HITGuard Release März 2024: Unterschied zwischen den Versionen
Weitere Optionen
Isan (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Isan (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 2: | Zeile 2: | ||
===Kapitel=== | ===Kapitel=== | ||
====Unterkapitel==== | ====Unterkapitel==== | ||
::[[Datei: | ::[[Datei:R241_2-3-1a.png|left]] <br clear=all> | ||
Mehr zur Schutzbedarfsanalyse finden Sie [[Special:MyLanguage/Dokumentenmanagement|hier]]. | Mehr zur Schutzbedarfsanalyse finden Sie [[Special:MyLanguage/Dokumentenmanagement|hier]]. | ||
| Zeile 28: | Zeile 28: | ||
::[[Datei:R241_2-1b.png|left]] <br clear=all> | ::[[Datei:R241_2-1b.png|left]] <br clear=all> | ||
Man kann nun also leichter erkennen, ob es empfohlene Vorlagen zu einem bestimmten Thema gibt, und sieht ohne eine zusätzliche Suche, ob es eventuell schon bestehende Maßnahmen gibt, die man im aktuellen Kontext ebenfalls verknüpfen könnte.</p>In der Spalte „Beziehungen“ sieht man sowohl die verknüpften wie auch die verwandten Standards und Normen. So kann man beispielsweise eine bestehende BSI-Maßnahme sehen, die auch beim Umsetzen der ISO 27001 passend ist und wiederverwendet werden soll.</p>Das Popup, das auf Empfehlungen bei Abweichungen hinweist, wurde dafür entfernt.</p>Mehr zum Zuweisen von Maßnahmen und Kontrollen bei Prüffragen und eine detaillierte Erklärung der verfügbaren Checkboxen und Badges finden Sie [[Special:MyLanguage/Prüffragen_beantworten|hier]]. | Man kann nun also leichter erkennen, ob es empfohlene Vorlagen zu einem bestimmten Thema gibt, und sieht ohne eine zusätzliche Suche, ob es eventuell schon bestehende Maßnahmen gibt, die man im aktuellen Kontext ebenfalls verknüpfen könnte.</p>In der Spalte „Beziehungen“ sieht man sowohl die verknüpften wie auch die verwandten Standards und Normen. So kann man beispielsweise eine bestehende BSI-Maßnahme sehen, die auch beim Umsetzen der ISO 27001 passend ist und wiederverwendet werden soll.</p>Das Popup, das auf Empfehlungen bei Abweichungen hinweist, wurde dafür entfernt.</p>Mehr zum Zuweisen von Maßnahmen und Kontrollen bei Prüffragen und eine detaillierte Erklärung der verfügbaren Checkboxen und Badges finden Sie [[Special:MyLanguage/Prüffragen_beantworten|hier]]. | ||
===Anzeige von Norm-Mappings bei Prüffragen=== | |||
Prüffragen aus Wissensdatenbanken zeigen ihre Norm-Mappings auch direkt in Überprüfungen, sofern sie mit Standardkapiteln verknüpft sind. Lead- und Co-Auditoren haben damit immer einen Überblick über die verknüpften und verwandten Standards und Normen des aktuellen Themas. | |||
::[[Datei:R241_2-2.png|left]] <br clear=all> | |||
===Detailliertere Auflösung von Norm-Mappings in Berichten und KPIs=== | |||
Die gängigen Standards und Normen unterliegen regelmäßigen Aktualisierungen und es wächst stetig die Anzahl der gesetzlichen Anforderungen denen entsprochen werden muss. Dadurch werden die Herausforderungen, die Erfüllung der Compliance-Vorgaben darzustellen, immer komplexer. Das spiegelt sich auch in der wachsenden Zahl an dazugehörenden Wissensdatenbanken, ihren Versionen und den sie alle verbindenden Beziehungen untereinander (Norm-Mappings) in HITGuard wider.</p> | |||
::::<u>Beispiel:</u> Man hat sich bereits intensiv mit den TISAX-Anforderungen ausein-andergesetzt. Im nächsten Schritt möchte man herausfinden, wie weit man noch von einer ISO 27001 Zertifizierung entfernt ist. Oder man hat bereits mehrere Audits nach der ISO 27001:2013 durchgeführt, für den nächsten Audit möchte man aber sehen, ob auch nach ISO 27001:2022 alles passt. Auch im Zusammenhang mit den aktuellen und bevorstehenden NIS/NIS-2 Projekten ergeben sich hier weitere solche Beispiele. Den Überblick zu behalten und allen Anforderungen gerecht zu werden, wird zu einer immer größeren Herausforderung für Verantwortliche in allen Bereichen.</p> | |||
