HITGuard Release Februar 2023

Das Verhalten der Schutzbedarfsanalyse (SBA) in Bezug auf den Schreibschutz wurde angepasst. Bisher war es so, dass die Radio Buttons OrgEh/Prozess und die dazugehörige Auswahl der OrgEh/des Prozesses schreibgeschützt war, sobald man die SBA zum ersten Mal gespeichert hatte. Nun ist es so, dass erst dann, wenn im zweiten Schritt der SBA die Ressourcen/Business Services und Daten hinzugefügt sind, die Auswahl im ersten Schritt schreibgeschützt wird.

Bisher wurden unter Risikomanagement > Schwachstellen zwei Buttons für die Anlage von Abweichungsanalysen und Prüfergebnissen geführt. Dies wurde nun zu einem Button mit einer Dropdown Option zusammengefasst:

Ein wiederholt von unseren Kunden geäußerter Wunsch war die Erhebung von Informationen in Überprüfungen, die keiner gesonderten Bewertung unterliegen. D.h. es werden zu einem Themengebiet Informationen notiert (z.B. allgemeine Beschreibungen zu Abläufen oder der Ausgestaltung eines bestimmten Themenbereichs) ohne dass diese mit Gewichtungen, Antworten bzw. Feststellungsarten verknüpft werden. Diese Antworten werden eher für die Dokumentation und in Berichten benötigt. Sie können somit nun von den Auswertungen der Prüfergebnisse ausgenommen werden.

Prüfobjekte, die zu Themen aus der Wissensdatenbank mehrfach angelegt wurden, werden mit einer hochzählenden Nummerierung versehen. Zur besseren Übersichtlichkeit wird diese Nummerierung jetzt nur noch an die Bezeichnung angehängt, anstatt an Bezeichnung und Kürzel.

Unter Risikomanagement > Schwachstellen > Abweichungen findet sich die Abweichungsliste. Diese kann nun auf negative Abweichungen, positive Abweichungen bzw. keine Abweichungen gefiltert werden. Nutzen Sie dazu den Dropdown Button oben links.

Weiters gibt es eine neue Spalte, um den Fragentyp einblenden zu können. Dies kann dabei helfen, wenn Sie schnell herausfinden möchten, ob zusätzlich zum Fragenkatalog weitere Fragen in der Überprüfung erfasst wurden, die eine zukünftige Version der Wissensdatenbank ergänzen könnten.

Unter Risikomanagement > Berichte > Gefährdungslagen findet sich nun neben dem bereits bekannten Gefährdungslagenbericht ein Brutto-Netto-Risiko Bericht:

In diesem Bericht werden Details zur Entwicklung einer Gefährdungslage dargestellt. Der Fokus des Berichts liegt daher auf der Entwicklung vom Brutto- zum Nettorisiko, die durch Maßnahmen und Kontrollen beeinflusst wird. Wie gewohnt bietet auch dieser Bericht eine Menge an Berichtsoptionen, um den Detailgrad des generierten Ergebnisses steuern zu können.

Unter Risikomanagement > Berichte > Konformität > Nach Standards und Normen gibt es die Option "Gemappte Normkapitel inkludieren". Wenn Sie diese Option aktivieren, können Sie beispielsweise eine Auswertung Ihrer Normerfüllung nach ISO 27001:2022 generieren, auch wenn Sie bisher nur Prüfobjekte, die mit Normversion ISO 27001:2013 verknüpft sind, beantwortet haben. Denn auf Basis des Mappings, das von der ISO 27002:2022 auf die ISO 27002:2013 erfolgt, kann dieser Bericht auch die "alten Ergebnisse" Ihrer Bewertungen z.B. nach der WDB Informationssicherheitsmanagement nach ISO/IEC 27001:2013 V15 in die Analyse miteinbeziehen.

Dasselbe funktioniert auch umgekehrt. D.h. sollten Sie schon alle Ihre Auswertungen nach der ISO 27002:2022 durchgeführt haben, wollen aber eine Auswertung der Ergebnisse nach "der alten Norm" durchführen, dann können Sie einen derartigen Bericht hier ebenfalls generieren.

