Managementsysteme: Unterschied zwischen den Versionen

Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten. Experten können nur jene Managementsysteme bearbeiten, für die sie verantwortlich sind.

Was ist ein Managementsystem?

Ein Managementsystem ist eine inhaltliche Bündelung von Elementen, also Maßnahmen und Fortschrittsmeldungen, Kontrollen, Feststellungen und Abweichungen, Audits und Überprüfungen etc.

Dabei werden die Elemente zu einem Team an verantwortlichen Experten und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. dem Information Security Management-Team oder dem Datenschutz-Team). Ebenso werden alle darin verwalteten Elemente im Sinne der Analysezeiträume historisiert und dadurch vergleichbar gemacht.

Welchen Zweck erfüllen Managementsysteme?

Managementsysteme haben zwei zentrale Funktionen:

1. Sie dienen dazu Maßnahmen, Kontrollen oder Risikoidentifikationen ausgewählter Abteilungen Themenbereichen zuzuteilen und dafür verantwortliche Experten zu definieren. Diese betreuen die Fortschrittserhebung zu den Maßnahmen.
   Beispiel:
   • Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau XY verwaltet
   • Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet
     

2. Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können.
   Beispiel:
   • Herr Mustermann erhebt halbjährlich Fortschritte über zehn Abteilungen.
   • Frau XY erhebt quartalsweise Fortschritte über zwei Abteilungen.

Das heißt:

• Maßnahmen zur Risikobehandlung können von Mitarbeitern aus unterschiedlichen Verantwortungsbereichen umgesetzt werden. Experten aus den einzelnen Managementsystemen können laufend den Fortschritt der Maßnahmenentwicklungen erheben und über mehrere Analysezeiträume hinweg berichten.

• Neben den Maßnahmen können für die weitere Risikoüberwachung Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen. Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, die in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden. Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentiert.

Löschen eines Managementsystems:

• Das Löschen eines Managementsystems kann nur vom verantwortlichen Experten ausgelöst werden.
• Es wird das Löschen von Managementsystemen nur dann unterstützt, wenn keine aktiven Analysezeiträume enthalten sind.

Lizenzen:

In der Übersicht wird angezeigt, wie viele Lizenzen aktuell vorhanden sind, und wie viele verwendet werden. Dadurch ist auf einen Blick ersichtlich, ob man unterlizensiert ist oder noch Lizenzen für zusätzliche Managementsysteme hat. Mehr Informationen zu den Lizenzen sind unter "Administration → Lizenzierung" zu finden.

In den Stammdaten wird ein Managementsystem konfiguriert. Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus.

Hier werden der Name, der/die Verantwortliche(n) und die Teammitglieder für ein Managementsystem festgelegt und eingetragen.

Für jedes Managementsystem kann ein oder mehrere Experts bzw. aus Experts bestehende Teams als Verantwortlicher eingetragen werden. Die Mitglieder des Managementteams müssen Experts, Professionals oder Observer sein.
Managementsysteme sind nach Erstellung nur mehr von den verantwortlichen Personen oder den Administratoren bearbeitbar.

Bewertungsschema
Bewertungsschemas sind eine Möglichkeit, Überprüfungen nach einem anderen Schema wie das Zielreifegrad Schema zu Bewerten. Mögliche Bewertungsschemas sind:

• Ja/Nein/Teilweise
• CMMI-Prozessmodell
• Notensystem (1-4)

Die dritte Option steht standardmäßig nicht zur Auswahl. Um diese Option zur Auswahl zu bekommen, nehmen Sie mit unserem Team Kontakt auf.

Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Risikomanagements standardmäßig aktiviert. Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Die Schutzziele sind dann innerhalb des Managementsystems verwendbar. Schutzziele können von Experten unter "Risikomanagement → Risikopolitik" verwaltet und erstellt werden. (siehe Schutzziele)

Weiters können hier die Standards und Normen, die in diesem Managementsystem Verwendung finden sollen, konfiguriert werden.

Normen und Standards die hier nicht ausgewählt werden sind zwar bei bereits vorhanden Mappings sichtbar, können aber in diesem Managementsystem nicht mehr ausgewählt oder verändert werden. Sie werden auch nicht berücksichtigt, wenn in einem Bericht weitere gemappte Kapitel inkludiert werden (z.B. Konformitätsbericht nach Standards und Normen).

