Suche aufrufen
Menü aufrufen
47
1330
10
34.806
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Berichte für das Risikomanagement/de: Unterschied zwischen den Versionen

Aus HITGuard User Guide
Weitere Optionen
Zum nächsten Versionsunterschied →
VisuellWikitext
FuzzyBot (Diskussion | Beiträge)
9.961 Bearbeitungen
Übernehme Bearbeitung einer neuen Version der Quellseite
 
FuzzyBot (Diskussion | Beiträge)
9.961 Bearbeitungen
Übernehme Bearbeitung einer neuen Version der Quellseite
Zeile 1: Zeile 1:


Berichte für das Risikomanagement können nur von Experten generiert werden!
HITGuard bietet unter "Risikomanagement → Berichte" die Möglichkeit verschiedenste Berichte für das Risikomanagement zu generieren.
 
[[Datei:RM Berichtauswahl allgemein.png|left|thumb|901px|Berichtauswahl]]
<br clear=all>
 
Um einen Bericht zu erstellen, entscheidet man sich zuerst für einen Berichttyp. Anschließend wird noch ausgewählt, zu welchen Daten der Bericht generiert wird (z.B. Gefährdungslagen oder Audit). Die meisten Berichte verfügen zusätzlich über Berichtsoptionen mit denen der Inhalt des Berichts noch spezifischer eingeschränkt und / oder erweitert werden kann.


<b>Sprachen:</b><br>
<b>Sprachen:</b><br>
Wissensdatenbanken können durch hinterlegte Übersetzungen für verwendete Wissensdatenbanken in verschiedenen Sprachen vorliegen. Um z.B. einen Bericht mit den englischen Texten zu generieren, muss über das Flaggen-Icon rechts oben am Bildschirm, neben dem Abmelde-Button, die Sprache gewechselt werden. Dadurch werden alle Inhalte für die Berichte in der gewünschten Sprache geladen, sofern eine Übersetzung in dieser Sprache für die Wissensdatenbank vorhanden ist.
Wissensdatenbanken können durch hinterlegte Übersetzungen für verwendete Wissensdatenbanken in verschiedenen Sprachen vorliegen. Um z.B. einen Bericht mit den englischen Texten zu generieren, muss über das Flaggen-Icon rechts oben am Bildschirm, neben dem Abmelde-Button, die Sprache gewechselt werden. Dadurch werden alle Inhalte für die Berichte in der gewünschten Sprache geladen, sofern eine Übersetzung in dieser Sprache für die Wissensdatenbank vorhanden ist.
<b>Bericht Formate:</b><br/>
Die Berichte stehen als PDF oder DOCX Datei zum Download zur Verfügung. Zum generieren und herunterladen muss bei einem Bericht auf den pinken Button geklickt werden. Anschließend kann ausgewählt werden ob man den Bericht als PDF oder DOCX herunterladen will.
<b>Lizenzen:</b></br>
Ist keine gültige Lizenz von HITGuard vorhanden, dann wird dies bei den Berichten in der Fußzeile angezeigt! Um dies zu ändern, muss unter [[Special:MyLanguage/Lizenzierung | "Administration → Lizenzierung"]] von einem Experten oder einem Administrator eine Lizenz angefordert / eingespielt werden.


Es werden folgende Berichte im Bereich Risikomanagement von HITGuard angeboten:
Es werden folgende Berichte im Bereich Risikomanagement von HITGuard angeboten:


== Auditprogramm ==
== Gefährdungslagenbericht ==


In einem Auditprogramm-Bericht sind alle Audits, die dem Auditprogramm zugeteilt sind, zu sehen.  
In diesem Bericht werden Details zu Gefährdungslagen dargestellt. Zusätzlich werden die Gefährdungslagen in einer Risikomatrix nach ihrer Kritikalität positioniert.  


[[Media:Auditprogramm Bericht.pdf | Auditprogramm Beispiel Bericht]]
Zu den einzelnen Gefährdungslagen können die zu ergreifenden bzw. die bereits ergriffenen Maßnahmen und Kontrollen dargestellt werden. Bei Bedarf kann auch die zeitliche Entwicklung der einzelnen Gefährdungslagen dargestellt werden. Dasselbe gilt für die Abweichungen, die zu den Gefährdungslagen erkannt wurden.


<b>Achtung:</b> Nur Benutzern mit der Rolle "Compliance Manager" werden auch Maßnahmen und Kontrollen aus den anderen Managementsystemen angezeigt.