Die Termine, die im HITGuard Auditkalender geplant werden, können nun als ics-Datei heruntergeladen werden. Dabei stehen zwei Optionen zur Verfügung: der Termin kann als einfacher Kalendereintrag oder als Besprechungseintrag heruntergeladen werden. Im zweiten Fall werden die Teilnehmer bereits im Kalendereintrag vorbesetzt und somit kann der Termin sofort als Einladung zu einem Meeting genutzt werden.

Die Auswertung der Auditzeiten in Audittagen bzw. -stunden wurde in der Übersichtsliste der Audits aufgenommen. D.h. dass diese Informationen unter Auditmanagement > Auditplanung > Audits bzw. Auditmanagement > Auditplanung > Auditprogramm bearbeiten > Zugeordnete Audits eingeblendet werden kann, indem für diese Listen die Anzeige der Spalten „Audittage“ und „Auditstunden“ konfiguriert wird.

So kann auch mit der Verwendung von Filtern z.B. nach der Parteilichkeit im Audit eingeschränkt werden und es können ganz einfach die Zeiten externer oder interner Audits getrennt ermittelt werden. Jeder Tag, an dem eine Überprüfung geplant ist, zählt als Audittag. Sonstige Termine werden nicht in die Auditstunden eingerechnet.

Die Übersicht unter Auditmanagement > Auditplanung > Auditprogramme war hinsichtlich der dort einsehbaren Informationen bisher sehr spärlich gestaltet, vor allem im Vergleich zu den Informationsmöglichkeiten bei den Audits. Diese Spalten wurden daher nun ergänzt: Parteilichkeit, Status Auditprogramm, Status Auditprogrammbericht und Ersteller. Diese Erweiterung wurde ebenfalls bei der Übersichtsliste zum gleichnamigen Bericht ergänzt.

Die Option „Target Score am Deckblatt“ gab es bisher bei den Abweichungsanalyseberichten im Risiko- und Auditmanagement. Sie steht nun auch bei den folgenden Berichten zur Verfügung:

• Auditmanagement > Berichte > Audit
• Risikomanagement > Berichte > Konformität > Nach Überprüfungen
• Risikomanagement > Berichte > Konformität > Nach Standards und Normen

Das Fallmanagement erhält mit diesem Release die Möglichkeit, für einzelne oder mehrere Meldungen bzw. Akten Berichte zu generieren.

Mit Berichtsoptionen stehen Ihnen für beide Berichte mehrere Möglichkeiten zur Verfügung, die Inhalte an Ihre Bedürfnissen anzupassen (links: Optionen des Aktenberichts, rechts: Optionen des Meldungsberichts).

Für Maßnahmen wurde ein neues KPI „Maßnahmenfortschritt“ implementiert. Damit können Sie Fortschritte zwischen Analysezeiträumen nachvollziehen. Sie sehen den aktuellen Fortschritt über alle Maßnahmen und die Fortschrittsentwicklung im Vergleich zum vergangenen Analysezeitraum. Dabei können Sie auf einzelne Organisationseinheiten und Analysezeiträume einschränken. 

Bisher konnte einer Maßnahme zur Wirksamkeitsprüfung eine weitere Maßnahme zugewiesen werden. Diese Funktion wurde erweitert. Es kann nun auch eine Kontrolle als Wirksamkeitsprüfung einer Maßnahme zugewiesen werden.

Berichte zu den Maßnahmen und Kontrollen wurden aus dem Menüpunkt Risikomanagement > Berichte entfernt und auf die neuen Menüpunkte Maßnahmen > Berichte bzw. Kontrollen > Berichte aufgeteilt.

Neben dem bereits bekannten Fortschrittsbericht und dem Maßnahmenbericht zu Standard/Norm gibt es nun einen neuen allgemeinen Maßnahmenbericht, mit dem Details zu einzelnen oder mehreren Maßnahmen aufgelistet werden können. Dieser ist vergleichbar mit dem allgemeinen Kontrollbericht und umfasst eine Fortschrittsübersicht und die Möglichkeit, das Fortschrittsprotokoll zu den ausgewählten Maßnahmen im Bericht aufzunehmen.