Um unseren Kunden bei dieser Aufgabenstellung noch besser zu helfen, haben wir HITGuard entsprechend erweitert. Sowohl beim Risikomanagementbericht „Konformität nach Standards und Normen“ sowie bei den KPIs „Compliance Erfüllung“, „Fragen Deckung (Total)“ und „Fragen Deckung (Prozentuell)“ haben wir die Konfigurations- und Auswertungsmöglichkeiten ausgebaut. | |||
====Erweiterung des Konformitätsberichts nach Standards und Normen==== | |||
Wenn bei den Berichtsoptionen die Checkbox „Gemappte Normkapitel inkludieren“ selektiert wird, erscheint nun zwischen dem ursprünglich gewählten Standard und den dazugehörigen Wissensdatenbanken eine weitere Auswahl „Gewählter und gemappte Standards und Normen“: hier kann man jene gemappten Standards auswählen, die in die Datengrundlage des Berichts aufgenommen werden sollen. Man kann so genau festlegen, welche Information in den Bericht einfließen soll um die Erfüllung einer Normanforderung durch die Compliance mit bestimmten anderen Normen gezielt darzustellen (siehe Beispiele oben). | |||
::[[Datei:R241_2-3-1a.png|left]] <br clear=all> | |||
::[[Datei:R241_2-3-1b.png|left]] <br clear=all> | |||
Die Liste der Wissensdatenbanken passt sich automatisch an die gewählten Standards und Normen an. Beide Listen zeigen die Anzahl der Prüfobjekte, die sich hinter dem jeweiligen Element befinden, sodass man nicht versehentlich leere Berichte generiert.</p>Eine weitere Checkbox „Prüfergebnisse miteinbeziehen“ ermöglicht es, die Ergebnisse, die nicht mit einer Wissensdatenbank verknüpft sind, ebenfalls in den Bericht zu inkludieren oder sie auszulassen. | |||
::[[Datei:R241_2-3-1c.png|left]] <br clear=all> | |||
::::<u>Hinweis:</u> Der Screenshot oben zeigt, dass für jeden der beiden Standards zusätzliche Prüfergebnisse erfasst wurden, deshalb ist die Anzahl der Prüfobjekte bei den Standards höher als bei den Wissensdatenbanken.</p> | |||
Mehr zu den Berichten im Risikomanagement finden Sie [[Special:MyLanguage/Berichte_für_das_Risikomanagement|hier]]. | |||
====Erweiterung der Spinnen-KPIs am Dashboard==== | |||
Bei den KPIs „Compliance Erfüllung“ und „Fragen Deckung (Total)“ kann man im Filter auswählen, ob man alle relevanten Wissensdatenbanken zu einem gewählten Standard in die Spinne einrechnen oder die Auswahl auf eine oder mehrere individuelle Wissensdatenbanken einschränken möchte. Auch das Miteinbeziehen von Prüfergebnissen kann gesteuert werden. | |||
::[[Datei:R241_2-3-2a.png|left]] <br clear=all> | |||
Inkludiert man bei diesen beiden Kennzahlen gemappte Normkapitel, werden alle gemappten Standards und Normen berücksichtigt und die Liste der verfügbaren Wissensdatenbanken erweitert sich entsprechend.</p>Das folgende Beispiel zeigt die Erfüllung der Norm ISO/IEC 27001:2022 anhand der Überprüfungen zu zwei Wissensdatenbanken, die auf die Norm ISO/IEC 27001:2013 mappen, und Prüfergebnissen. | |||
::[[Datei:R241_2-3-2b.png|left]] <br clear=all> | |||
Beim KPI „Fragen Deckung (Prozentuell)“ kann man weiterhin nur einzelne Wissensdatenbanken auswählen. Auch das Miteinbeziehen von Prüfergebnissen ist hier nicht möglich, da der Prozentsatz auf die Gesamtzahl der verfügbaren Fragen in der jeweiligen Wissensdatenbank gerechnet wird. | |||
::[[Datei:R241_2-3-2c.png|left]] <br clear=all> | |||
Das folgende Beispiel zeigt die prozentuelle Deckung der Fragen einer Wissensdatenbank, die auf die Norm ISO/IEC 27001:2022 mappt. | |||
::[[Datei:R241_2-3-2d.png|left]] <br clear=all> | |||
Mehr zu den KPIs im Risikomanagement finden Sie [[Special:MyLanguage/Risikomanagement_Dashboard|hier]].</p> | |||
Weitere Neuerungen zu Standards & Normen in HITGuard, die in diesem Kontext relevant sind, finden Sie im Kapitel <i>Neue und aktualisierte Standards & Normen</i>. | |||
Version vom 29. März 2024, 09:53 Uhr
NEUES IM MODUL
Kapitel
Unterkapitel
Mehr zur Schutzbedarfsanalyse finden Sie hier.