Ist beispielsweise die Norm "DSGVO" nicht ausgewählt, kann diese nicht für die Auswertung der Compliance Spinne im Risikomanagement Dashboard nach "DSGVO" ausgewählt werden.

• Datenschutz Add-on:

Dadurch wird das Datenschutzmodul für dieses Managementsystem aktiviert. Experten, Professionals und Beobachter für den Datenschutz in HITGuard können dann über den Menüpunkt Datenschutz Verarbeitungstätigkeiten, Datenschutzfolgeabschätzungen und mehr erstellen und verwalten.

• Fallmanagement Add-on:

Legt fest, ob dieses Managementsystem zum Melden von Vorfällen verwendet werden soll. Dadurch wird der Menüpunkt Fallmanagement für Fallmanagementberechtigte sichtbar.

• Auditmanagement Add-on:

Legt fest, ob dieses Managementsystem zum Managen von Audits und Auditprogrammen verwendet werden soll. Dadurch wird der Menüpunkt Auditmanagement für Auditmanagementberechtigte sichtbar.

• Wird hier eine E-Mail-Einstellung gesetzt, dann werden alle Erinnerungen, die von diesem Managementsystem ausgehen, über diese E-Mail-Adresse versendet. Falls Sie kein eigenes E-Mail-Konto verwenden, sondern das von TogetherSecure zur Verfügung gestellte, muss die Absenderadresse mit @hitguard.at enden.
• Wird hier keine E-Mail-Einstellung konfiguriert, so werden alle Mails von jener Adresse versandt, die in den globalen Einstellungen hinterlegt ist. (siehe Globale E-Mail Einstellungen)

Mit dem Intervallschema wird definiert, ob Analysezeiträume einem vorgegebenen Rhythmus folgen sollen.
Analysezeiträume können:

• Manuelle Anlage: Hier wird die zeitliche Eingrenzung mit einem Von-bis-Datum manuell definiert. Das ist von Anlage zu Anlage individuell.
• Startdatum plus Intervall: Hier wird ein Jahr in drei Analysezeiträume unterteilt. Begonnen wird beispielsweise mit 1.2. bis 31.5.2017; 1.6. bis 30.09.2017 und 1.10. bis 31.1.2018.

Hier wird die aktuelle Einstellung für Fortschrittsmeldungs-Erinnerungen angezeigt. Durch diese Einstellung wird dafür gesorgt, das ein Umsetzer einer Maßnahme vor Ablauf der Frist an die Umsetzung dieser via E-Mail erinnert wird.

Diese Einstellung muss direkt in der Datenbank vorgenommen werden!

Wenn Sie diese Einstellung ändern möchten, wenden Sie sich bitte an unser Team.

Analysezeiträume dienen dazu, im Risikomanagement sowie in der Maßnahmen- und Kontrollverwaltung bzw. beim Datenschutz einzelnen Perioden Resultate zuzuordnen und diese auswertbar und vergleichbar zu machen. Dies ermöglicht es, den Fortschritt von Maßnahmen über mehrere Zeiträume zu verfolgen und zu analysieren.

In einem Managementsystem werden innerhalb eines Analysezeitraums beispielsweise Maßnahmen festgestellt, bearbeitet und umgesetzt.

Für diese Maßnahmen können jederzeit Fortschrittsmeldungen angefordert werden.

Am Ende eines Analysezeitraums muss für jede aktive Maßnahme mindestens eine Fortschrittsmeldung vorhanden sein. Erst dann kann der Analysezeitraum in den nächsten überführt werden. Der Verantwortliche wird vor Redaktionsschluss via E-Mail aufgefordert, Fortschrittsmeldungen zu den aktiven Maßnahmen einzuholen.

Wurden alle Fortschrittsmeldungen akzeptiert, kann der Analysezeitraum überführt werden und der Ablauf beginnt von vorne.

Durch Gegenüberstellung der Analysezeiträume am Dashboard ist es möglich, den Fortschritt von Maßnahmen nachzuverfolgen.

