Managementsysteme: Unterschied zwischen den Versionen

Administratoren und Expert-Benutzer können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten. Experten können nur jene Managementsysteme bearbeiten, für die sie als Verantwortliche eingetragen sind.

Was ist ein Managementsystem?
Ein Managementsystem ist eine inhaltliche Bündelung von Daten. Managementsysteme beinhalten Maßnahmen, Kontrollen, Schutzbedarfs- und Schwachstellenanalysen, Audits, Meldungen, und mehr. Diese Elemente existieren nur innerhalb eines Managementsystems. Anders werden Stammdaten nicht auf Managementsysteme begrenzt.

Expert- und Professional- und Observer-Benutzer werden Managementsystemen hinzugefügt. Dadurch haben sie Zugang zu den Daten im Managementsystem und können Analysen durchführen und Aufgaben verteilen. Die Daten, die sie im Managementsystem verwalten werden durch Analysezeiträume historisiert und so vergleichbar gemacht.

Welchen Zweck erfüllen Managementsysteme?
Managementsysteme haben drei zentrale Funktionen:

1. Sie dienen dazu Maßnahmen, Kontrollen oder Risikoidentifikationen ausgewählter Abteilungen Themenbereichen einzuteilen.
   
   • Zum Beispiel: Maßnahmen aus den Informationssicherheits-Audits werden in einem, Maßnahmen aus den Qualitätsmanagement Audits im anderen Managementsystem verwaltet. Beide Themenbereiche sind und bleiben getrennt.
     

2. Managementsysteme definieren, wer für den Themenbereich verantwortlich ist und wer sonst noch an den Daten mitarbeitet.
   
   • Zum Beispiel: Herr Mustermann ist Verantwortlicher im QM-Managementsystem, hat aber keinen Zugang zum ISMS-Managementsystem. Frau Musterfrau hingegen ist Verantwortliche des ISMS-Managementsystems und arbeitet gelegentlich im QM mit. Sie hat Zugang zu beiden Managementsystemen.

3. Sie dienen dazu Fortschrittserhebungen und andere Daten zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends zu analysieren.
   
   • Zum Beispiel: Herr Mustermann erhebt halbjährlich Fortschritte über zehn Abteilungen, während Frau Musterfrau ihre Daten quartalsweise auswertet.

Löschen eines Managementsystems:

• Das Löschen eines Managementsystems kann nur vom verantwortlichen Experten ausgelöst werden.
• Das Löschen von Managementsystemen wird nur dann unterstützt, wenn keine aktiven Analysezeiträume darin enthalten sind.

Lizenzen:

Im Grid zeigt HITGuard an, wie viele Lizenzen aktuell vorhanden sind, und wie viele verwendet werden. Dadurch ist auf einen Blick ersichtlich, ob man unterlizensiert ist oder noch Lizenzen für zusätzliche Managementsysteme hat. Mehr Informationen zu den Lizenzen sind unter "Administration → Lizenzierung" zu finden.

Auf der Stammdaten-Seite des Managementsystems werden die grundsätzlichen Eigenschaften konfiguriert. Die hier getroffenen Einstellungen wirken sich auf die Arbeit im Managementsystem aus.

Hier werden der Name, der/die Verantwortliche(n) und die Teammitglieder für ein Managementsystem festgelegt und eingetragen.

• Für jedes Managementsystem können Expert-Benutzer einzeln oder in Teams als Verantwortlicher eingetragen werden. Nur diese Leute können das Managementsystem später bearbeiten und Analysezeiträume überführen.
• Die Mitglieder im Managementsystem müssen Experts, Professionals oder Observer sein. Diese User können die Daten im Managementsystem einsehen oder bearbeiten, auch wenn sie das Managementsystem selbst nicht bearbeien können.
  

Hier können Sie Schutzziele für die Verwendeung im Managementsystem aufnehmen oder entfernen. Zuvor müssen sie dafür in der Risikopolitik aktiviert werden. Wurden die Schutzziele für die Verwendung im Managementsystem hier eingetragen, hat das Auswirkungen auf Risikobewertungen und Schutzbedarfsanalysen.
Hinweis: Schutzziele, die in der Risikopolitik erstellt werden, werden standardmäßig hier hinzugefügt. Werden bereits existierende Schutzziele (wie RTO und RPO) dort nur aktiviert, müssen sie sie hier noch manuell hinzufügen.

Weiters können Sie hier die Standards und Normen, die in diesem Managementsystem verwendet werden sollen, auswählen. Importieren Sie einen neuen Standard unter „Administration → Standards und Normen“ wird er hier automatisch hinzugefügt.

