Suche aufrufen
Menü aufrufen
47
1.3K
10
34.8K
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Erstellen einer Wissensdatenbank/en: Unterschied zwischen den Versionen

Aus HITGuard User Guide
Weitere Optionen
← Zum vorherigen Versionsunterschied
VisuellWikitext
Isan (Diskussion | Beiträge)
Administratoren, translater, tsuser
10.680 Bearbeitungen
Keine Bearbeitungszusammenfassung
FuzzyBot (Diskussion | Beiträge)
9.961 Bearbeitungen
Übernehme Bearbeitung einer neuen Version der Quellseite
 
(146 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 5: Zeile 5:
This means, experts can add and hierarchically sort topics. Topics are then assigned review questions, either newly created or from an existing pool of questions. In the next step, threats, justification templates, measures, and/or controls can be created or assigned from existing ones. If, for example, a knowledge base already includes measures and controls (as is the case with BSI IT-Grundschutz), that means appropriate measures and controls have already been thought up for the offered threats. Users are encouraged, however, to evaluate their respective scenarios and create additional measures and/or controls for the treatment of the threats.
This means, experts can add and hierarchically sort topics. Topics are then assigned review questions, either newly created or from an existing pool of questions. In the next step, threats, justification templates, measures, and/or controls can be created or assigned from existing ones. If, for example, a knowledge base already includes measures and controls (as is the case with BSI IT-Grundschutz), that means appropriate measures and controls have already been thought up for the offered threats. Users are encouraged, however, to evaluate their respective scenarios and create additional measures and/or controls for the treatment of the threats.


<span id="Wissensdatenbank_erstellen/bearbeiten"></span>
== Create/edit knowledge base ==
== Create/edit knowledge base ==


Zeile 11: Zeile 12:
Here, all knowledge bases are listed, whether they have been published or not. Only published knowledge bases can be used for reviews. Published knowledge bases are marked with a green tick. If there are multiple versions of a knowledge base, one can be declared the default version (see: edit). It is then marked with a red heart.
Here, all knowledge bases are listed, whether they have been published or not. Only published knowledge bases can be used for reviews. Published knowledge bases are marked with a green tick. If there are multiple versions of a knowledge base, one can be declared the default version (see: edit). It is then marked with a red heart.


'''create:'''<br>
'''Create:'''<br>


<div class="mw-translate-fuzzy">
* To create a new knowledge base, click the "Create new knowledge base" button. Then, enter the header information, create topics and their review questions, and finally assign measures, controls, justification templates, and threats.<br>
* To create a new knowledge base, click the "Create new knowledge base" button. Then, enter the header information, create topics and their review questions, and finally assign measures, controls, justification templates, and threats.<br>
</div>


[[Datei:WDB Wissensdatenbanken.png|left|thumb|901px|Tab knowledge bases]]<br clear=all>
[[Datei:WDB Wissensdatenbanken.png|left|thumb|901px|Tab knowledge bases]]<br clear=all>


'''edit:'''<br>
'''Edit:'''<br>


* To edit a KB, click on the desired KB. Published knowledge bases are read-only and can therefore no longer be modified. If a KB has been published, you need to create a superseding version or a user adaptation (of a vendor knowledge base). In the same interface, you can also set a KB as the default version if multiple versions of the KB exist. <br>
* To edit a KB, click on the desired KB. Published knowledge bases are read-only and can therefore no longer be modified. If a KB has been published, you need to create a superseding version or a user adaptation (of a vendor knowledge base). In the same interface, you can also set a KB as the default version if multiple versions of the KB exist. <br>
* The superseding version is unpublished and can therefore be edited.
* The superseding version is unpublished and can therefore be edited.


[[Datei:WDB Maske Wissensdatenbank bearbeiten.png|left|thumb|899px|Interface for editing a knowledge base]]<br clear=all>
[[Datei:WDB Maske Wissensdatenbank bearbeiten.png|left|thumb|900px|Interface of a published knowledge base]]<br clear=all>


<span id="Kopfdaten"></span>
=== Header information ===
=== Header information ===


----
----
In the header data, briefly describe the purpose of the knowledge base. Depending on whether it is a self developed knowledge base or one for a norm, you need to set the type accordingly, set the effective date, and add the creator (e.g. name or company). Caution: only KBs of the types vendor or norm or standard can be exported. Additionally, you can add a copyright note. This copyright note is then displayed with every measure, control, and review question of the knowledge base (also in reports).
In the header data, briefly describe the purpose of the knowledge base. Depending on whether it is a self developed knowledge base or one for a norm, you need to set the type accordingly, set the effective date, and add the creator (e.g. name or company). Caution: only KBs of the types vendor or norm or standard can be exported.


<b>Typ Hersteller und Standard oder Norm</b>
<b>Type vendor and norm or standard</b>


Um WDBs vom Typ Hersteller oder Standard/Norm zu erstellen, müssen Sie im Besitz einer Hersteller Lizenz sein! Diese WDBs sind auch die einzigen, welche exportiert werden können.
To create KBs of the type vendor or norm or standard, you need to have a vendor license! These KBs are also the only ones that can be exported.


[[Datei:WDB Kopfdaten.PNG|left|thumb|900px|Maske der Kopfdaten zum Erstellen einer WDB]]<br clear=all>
[[Datei:WDB Kopfdaten.PNG|left|thumb|901px|Header data when creating a KB]]<br clear=all>


=== <span id="topi"></span>Themen ===
In self-developed knowledge bases, you can use the checkboxes to configure whether the short version of the copyright is to be displayed/printed  in the review assistant and with the review question in a report.
 
<span id="Themen"></span>
=== <span id="topi"></span>Topics ===


----
----
In diesem Reiter werden alle Themen, die in einer WDB enthalten sind, hierarchisch aufgelistet.
Here, all the topics that are part of the KB are listed hierarchically. The purpose of topics is to give knowledge bases a meaningful structure.  
Themen erfüllen den Zweck, eine Wissensdatenbank sinnvoll zu strukturieren.  
 
<span id="Thema_erstellen/bearbeiten"></span>
==== '''Create/edit topic''' ====
 
To create a new topic, navigate to the tab "Topics" and click on "create new topic". Then fill out the displayed form.


==== '''Thema erstellen/bearbeiten''' ====
[[Datei:WDB neues Thema erstellen.png|left|thumb|900px|Create new topic]]<br clear=all>


Um ein neues Thema zu erstellen, müssen Sie auf die "Themen" Maske navigieren und auf "neues Thema erstellen" klicken. Dann ist die angezeigte Maske auszufüllen.
[[Datei:WDB Maske Thema erstellen.PNG|left|thumb|902px|Form for creating a new topic]]<br clear=all>


[[Datei:WDB neues Thema erstellen.png|left|thumb|900px|neues Thema erstellen]]<br clear=all>
:<u>Numbering and title:</u> Here, set the numbering and the title. The numbering should help clarify the KB's structure, e.g. 1, 1.1, 1.2, etc. The title should be informative, so the user immediately knows what questions the topic covers. <u>Note:</u> The topics are automatically sorted alphabetically or in ascending numerical order, respectively. With a larger number of numbered topics, it is advisable to use a leading zero in order to have the sorting order match expectations (e.g., 01, 02, 03 ... 10, 11, etc.).


