HITGuard Release Jänner 2021

Die Online-Hilfe wurde in HITGuard integriert. Sie finden in der dunkelgrauen Menüleiste nun den letzten Punkt „Hilfe“ gleich nach „Administration“. Unter Hilfe > Online-Hilfe können Sie das ausführliche Benutzer-Handbuch zu HITGuard abrufen

Unter Hilfe > Erste Schritte finden Sie zusätzlich eine Einführung zur Navigation und Oberfläche von HITGuard. Beim erstmaligen Start der Software erscheint diese automatisch.

Zusätzlich wurde eine Schritt-für Schritt Anleitung in HITGuard integriert. Diese wird über die kommenden Monate sukzessive ausgebaut. In den Masken, in denen diese bereits verfügbar ist, erscheint in der unteren linken Ecke der Software ein „i“. Ein Klick auf das „i“ startet die Schritt-für-Schritt Anleitung.

Bisher konnte ein Practitioner den Fortschritt zu einer Maßnahme nur dann bekannt geben, wenn er vom Expert/Professional dazu aufgefordert wurde. Dieses reaktive Melden ist weiterhin möglich. Zusätzlich kann der Practitioner (sofern dies so konfiguriert ist; siehe dazu 5.2 Konfiguration der proaktiven Fortschrittsmeldung) den Fortschritt zu einer Maßnahme nun auch proaktiv melden. Dazu muss er nur den neuen Button „Fortschritt melden“ im Menü unter Meine Aufgaben > Maßnahmenstatus nutzen und kann dann die Maßnahme wählen, zu der er einen Fortschritt bekannt geben möchte.

In der Maßnahmenauswahl findet der Practitioner alle offenen Maßnahmen, die ihm als Verantwortlichen bzw. als verantwortliches Teammitglied oder als Teamleiter zugewiesen sind.

Bei der Auswahl einer Maßnahme, zu der bereits eine angeforderte Fortschrittsmeldung für den Practitioner vorliegt, öffnet sich diese zur Bearbeitung. Wenn noch keine Fortschrittsmeldung angefordert wurde, wird eine neue Fortschrittsmeldung erstellt. Diese muss dann sofort retourniert werden. Zu Maßnahmen zu denen aktuell eine retournierte Fortschrittsmeldung vorliegt, die vom Expert/Professional noch nicht akzeptiert wurde, kann keine Meldung angelegt werden. Diese Maßnahme wird in der Auswahl zwar aufgelistet, kann aber nicht ausgewählt werden und ist mit "beantwortet" gekennzeichnet.

Im Zuge der Prüfung einer Kontrolle kann der Prüfer nun auch Evidenzen hochladen. Dies kann beispielsweise dann nützlich sein, wenn ein Prüfer eine Evidenz kommentieren möchte und das überarbeitete Dokument dem Umsetzer zur neuerlichen Bearbeitung zurückgeben will.

Am Dashboard können durch Experts/Professionals die Compliance Erfüllungen zu unterschiedlichen Standards/Normen visuell abgefragt werden. Diese Abfrage wurde nun um die Möglichkeit erweitert, die Darstellung auf den hinterlegten Geltungsbereich des Standards bzw. der Norm einzuschränken.

Sofern Sie die Schutzziele RTO und RPO für Ihre Analysen erheben und die Option „Anzeige im Graph“ in der Risikopolitik dafür aktiviert haben, steht Ihnen ein neues Feature zur Verfügung.

Beachten Sie, dass Sie für die nachfolgend beschriebene Darstellung auch die Erfassung von Wiederherstellzeit und Backup Intervall (siehe 5.1 Erfassung des Backup Intervalls sowie der Wiederherstellzeit für) auf den Ressourcen erledigen müssen.

Sofern diese Voraussetzungen erfüllt sind, können Sie visuell auswerten, ob die erfassten Anforderungen an Recovery Time Objective (RTO; max. vertretbare Wiederherstellzeit) und Recovery Point Objective (RPO; max. vertretbarer Datenverlust) durch die tatsächlichen Wiederherstellzeiten bzw. Backup Intervallen der Systeme erfüllt sind.