Normen und Standards die hier nicht ausgewählt bzw. entfernt werden, sind zwar bei bereits vorhanden Mappings sichtbar, können aber in diesem Managementsystem nicht mehr ausgewählt oder verändert werden. Sie werden auch nicht berücksichtigt, wenn in einem Bericht weitere gemappte Kapitel inkludiert werden (z.B. Konformitätsbericht nach Standards und Normen).

Ist beispielsweise die Norm "DSGVO" nicht ausgewählt, kann diese nicht für die Auswertung der Compliance Spinne im Risikomanagement Dashboard nach "DSGVO" ausgewählt werden.

Darunter können sie drei der HITGuard Add-Ons aktivieren. Um Sie zu nutzen, müssen die jeweiligen Experts, Professionals und Observer auch die jeweiligen Berechtigungen gesetzt bekommen.

• Datenschutz Add-on: aktiviert das Datenschutzmodul für dieses Managementsystem. Experts und Professionals mit Datenschutz-Berechtigungen können dann Verarbeitungstätigkeiten, erstellen und verwalten, Observer-User können diese einsehen. Man kann nur ein Datenschutzmodul pro Produktivinstanz aktivieren.
• Fallmanagement Add-on: Damit kann dieses Managementsystem zum Melden von Vorfällen oder als Whistleblower-System verwendet werden.
• Auditmanagement Add-on: Erlaubt Ihnen dieses Managementsystem zum Planen, Durchführen und Managen von Audits zu verwenden.

• Wird hier durch den Techniker eine E-Mail gesetzt, dann werden alle Erinnerungen, die von diesem Managementsystem ausgehen, über diese E-Mail-Adresse versendet. Falls Sie kein eigenes E-Mail-Konto verwenden, sondern das von TogetherSecure zur Verfügung gestellte, muss die Absenderadresse mit @hitguard.at enden.
• Wird hier keine E-Mail-Einstellung konfiguriert, so werden alle Mails von jener Adresse versandt, die in den globalen Einstellungen hinterlegt ist. (siehe Globale E-Mail Einstellungen)

Mit dem Intervallschema wird definiert, ob Analysezeiträume (siehe unten) einem vorgegebenen Rhythmus folgen sollen.

• Manuelle Anlage: Hier wird die zeitliche Eingrenzung mit einem Von-bis-Datum manuell definiert. Das ist von Anlage zu Anlage individuell.
• Startdatum plus Intervall: Hier können sie ein fixes Intervall für die Analysezeiträume definieren (Im Beispiel drei Monate). Das genaue Datum im Beginn-Feld ist nur relevant, wenn sie noch keinen Analysezeitraum angelegt haben. Existiert bereits ein Analysezeitraum, wird HITGuard stets das Enddatum des letzten Analysezeitraums für einen neuen Analysezeitraum verwenden.

Analysezeiträume dienen dazu, Daten in auswertbare Zeiträume einzuteilen. Analysezeiträume werden deshalb regelmäßig abgeschlossen und in einen neuen Analysezeitraum überführt.

Manche KPIs, etwa Kritikalität der offenen Maßnahmen, orientieren sich am Analysezeitraum. Bei einigen Berichten, beispielsweise denen für Abweichungsanalysen kann man ebenso den Analysezeitraum auswählen, der ausgewertet werden soll.

Bei zwei Elemente in HITGuard ist die Zuordnung zum Analysezeitraum sehr streng. Deshalb können diese beiden Elemente das Überführen des Analysezeitraums blockieren. Das sind Fortschrittsmeldungen und Verarbeitungstätigkeiten.

Bei beiden Elementen kann man per Workflow eine Bearbeitung von Practitioner-Benutzern anfordern. Solange diese Bearbeitung noch nicht vollständig abgeschlossen ist, d.h. solange (a) der Practitioner die Aufgabe nicht retourniert hat und (b) der Expert-Benutzer die Aufgabe nicht akzeptiert hat, kann man den Analysezeitraum nicht überführen.

Der Analysezeitraum kann erst überführt werden, wenn alle Fortschrittsmeldungen und alle Verarbeitungstätigkeiten fertig bearbeitet und akzeptiert wurden.

Um einen Analysezeitraum zu überführen, klickt man auf den Button „In Nachfolge-Analysezeitraum überführen“ rechts unten. Dann kann man die Datumswerte des neuen Analysezeitraums definieren, oder HITGuard hat sie bereits vorbesetzt (siehe Intervallschema definieren).

Jeder Aktive Analysezeitraum wird durch einige Felder beschrieben:

• Beginn und Ende: Ein Analysezeitraum kann so kurz oder lange sein, wie es die Organisation benötigt. Beginn und Ende können prinzipiell auch am selben Tag liegen, jedoch darf der Beginn nicht nach dem Ende liegen.