[[Datei:WDB Maske Thema erstellen.PNG|left|thumb|902px|Maske zum Erstellen eines neuen Themas]]<br clear=all>
:<u>Description:</u> Here, describe the purpose of the topic. This text field supports HTML formatting.


:<u>Gliederung und Titel:</u><br>
:<u>Supporting documents:</u> Here, record references or links to documents that might be relevant for the preparation of auditing this topic. If the topic is used in a review by knowledge base, the supporting documents are shown in the review assistant. The supporting documents are also printed with the respective review object in audit and review reports.
::Hier legen Sie die Gliederung und den Titel fest. Als Gliederung sollten Sie etwas nehmen, das bei der Strukturierung der WDB Sinn ergibt, z.B. 1, 1.1, 1.2, etc. Der Titel sollte aussagekräftig sein, sodass man sofort weiß, welche Frage in diesem Thema behandelt wird.


:<u>Beschreibung:</u><br>
:<u>Parent topic:</u> If the topic is a subordinate one, the parent topic has to be set here so the KB is structured properly.
:: Hier sollten Sie beschreiben, welchen Zweck das Thema erfüllt. Dieses Textfeld unterstützt HTML Texte.


:<u>Nachweisdokumente:</u><br>
<!-- NO TRANSLATION
:: Hier können Sie Referenzen oder Links auf Dokumente hinterlegen, die für die Auditvorbereitung hinsichtlich dieses Themas relevant sind.


:<u>Übergeordnetes Thema:</u><br>
NO TRANSLATION
:: Handelt es sich bei dem Thema um ein untergeordnetes, müssen Sie hier das übergeordnete Thema angeben, damit die Strukturierung der WDB richtig ist.
<!--
:<u>Kategorie:</u><br>
:: Hier müssen Sie festlegen, mit welcher Kategorie sich ein Thema beschäftigt. Diese Kategorien sind vom Hersteller festgelegt.<br>Sie lauten:
::*IT-Systeme
::*IT-Infrastruktur
::*Netzwerk
::*Applikation
::*Prozesse
::*Informationen
::*Personen


:<u>Verpflichtend:</u><br>
NO TRANSLATION -->
:: Ist dieses Thema ein Pflichtthema, dann ist dies ein verpflichtend notwendiges Thema, z.B. Thema Backup bei einer ISO 27001 Wissensdatenbank. Wenn ein Experte diesen Katalog verwendet, dann sollte er die Pflichtthemen, die der Katalogersteller vorgibt, auf jeden Fall betrachten. Wenn er gewisse Pflichtthemen nicht betrachten will, ist dies dokumentiert zu begründen. Soll ein Thema verpflichtend sein, müssen Sie es hier einstellen.


:<u>Detailebene:</u><br>
:<u>Effective date:</u> This should be the date of the latest revision.
:: Die Detailebene bestimmt, mit welcher Ebene der Struktur sich das Thema befasst. (Ressource, Ressourcen Gruppe, Modellsegment)


:<u>Wiedervorlagerhythmus:</u><br>
<span id="Prüffragen_zuordnen"></span>
:: Stellen Sie hier ein Intervall ein, dann wird dieses Thema wiederholend bei Auditplanungen vorgeschlagen.
==== '''Assign review questions''' ====
-->
:<u>Stand:</u><br>
:: Beim Stand sollten Sie das Datum der letzten Änderung eintragen.


==== '''Prüffragen zuordnen''' ====
Once you have created a topic, you need to assign it questions. For this, you may use existing review questions or [[#Prüffrage erstellen, bearbeiten und löschen|create new questions]]. When the question is assigned, you should in turn also [[#Maßnahmen, Kontrollen und Bedrohungen zu Prüffragen zuordnen|assign measures, controls, and threats to the question]].


Haben sie ein Thema erstellt, müssen Sie diesem noch Prüffragen zuweisen. Dafür können sie dem Thema bereits existierende Prüffragen zuordnen oder [[#Prüffrage erstellen, bearbeiten und löschen|neue Prüffragen anlegen]]. Wollen Sie eine hierarchische Struktur der Prüffragen, müssen Sie [[#Unterfragen konfigurieren:|Unterfragen konfigurieren]]. Haben Sie eine Prüffrage zugeordnet, sollten Sie dieser auch noch [[#Maßnahmen, Kontrollen und Bedrohungen zu Prüffragen zuordnen|Maßnahmen, Kontrollen und Bedrohungen zuordnen]].
Normally, the review questions are sorted according to the sort order (hidden column). This is also the order in which they are listed in gap analyses. The arrows next to the plus button can be used to adjust the sort order of the review questions.


[[Datei:WDB Prüffragen zuordnen.png|left|thumb|902px|Navigation: Prüffragen zum Thema zuordnen]]<br clear=all>
[[Datei:WDB Prüffragen zuordnen.png|left|thumb|900px|Navigation: assign review questions to the topic]]<br clear=all>


[[Datei:WDB existierende Prüffragen zuordnen.PNG|left|thumb|900px|Maske zum Zuordnen von bereits existierenden Prüffragen ]]<br clear=all>
[[Datei:WDB existierende Prüffragen zuordnen.PNG|left|thumb|900px|Form for assigning existing questions]]<br clear=all>


==== '''Unterfragen konfigurieren''' ====
<span id="Unterfragen_konfigurieren"></span>
==== '''Configure sub-questions''' ====


Um Prüffragen hierarchisch zu gliedern, müssen Sie auf die Prüffrage, welche untergeordnet werden soll, doppelklicken und die übergeordnete Strukturfrage auswählen (es wird nur eine Ebene unterstützt, d.h. Unterfragen können keine weiteren Unterfragen haben). Anschließend können Sie, je nachdem wie die Strukturfrage beantwortet wird, auswählen, wie sich die untergeordnete Frage verhalten soll.
To sort review questions hierarchically, double-click the questions you want to be subordinates and choose a parent question for them (only one layer is supported, meaning a sub-question cannot have further sub-questions). Then, you can choose how the sub-question is to behave depending on the parent question's answer.