Analysezeiträume können auf zwei unterschiedliche Weisen angelegt werden.(siehe Intervallschema definieren)

Beginn und Ende:

• Ein Analysezeitraum kann so kurz oder lange sein, wie es die Organisation benötigt. Beginn und Ende können prinzipiell auch am selben Tag liegen, jedoch darf der Beginn nicht nach dem Ende liegen.

Redaktionsschluss:

• Relevant für die Maßnahmen und Kontrollverwaltung. Das ist jenes Datum bei dem alle Fortschrittsmeldungen zu den Maßnahmen eines Analysezeitraums abgeschlossen sein sollten. Fortschrittsmeldungen können über "Maßnahmen → Fortschrittsmeldungen" auch jederzeit manuell angefordert werden. Dieses Datum muss vor oder am Datum des Analysezeitraumende liegen.

Target Score:

• Der Target Score beschreibt den Zielzustand für alle Abweichungsanalysen. Wenn Sie bei einer Analyse unter einem Target Score liegen, wird die beantwortete Prüffrage als Abweichung erkannt. Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden. Wird das Bewertungsschema geändert, muss auch der Target Score angepasst werden.

Enthaltene OrgEhs:

• Organisationseinheiten sind in den Analysezeiträumen, denen sie zugeteilt sind, berichtspflichtig. Das heißt, sie müssen zum Redaktionsschluss Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben. Eine Organisationseinheit kann zeitgleich in mehreren Managementsystemen bzw. Analysezeiträumen berichten.
• Werden im Laufe eines Analysezeitraums neue Organisationseinheiten erstellt, so werden diese, falls ihre übergeordnete Organisationseinheit diesem Analysezeitraum zugewiesen ist, automatisch zu dem Analysezeitraum hinzugefügt. Hat die Organisationeinheit allerdings keine übergeordnete Organisationseinheit, die diesem Analysezeitraum zugeordnet ist, dann muss sie manuell hinzugefügt werden.

In Nachfolge-Analysezeitraum überführen:

• Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit der Maßnahmen- und Kontrollverwaltung, alle nicht auf Status „erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und dem jeweiligen Status entsprechend adaptiert. Die erledigten Maßnahmen werden im nächsten Zeitraum nicht mehr weiterverfolgt.

• Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Experten ausgelöst werden.
• Es wird das Löschen von Analysezeiträumen nur dann unterstützt, solange noch keine Fortschrittsmeldungen erstellt wurden.
• Es kann immer nur der aktuelle Analysezeitraum gelöscht aber nicht mehr abgeschlossen werden.

• In der Historie werden die Analysezeiträume, die schon abgeschlossen wurden, mit Beginn, Ende und Redaktionsschluss aufgelistet.

Hier kann festgelegt werden, ob und für welche Elemente bei der Erstellung automatisch ein Kürzel generiert werden soll. Die Zusammensetzung des Kürzels kann ebenfalls hier festgelegt werden. Die Einstellung wird beim Erstellen des Managementsystems aus den Globalen Einstellungen übernommen, kann hier jedoch jederzeit verändert und angepasst werden.

• Das allgemeine Präfix wird bei allen selektierten Elementen vorangestellt.
• In der ersten Spalten kann für alle Elemente, die mit einem automatischen Kürzel generiert werden sollen, ein Häkchen gesetzt werden.
• Präfix: eine Buchstaben-, Zahlen-, oder Sonderzeichenfolge, die das Element deutlich kennzeichnet (z.B. M für Maßnahme). Der Default-Eintrag kann verändert werden.
• OrgEh Kürzel: entscheidet, ob das Kürzel des Elements auch das Kürzel der Organisationseinheit enthalten soll. Bei Elementen, die keiner Organisationseinheit zugewiesen sind, ist diese Option deaktiviert (z.B. Gefährdungslagen oder Prozesse).
• OrgEh Suffix: ein Trennzeichen zwischen dem OrgEh Kürzel und der laufenden Nummer (z.B. _ oder -).
• Minimale Präzision: die Mindestzahl von Stellen der fortlaufenden Nummer. Es kann mindestens 1 und maximal 10 eingetragen werden. Bei einer Anzahl von 4 wären die resultierenden Nummern bspw. 0001, 0026 oder 0184.