'''Auditprogramm Bericht erstellen:'''
[[Media:Risikobericht ohne Maßnahmen mit Entwicklung.pdf |  Risikobericht Beispiel Gefährdungslagen ohne M / K inkl. zeitlicher Entwicklung]]
 
[[Media:Risikobericht inkl offener M K.pdf |  Risikobericht Beispiel Gefährdungslagen inkl. ausgesetzte M / K]]


Um einen Bericht eines Auditprogramms zu generieren, navigieren Sie zu "Risikomanagement → Berichte → Auditprogramm". Dort werden alle Auditprogramme, die im ausgewählten Managementsystem angelegt sind, zur Berichtserstellung angezeigt. Anschließend müssen Sie lediglich ein Auditprogramm auswählen und auf den Button mit "Auditprogramm als PDF herunterladen" klicken. Dann kann der Bericht generiert werden.
[[Media:Risikobericht inkl aller M K.pdf |  Risikobericht Beispiel Gefährdungslagen inkl. aller M / K]]


[[Datei:SA BR Auditprogramm auswahl.png|left|thumb|803px|Auditprogramm Bericht erstellen]]
[[Media:Risikobericht Beispiel Verantwortlich.pdf | Risikobericht Beispiel Verantwortliche(r) ohne ausgesetzte M / K]]
<br clear=all>
 
[[Media:Risikobericht Beispiel Strukturelement.pdf | Risikobericht Beispiel Strukturelemente ohne ausgesetzte M / K]]


== Auditplan==
<big><b>Gefährdungslagenbericht erstellen:</b></big>


In einem Auditplan werden alle Überprüfungen, die im Zuge des Audits durchgeführt werden oder wurden, sowie deren Prüfobjekte, angeführt.  
Um einen Gefährdungslagenbericht zu generieren müssen Sie zu "Risikomanagement → Berichte → Gefährdungslage" navigieren. Dort gibt es mehrere Möglichkeiten einen Gefährdungslagenbericht zu generieren:
# Gefährdungslagen
#:* Dieser Bericht enthält die Details zu allen ausgewählten Gefährdungslagen.
#:* Es können nur Berichte zu Gefährdungslagen von Managementsystemen, zu denen man selbst zugeteilt ist, erstellt werden. (Ausnahmen sind Compliance Manager, diese können Berichte zu allen Gefährdungslagen in allen Managementsystemen generieren)
# Strukturelemente
#:* Dieser Bericht enthält alle Gefährdungslagen (des aktuellen Managementsystems), die den ausgewählten Strukturelementen zugewiesen sind.
# Verantwortliche(r) (nur Compliance Manager)
#:* Ein Bericht, der alle Gefährdungslagen anführt für die das ausgewählte Team oder der / die ausgewählte Verantwortliche zuständig ist.


[[Media:Auditplan Bericht.pdf | Auditplan Beispiel Bericht]]
Zum Generieren der Berichte muss auf den jeweiligen pinken Button geklickt werden.


<big><b>Berichtsoptionen</b></big>


'''Auditplan erstellen:'''
Mit den Berichtsoptionen kann spezifiziert werden in welchen Status sich Maßnahmen / Kontrollen befinden müssen um im Bericht angeführt zu werden.


Um einen Auditplan zu generieren, navigieren Sie zu "Risikomanagement → Berichte → Auditplan". Dort werden alle Audits, die im ausgewählten Managementsystem angelegt sind, zur Berichtserstellung angezeigt. Anschließend müssen Sie lediglich ein Audit auswählen und auf den Button "Auditplan als PDF herunterladen" klicken, um den Bericht zu generieren.
Weiters kann entschieden werden, ob die [[Special:MyLanguage/Risikobewertung#time_dev | zeitliche Entwicklung ]] der Gefährdungslagen im Bericht angezeigt werden soll und ob auch die zur jeweiligen Gefährdungslage zugewiesenen Abweichungen mit angedrückt werden sollen.


[[Datei:Berichte Auditplan.PNG|left|thumb|805px|Auditplan erstellen]]
[[Datei:RM Gefährdungslage Bericht erstellen.png|left|thumb|901px|Gefährdungslagenbericht erstellen]]
<br clear=all>
<br clear=all>


== Abweichungsbericht ==
== Schutzbedarf ==
 
In diesem Bericht werden wahlweise die Ergebnisse aus einer oder mehreren Schutzbedarfsanalysen dargestellt. Es werden Gestaltungsmöglichkeiten bzgl. der Zusammenfassung der Ergebnisse und etwaiger Details dazu zur Verfügung gestellt. Es bietet sich zudem die Möglichkeit einen Anhang mit ausführlichen Erklärungen zur Grundlage der Einstufung der Schutzbedarfsanalysen zu erzeugen.