[[Datei:WDB Prüffragen hierarchie.PNG|left|thumb|900px|Beispiel: Prüffragen-Hierarchie]]<br clear=all>
[[Datei:WDB Prüffragen hierarchie.PNG|left|thumb|900px|Example: review question hierarchy]]<br clear=all>


[[Datei:WDB Unterfrage konfigurieren.png|left|thumb|9003px|Beispiel: Unterfrage konfigurieren]]<br clear=all>
[[Datei:WDB Unterfrage konfigurieren.png|left|thumb|900px|Example: configure sub-question]]<br clear=all>


==== <span id="posmeas"></span>'''Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen zu Prüffragen zuordnen und bearbeiten''' ====
In reports, structural questions are formatted in italics and their corresponding sub-questions are indented below them.


<span id="Maßnahmen,_Kontrollen,_Begründungsvorlagen_und_Bedrohungen_zu_Prüffragen_zuordnen_und_bearbeiten"></span>
==== <span id="posmeas"></span>'''Assign and edit measures, controls, justification templates, and threats''' ====


Maßnahmen und Kontrollen, die einer Frage zugeordnet sind, werden bei der Risikobehandlung vorgeschlagen, wenn diese bei einer Überprüfung eine Abweichung aufweisen. Begründungsvorlagen können als Begründung für eine Antwort verwendet werden. Werden Bedrohungen zugeteilt, wird diese Prüffrage unter diesen Bedrohungen für Analysezwecke gelistet.
Measures and controls that have been assigned to a review questions are suggested during risk treatment, if their question shows a gap during an assessment. Justification templates can be used as a justification for an answer. If threats are assigned, the question is listed with the threats for analysis purposes.


'''zuordnen oder neu erstellen:'''
'''assign or create:'''
*Die Masken zum Zuordnen von existierenden Maßnahmen, Kontrollen, Begründungsvorlagen und Bedrohungen sind bis auf den Inhalt ident mit der Maske zum Zuordnen von Prüffragen.
*The forms for assigning existing measures, controls, justification templates, and threats are the same as the one for assigning review questions, with the exception of the actual content.
*Zum Erstellen siehe [[#Maßnahme erstellen, bearbeiten und löschen|Maßnahme erstellen]],[[#Kontrolle erstellen, bearbeiten und löschen|Kontrolle erstellen]], [[#Begründungsvorlage erstellen, bearbeiten und löschen|Begründungsvorlage erstellen]] und [[#Bedrohung erstellen, bearbeiten und löschen|Bedrohung erstellen]].
*To create see [[#Maßnahme erstellen, bearbeiten und löschen|create measure]], [[#Kontrolle erstellen, bearbeiten und löschen|create control]], [[#Begründungsvorlage erstellen, bearbeiten und löschen|create justification template]], and [[#Bedrohung erstellen, bearbeiten und löschen|create threat]].




[[Datei:WDB Prüffrage M K B zuordnen.png|left|thumb|901px|Prüffrage Maßnahmen, Kontrollen und Bedrohungen zuordnen]]<br clear=all>
[[Datei:WDB Prüffrage M K B zuordnen.png|left|thumb|901px|Assign measures, controls, and threats to review question]]<br clear=all>




'''bearbeiten und Zuordnung aufheben:'''
'''edit and remove assignment:'''
*Doppelklicken Sie, wie in der oben gezeigten Maske, auf ein Element, wird die Bearbeiten Maske des jeweiligen Elements aufgerufen und Sie können die Eigenschaften dieses Elements bearbeiten. Ebenso können Sie in dieser Maske die Zuordnung zur Prüffrage aufheben.
*As shown above, double-click an element to open its editing interface and edit its properties. Here, you can also remove the assignment to the review question.


[[Datei:WDB Maßnahme bearbeiten.png|left|thumb|903px|Maske zum Bearbeiten einer Kontrolle]]<br clear=all>
[[Datei:WDB Maßnahme bearbeiten.png|left|thumb|903px|Form for editing a control]]<br clear=all>


=== <span id="ques"></span>Prüffragen ===
<span id="Prüffragen"></span>
=== <span id="ques"></span>Review questions ===


----
----
In diesem Reiter werden alle Prüffragen, welche in der WDB existieren, aufgelistet. Sie haben in diesem Reiter aber keine Hierarchie, diese existiert nur bei den Themen. Dieser Reiter bietet auch die Option, neue Prüffragen zu erstellen.
This tab shows a list of all review questions that exist in the KB. However, they do not show a hierarchy here, this is only displayed under the topics. This tab also lets you create new review questions.
 
[[Datei:WDB Prüffragen.png|left|thumb|900px|KB tab Questions]]<br clear=all>


[[Datei:WDB Prüffragen.png|left|thumb|900px|Wissensdatenbank Reiter Prüffragen]]<br clear=all>
<span id="Prüffrage_erstellen,_bearbeiten_und_löschen"></span>
==== '''Create, edit, and delete a review question''' ====


==== '''Prüffrage erstellen, bearbeiten und löschen''' ====
To create a review question, click the "Create new question" button shown above.
To edit or delete a question, double-click the desired question. Then the question can be edited or deleted (via the "trash can" icon). The behaviour of sub-questions can only be changed in the topics tab.


Um eine Prüffrage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Prüffrage erstellen" Button klicken.
'''Properties:'''
Um eine Prüffrage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Prüffrage doppelklicken. Anschließend kann die Prüffrage über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol). Das Verhalten von Unterfragen ist nur bei den Themen änderbar.


'''Eigenschaften:'''
*<u>Numbering and title:</u> The numbering should be logical and comprehensible, e.g. an abbreviation of the topic and a serial number (DSO_01.00). The title should be informative, so the user immediately knows what the question is about.


*<u>Gliederung und Titel:</u><br>
*<u>Question:</u> Pose a clearly formulated question here.
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden, z.B. Abkürzung des Themas + laufende Nummer (DSO_01.00)<br>Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Frage geht.


*<u>Fragestellung:</u><br>
*<u>Description:</u> If necessary, further describe the question here. For example, you might describe the basic conditions that need to be fulfilled for a question to be answered positively.
:: Hier sollten Sie eine klar formulierte Frage stellen.


*<u>Beschreibung:</u><br>
<!-- NO TRANSLATION -->
:: Hier sollten Sie, falls nötig, die Frage genauer beschreiben, d.h. beispielsweise erklären, welche Rahmenbedingungen mindestens erfüllt sein müssen, damit eine Frage als positiv erfüllt zu sehen ist.