Die Fortschritte zu Maßnahmen können in mehreren Berichten als Berichtsoption ausgewählt werden. Es kann der generelle Umsetzungsfortschritt mit der Option „Fortschrittsübersicht“ und das Protokoll der Fortschrittsmeldungen mit der Option „Fortschrittsprotokoll“ in den Bericht aufgenommen werden. Berichte mit dieser Option sind:

• Risikomanagement > Berichte > Gefährdungslagen
• Risikomanagement > Berichte > Brutto-Netto-Risiko
• Maßnahmen > Berichte > Maßnahmenbericht zu Standard/Norm
• Maßnahmen > Berichte > Maßnahmenbericht

In Berichten, die Informationen zu Maßnahmen enthalten, wird nun auch das Umsetzungsdatum von Maßnahmen im Status Erledigt angedruckt. Dies betrifft folgende Berichte:

• Maßnahmen > Maßnahmenbericht zu Standard/Norm
• Maßnahmen > Maßnahmenbericht
• Risikomanagement > Berichte > Gefährdungslagen > Allgemein
• Risikomanagement > Berichte > Gefährdungslagen > Brutto-Netto-Risiko

Die Maßnahmen- und Kontrollberichte wurden in ihrem Layout an die bereits vorhanden Berichte angepasst. Auch die Berichtsoptionen wurden über die Berichte hinweg vereinheitlicht.

Nachdem im letzten Release die Möglichkeit implementiert wurde, DSFAs mit einer Durchführungsentscheidung als Ergebnis zu dokumentieren, gibt es nun auch die Möglichkeit, diese Ergebnisse in den Übersichten zu den Verarbeitungstätigkeiten und DSFAs anzeigen zu lassen. Darüber hinaus sind die Ergebnisse auch in diesen Berichten zu finden:

• Datenschutz > Berichte > DSFA > Konsultation der Aufsichtsbehörde
• Datenschutz > Berichte > DSFA > Allgemeiner Bericht
• Datenschutz > Berichte > Verarbeitungsregister > Eigene Verarbeitungstätigkeit
• Datenschutz > Berichte > Verarbeitungsregister > Gemeinsame Verantwortlichkeit
• Datenschutz > Berichte > Verarbeitungsregister > Im Auftrag anderer
• Datenschutz > Berichte > Verarbeitungsregister > Externe Auftragsverarbeiter

Die Übersicht im Menüpunkt Datenschutz > DSFA wurde mit weiteren Spalten ergänzt. Standardmäßig werden neben den bisherigen Spalten auch „Prüfer“, „Status“ und „Zugeordnete VT“ angezeigt. Optional können „Bestätiger“, „Sachbearbeiter“ und „Weitere zugeordnete VTs“ eingeblendet werden.

Der Bericht zu den Betroffenenkategorien, der für Auskünfte nach Artikel 15 DSGVO genutzt werden kann, enthält nun auch die Informationen aus dem Feld „Zweck und Rechtsgrundlage“, welches in Schritt 4 „Empfänger“ einer Verarbeitungstätigkeit erfasst werden kann.

Das erste Release des Jahres ist 2023 zum ersten Mal dem Thema der Standardisierung/Harmonisierung und Qualitätssicherung gewidmet. In Zukunft ist geplant, das immer so umzusetzen. Wir haben dieses Release folgenden Schwerpunkten gewidmet:

• Harmonisierung von Begrifflichkeiten in der Software (z.B. wurden Begriffe wie Abkürzung, Kürzel und ID vereinheitlicht und die Wordings sowohl auf Deutsch als auch Englisch besser abgestimmt),
• Verbesserungen, wie der Umbau von Scrolling Möglichkeiten in Grids, mehrstufige Sortierreihenfolgen in Grids oder Buttons zum Ein- und Ausklappen aller Organisationseinheiten, Prozesse und Datenkategorien in hierarchischen Darstellungen wurden eingearbeitet,
• Berichte bzw. Berichtsoptionen wurden vereinheitlicht
• und in diversen Grids wurden die Möglichkeiten einblendbarer Spalten erweitert.

Hinweis: Mehrstufig sortiert wird, indem man Shift drückt, wenn man die 2. und 3. und etc. Sortierstufe selektiert. Diese selektierten Stufen können mit Ctrl und Klick wieder deselektiert werden. Ohne Shift oder Ctrl in eine Spaltenbezeichnung klicken resettet die Sortierreihenfolge auf Sortierung nach dieser einzigen Spalte.

