HITGuard Release Dezember 2019: Unterschied zwischen den Versionen

Zur Maßnahme können zwei neue Informationen erfasst werden: Plan Kosten und IST Kosten

Der neue Maßnahmenstatus "Geplant" ist für Maßnahmen gedacht, die man erst noch einer Freigabe (z.B. "budgetären Freigabe" oder "Auditberichtfreigabe") unterziehen muss bevor sie in den Status "offen" gehen.

Bevor sie nicht offen sind erhält der Maßnahmenverantwortliche auch keine Ansicht der Maßnahme in seinem Dashboard -> Menüpunkt Meine Aufgaben -> Maßnahmenstatus | offene Maßnahmen

Weiters kann nur für offene Maßnahmen eine Fortschrittsmeldung anfordert werden.

Bezüglich der Handhabung von Überprüfungen konnten folgende Verbesserungen erwirkt werden:

• Bei der Anlage von Prüfobjekt wird das Kürzel zum Prüfobjekt nun mit dem Kürzel aus der Wissensdatenbanken vorbelegt.
• Ein Prüfobjekt, das beim ersten Mal zu einer Überprüfung hinzugefügt wird, wurde bisher immer mit „<Bezeichnung> (1)“ angelegt. Die automatische Nummerierung bei mehreren gleichartigen Prüfobjekten bleibt bestehen, aber die erste Verwendung wird nicht mehr mit (1) gekennzeichnet.
• Die Speicherdauer konnte für umfangreiche Überprüfungen reduziert werden.

3.2 Risikobewertungsassistent wurde zum Assistenten zur Beurteilung der Gefährdungslage Das ehemalige „Risiko" wird zur Gefährdungslage. Die Änderung kommt daher, dass uns die Begrifflichkeit im Kontext richtiger erscheint. Dennoch bleibt vieles gleich, manches wird allerdings nun automatisiert ermittelt.

Die Gefährdungslage ist eine Sammlung aus Abweichungen und wird vom Expert erstellt indem er die Abweichungen einer Gefährdungslage zuteilt. Durch die Verknüpfung der Abweichung mit den zugewiesenen Maßnahmen und Kontrollen werden diese automatisch auch mit der Gefährdungslage verknüpft. Zusätzlich wird die Gefährdungslage mit Assets (Ressourcen, Prozessen, Organisationseinheiten oder Datenkategorien) in Beziehung gesetzt, die mit dem Prüfobjekt verknüpft sind, zu dem die Abweichung gehört.

3.3 Manuelles Zuweisen von Maßnahmen und Kontrollen zu Gefährdungslagen Maßnahmen und Kontrollen werden einerseits automatisch zu Gefährdungslagen zugewiesen (wie in 3.2 Risikobewertungsassistent wurde zum Assistenten zur Beurteilung der Gefährdungslage beschrieben). Andererseits bleibt es aber möglich Maßnahmen und Kontrollen auch manuell zu einer Gefährdungslage zuzuweisen.

3.4 Auswertung der Schwachstellen ohne adäquate Maßnahmenbehandlung In der Überprüfung werden zu einzelnen Prüffragen im Rahmen der Beantwortung gleich auch Maßnahmen empfohlen. Die Behandlung der Prüffragen kann sofort oder später folgen. Relevant ist jedenfalls ob eine Maßnahmenbehandlung vorgenommen wird bzw. wenn ja, ob diese zum anzustrebenden Zielwert für die Prüffrage führt. Unter Risikomanagement > Schwachstellen > Abweichungen sind alle Abweichungen gelistet und nun auch hinsichtlich dieser Information markiert: • Abweichungen zu denen noch keine Maßnahmen zugewiesen wurden • Abweichungen, bei denen die Maßnahmen noch zu keinem Zielwert führen bzw. der zu erreichende Zielwert < als der Zielreifegrad ist

3.5 Erledigte Maßnahmen führen nun zu Vorschlägen zur Schwachstellenreduktion Wenn eine Maßnahme erledigt wurde und diese Maßnahme eine oder mehrere Abweichungen adressiert, dann ist eine neue Bewertung der Abweichung für den Prüfgegenstand vorzunehmen. Hierzu wird unter Risikomanagement > Schwachstellen > Prüfobjekte jedes Prüfobjekt gekennzeichnet, für das eine Neubewertung durchgeführt werden sollte. Es wird auch darüber informiert warum. Über den orangen Pfeil im Grid kann die Neubewertung initiiert werden.

Anschließend werden die neu zu setzenden Antworten für die Prüffragen vorgeschlagen, die sich nun durch die Umsetzung der Maßnahme ergeben:

Der Mechanismus legt die Neubewertung dann selbstständig an, wenn neuerlich auf den orangen Pfeil geklickt wird. Abweichungen, die durch eine Neubewertung behoben wurden, werden in der Gefährdungslage anschließend ausgegraut angezeigt. 3.6 Neuerungen in der Auditverwaltung 3.6.1 Zusätzliche Termine in der Agenda eines Audits vorsehen Zu einem Audit sollen zusätzliche Termine ergänzt werden können, die eine Beschreibung und ein Zeitfenster haben. Dies ist z.B. dann sinnvoll, wenn bei Audits eine Mittagspause geplant und koordiniert werden muss.

Es wurde ein zusätzlicher Reiter „Terminkalender“ ergänzt in dem diese Termine zusätzlich verwaltet werden können. Termine von Überprüfungen können nicht bearbeitet werden. Es können aber zusätzliche Termine ergänzt werden. Diese werden im Auditbericht in der Agenda angedruckt inkl. Beschreibung.

3.7 Neuerungen zu den Berichten 3.7.1 Berichtsoptionen zum Abweichungsanalysebericht erweitert Die Berichtsoptionen wurden um eine Vielzahl an Einstellungen erweitert:

3.7.2 Konformitätsbericht mit reduziertem Inhaltsverzeichnis Für Konformitätsberichte aller Art ist jetzt auch ein schlankeres Inhaltsverzeichnis darstellbar. Es sollen darin nicht alle Prüfobjekte angezeigt werden. Die Option „Prüffragen/Prüfobjekte im Inhaltsverzeichnis anzeigen“ ermöglicht das. 3.7.3 Konformitätsbericht nach Norm um zusätzliche Features erweitert Zum Konformitätsbericht nach Norm wird nun in den Prüfgegenständen zusätzlich zum Verantwortlichen des Prüfgegenstands, auch die Organisationseinheit aus der Überprüfung angedruckt. Weiters kann der Konformitätsbericht nach Norm nun auf Organisationseinheiten eingeschränkt werden. Diese Auswertung bezieht sich außerdem auf den aktuellen bzw. ausgewählten Analysezeitraum.

Und es können nun auch die Details zur Überprüfung ausgeblendet werden. Damit ist gemeint, dass keine Details zu den Prüfgegenständen mehr angezeigt werden. Weder die Prüffragen mit Antworten noch die Prüfgegenstände bzw. Überprüfungen selbst.

Dies äußert sich wie folgt: • Es wird dann lediglich die Übersicht über die Spinne zur ersten Norm-Überschriften Ebene dargestellt. • Auf der nächsten Ebene werden die weiteren Norm-Subkapitel dargestellt wieder inkl. Spinne bzw. Tacho.