HITGuard Release März 2019

Zwei wesentliche Features können Sie in unserem neuen Release nun nutzen:

• Zielreifegrade je Managementsystem und Analysezeitraum
• Freie Erfassung von Prüfergebnissen

Sie können einen gewünschten Zielreifegrad je Managementsystem konfigurieren. Dies beschreibt den Zielzustand für alle Abweichungsanalysen. Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt. Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.

Der Zielreifegrad kann sich über die Analysezeiträume verändern. Standardmäßig wird er bei der Überführung eines Analysezeitraums in den Nachfolgenden übernommen.

Der Zielreifegrad je Managementsystem und Analysezeitraum ist unter „Administration“ > „Managementsystem“ > ein Managementsystem selektieren > auf den Reiter „Aktiver Analysezeitraum“ wechseln > 5. Eingabefeld von Oben „Zielreifegrad“ definierbar.

Neu ist auch, dass erkannte Abweichungen zum Zielreifegrad durch ihre Zielreifegrad-Gewichtung ausgewertet werden können.

Bisher war es möglich in allen Abweichungsauflistungen diese nach der Gewichtung ihrer Schutzziele zu sortieren. Nun kann die Gewichtung der Schutzziele mit der Differenz der Abweichung zum Zielreifegrad in Beziehung gesetzt werden. Daher gibt es nun die Option der „Zielreifegrad-Gewichtung“ für Sortierungen.

D.h. dass bei Wahl dieser Option jede Abweichung (1) zum Zielreifegrad relativ ermittelt wird und (2) je Schutzziel gewichtet wird. Diese beiden Faktoren machen multipliziert eine Aussage über die Signifikanz der Abweichung im Kontext eines Schutzziels. Wenn diese Auswertung gewünscht ist, dann kann in den jeweiligen Auswertungslisten , die Checkbox „Zielgrad-Gewichtung“ aktiviert werden. Anschließende Sortierungen in den Spalten der Schutzziele richten sich nach dem Ergebnis der beschriebenen Multiplikation.

Prüfergebnisse konnten bisher nur durch Nutzung von Wissensdatenbanken über fragebogengeleitete Bewertungen ermittelt werden. Jetzt ist es auch möglich Prüfergebnisse zu erfassen, ohne einen Fragebogen zu beantworten. Dies ist vor allem dann interessant, wenn man z.B. Ergebnisse aus Auditberichten, Besprechungsergebnisse, zusätzliche Erkenntnisse neben fragebogengeleiteten Analysen etc. erfassen möchte.

Unter „Security Assessor“ > „Risikoidentifikation“ findet man nun zwei Anlagemöglichkeiten von Risikoidentifikationen:

Die Abweichungsanalyse beschreibt den bisherigen Weg für eine Schwachstellenanalyse geleitet nach einem Fragenkatalog. Die Anlage eines Prüfergebnisses kann nun dazu genutzt werden Abweichungen frei zu erfassen, wie im folgenden Beispiel dargestellt:

Dazu werden im Schritt 2 Prüfobjekte zur Beschreibung des besprochenen Themas frei erfasst. Im Schritt 3 können dann beliebig viele Prüfergebnisse zu diesem Prüfobjekt angelegt werden:

Diese Anlage freier Prüfergebnisse ist übrigens auch im Kontext von Interviews möglich, die fragebogengeleitet durchgeführt wurden.