<!--
*<u>Hint for auditors:</u> Information for auditors can be recorded here. This could, for instance, be links to documents the answers should be compared to, or a checklist with the exam steps. This information is only shown in gap analyses that have been opened either in "Risk management → Vulnerabilities" or from an audit. (It is not displayed if the analysis has been opened in the context of "My tasks".)
*<u>Kategorie:</u><br>
::Hier müssen Sie festlegen, mit welcher Kategorie sich ein Frage beschäftigt. Diese Kategorien sind vom Hersteller festgelegt.
::Sie lauten:
::*IT-Systeme
::*IT-Infrastruktur
::*Netzwerk
::*Applikation
::*Prozesse
::*Informationen
::*Personen


*<u>Detailebene:</u><br>
*<u>Type of question:</u> Choose whether it is a technical or a process question, or an information gathering. Technical questions are answered with Yes, No, or Partly and process questions with a maturity level from 0 to 5.
::Die Detailebene bestimmt, auf welcher Ebene der Struktur die Frage auftritt. (Ressource, Ressourcen Gruppe, Modellsegment)
-->
*<u>Hinweis für Prüfer:</u><br>
:: Hier können Informationen für den Prüfer hinterlegt werden. Dabei könnte es sich beispielsweise um Links zu Dokumenten, mit denen die Ausarbeitung verglichen werden soll, oder eine Checkliste mit zu überprüfenden Schritten handeln.
:: Diese Information wird nur bei Abweichungsanalysen angezeigt, welche entweder unter "Risikomanagement → Schwachstellen" oder aus einem Audit heraus geöffnet werden. (Sie wird nicht angezeigt, wenn die Abweichungsanalysen im Kontext von "Meine Aufgaben" geöffnet wird.)


*<u>Art der Frage:</u><br>
::<u>Note</u>: Information gatherings in reviews are seen as answered if the comment was filled in and/or at least one file was uploaded as evidence.
:: Hier müssen Sie auswählen, ob es sich bei einer Frage um eine Technikfrage oder um eine Prozessfrage handelt. Technikfragen können mit Ja, Nein oder Teilweise beantwortet werden und Prozessfragen mit Reifegraden.


*<u>Antwortmöglichkeiten und Entbehrlich:</u><br>
*<u>Answer types and unnecessary:</u> This option allows you to limit the answer types for the question. This is only possible for technical questions. The option "unnecessary" dictates whether a question has to be answered or not. Note that setting a structural question as unnecessary will affect its sub-questions, as their behaviour in response to an unnecessary structural question can be configured. Information gatherings are not subject to evaluation, but can be marked as Unnecessary.
:: Mit dieser Option können Sie die Antwortmöglichkeiten der Frage begrenzen. Dies ist nur bei Technikfragen erlaubt. Die Option "Entbehrlich" bestimmt, ob eine Frage beantwortet werden muss oder nicht. Zu beachten ist dabei, dass, falls eine Strukturfrage als Entbehrlich gekennzeichnet ist, sich das auf deren Unterfragen auswirken kann, da bei Unterfragen das Verhalten bei einer entbehrlichen Strukturfrage eingestellt werden kann.


<!--
*<u>Assigned protection targets and weightings (not for information gatherings):</u><br>
*<u>Wiedervorlagerhythmus:</u><br>
:: Choose, which protection targets are affected if a question reveals a gap.<br>Example:
:: Stellen Sie hier ein Intervall ein, dann wird diese Frage wiederholend bei Auditplanungen vorgeschlagen.
:::Review question about server room security
-->
:::*Has the door been furnished with a security lock?
*<u>Zugewiesene Schutzziele und Gewichtungen:</u><br>
:::If this question is answered No, major risks concerning confidentiality, integrity, and availability can develop.
:: Hier sollten Sie auswählen, welche Schutzziele betroffen sind, wenn bei der Frage eine Abweichung auftritt.<br>Beispiel:
:::Prüffrage zur Serverraumsicherheit
:::*Wurde die Türe mit einem Sicherheitsschloss ausgestattet?  
::: Wird diese Frage mit Nein beantwortet, können große Risiken im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
:::{| class="wikitable"
:::{| class="wikitable"
|-
|-
! Schutzziel !! Gewichtung!! Erklärung
! Protection target !! weighting!! explanation
|-
|-
| Vertraulichkeit
| Confidentiality
|style="text-align:center;"| 4
|style="text-align:center;"| 4
| Einbruch und Diebstahl einer Festplatte
| break-in and theft of a hard-drive
|-
|-
| Verfügbarkeit
| Availability
|style="text-align:center;"| 4
|style="text-align:center;"| 4
| Der Einbrecher könnte etwas zerstören
| the burglar could destroy something
|-
|-
| Integrität
| Integrity
|style="text-align:center;"| 3
|style="text-align:center;"| 3
| Er könnte auch am System etwas ändern
| the burglar could make changes to a system
|}
|}


*<u>Norm-Mapping:</u><br>
*<u>Norm mapping:</u> If the question touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.
:: Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.


*<u>Stand:</u><br>
*<u>Effective date:</u> The effective date should be the date of creation or that of the latest revision.
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*<u>Notizen des Autors:</u><br>
*<u>Author's notes:</u> Clicking "Add note" allows the author to record a note for themselves. They could, for example, add to-dos or links to external sources. This information is only visible for the editor of a KB. It has no effect on assessments and is of a purely editorial nature. It is also not exported or imported with a KB.
:: Durch Klicken auf "Notiz hinzufügen" kann der Autor Notizen für sich selbst erfassen. Er könnte z.B. TODOs oder Links auf externe Quellen  erfassen. Diese Information ist nur hier für den Bearbeiter der WDB ersichtlich. Sie hat keinerlei Auswirkungen auf Überprüfungen und ist rein redaktioneller Natur. Sie wird auch nicht exportiert, wenn die WDB exportiert wird, oder importiert, falls eine WDB importiert wird.


*<u>ID in Drittsystemen:</u>
*<u>External ID:</u> With this ID a review question can be updated through an import. For this, the ID needs to match the ID of the review question in the import. This field should only be set manually if the review question originates in an external system but the questions were created manually before the import and are now to be kept up to date with imports.
::: Durch diese ID kann die Prüffrage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Prüffrage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Prüffrage eigentlich aus einem Drittsystem stammt, aber die Prüffrage vor einem Import bereits manuell angelegt wurde und die Prüffrage in Zukunft durch Imports aktualisiert werden soll.


[[Datei:WDB Prüffrage erstellen.PNG|left|thumb|903px|Maske zum Erstellen einer Prüffrage]]<br clear=all>
[[Datei:WDB Prüffrage erstellen.PNG|left|thumb|900px|Form for creating a review question]]<br clear=all>


=== <span id="meas"></span>Maßnahmen ===
<span id="Maßnahmen"></span>
=== <span id="meas"></span>Measures ===


----
----
In diesem Reiter werden alle Maßnahmen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Maßnahmen zu erstellen.
This tab lists all measures in the KB. It also allows the creation of new measures.