In diesem Bericht werden Ergebnisse aus Abweichungsanalysen und Prüfungen dargestellt.
<big><b>Schutzbedarf Bericht erstellen:</b></big>


Sie können sowohl die Ergebnisse
Um einen Schutzbedarf Bericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Schutzbedarf". Anschließend wählen Sie die Schutzbedarfsanalysen für welche Sie den Bericht generieren wollen und konfigurieren diese über die Berichtsoptionen.
# einer oder mehrerer Überprüfungen
# alle Ergebnisse für eine verantwortliche Person oder
# alle Ergebnisse bezogen auf eine Organisationseinheit auswerten.


Ebenso können Sie den gewünschten Zielreifegrad einstellen sowie Maßnahme und Kontrollvorschläge in den Bericht inkludieren.
Zum Generieren des Berichtes muss der pinke Button zum Herunterladen geklickt werden.


<b>Achtung:</b> Punkt 2 und 3 ist nur verfügbar, wenn Sie über die Rolle "Compliance Manager" verfügen.
<big><b>Berichtsoptionen:</b></big>


[[Media:Abweichungsbericht Beispiel Überprüfungen.pdf |  Abweichungsbericht Beispiel Überprüfungen ohne Vorschläge ZR 5]]
* Zusammenfassung inkludieren:
::Durch das Aktivieren dieser Option wird Ihnen im Bericht eine Zusammenfassung aller Ergebnisse als Kreuzdiagramm angedruckt.


[[Media:Abweichungsbericht Beispiel Verantwortlich.pdf |  Abweichungsbericht Beispiel Verantwortliche mit Vorschlägen ZR 3]]
* Details zur Zusammenfassung inkludieren:
::Zusätzlich zum Kreuzdiagramm werden im oberen Abschnitt der Zusammenfassung all jene Interviews aufgelistet, die als Datenquelle für das Kreuzdiagramm dienen.


[[Media:Abweichungsbericht Beispiel OrgEh.pdf |  Abweichungsbericht Beispiel Organisationseinheit alle Prüffragen ohne Vorschläge ZR 2]]
* Interviewergebnisse inkludieren:
::Zusätzlich zum Kreuzdiagramm eines einzelnen Interviews wird die Begründung zu den Bewertungen der einzelnen Schutzziele angedruckt.


'''Abweichungsbericht erstellen:'''
* Anhang mit Erklärung andrucken:
::Dieser Bericht enthält Berechnungen von Statistiken, Kennzahlen oder andere Inhalte mit Erklärungsbedarf. Standardmäßig wird daher ein Anhang mit Erläuterungen generiert. Wenn dies nicht gewünscht ist, kann diese Berichtsoption deaktiviert werden.


[[Datei:Abweichungsbericht auswahl.png|left|thumb|803px|Abweichungsbericht erstellen]]
[[Datei:RM Schutzbedarf Bericht erstellen.png|left|thumb|904px|Berichte für Schutzbedarfsanalysen erstellen]]
<br clear=all>
<br clear=all>


Um einen Abweichungsbericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Abweichungsanalyse". Dort gibt es mehrere Möglichkeiten einen solchen Bericht zu erstellen:
==<span id="gap_report"/> Abweichungsanalysen ==
# Überprüfungen
#:* Sie können mehrere Überprüfungen selektieren und analysieren.
#:* Sie können nur in Managementsystemen, denen Sie zugeteilt sind, Abweichungsberichte zu Überprüfungen erstellen.
#:* Bei der Auswahl werden nur Überprüfungen des aktuellen Managementsystems im ausgewählten Analysezeitraum angezeigt.
# Verantwortliche(r) (nur Compliance Manager)
#:* Sie können alle Überprüfungen analysieren für die ein Team oder ein Verantwortlicher zuständig ist.
# Organisationseinheit (nur Compliance Manager)
#:* Sie können alle Überprüfungen, die innerhalb einer Organisationseinheit angelegt wurden, analysieren.
#:* Bei der Auswahl werden nur Organisationseinheiten angezeigt, für die im aktuellen Managementsystem und im ausgewählten Analysezeitraum Überprüfungen existieren.
 
Über die Berichtsoptionen kann konfiguriert werden, welche Informationen im Bericht ausgewählt werden.


