrollbericht“ kann zusätzlich eingestellt werden, ob für die Kontrolldurchführungen Donutdiagramme angedruckt werden sollen, die diese als Übersicht darstellen Diese Donuts beinhalten dann alle Durchführungen der Status, die ebenfalls in den Berichtsoptionen ausgewählt wurden.

Für den Datenschutz gibt es jetzt eine eigene Seite „Einstellungen“, in der von Experten Konfigurationen getroffen werden können, um die Konfiguration der Darstellung und Erfassung der Verarbeitungstätigkeiten weiter an die Anforderungen ihres Managementsystems anzupassen. Damit kann der Endanwender nun selbstständig die Verwendung von Neuerungen zu den Verarbeitungstätigkeiten konfigurieren, die in den vergangenen Releases bereits technisch umgesetzt wurden.

Mehr zu den Einstellungen für den Datenschutz finden Sie hier.

Für die diversen Datenschutz-Berichte zu DSFA, Verarbeitungstätigkeit und Betroffenenkategorie gibt es eine neue Berichtsoption, mit der auch die Inhalte der Interessenabwägung im Bericht angedruckt werden können.

Für die Dateien des Doku-Managements gibt es nun einen Überprüfungs- und Freigabeworkflow. Mit diesem kann gleich einer Kontrolle die Überprüfung eines Dokuments angestoßen werden (einmalig oder wiederkehrend). Wurde die Prüfung durchgeführt und erfolgreich abgeschlossen, ist das Dokument in der Übersicht als freigegeben markiert.

Man kann den Workflow aus dem Dokumentenmanagement oder auch unter Kontrollen > Kontrolldefinitionen starten, indem man dort einen neuen Prüfungs- und Freigabeworkflow erstellt.

Bei diesen speziellen Kontrolldefinitionen kann man Attachments direkt aus dem Doku-Management hinzufügen oder Dokumente neu hochladen, die dann automatisch im Doku-Management abgelegt werden und wie alle anderen Dokumente mit Mappings etc. versehen werden können.

Es ist im Doku-Management immer ersichtlich, ob die aktuelle (grünes Häkchen) oder eine vorherige Version (graues Häkchen) freigegeben ist, oder ob sich das Dokument gerade im Freigabelauf befindet (Freigabe Workflow Symbol).

Über den Versionsverlauf kann auf eine laufende sowie vergangene Freigaben zugegriffen werden, sodass der Status und die involvierten Benutzer immer ersichtlich sind.

Für die Anmeldung via Single Sign-On gibt es nun die Möglichkeit der Integration mit OpenID Connect. Vergleichbar mit einer Azure Integration bietet dies Benutzern die Möglichkeit, sich mit den Zugangsdaten eines vertrauenswürdigen Identitätsanbieters bei HITGuard anzumelden. Damit ist beispielsweise eine Anmeldung über ein Google- oder Facebook-Konto möglich.

Wichtig: Wenn Sie diese Option in Ihrer Organisation nutzen möchten, wenden Sie sich bitte an uns unter support@togethersecure.at.

HITGuard unterstützt jetzt auch Passkeys. Diese können auf der Seite der Kontoverwaltung (erreichbar über Klick auf das Profilbild) eingerichtet und statt einem klassischen Passwort verwendet werden. Passkeys können bspw. auf einem Hardware-Token, in Windows Hello oder Ihrem Telefon hinterlegt werden, wodurch sie auch als passwortlose Login-Alternative fungieren.

Mehr zu Passkeys finden Sie hier.

Wichtig: Wenn Sie diese Option in Ihrer Organisation nutzen möchten, wenden Sie sich bitte an uns unter support@togethersecure.at.

Für mehr Sicherheit bei der Anmeldung mittels Benutzername und Passwort kann auf der Seite der Kontoverwaltung (erreichbar über Klick auf das Profilbild) auch die Authentifizierung mit einem zweiten Faktor zusätzlich zum klassischen Passwort eingerichtet werden. Es wird also zusätzlich zum regulären Passwort ein Einmalkennwort erfragt, dass man über eine Authenticator-App, z.B. am Smartphone, erhält.

Die 2-Faktor-Authentifizierung kann auch wieder deaktiviert werden, sollte man sie vorübergehend nicht benötigen. Verliert man seinen zweiten Faktor, weil z.B. das Handy verschwunden ist, kann der Administrator die 2-Faktor-Authentifizierung für User zurücksetzen.

Mehr zur 2-Faktor-Authentifizierung finden Sie hier.

Werden zu Maßnahmen, Meldungen, etc. Links als Attachment angehängt, so können diese nun ebenfalls mit der Zip-Datei zum Bericht heruntergeladen werden. Alle angehängten Links werden dann in einer .txt-Datei aufgelistet.