Risikobewertung/en: Unterschied zwischen den Versionen

In this overview, all hazard situations from the different management systems are displayed. It is also possible to display only the hazards of the current management system. Furthermore, hazard layers can be set to private, so that they are only displayed in the management system in which they were created.

If you click on a hazard location, you can edit or view it. Then it is possible to view which deviations, measures or controls are assigned to this hazard layer.

Caution:

• A hazard situation that is not "private" can be assessed separately for each management system that uses different damage extent classifications. That is, assessments apply only to management systems that use the same extent-of-damage classifications.

A hazard situation can be a collection from deviations that form a concrete danger for the linked entities.

Deviations occur in the course of a review. This is the case, for example, when test questions of test objects are answered "negatively" or below target maturity level. Subsequently, the deviations can be assigned to hazard layers.

Die Prüfobjekte, in denen sich die Prüffragen befinden, können mit Entitäten (Ressorucen, Datenkategorien, Prozessen und/oder Organisationseinheiten) verknüpft werden. Durch diese Zuweisung entsteht bei den betroffenen Entitäten eine konkrete Gefährdungslage, die in der Strukturanalyse ersichtlich ist.

Hazardous situations can also be recorded freely.

Freely recorded hazard layers normally have no linked deviations, but such deviations can be assigned to them. Freely entered hazard layers can, for example, be a list of risks that was already maintained before HITGuard was used, e.g. with Excel. Such lists can be obtained using the Data importer.

Hazard situations can then be evaluated by selecting a probability of occurrence and an extent of damage. This results in the risk score according to which the hazard situation is displayed in the risk management dashboard, for example. This evaluation is done according to the extent of damage classification. This means: If a hazard situation was evaluated in one management system with classification "Standard", it can be evaluated differently in another management system with classification "Privacy" (as long as it is not marked as "Private").

In the hazard situation itself:

• the key data are displayed
• all deviations assigned to the hazard situation are displayed.
• the measures/controls that are assigned to the deviations are listed.
• the measures/controls that are manually assigned to the hazard situation are listed.

Weiters wird jede Änderung der Gefährdungslage / Risikobewertung protokolliert. Diese Dokumentation ist im Menüpunkt "Zeitliche Entwicklung" zu finden.

Wichtig: Diese sollten für Gefährdungslagen die vor HITGuard Release Oktober 2020 erstellt wurden, nachdokumentiert werden. Mehr dazu findet sich unter Zeitliche Entwicklung.

Kürzel:

• Beim Kürzel tragen Sie den abgekürzten Titel der Gefährdungslage ein.

Status:

• Aktiv: Die Gefährdungslage besteht noch.
• Geschlossen: Die Gefährdungslage wurde behoben.
• Akzeptiert: Sie sind sich der Gefährdungslage bewusst, werden diese aber aus unterschiedlichen Gründen derzeit nicht beheben.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung)

Privat:

• Stellen Sie die Gefährdungslage auf privat, so wird die Gefährdungslage nur noch im angelegten Managementsystem angezeigt. Andernfalls ist sie in jedem Managementsystem sichtbar und kann für jede Schadensausmaßklassifikation bewertet werden.
• Maßnahmen, Kontrollen und Abweichungen sind allerdings nur in den jeweiligen Managementsystemen zu sehen, in denen diese erstellt wurden, unabhängig davon, ob die Gefährdungslage als privat gekennzeichnet wurde.

Bezeichnung und Beschreibung:

• Bei der Bezeichnung muss eingetragen werden wie die Gefährdungslage benannt werden soll.
• Bei der Beschreibung sollten Sie die Gefährdungslage beschreiben/erklären.

Eintrittswahrscheinlichkeit:

• Hier können Sie eintragen, wie wahrscheinlich es ist, dass die Gefährdungslage das Unternehmen trifft.
  Mehr Information finden Sie unter Eintrittswahrscheinlichkeit
• Änderungen hier werden protokolliert (Zeitliche Entwicklung)

Schadensausmaß:

• Hier können Sie eintragen wie groß der potenzielle Schaden ist, der durch die Gefährdungslage entstehen kann.
• Es stehen nur Schadensausmaße der Klassifikation des aktuellen Managementsystems zur Verfügung.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung)

Verantwortlichkeit und Sachbearbeiter:

• Die verantwortliche Person ist der primäre Ansprechpartner für die Gefährdungslage
• Die Sachbearbeiter sind für die Risikobehandlung zuständig

Zugewiesene Schutzziele und Gewichtungen:

• Hier können Sie festhalten welche Schutzziele wie stark betroffen sind, wenn die Gefährdungslage eintritt.
  Beispiel:

Gefährdungslage: Einbruch in den Serverraum

Schutzziel	Gewichtung	Erklärung
Vertraulichkeit	4	Einbruch zum Diebstahl einer Festplatte
Verfügbarkeit	4	Der Einbrecher könnte etwas zerstören
Integrität	3	Er könnte auch am System etwas ändern

Norm-Mapping:

• Beschäftigt sich die Gefährdungslage mit einem oder mehreren Normkapiteln sollten diese hier eingetragen werden.