• Redaktionsschluss: Dieses Datum sollte etwas vor dem Enddatum des Analysezeitraums liegen, da es relevant für die Maßnahmenverwaltung ist. Fordern Expert- oder Professional-Benutzer eine Fortschrittsmeldung zu einer Maßnahme an, so wird HITGuard dieses Datum standardmäßig als Deadline für die Rückmeldung verwenden.

• Target Score: Der Target Score beschreibt den Zielzustand für alle Abweichungsanalysen. Geben Sie bei einer Prüffrage eine Antwort ein, wird sie gegen den Target Score verglichen. Ist der Wert der Antwort niedriger als der eingestellte Target Score, gilt sie als Abweichung und kann dementsprechend weiterverwendet werden.
  

Hinweis: Die Antworten „Ja“, „Teilweise“ und „Nein“ entsprechen den Reifegraden „5“, „3“ und „1“.

• Enthaltene OrgEhs: Organisationseinheiten können in Analysezeiträumen aktiviert und deaktiviert werden, indem man ein Häkchen setzt oder entfernt. HITGuard wird Ihnen die deaktivierte OrgEhs nicht in den diversen Auswahlfeldern anbieten. So können Sie den Fokus auf Teile der Organisation richten, ohne von den deaktivierten OrgEHs gestört zu werden.
  

Hinweis: Sie können eine OrgEh nur deaktivieren, wenn ihr keine offenen Maßnahmen, Kontrollen oder Verarbeitungstätigkeiten zugeordnet sind.
Erstellen Sie neue OrgEhs, sind sie hier verfügbar. Das Häkchen der neuen OrgEh übernimmt dabei immer die Häkchensetzung ihrer übergeordneten OrgEh. Wenn Sie eine OrgEh erstellen, die keine übergeordnete OrgEH hat, so wird kein Häkchen gesetzt. In der Praxis bedeutet das für die meisten Kunden, dass sie zunächst eine OrgEH anlegen, die ihre gesamte Organisation repräsentiert und dann ins Managementsystem wechseln, um sie zu aktivieren. Dann werden alle weiteren OrgEHs, die sie unter der gesamten Organisation anlegen, automatisch aktiviert.

• In Nachfolge-Analysezeitraum überführen: Beim Überführen eines Analysezeitraums in den nächsten wird der alte Analysezeitraum geschlossen und ein neuer erstellt. Alle Maßnahmen, die nicht im Status „erledigt“ sind, werden in den neuen Analysezeitraum mitgenommen und sind weiterhin unter Maßnahmen → Aktuelle Maßnahmen verfügbar. Die erledigten Maßnahmen sind im nächsten Zeitraum nur mehr unter Maßnahmen → Historie zu sehen. Maßnahmen im Status „Abgebrochen“ und „Verworfen“ werden ebenso aus den aktuellen Maßnahmen entfernt und sind dann nur noch in der Historie verfügbar.

• Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Experten ausgelöst werden.
• Es wird das Löschen von Analysezeiträumen nur dann unterstützt, solange noch keine Fortschrittsmeldungen erstellt wurden.
• Es kann immer nur der aktuelle Analysezeitraum gelöscht, aber nicht mehr abgeschlossen werden.

In der Historie werden die Analysezeiträume, die schon abgeschlossen wurden, mit Beginn, Ende und Redaktionsschluss aufgelistet.

Hier können Sie festlegen, für welche Elemente bei der Erstellung automatisch ein Kürzel generiert werden soll. Sie können außerdem die Zusammensetzung des Kürzels festlegen. Die Einstellung wird beim Erstellen des Managementsystems aus den Globalen Einstellungen übernommen, kann hier jedoch jederzeit verändert und angepasst werden.

• Das allgemeine Präfix wird bei allen selektierten Elementen vorangestellt. Es kennzeichnet alle Elemente in dem Managementsystem.
• In der ersten Spalte steuern Sie mit dem Häkchen, dass für dieses Element ein Kürzel generiert werden soll.
• Präfix: eine Buchstaben-, Zahlen-, oder Sonderzeichenfolge, die das Element deutlich kennzeichnet (z.B. M für Maßnahme). Der Default-Eintrag kann verändert werden.
• OrgEh Kürzel: entscheidet, ob das Kürzel des Elements auch das Kürzel der Organisationseinheit enthalten soll. Bei Elementen, die keiner Organisationseinheit zugewiesen sind, ist diese Option deaktiviert (z.B. Gefährdungslagen oder Prozesse).
• OrgEh Suffix: ein Trennzeichen zwischen dem OrgEh Kürzel und der laufenden Nummer (z.B. _ oder -).
• Minimale Präzision: die Mindestzahl von Stellen der fortlaufenden Nummer. Es kann mindestens 1 und maximal 10 eingetragen werden. Bei einer Anzahl von 4 wären die resultierenden Nummern bspw. 0001, 0026 oder 0184.