[[Datei:WDB Maßnahmen.PNG|left|thumb|900px|WDB Reiter Maßnahmen]]<br clear=all>
[[Datei:WDB Maßnahmen.PNG|left|thumb|900px|KB tab Measures]]<br clear=all>


==== '''Maßnahme erstellen, bearbeiten und löschen''' ====
<span id="Maßnahme_erstellen,_bearbeiten_und_löschen"></span>
==== '''Create, edit, and delete measure''' ====


Um eine Maßnahme zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Maßnahme erstellen" Button klicken.
To create a measure, click the "Create new measure" button shown above.
Um eine Maßnahme zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Maßnahme doppelklicken. Anschließend kann die Maßnahme über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).  
To edit or delete a measure, double-click the desired measure. Then the measure can be edited or deleted (via the "trash can" icon).  


[[Datei:WDB Maske Maßnahme erstellen.PNG|left|thumb|888px|Maske zum Erstellen einer Maßnahme]]<br clear=all>
[[Datei:WDB Maske Maßnahme erstellen.PNG|left|thumb|888px|Form for creating a measure]]<br clear=all>


'''Eigenschaften:'''
'''Properties:'''


*<u>Gliederung und Titel:</u><br>
*<u>Numbering and title:</u> The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the measure is about.
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden.<br>Der Titel sollte schlagkräftig sein, damit klar ist, worum es bei der Maßnahme geht.


*<u>Beschreibung:</u><br>
*<u>Description:</u> Describe the measure here, i.e. explain what needs to be done to implement the measure.
:: Hier sollten Sie die Maßnahme genauer beschreiben, d.h. erklären Sie was bei der Durchführung der Maßnahme genau zu erledigen ist.


*<u>Norm-Mapping:</u><br>
*<u>Norm mapping:</u> If the measure touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.
:: Beschäftigt sich die Frage mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.


*<u>Stand:</u><br>
*<u>Effective date:</u> The effective date should be the date of creation or that of the latest revision.
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*<u>ID in Drittsystemen:</u>
*<u>External ID:</u> With this ID a measure can be updated through an import. For this, the ID needs to match the ID of the measure in the import. This field should only be set manually if the measure originates in an external system but the measures were created manually before the import and are now to be kept up to date with imports.
::: Durch diese ID kann die Maßnahme durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Maßnahme des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Maßnahme eigentlich aus einem Drittsystem stammt, aber die Maßnahme vor einem Import bereits manuell angelegt wurde und die Maßnahme in Zukunft durch Imports aktualisiert werden soll.


=== <span id="con"></span>Kontrollen ===
<span id="Kontrollen"></span>
=== <span id="con"></span>Controls===


----
----
In diesem Reiter werden alle Kontrollen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Kontrollen zu erstellen.
This tab lists all controls in the KB. It also allows the creation of new controls.


[[Datei:WDB Kontrollen.png|left|thumb|900px|WDB Reiter Kontrollen]]<br clear=all>
[[Datei:WDB Kontrollen.png|left|thumb|900px|KB tab Controls]]<br clear=all>


==== '''Kontrolle erstellen, bearbeiten und löschen''' ====
<span id="Kontrolle_erstellen,_bearbeiten_und_löschen"></span>
==== '''Create, edit, and delete control''' ====


Um eine Kontrolle zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Kontrolle erstellen" Button klicken.
To create a control, click the "Create new control" button shown above.
Um eine Kontrolle zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Kontrolle Doppelklicken. Anschließend kann die Kontrolle über die bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das Mülleimer Symbol).  
To edit or delete a control, double-click the desired control. Then the control can be edited or deleted (via the "trash can" icon).  


[[Datei:WDB Maske Kontrolle erstellen.PNG|left|thumb|903px|Maske zum erstellen einer Kontrolle]]<br clear=all>
[[Datei:WDB Maske Kontrolle erstellen.PNG|left|thumb|903px|Form for creating a control]]<br clear=all>


'''Eigenschaften:'''
'''Properties:'''


*<u>Gliederung und Titel:</u><br>
*<u>Numbering and title:</u> The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the control examines.
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden.<br>Der Titel sollte schlagkräftig sein damit klar ist, was die Kontrolle kontrolliert.


*<u>Beschreibung:</u><br>
*<u>Description:</u> Describe the control here, i.e. explain what needs to be done to implement the control.
:: Hier sollten Sie die Kontrolle genauer beschreiben, d.h. erklären Sie, was bei der Durchführung der Kontrolle genau zu erledigen ist.


<!--
<!-- NO TRANSLATION
*<u>Kategorie:</u><br>
::Hier müssen Sie festlegen, mit welcher Kategorie sich eine Kontrolle beschäftigt. Diese Kategorien sind vom Hersteller festgelegt.
::Sie lauten:
::*Infrastruktur
::*Organisation
::*Personal
::*Hard- und Software
::*Kommunikation
::*Notfallvorsorge


*<u>Detailebene:</u><br>
NO TRANSLATION -->
::Die Detailebene bestimmt, auf welcher Ebene der Struktur die Kontrolle durchgeführt werden soll. (Ressource, Ressourcen Gruppe, ModelSegment)
-->


*<u>Wiederkehrende Kontrolle:</u><br>
*<u>Recurring control:</u> An interval can be set here to repeat the control every X years/months/etc.
:: Hier kann ein Intervall festgelegt werden, welches dafür sorgt, dass diese Kontrolle alle x Jahre/Monate/etc. durchgeführt werden soll.


*<u>Norm-Mapping:</u><br>
*<u>Norm mapping:</u> If the control touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.
:: Beschäftigt sich die Kontrolle mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Dadurch lässt sich ein Managementsystem auf Compliance Deckung analysieren.


*<u>Stand:</u><br>
*<u>Effective date:</u> The effective date should be the date of creation or that of the latest revision.
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*<u>ID in Drittsystemen:</u>
*<u>External ID:</u> With this ID a control can be updated through an import. For this, the ID needs to match the ID of the control in the import. This field should only be set manually if the control originates in an external system but the controls were created manually before the import and are now to be kept up to date with imports.
::: Durch diese ID kann die Kontrolle durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Kontrolle des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Kontrolle eigentlich aus einem Drittsystem stammt, aber die Kontrolle vor einem Import bereits manuell angelegt wurde und die Kontrolle in Zukunft durch Imports aktualisiert werden soll.


=== <span id="begv"></span>Begründungsvorlagen ===
<span id="Begründungsvorlagen"></span>
=== <span id="begv"></span>Justification templates ===


----
----
In diesem Reiter werden alle Begründungsvorlagen, welche in der WDB existieren, aufgelistet. Dieser Reiter bietet auch die Option, neue Begründungsvorlagen zu erstellen.
This tab lists all justification templates in the KB. It also allows the creation of new justification templates.