NEUES MODUL: DOKUMENTENMANAGEMENT
Da von einigen unserer Kunden der Wunsch aufgekommen ist, Dokumente direkt in HITGuard ablegen und verwalten zu können, haben wir einen neuen Menüpunkt Doku-Management eingebaut. Wenn jemand auf das Dokumentenmanagement berechtigt ist, findet er in diesem Menüpunkt die Bereiche „Dokumente“, „Hochgeladene Anhänge“ und „Berichtsarchiv“.
Im Bereich Dokumente können, wie im Explorer oder auf einem Fileshare, Verzeichnisse erstellt und Dokumente darin gespeichert werden. Dateien (Word, Excel, PDF, Bilddateien etc.) können über einen Button oder einfach via Drag & Drop hochgeladen werden und zeigen das Datum der letzten Änderung sowie den Ändernden. Die Dokumente können weiters auf Kapitel von Standards und Normen gemappt werden.
Wird ein Dokument mit dem gleichen Dateinamen erneut hochgeladen, kann man entweder beide Dateien behalten oder die bestehende Datei durch die neue ersetzen. Die diversen Versionen des Dokuments sind dann im Versionsverlauf ersichtlich und stehen dort weiterhin zur Verfügung.
Die Bereiche „Hochgeladene Anhänge“ und „Berichtsarchiv“ finden sich, sofern man nicht auf das Dokumentenmanagement berechtigt ist, weiterhin im Menüpunkt Administration.
Mehr zum Bereich „Dokumente“ im Doku-Management finden Sie hier.
NEUES IM RISIKOMANAGEMENT
Neuer Dialog zum Zuweisen von Maßnahmen und Kontrollen in Überprüfungen
Wir haben die Art verbessert, wie Maßnahmen und Kontrollen zu Abweichungen zugewiesen werden können. Es gibt nun einen Button für Maßnahmen und einen für Kontrollen und jeder davon öffnet einen Dialog, in dem es möglich ist,
- neue Maßnahmen bzw. Kontrollen zu erstellen und
- bestehende Maßnahmen bzw. Kontrollen zu verknüpfen.
Die Liste von Maßnahmen bzw. Kontrollen hier zeigt auf einen Blick
- jene, die aus Vorlagen aus der Wissensdatenbank erstellt wurden,
- Vorlagen aus der Wissensdatenbank, die für die aktuelle Abweichung empfohlen sind, und
- bestehende Maßnahmen bzw. Kontrollen, die durch ihr Norm-Mapping darauf schließen lassen, dass sie auch zur Lösung der betroffenen Abweichung geeignet wären.
In der Liste kann gesucht und gefiltert werden. Zusätzlich stehen Checkboxen zur Verfügung, mit denen die Ansicht auf Knopfdruck eingeschränkt oder neu sortiert werden kann (die zuletzt verknüpften Maßnahmen oder Kontrollen können nach vorne gereiht werden).
Man kann nun also leichter erkennen, ob es empfohlene Vorlagen zu einem bestimmten Thema gibt, und sieht ohne eine zusätzliche Suche, ob es eventuell schon bestehende Maßnahmen gibt, die man im aktuellen Kontext ebenfalls verknüpfen könnte.
In der Spalte „Beziehungen“ sieht man sowohl die verknüpften wie auch die verwandten Standards und Normen. So kann man beispielsweise eine bestehende BSI-Maßnahme sehen, die auch beim Umsetzen der ISO 27001 passend ist und wiederverwendet werden soll.
Das Popup, das auf Empfehlungen bei Abweichungen hinweist, wurde dafür entfernt.
Mehr zum Zuweisen von Maßnahmen und Kontrollen bei Prüffragen und eine detaillierte Erklärung der verfügbaren Checkboxen und Badges finden Sie hier.
Anzeige von Norm-Mappings bei Prüffragen
Prüffragen aus Wissensdatenbanken zeigen ihre Norm-Mappings auch direkt in Überprüfungen, sofern sie mit Standardkapiteln verknüpft sind. Lead- und Co-Auditoren haben damit immer einen Überblick über die verknüpften und verwandten Standards und Normen des aktuellen Themas.
Detailliertere Auflösung von Norm-Mappings in Berichten und KPIs
Die gängigen Standards und Normen unterliegen regelmäßigen Aktualisierungen und es wächst stetig die Anzahl der gesetzlichen Anforderungen denen entsprochen werden muss. Dadurch werden die Herausforderungen, die Erfüllung der Compliance-Vorgaben darzustellen, immer komplexer. Das spiegelt sich auch in der wachsenden Zahl an dazugehörenden Wissensdatenbanken, ihren Versionen und den sie alle verbindenden Beziehungen untereinander (Norm-Mappings) in HITGuard wider.