Es ist möglich einen Bericht über mehrere Analysezeiträume zu erstellen. Dafür müssen Sie jeden Analysezeitraum in dem Sie Überprüfungen verfügbar wollen durchgehen und die Überprüfungen selektieren. Wählen Sie einen neuen Analysezeitraum, werden die Überprüfungen aus den vorherigen nicht mehr angezeigt, bleiben aber selektiert.
In diesem Bericht werden wahlweise die Ergebnisse aus einer oder mehreren Überprüfungen dargestellt. Achten Sie bei der Auswahl der Überprüfungen darauf, dass diese nach dem ausgewählten Analysezeitraum eingegrenzt werden. Eine Vielzahl an Berichtsoptionen hilft Ihnen dabei, die Berichte so zu konfigurieren, dass Sie Ihrem Bedarf entsprechend dargestellt werden.


Anschließend klicken Sie auf den jeweiligen Button "Abweichungsbericht als PDF herunterladen", um den Abweichungsbericht zu generieren.
[[Media:Abweichungsbericht Beispiel Überprüfungen.pdf |  Abweichungsbericht Beispiel Überprüfungen ohne Vorschläge ZR 5]]


== Gefährdungslagenbericht ==
[[Media:Abweichungsbericht Beispiel Verantwortlich.pdf |  Abweichungsbericht Beispiel Verantwortliche mit Vorschlägen ZR 3]]


In diesem Bericht werden Details zu Gefährdungslagen dargestellt. Zusätzlich werden die Gefährdungslagen in einer Risikomatrix nach ihrer Kritikalität positioniert.  
[[Media:Abweichungsbericht Beispiel OrgEh.pdf |  Abweichungsbericht Beispiel Organisationseinheit alle Prüffragen ohne Vorschläge ZR 2]]


Zu den einzelnen Gefährdungslagen können die zu ergreifenden bzw. die bereits ergriffenen Maßnahmen und Kontrollen dargestellt werden. Weiters kann die zeitliche Entwicklung der Gefährdungslagen mit ausgegeben werden.
<big><b>Abweichungsanalysen Bericht erstellen:</b></big>


Benutzern mit der Rolle "Compliance Manager" werden zudem Maßnahmen und Kontrollen aus allen anderen Managementsystemen angezeigt.  
Um einen Abweichungsanalysen-Bericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Abweichungsanalysen". Anschließend gibt es je nach ihrer Rolle folgende Möglichkeiten:
# Überprüfungen
#:* Dieser Bericht enthält alle Informationen über die ausgewählten Überprüfungen.
#:* Bei der Auswahl werden nur Überprüfungen des aktuellen Managementsystems im ausgewählten Analysezeitraum (rechts bei den Berichtsoptionen) angezeigt.
# Verantwortliche(r) (nur Compliance Manager)
#:* Dieser Bericht enthält alle Überprüfungen für die das ausgewählte Team oder der Verantwortliche zuständig ist.
# Organisationseinheit (nur Compliance Manager)
#:* Dieser Bericht enthält alle Überprüfungen, die innerhalb einer Organisationseinheit angelegt wurden.
#:* Bei der Auswahl werden nur Organisationseinheiten angezeigt, für die im aktuellen Managementsystem und im ausgewählten Analysezeitraum Überprüfungen existieren.  


[[Media:Risikobericht ohne Maßnahmen mit Entwicklung.pdf |  Risikobericht Beispiel Gefährdungslagen ohne M / K inkl. zeitlicher Entwicklung]]
Es ist möglich einen Bericht über mehrere Analysezeiträume zu erstellen. Dafür muss rechts bei den Berichtsoptionen der Analysezeitraum geändert werden. Dadurch stehen nun die Überprüfungen des gewählten Analysezeitraum zur Auswahl.  


[[Media:Risikobericht inkl offener M K.pdf |  Risikobericht Beispiel Gefährdungslagen inkl. ausgesetzte M / K]]
<b>Achtung:</b> Wählen Sie einen neuen Analysezeitraum, werden die Überprüfungen aus den vorherigen nicht mehr angezeigt, bleiben aber selektiert.


[[Media:Risikobericht inkl aller M K.pdf |  Risikobericht Beispiel Gefährdungslagen inkl. aller M / K]]
Zum Generieren des Berichtes muss auf den pinken Button zum Herunterladen geklickt werden.
 
