Managementsysteme/en: Unterschied zwischen den Versionen
Aus HITGuard User Guide
Weitere Optionen
Faha (Diskussion | Beiträge) Die Seite wurde neu angelegt: „'''What purpose do management systems have?'''<br> :Management systems have two central functions: :# They serve to assign measures, controls, risk identificat…“ |
Faha (Diskussion | Beiträge) Die Seite wurde neu angelegt: „:That means: :*Measures to deal with risks can be implemented by employees from different areas of responsibility.<br>Experts from the individual management sy…“ |
||
| Zeile 10: | Zeile 10: | ||
:#* Ms. Moser collects progress data of 2 divisions quarterly. | :#* Ms. Moser collects progress data of 2 divisions quarterly. | ||
: | :That means: | ||
:* | :*Measures to deal with risks can be implemented by employees from different areas of responsibility.<br>Experts from the individual management systems can continuously monitor the progress of the measure developments and report periodically over several analysis periods. | ||
:*Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen.<br>Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden.<br>Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentierbar. | :*Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen.<br>Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden.<br>Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentierbar. | ||
Version vom 16. Mai 2019, 11:35 Uhr
Administrators and Experts can create, edit and manage management systems via "Administration ==> Management systems".
Experts can only edit the management systems for which they are responsible.
What purpose do management systems have?
- Management systems have two central functions:
- They serve to assign measures, controls, risk identifications, etc. from selected departments to subject areas and to define responsible experts who, for example, supervise the progress of the measures.
Example:- ISM Reporting: Measures from the Information Security Management Audits are managed by Ms. Moser
- QM Reporting: Measures from the Quality Management Management Audits are handled by Mr. Mustermann.
- They are used to assign the feedback from the progress evaluations of the various tasks to time periods and to analyze the corresponding key figures and trends.
Example:- Mr. Mustermann collects progress data on 10 departments every six months.
- Ms. Moser collects progress data of 2 divisions quarterly.
- They serve to assign measures, controls, risk identifications, etc. from selected departments to subject areas and to define responsible experts who, for example, supervise the progress of the measures.
- That means:
- Measures to deal with risks can be implemented by employees from different areas of responsibility.
Experts from the individual management systems can continuously monitor the progress of the measure developments and report periodically over several analysis periods.
- Measures to deal with risks can be implemented by employees from different areas of responsibility.
- Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen.
Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, welche in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden.
Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentierbar.
- Neben den Maßnahmen können für die weitere Risikoüberwachung auch Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen.
Löschen eines Managementsystems:
- Das Löschen eines Managementsystems kann nur vom verantwortlichen Expert ausgelöst werden.
- Es wird das Löschen von Managementsystemen nur dann unterstützt solange keine Analysezeiträume enthalten sind.
Stammdaten:
In den Stammdaten wird ein Managementsystem konfiguriert.
Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen sowie Berichte aus.
- Stammdaten bearbeiten:
- Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt.
Pro Managementsystem kann es nur einen Verantwortlichen geben.
Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person, oder den Administratoren, bearbeitbar.
- Hier wird der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt.
- Email Einstellungen:
- Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet.
Wird hier keine Email konfiguriert, so werden alle Emails von der Email-Adresse Versand die in den Globalen Einstellungen konfiguriert ist.(siehe Globale Email)
- Wird hier eine Email eingestellt, dann werden alle Erinnerungen die von diesem Managementsystem ausgehen über diese Email versendet.
- Intervallschema definieren:
- Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden.
Analysezeiträume können:- manuell angelegt werden (Eingrenzung von-bis Datum bei der Anlage)
- im vorhinein konfiguriert werden (z.B. Unterteilung des Jahres in 3 Analysezeiträume beginnend mit 1.2.2017 => 1.2.-31.5.2017; 1.6. – 30.09.2017; 1.10.- 31.1.2018)
- Mit dem Intervallschema wird festgelegt wie Analysezeiträume angelegt werden.
- Optionale Maßnahmeneigenschaften:
- Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen.
Optionale Maßnahmeneigenschaften
- Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen.
- Verwendete Schutzziele:
- Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert.
Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen.
Schutzziele können von Experten unter "Security Assessor ==> Risikopolitik" verwaltet und erstellt werden.(siehe Schutzziele) - Nur die originären Schutzziele (nach ISO 27001, ISO 80001):
- Vertraulichkeit
- Verfügbarkeit
- Integrität
- können nicht gelöscht werden.
Verwendete Schutzziele.PNG
- Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Security Assessors standardmäßig aktiviert.
Analysezeitraum und Historie:
Analysezeiträume dienen dazu im Security Assessor sowie im Progress Monitor, einzelnen Perioden Resultate zuzuordnen und diese somit auswertbar und vergleichbar zu machen.
Analysezeiträume können auf zwei unterschiedliche weisen angelegt werden.(siehe Intervallschema definieren)
Abhängig davon ob sie manuell oder automatisch angelegt wurden, wird der verantwortliche Expert zum jeweiligen Stichtag aufgefordert die nicht erledigten Maßnahmen in den nächsten Analysezeitraum zu überführen.
Aktiver Analysezeitraum:
- Redaktionsschluß:
- Relevant für den Progress Monitor.
Das Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten.
Fortschrittsmeldungen können über "Progress Monitor ==> Fortschrittsmeldungen" aber auch jederzeit Manuell angefordert werden.
- Relevant für den Progress Monitor.
- Zielreifegrad:
- Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen.
Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt.
Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.
- Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen.
- Enthaltene OrgEhs:
- Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig.
D.h. sie müssen zum Redaktionsschluß Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben.
Eine Organisationseinheit kann zeitgleich auch in mehreren Managementsystemen bzw. Analysezeiträumen berichten.
- Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig.
- In Nachfolge-Analysezeitraum überführen:
- Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor,
alle nicht auf Status „Erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und die jeweiligen Status entsprechend adaptiert.
Die erledigten Maßnahmen werden im nächsten Zeitraum natürlich nicht mehr weiterverfolgt.
- Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit dem Progress Monitor,
Löschen eines Analysezeitraums:
- Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Expert ausgelöst werden.
- Es wird das Löschen von Analysezeiträumen nur dann unterstützt solange noch keine Statusanforderungen erstellt wurden.
- Es kann immer nur der aktuellste Analysezeitraum gelöscht werden, abgeschlossene nicht mehr.
Historie:
- In der Historie werden die Analysezeiträume welche schon abgeschlossen wurden mit Beginn, Ende und Redaktionsschluß aufgelistet.