Betroffene Strukturelemente:

• Hier werden alle Strukturelemente angeführt, die durch die Abweichungen mit der Gefährdungslage in Beziehung stehen.
• Durch Öffnen des Dropdown-Menüs können Strukturelemente mit der Gefährdungslage verknüpft werden. Weiters wird hier ersichtlich, von welchem Prüfobjekt die automatisch gesetzten Verknüpfungen kommen.
• Beispiel:

Die Gefährdungslage "Temperaturprobleme in Serverräumen" wird z.B. über eine Abweichung beim Überprüfen der Serverräume mit dem Strukturelement "Serverraum" verknüpft.

In diesem Reiter werden alle Abweichungen gelistet, die der Gefährdungslage zugewiesen sind. Dies ist im Normalfall das Resultat der Abweichungsbehandlung einer Überprüfung. Sie können aber auch hier existierende Abweichungen zur Gefährdungslage zuweisen.

Zielreifegrad-Gewichtung:

• Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Zielreifegrad-Gewichtung. Je größer die Abweichung vom Zielreifegrad und je größer die Gewichtung des Schutzzieles desto größer ist die Zielreifegrad-Gewichtung. Mehr zur Zielreifegrad-Gewichtung finden Sie hier.

Achtung: Es werden nur Abweichungen des aktuellen Managementsystems angezeigt. Nur weil die Gefährdungslage in diesem Managementsystem keine Abweichungen hat, heißt das nicht, dass keine existieren.

Darstellung der Abweichungen:

• Schwarz: Abweichungen, die dieser Gefährdungslage zugewiesen sind und nicht behoben wurden.
• Grün: Abweichungen, die dieser Gefährdungslage zugewiesen sind und behoben oder mit mindestens dem Zielreifegrad angegeben wurden.
• Grau: Hier handelt es sich um historische Abweichungen. Diese wurden in früheren Überprüfungen erkannt und der Gefährdungslage zugewiesen. Zwischenzeitlich wurden die Prüfgegenstände dieser Überprüfungen schon einer Neubewertung unterzogen.
• Zu Gefährdungslage xx verschoben: Die Abweichung wurde ursprünglich der aktuell dargestellten Gefährdungslage zugewiesen. In einem weiteren Schritt änderte sich die Zuweisung zu einer anderen Gefährdungslage, der Gefährdungslage xx.

Klicken Sie auf "Abweichungen zuweisen" öffnet sich eine Maske zum Zuordnen von Abweichungen.

In dem jeweiligen Reiter werden alle Maßnahmen/Kontrollen gelistet, die der Gefährdungslage zugewiesen sind. Die Maßnahmen/Kontrollen kommen entweder direkt aus der Verknüpfung mit einer Abweichung, werden von den verfügbaren ausgewählt (blauer Button) oder werden hier speziell für die Gefährdungslage erstellt.

Kommen die Maßnahmen/Kontrollen von einer Abweichung, kann die Verknüpfung zur Gefährdungslage nicht aufgehoben werden.

Ist eine Abweichung grau, kann dies zwei Ursachen haben:

1. Das Prüfobjekt wurde einer Neubewertung unterzogen und die Abweichung hat sich als behoben herausgestellt.
2. Die Abweichung wurde einer anderen Gefährdungslage zugewiesen.

Achtung: Es werden nur Maßnahmen/Kontrollen des aktuellen Managementsystems angezeigt. Nur weil die Gefährdungslage in diesem Managementsystem keine Maßnahmen/Kontrollen hat, heißt das nicht, dass sie in anderen Managementsystemen keine Maßnahmen/Kontrollen hat.

Maßnahme erstellen
Kontrolle erstellen

Bei jeder Änderung der Eintrittswahrscheinlichkeit, des Schadensausmaßes und/oder Status, muss derjenige, der die Änderung durchführt, einen Eintrag zum Änderungsprotokoll mit Begründung und Datum für seine Änderung angeben. Nur wenn dies eingetragen wird, kann die Änderung durchgeführt werden. Ein Protokoll scheint anschließend in der zeitlichen Entwicklung der Gefährdungslage auf. Veränderungen an der Schadensausmaßbeurteilung scheinen nur in den Managementsystemen auf, die dieselbe Schadensausmaßklassifikation verwenden.

Wichtig: Zeitliche Entwicklungen können auch manuell nachgetragen werden. Dafür in der Übersicht auf den "Plus"-Button klicken.

Einträge in dieser Übersicht können durch Doppelklick auf den jeweiligen Eintrag bearbeitet werden.