[[Datei:WDB Begründungsvorlagen.png|left|thumb|900px|WDB Reiter Begründungsvorlagen]]<br clear=all>
[[Datei:WDB Begründungsvorlagen.png|left|thumb|900px|KB tab Justification templates]]<br clear=all>


==== '''Begründungsvorlage erstellen, bearbeiten und löschen''' ====
<span id="Begründungsvorlage_erstellen,_bearbeiten_und_löschen"></span>
==== '''Create, edit, and delete justification template''' ====


Um eine Begründungsvorlage zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Begründungsvorlage erstellen" Button klicken.
To create a justification template, click the "Create new justification template" button shown above.
Um eine Begründungsvorlage zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Begründungsvorlage doppelklicken. Anschließend kann die Begründungsvorlage über die Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).  
To edit or delete a justification template, double-click the desired justification template. Then the justification template can be edited or deleted (via the "trash can" icon).  


[[Datei:WDB Maske Begründungsvorlagen erstellen.PNG|left|thumb|903px|Maske zum Erstellen einer Begründungsvorlage]]<br clear=all>
[[Datei:WDB Maske Begründungsvorlagen erstellen.PNG|left|thumb|903px|Form for creating a justification template]]<br clear=all>


'''Eigenschaften:'''
'''Properties:'''


*<u>Gliederung und Titel:</u><br>
*<u>Numbering and title:</u> The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what purpose the justification template serves.
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden.<br>Der Titel sollte schlagkräftig sein, damit klar ist, welchem Zweck die Begründungsvorlage dient.


*<u>Beschreibung:</u><br>
*<u>Description:</u> You can enter a text here that can be used as template for a justification in a gap analysis.
:: Hier können Sie einen Text eingeben, der in Abweichungsanalysen als Vorlage für eine Begründung verwendet werden kann.


*<u>Stand:</u><br>
*<u>Effective date:</u> The effective date should be the date of creation or that of the latest revision.
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*<u>ID in Drittsystemen:</u>
*<u>External ID:</u> With this ID a justification template can be updated through an import. For this, the ID needs to match the ID of the justification template in the import. This field should only be set manually if the justification template originates in an external system but the justification templates were created manually before the import and are now to be kept up to date with imports.
::: Durch diese ID kann die Begründungsvorlage durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Begründungsvorlage des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Begründungsvorlage eigentlich aus einem Drittsystem stammt, aber die Begründungsvorlage vor einem Import bereits manuell angelegt wurde und die Begründungsvorlage in Zukunft durch Imports aktualisiert werden soll.


=== <span id="threa"></span>Bedrohungen ===
<span id="Bedrohungen"></span>
=== <span id="threa"></span>Threats ===


----
----
In diesem Reiter werden alle Bedrohungen, welche in der WDB existieren aufgelistet. Dieser Reiter bietet auch die Option, neue Bedrohungen zu erstellen.
This tab lists all threats in the KB. It also allows the creation of new threats.


[[Datei:WDB Bedrohungen.png|left|thumb|900px|WDB Reiter Bedrohungen]]<br clear=all>
[[Datei:WDB Bedrohungen.png|left|thumb|900px|KB tab Threats]]<br clear=all>


==== '''Bedrohung erstellen, bearbeiten und löschen''' ====
<span id="Bedrohung_erstellen,_bearbeiten_und_löschen"></span>
==== '''Create, edit, and delete threat''' ====


Um eine Bedrohung zu erstellen, müssen Sie wie im oben gezeigten Screenshot auf den "Neue Bedrohung erstellen" Button klicken.
To create a threat, click the "Create new threat" button shown above.
Um eine Bedrohung zu bearbeiten oder zu löschen, müssen Sie auf die gewünschte Bedrohung doppelklicken. Anschließend kann die Bedrohung über die Bearbeiten Maske bearbeitet oder gelöscht werden (löschen über das "Mülleimer" Symbol).  
To edit or delete a threat, double-click the desired threat. Then the threat can be edited or deleted (via the "trash can" icon).  


[[Datei:WDB Maske Bedrohung erstellen.PNG|left|thumb|903px|Maske zum Erstellen einer Bedrohung]]<br clear=all>
[[Datei:WDB Maske Bedrohung erstellen.PNG|left|thumb|903px|Form for creating a threat]]<br clear=all>


'''Eigenschaften:'''
'''Properties:'''


*<u>Gliederung und Titel:</u><br>
*<u>Numbering and title:</u> The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the threat is, e.g. missing or insufficient security when processing personal data.
:: Die Gliederung sollte logisch und nachvollziehbar gewählt werden.<br>Der Titel sollte schlagkräftig sein, damit klar ist was die Bedrohung ist, z.B. fehlende oder unzureichende Absicherung bei der Verarbeitung personenbezogener Daten.


*<u>Beschreibung:</u><br>
*<u>Description:</u> Describe the threat here, i.e. explain what exactly it is that poses a threat.
:: Hier sollten Sie die Bedrohung genauer beschreiben, d.h. erklären, was genau die Bedrohung ist.


<!--
<!-- NO TRANSLATION
*<u>Kategorie:</u><br>
::Hier müssen Sie festlegen, welcher Natur eine Bedrohung ist. Diese Kategorien sind vom Hersteller festgelegt.
::Sie lauten:
::*Elementare Gefährdung
::*Höhere Gewalt
::*Organisatorische Mangel
::*Menschliche Fehlhandlungen
::*Technisches Versagen
::*Vorsätzliche Handlungen


*<u>Detailebene:</u><br>
NO TRANSLATION
::Die Detailebene bestimmt auf welcher Ebene der Struktur die Kontrolle durchgeführt werden soll. (Ressource, Ressourcen Gruppe, ModelSegment)


*<u>Schadensverlauf:</u><br>
NO TRANSLATION
:: Hier stellen Sie ein wie der Schaden der Bedrohung auftritt. Ein Schaden kann rasant oder schleichend auftreten.