In der Strukturanalyse erscheint im Analysemodus im Navigationsbereich folgende Auswahl, mit der eine Analyse für RTO- bzw. RPO-Erfüllung angestoßen werden kann. Um die Analyse zu starten, wählen Sie eine der beiden Optionen aus und klicken auf den „Anwenden“-Button:

Im Graph werden die Anforderungen aus den Schutzbedarfsanalysen auf den Kanten zwischen Organisationseinheit und Ressource auf Anwendungsebene dargestellt. Wenn durch den darunterliegenden Pfad an z.B. Wiederherstellungszeiten in Summe die Anforderungen zu RTO erfüllt bzw. unterschritten sind, dann wird die Anforderung grün dargestellt, andernfalls rot.

Die Ressourcen selbst zeigen in einer grauen Blase jeweils z.B. für die RTO-Erfüllung die „Netto Wiederherstellzeit“ mit einem „N“ der Ressource selbst sowie die „Brutto Wiederherstellzeit“ mit einem „B“ für die summierte Wiederherstellzeit der Ressourcenkette inkl. des jeweiligen Knotens.

Das abgebildete Beispiel zeigt die RTO-Erfüllung. Die Logik für die RPO-Erfüllung ist sehr ähnlich, mit dem Unterschied, dass die Backupzeiten für die gesamte Ressourcenkette nicht summiert werden, sondern hier im Bruttowert immer die höchste Wiederherstellungsdauer einer Ressource in der Kette dargestellt wird.

Wenn zu einer Ressource noch keine Zeiten eingetragen wurden, dann wird ein gelbes Konfigurationssymbol für die Ressource eingeblendet.

Wenn zu einer Ressource bewusst keine Zeiten erfasst werden sollen, dann wird ein graues Symbol wie das folgende angezeigt:

Unter Risikomanagement > Auditverwaltung > Audit wurde die Strukturierung der einzelnen Registerblätter überarbeitet. Damit sie leichter auffindbar sind, wurden die zugeordneten Überprüfungen auf ein eigenes Registerblatt gelegt.

Unter Risikomanagement > Auditverwaltung > Auditprogramme können Sie ein Auditprogramm erstellen oder bearbeiten. Wenn Sie hier ein Auditprogramm öffnen findet sich ein neues Registerblatt, der „Terminkalender“, wieder:

Diese Darstellung ermöglicht es die unterschiedlichen Audits im Auditprogramm gemeinsam in einem Kalender darzustellen.

Die Komponente zur Administration von Berichten wurde überarbeitet bzw. erweitert. Es stehen nun mehr Berichte, -varianten und -optionen zur Verfügung und die Menüführung durch diese Auswahl wurde verbessert.

Die Berichtsoptionen unter Risikomanagement > Berichte > Auditverwaltung > Auditplan wurden erweitert und bieten nun eine Option „Konformitätsbericht zu Auditplan andrucken“. Damit können im Bericht zum jeweiligen Audit die einzelnen Details zum Auditergebnis aus den Überprüfungen ausgewertet werden.

Die Berichtsoptionen unter Risikomanagement > Berichte > Gefährdungslagen wurden erweitert und bieten nun eine Option „Abweichungen inkludieren“. Damit können im Bericht zur jeweiligen Gefährdungslage die einzelnen Abweichungen aus den Überprüfungen - sofern solche vorliegen - angedruckt werden.

In den folgenden Berichten wird die nun Auswertung auf den Geltungsbereich des Standards bzw. der Norm eingeschränkt:

• Risikomanagement > Berichte > Konformität > Nach Standards und Normen
• Risikomanagement > Berichte > Standards und Normen > Statement of Applicability
• Risikomanagement > Berichte > Standards und Normen > Management Summary

Ist dies nicht gewünscht und soll der gesamte Standard bzw. die Norm betrachtet werden, dann ist die Option „Nicht anwendbare Kapitel in der Statistik aufnehmen“ zu aktivieren.

Die beiden Berichte unter Risikomanagement > Berichte > Standards und Normen wurden dahingehend erweitert, dass man nun konfigurieren kann ob die Statistiken (Donut-Diagramme) zu den Maßnahmen- und Kontrollerfüllungen angezeigt werden sollen oder nicht. Dazu wird die Option „Statistik andrucken“ verwendet.