- Beispiel: Man hat sich bereits intensiv mit den TISAX-Anforderungen ausein-andergesetzt. Im nächsten Schritt möchte man herausfinden, wie weit man noch von einer ISO 27001 Zertifizierung entfernt ist. Oder man hat bereits mehrere Audits nach der ISO 27001:2013 durchgeführt, für den nächsten Audit möchte man aber sehen, ob auch nach ISO 27001:2022 alles passt. Auch im Zusammenhang mit den aktuellen und bevorstehenden NIS/NIS-2 Projekten ergeben sich hier weitere solche Beispiele. Den Überblick zu behalten und allen Anforderungen gerecht zu werden, wird zu einer immer größeren Herausforderung für Verantwortliche in allen Bereichen.
Um unseren Kunden bei dieser Aufgabenstellung noch besser zu helfen, haben wir HITGuard entsprechend erweitert. Sowohl beim Risikomanagementbericht „Konformität nach Standards und Normen“ sowie bei den KPIs „Compliance Erfüllung“, „Fragen Deckung (Total)“ und „Fragen Deckung (Prozentuell)“ haben wir die Konfigurations- und Auswertungsmöglichkeiten ausgebaut.
Erweiterung des Konformitätsberichts nach Standards und Normen
Wenn bei den Berichtsoptionen die Checkbox „Gemappte Normkapitel inkludieren“ selektiert wird, erscheint nun zwischen dem ursprünglich gewählten Standard und den dazugehörigen Wissensdatenbanken eine weitere Auswahl „Gewählter und gemappte Standards und Normen“: hier kann man jene gemappten Standards auswählen, die in die Datengrundlage des Berichts aufgenommen werden sollen. Man kann so genau festlegen, welche Information in den Bericht einfließen soll um die Erfüllung einer Normanforderung durch die Compliance mit bestimmten anderen Normen gezielt darzustellen (siehe Beispiele oben).
Die Liste der Wissensdatenbanken passt sich automatisch an die gewählten Standards und Normen an. Beide Listen zeigen die Anzahl der Prüfobjekte, die sich hinter dem jeweiligen Element befinden, sodass man nicht versehentlich leere Berichte generiert.
Eine weitere Checkbox „Prüfergebnisse miteinbeziehen“ ermöglicht es, die Ergebnisse, die nicht mit einer Wissensdatenbank verknüpft sind, ebenfalls in den Bericht zu inkludieren oder sie auszulassen.
- Hinweis: Der Screenshot oben zeigt, dass für jeden der beiden Standards zusätzliche Prüfergebnisse erfasst wurden, deshalb ist die Anzahl der Prüfobjekte bei den Standards höher als bei den Wissensdatenbanken.
Mehr zu den Berichten im Risikomanagement finden Sie hier.
Erweiterung der Spinnen-KPIs am Dashboard
Bei den KPIs „Compliance Erfüllung“ und „Fragen Deckung (Total)“ kann man im Filter auswählen, ob man alle relevanten Wissensdatenbanken zu einem gewählten Standard in die Spinne einrechnen oder die Auswahl auf eine oder mehrere individuelle Wissensdatenbanken einschränken möchte. Auch das Miteinbeziehen von Prüfergebnissen kann gesteuert werden.
Inkludiert man bei diesen beiden Kennzahlen gemappte Normkapitel, werden alle gemappten Standards und Normen berücksichtigt und die Liste der verfügbaren Wissensdatenbanken erweitert sich entsprechend.
Das folgende Beispiel zeigt die Erfüllung der Norm ISO/IEC 27001:2022 anhand der Überprüfungen zu zwei Wissensdatenbanken, die auf die Norm ISO/IEC 27001:2013 mappen, und Prüfergebnissen.
Beim KPI „Fragen Deckung (Prozentuell)“ kann man weiterhin nur einzelne Wissensdatenbanken auswählen. Auch das Miteinbeziehen von Prüfergebnissen ist hier nicht möglich, da der Prozentsatz auf die Gesamtzahl der verfügbaren Fragen in der jeweiligen Wissensdatenbank gerechnet wird.
Das folgende Beispiel zeigt die prozentuelle Deckung der Fragen einer Wissensdatenbank, die auf die Norm ISO/IEC 27001:2022 mappt.
Mehr zu den KPIs im Risikomanagement finden Sie hier.
Weitere Neuerungen zu Standards & Normen in HITGuard, die in diesem Kontext relevant sind, finden Sie im Kapitel Neue und aktualisierte Standards & Normen.