*<u>Vermutlicher Ent­deckungszeitpunkt:</u><br>
NO TRANSLATION -->
:: Hier sollten Sie auswählen wann eine Bedrohung vermutlich entdeckt wird.
-->


*<u>Zugewiesene Schutzziele und Gewichtungen:</u><br>
*<u>Assigned protection targets and weightings:</u><br>
:: Hier sollten Sie auswählen, welche Schutzziele betroffen wären, wenn diese Bedrohung auftreten würde.<br>Beispiel:
:: Choose, which protection targets are affected if a threat were to occur.<br>Example:
:::Bedrohung Einbruch
:::Threat: break-in
:::*Ein Einbrecher könnte in den Serverraum vordringen, um dort eine Festplatte mit sensiblen Informationen zu entwenden.
:::*A burglar could get into the server room and steal a hard-drive containing sensitive information.
::: Geschieht dies, können große Schäden im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität entstehen.
:::If this happened, great damage concerning confidentiality, integrity, and availability could be done.
:::{| class="wikitable"
:::{| class="wikitable"
|-
|-
! Schutzziel !! Gewichtung!! Erklärung
! Protection target !! weighting!! explanation
|-
|-
| Vertraulichkeit
| Confidentiality
|style="text-align:center;"| 4
|style="text-align:center;"| 4
| Einbruch und Diebstahl einer Festplatte
| break-in and theft of a hard-drive
|-
|-
| Verfügbarkeit
| Availability
|style="text-align:center;"| 4
|style="text-align:center;"| 4
| Der Einbrecher könnte etwas zerstören
| the burglar could destroy something
|-
|-
| Integrität
| Integrity
|style="text-align:center;"| 3
|style="text-align:center;"| 3
| Er könnte auch am System etwas ändern
| the burglar could make changes to a system
|}
|}


*<u>Norm-Mapping:</u><br>
*<u>Norm mapping:</u> If the threat touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.
:: Beschäftigt sich die Bedrohung mit einem oder mehreren Normkapiteln, sollte dies hier eingetragen werden. Daraus lässt sich dann ein Compliance Bericht über die Erfüllung einer Norm erstellen.


*<u>Stand:</u><br>
*<u>Effective date:</u> The effective date should be the date of creation or that of the latest revision.
::Beim Stand sollten Sie das Erstellungsdatum oder das Datum der letzten Änderung eintragen.


*<u>ID in Drittsystemen:</u>
*<u>External ID:</u> With this ID a threat can be updated through an import. For this, the ID needs to match the ID of the threat in the import. This field should only be set manually if the threat originates in an external system but the threats were created manually before the import and are now to be kept up to date with imports.
::: Durch diese ID kann die Bedrohung durch einen Import aktualisiert werden. Dafür muss die ID mit der ID der Bedrohung des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls die Bedrohung eigentlich aus einem Drittsystem stammt, aber die Bedrohung vor einem Import bereits manuell angelegt wurde und die Bedrohung in Zukunft durch Imports aktualisiert werden soll.

Aktuelle Version vom 10. April 2025, 09:07 Uhr

TogetherSecure creates and provides knowledge bases. Also, any user with the expert role in risk management is able to create a new knowledge base or modify an existing one. In other words, a a knowledge base can be created or changed by any expert.

This means, experts can add and hierarchically sort topics. Topics are then assigned review questions, either newly created or from an existing pool of questions. In the next step, threats, justification templates, measures, and/or controls can be created or assigned from existing ones. If, for example, a knowledge base already includes measures and controls (as is the case with BSI IT-Grundschutz), that means appropriate measures and controls have already been thought up for the offered threats. Users are encouraged, however, to evaluate their respective scenarios and create additional measures and/or controls for the treatment of the threats.

Create/edit knowledge base

To create or edit a knowledge base, navigate to "Administration → Knowledge bases".

Here, all knowledge bases are listed, whether they have been published or not. Only published knowledge bases can be used for reviews. Published knowledge bases are marked with a green tick. If there are multiple versions of a knowledge base, one can be declared the default version (see: edit). It is then marked with a red heart.

Create:

  • To create a new knowledge base, click the "Create new knowledge base" button. Then, enter the header information, create topics and their review questions, and finally assign measures, controls, justification templates, and threats.
Tab knowledge bases


Edit:

  • To edit a KB, click on the desired KB. Published knowledge bases are read-only and can therefore no longer be modified. If a KB has been published, you need to create a superseding version or a user adaptation (of a vendor knowledge base). In the same interface, you can also set a KB as the default version if multiple versions of the KB exist.
  • The superseding version is unpublished and can therefore be edited.
Interface of a published knowledge base


Header information

In the header data, briefly describe the purpose of the knowledge base. Depending on whether it is a self developed knowledge base or one for a norm, you need to set the type accordingly, set the effective date, and add the creator (e.g. name or company). Caution: only KBs of the types vendor or norm or standard can be exported.

Type vendor and norm or standard

To create KBs of the type vendor or norm or standard, you need to have a vendor license! These KBs are also the only ones that can be exported.

Header data when creating a KB


In self-developed knowledge bases, you can use the checkboxes to configure whether the short version of the copyright is to be displayed/printed in the review assistant and with the review question in a report.

Topics

Here, all the topics that are part of the KB are listed hierarchically. The purpose of topics is to give knowledge bases a meaningful structure.

Create/edit topic

To create a new topic, navigate to the tab "Topics" and click on "create new topic". Then fill out the displayed form.

Create new topic


Form for creating a new topic


Numbering and title: Here, set the numbering and the title. The numbering should help clarify the KB's structure, e.g. 1, 1.1, 1.2, etc. The title should be informative, so the user immediately knows what questions the topic covers. Note: The topics are automatically sorted alphabetically or in ascending numerical order, respectively. With a larger number of numbered topics, it is advisable to use a leading zero in order to have the sorting order match expectations (e.g., 01, 02, 03 ... 10, 11, etc.).
Description: Here, describe the purpose of the topic. This text field supports HTML formatting.
Supporting documents: Here, record references or links to documents that might be relevant for the preparation of auditing this topic. If the topic is used in a review by knowledge base, the supporting documents are shown in the review assistant. The supporting documents are also printed with the respective review object in audit and review reports.
Parent topic: If the topic is a subordinate one, the parent topic has to be set here so the KB is structured properly.


Effective date: This should be the date of the latest revision.

Assign review questions

Once you have created a topic, you need to assign it questions. For this, you may use existing review questions or create new questions. When the question is assigned, you should in turn also assign measures, controls, and threats to the question.

Normally, the review questions are sorted according to the sort order (hidden column). This is also the order in which they are listed in gap analyses. The arrows next to the plus button can be used to adjust the sort order of the review questions.

Navigation: assign review questions to the topic


Form for assigning existing questions


Configure sub-questions

To sort review questions hierarchically, double-click the questions you want to be subordinates and choose a parent question for them (only one layer is supported, meaning a sub-question cannot have further sub-questions). Then, you can choose how the sub-question is to behave depending on the parent question's answer.

Example: review question hierarchy


Example: configure sub-question


In reports, structural questions are formatted in italics and their corresponding sub-questions are indented below them.

Assign and edit measures, controls, justification templates, and threats

Measures and controls that have been assigned to a review questions are suggested during risk treatment, if their question shows a gap during an assessment. Justification templates can be used as a justification for an answer. If threats are assigned, the question is listed with the threats for analysis purposes.

assign or create:


Assign measures, controls, and threats to review question



edit and remove assignment:

  • As shown above, double-click an element to open its editing interface and edit its properties. Here, you can also remove the assignment to the review question.
Form for editing a control


Review questions

This tab shows a list of all review questions that exist in the KB. However, they do not show a hierarchy here, this is only displayed under the topics. This tab also lets you create new review questions.