Zusätzlich kann beim Bericht „Statement of Applicability“ nun auch konfiguriert werden, ob die Maßnahmen und Kontrollen im Detail angedruckt werden sollen. Wenn dies nicht gewünscht ist, so fallen die Berichtskapitel Maßnahmen und Kontrollen weg. Dazu wird die Option „Maßnahmen- und Kontrolldetails andrucken“ verwendet.

Hinweis: Option „Nur Kapitel auf unterster Ebene als Berechnungsbasis für die Statistik verwenden“ wurde für beide Berichte entfernt. Die Logik verhält sich nun immer so, als wäre die Option „Nur Kapitel auf unterster Ebene als Berechnungsbasis für die Statistik verwenden“ aktiv. Dies gilt auch für den Aufruf dieses Berichts unter Administration > Standards und Normen.

Sollten Sie für eine Datenschutz-Folgeabschätzung keine entsprechende Strukturanalyse zu den eingesetzten Betriebsmitteln in HITGuard abgebildet haben oder diese textuell zusätzlich beschreiben wollen bzw. sollte Ihnen ein Dokument vorliegen, in dem die eingesetzten Betriebsmittel im Detail erläutert werden, dann können Sie diese Informationen in der DSFA in HITGuard nun auch erfassen.

Der Menüpunkt Datenschutz > Berichte ist neu und bietet eine große Auswahl an möglichen Konfigurationen von Berichten zu Verarbeitungstätigkeiten, Datenschutz-Folgeabschätzungen und Betroffenenkategorien:

Unter Datenschutz > Berichte > Verarbeitungsregister > Eigene Verarbeitungstätigkeit kann nun ein Bericht generiert werden der wahlweise eine oder mehrere oder alle eigenen Verarbeitungstätigkeiten enthält. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

Unter Datenschutz > Berichte > Verarbeitungsregister > im Auftrag anderer kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die entweder durch eine Organisationseinheit des eigenen Unternehmens oder für einen bestimmten externen Kunden erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

Unter Datenschutz > Berichte > Verarbeitungsregister > externe Auftragsverarbeiter kann nun ein Bericht generiert werden, der alle Verarbeitungstätigkeiten enthält, die durch externe Auftragsverarbeiter für das Unternehmen erbracht werden. Dafür werden die Verarbeitungstätigkeiten in der letztgültigen Version mit dem Status „Bearbeitung abgeschlossen“ angeboten.

Für Ressourcen können nun Wiederherstellzeit und Backup Intervall als Information zum aktuellen Stand der IST-Analyse abgebildet werden.

Die Wiederherstellzeit wird in Stunden für diese Ressource (unabhängig von den Wiederherstellzeiten benötigter Systeme) erfasst. Dabei kann dokumentiert werden, ob die Wiederherstellzeit z.B. durch einen SLA gesichert ist. Dazu können Kommentare erfasst und Dokumente abgelegt werden.

Auch das Backup Intervall wird in Stunden erfasst. Es ist aber auch möglich für eine Ressource zu kennzeichnen, dann ein Backup dafür nicht relevant ist.

Das proaktive Melden eines Fortschritts durch den Practitioner (zusätzlich zum reaktiven Melden nach Aufforderung durch den Expert) kann über die globalen Einstellungen (Administration > Globale Einstellungen | Optionale Maßnahmeneigenschaften) ein- bzw. ausgeblendet werden.

Unter Administration > Datenimport findet sich die Verwaltung der Importkonfigurationen. Hier können Konfigurationen zu einzelnen Importformaten verwaltet, gepflegt und ausgeführt werden. Nun gibt es auch die Möglichkeit Prozesse zu importieren.

Eine einmal erstellte Importkonfiguration kann immer wieder mit neuen Importdateien ausgeführt werden. Dabei werden auch Felder aktualisiert, wenn die Datensatz-ID vom Fremdsystem konstant verbleibt.

Eine Anleitung zur Durchführung von Datenimports finden Sie hier in unserer Dokumentation.