Für die Berichte wurde ein neues Speicherverhalten bzgl. der Berichtsoptionen ergänzt. Dieses Speicherverhalten ist nur auf den aktuellen Benutzer bezogen. Wenn Berichtsoptionen für andere Berichte ebenfalls verwendet werden, so weist die Option für die betroffenen Bericht ein gemeinsames Speicherverhalten auf. Neben den Berichtsoptionen werden auch die Selektionen abgespeichert.

Die Verwaltung von Managementsystemen unter Administration > Managementsysteme wurde neugestaltet. Sie finden jetzt wie sonst auch üblich eine Auflistung der Managementsysteme mit Eigenschaften vor und können dann per Doppelklick die Detailmaske zum jeweiligen Managementsystem öffnen. So können Sie nun mehr Informationen für ein Managementsystem auf einen Blick einsehen. Die gebotene Funktionalität zur Bearbeitung der Managementsysteme hat sich im Wesentlichen, bis auf ein neues Feature (siehe 6.4 Automatische Kürzel Generierung) nicht verändert.

Anstelle der mehreren Default-Dashboards zu den Themenbereichen Risikomanagement, Maßnahmen, Kontrollen, Fallmanagement und Datenschutz gibt es nun ein modulunabhängiges Dashboard. Der User kann sich aus all den genannten Rubriken KPIs nach Bedarf gemeinsam auf einem oder mehreren Dashboards zusammenstellen.

Die automatische Generierung von Kürzeln kann nun je Managementsystem und dort je Entitätstyp aktiviert und unterschiedlich konfiguriert werden.

Der Aufbau der Kürzel kann aus den folgenden Teilen bestehen:

• Allgemeines Präfix (z.B. HG_)
• Funktionsspezifisches Präfix: (z.B. M_ für Maßnahme)
• OrgEh spezifisches Kürzel: (z.B. ToSec)
• OrgEh Suffix: (z.B. _) (nur falls das OrgEh spezifische Kürzel aktiviert ist)
• Fortlaufende Nummer (1–10-stellig)

Beispiele: HG_M_ToSec_001, HG_R_001, K_0001

Die Konfiguration erfolgt unter Administration > Managementsysteme im jeweils ausgewählten Managementsystem am Tab „Kürzel Generierung“:

Unter Administration > Globale Einstellungen > Kürzel Generierung kann die Konfiguration eingestellt werden, die für alle neu erstellten Managementsysteme automatisch verwendet werden soll. Sie kann direkt im Managementsystem weiter angepasst werden.

Unter Administration > Berichtsarchiv können per Doppelklick die Archiveinträge geöffnet werden. Hier, sowie direkt bei der Erstellung eines Berichts mit Revisionsinformation, können für die Berichte nun Textbausteine (siehe Textbausteinverwaltung) ausgewählt werden, die für den E-Mailversand verwendet werden sollen.

Ein Senden Button mit Brief-Symbol wurde links vom Speicherbutton ergänzt.

Wird der Button geklickt, dann wird ein E-Mailentwurf mit dem Bericht als Anhang heruntergeladen. Wurde ein Textbaustein ausgewählt, bildet dieser die Grundlage für Betreff und Inhalt des E-Mails. Der Entwurf kann geöffnet und gleich versandt oder vor dem Versand noch weiterbearbeitet werden.

Wichtiger Hinweis: Aus Sicherheitsgründen ist es aus Browserapplikationen heraus nicht möglich, eine E-Mail mit Anhang direkt im Mailclient des Benutzers zu erstellen und zu öffnen. Der Versand von Berichten per E-Mail wird deshalb als Download einer .eml-Datei umgesetzt. eml ist ein standardisiertes Format zur Speicherung von E-Mails und wird von den gängigen Mailclients unterstützt. Ein Doppelklick auf eine .eml-Datei öffnet die E-Mail im verwendeten Mailclient bzw. ist beim ersten Aufruf der standardmäßig zu verwendende Mailclient einstellbar.

Unter Administration > Textbausteine können managementsystemspezifisch Textbausteine für die Erstellung von E-Mails verwaltet werden. Eine Auflistung der verfügbaren Bausteine wird angelegt und ihr Inhalt kann mehrsprachig geführt werden.