KB tab Questions


Create, edit, and delete a review question

To create a review question, click the "Create new question" button shown above. To edit or delete a question, double-click the desired question. Then the question can be edited or deleted (via the "trash can" icon). The behaviour of sub-questions can only be changed in the topics tab.

Properties:

  • Numbering and title: The numbering should be logical and comprehensible, e.g. an abbreviation of the topic and a serial number (DSO_01.00). The title should be informative, so the user immediately knows what the question is about.
  • Question: Pose a clearly formulated question here.
  • Description: If necessary, further describe the question here. For example, you might describe the basic conditions that need to be fulfilled for a question to be answered positively.


  • Hint for auditors: Information for auditors can be recorded here. This could, for instance, be links to documents the answers should be compared to, or a checklist with the exam steps. This information is only shown in gap analyses that have been opened either in "Risk management → Vulnerabilities" or from an audit. (It is not displayed if the analysis has been opened in the context of "My tasks".)
  • Type of question: Choose whether it is a technical or a process question, or an information gathering. Technical questions are answered with Yes, No, or Partly and process questions with a maturity level from 0 to 5.
Note: Information gatherings in reviews are seen as answered if the comment was filled in and/or at least one file was uploaded as evidence.
  • Answer types and unnecessary: This option allows you to limit the answer types for the question. This is only possible for technical questions. The option "unnecessary" dictates whether a question has to be answered or not. Note that setting a structural question as unnecessary will affect its sub-questions, as their behaviour in response to an unnecessary structural question can be configured. Information gatherings are not subject to evaluation, but can be marked as Unnecessary.
  • Assigned protection targets and weightings (not for information gatherings):
Choose, which protection targets are affected if a question reveals a gap.
Example:
Review question about server room security
  • Has the door been furnished with a security lock?
If this question is answered No, major risks concerning confidentiality, integrity, and availability can develop.
Protection target weighting explanation
Confidentiality 4 break-in and theft of a hard-drive
Availability 4 the burglar could destroy something
Integrity 3 the burglar could make changes to a system
  • Norm mapping: If the question touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.
  • Effective date: The effective date should be the date of creation or that of the latest revision.
  • Author's notes: Clicking "Add note" allows the author to record a note for themselves. They could, for example, add to-dos or links to external sources. This information is only visible for the editor of a KB. It has no effect on assessments and is of a purely editorial nature. It is also not exported or imported with a KB.
  • External ID: With this ID a review question can be updated through an import. For this, the ID needs to match the ID of the review question in the import. This field should only be set manually if the review question originates in an external system but the questions were created manually before the import and are now to be kept up to date with imports.
Form for creating a review question


Measures

This tab lists all measures in the KB. It also allows the creation of new measures.

KB tab Measures


Create, edit, and delete measure

To create a measure, click the "Create new measure" button shown above. To edit or delete a measure, double-click the desired measure. Then the measure can be edited or deleted (via the "trash can" icon).

Form for creating a measure


Properties:

  • Numbering and title: The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the measure is about.
  • Description: Describe the measure here, i.e. explain what needs to be done to implement the measure.
  • Norm mapping: If the measure touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.
  • Effective date: The effective date should be the date of creation or that of the latest revision.
  • External ID: With this ID a measure can be updated through an import. For this, the ID needs to match the ID of the measure in the import. This field should only be set manually if the measure originates in an external system but the measures were created manually before the import and are now to be kept up to date with imports.

Controls

This tab lists all controls in the KB. It also allows the creation of new controls.

KB tab Controls


Create, edit, and delete control

To create a control, click the "Create new control" button shown above. To edit or delete a control, double-click the desired control. Then the control can be edited or deleted (via the "trash can" icon).

Form for creating a control


Properties:

  • Numbering and title: The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the control examines.
  • Description: Describe the control here, i.e. explain what needs to be done to implement the control.


  • Recurring control: An interval can be set here to repeat the control every X years/months/etc.
  • Norm mapping: If the control touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.
  • Effective date: The effective date should be the date of creation or that of the latest revision.
  • External ID: With this ID a control can be updated through an import. For this, the ID needs to match the ID of the control in the import. This field should only be set manually if the control originates in an external system but the controls were created manually before the import and are now to be kept up to date with imports.

Justification templates

This tab lists all justification templates in the KB. It also allows the creation of new justification templates.

KB tab Justification templates


Create, edit, and delete justification template

To create a justification template, click the "Create new justification template" button shown above. To edit or delete a justification template, double-click the desired justification template. Then the justification template can be edited or deleted (via the "trash can" icon).

Form for creating a justification template


Properties:

  • Numbering and title: The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what purpose the justification template serves.
  • Description: You can enter a text here that can be used as template for a justification in a gap analysis.
  • Effective date: The effective date should be the date of creation or that of the latest revision.
  • External ID: With this ID a justification template can be updated through an import. For this, the ID needs to match the ID of the justification template in the import. This field should only be set manually if the justification template originates in an external system but the justification templates were created manually before the import and are now to be kept up to date with imports.

Threats

This tab lists all threats in the KB. It also allows the creation of new threats.

KB tab Threats


Create, edit, and delete threat

To create a threat, click the "Create new threat" button shown above. To edit or delete a threat, double-click the desired threat. Then the threat can be edited or deleted (via the "trash can" icon).

Form for creating a threat


Properties:

  • Numbering and title: The numbering should be logical and comprehensible. The title should be informative, so the user immediately knows what the threat is, e.g. missing or insufficient security when processing personal data.
  • Description: Describe the threat here, i.e. explain what exactly it is that poses a threat.


  • Assigned protection targets and weightings:
Choose, which protection targets are affected if a threat were to occur.
Example:
Threat: break-in
  • A burglar could get into the server room and steal a hard-drive containing sensitive information.
If this happened, great damage concerning confidentiality, integrity, and availability could be done.
Protection target weighting explanation
Confidentiality 4 break-in and theft of a hard-drive
Availability 4 the burglar could destroy something
Integrity 3 the burglar could make changes to a system
  • Norm mapping: If the threat touches one or more norm chapters, this should be recorded here. This allows the creation of a compliance report for a norm.
  • Effective date: The effective date should be the date of creation or that of the latest revision.
  • External ID: With this ID a threat can be updated through an import. For this, the ID needs to match the ID of the threat in the import. This field should only be set manually if the threat originates in an external system but the threats were created manually before the import and are now to be kept up to date with imports.
Abgerufen von „https://userguide.hitguard.de/index.php?title=Erstellen_einer_Wissensdatenbank/en&oldid=34453
Zuletzt geändert
Diese Seite wurde zuletzt am 10. April 2025 um 09:07 Uhr bearbeitet.