[[Media:Risikobericht Beispiel Verantwortlich.pdf | Risikobericht Beispiel Verantwortliche(r) ohne ausgesetzte M / K]]


[[Media:Risikobericht Beispiel Strukturelement.pdf |  Risikobericht Beispiel Strukturelemente ohne ausgesetzte M / K]]
<big><b>Berichtsoptionen</b></big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, aus welchem Managementsystem die Überprüfungen, die zur Auswahl stehen, kommen.
:: Dadurch kann auch ein Managementsystem übergreifender Abweichungsbericht erzeugt werden.
* Analysezeitraum
:: Diese Option steuert aus welchem Analysezeitraum, die zur Auswahl stehenden Überprüfungen kommen.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen.
Die restlichen Optionen spezifizieren welche Informationen von den Prüffragen angezeigt werden und welche Bedingungen Prüffragen erfüllen müssen damit sie im Bericht angezeigt wird.  


'''Gefährdungslagenbreicht erstellen:'''
Es kann auch ausgewählt werden, dass die mit den Prüffragen verknüpften Maßnahmen / Kontrollen angezeigt werden.


[[Datei:Risikobericht auswahl.png|left|thumb|804px|Gefährdungslagenbericht erstellen]]
[[Datei:RM Abweichungsanalysen Bericht erstellen.png|left|thumb|903px|Abweichungsanalysen Bericht erstellen]]
<br clear=all>
<br clear=all>


Um einen Abweichungsbericht zu generieren müssen Sie zu "Risikomanagement → Berichte → Abweichungsanalyse" navigieren. Dort gibt es mehrere Möglichkeiten einen Abweichungsbericht zu generieren:
<!--- == Maßnahmen- und Kontrollberichte (nur Compliance Manager) ==
# Gefährdungslagen
#:* Sie können einen Gefährdungslagenbericht zu einer oder mehreren Gefährdungslagen generieren.
#:* Sie können allerdings nur in Managementsystemen, zu denen Sie zugeteilt sind, Gefährdungslagenberichte erstellen.
# Verantwortliche(r) (nur Compliance Manager)
#:* Sie können einen Gefährdungslagenbericht generieren in dem alle Gefährdungslagen angeführt werden für die ein Team oder ein Verantwortlicher zuständig ist.
# Strukturelemente
#:* Sie können alle Gefährdungslagen, die den selektierten Strukturelemente zugeteilt sind, anführen.
 
Anschließend klicken Sie lediglich auf den Button "Gefährdungslagenbericht als PDF herunterladen", um den Bericht zu generieren.
 
== Maßnahmen- und Kontrollberichte ==


Um einen Maßnahmen- oder Kontroll-Bericht erstellen zu können müssen Sie ein Compliance Manager sein.
Um einen Maßnahmen- oder Kontroll-Bericht erstellen zu können müssen Sie ein Compliance Manager sein.


In diesem Bericht werden zu jedem Risiko die zu ergreifenden bzw. die ergriffenen Maßnahmen und Kontrollen dargestellt. Ebenso besteht die Möglichkeit, Berichte über den Status der - auf eine Norm gemappten - Maßnahme und Kontrolle zu generieren oder einen Bericht für das Management zu erstellen. In diesem erhalten Sie eine Zusammenfassung der - auf eine Norm gemappten - Maßnahmen und Kontrollen.
In diesem Bericht werden zu jedem Risiko, die zu ergreifenden bzw. die ergriffenen Maßnahmen und Kontrollen dargestellt. Ebenso besteht die Möglichkeit, Berichte über den Status der - auf eine Norm gemappte - Maßnahmen und Kontrollen zu generieren oder einen Bericht für das Management zu erstellen. In diesem erhalten Sie eine Zusammenfassung der - auf eine Norm gemappten - Maßnahmen und Kontrollen.




Zeile 134: Zeile 152:
#:* Sie haben die Option Maßnahmen oder Kontrollen über die Berichtsoptionen zu inkludieren oder zu exkludieren.
#:* Sie haben die Option Maßnahmen oder Kontrollen über die Berichtsoptionen zu inkludieren oder zu exkludieren.
# Standards/Norm
# Standards/Norm
#:* Sie können einen Maßnahmen-, Kontroll- oder einen zusammengefassten Management-Bericht zu einem Standard oder einer Norm generieren. In diesen Berichten werden alle - auf eine Norm gemappten - Maßnahmen und Kontrollen angezeigt.
#:* Sie können einen Maßnahmen-, Kontroll- oder einen zusammengefassten Management-Bericht zu einem Standard oder einer Norm generieren. In diesen Berichten werden alle - auf eine Norm gemappte - Maßnahmen und Kontrollen angezeigt.


Anschließend klicken Sie auf den jeweiligen Button "Bericht als PDF herunterladen", um den Maßnahmen- und Kontrollbericht zu generieren.
Anschließend klicken Sie auf den jeweiligen Button "Bericht als PDF herunterladen", um den Maßnahmen- und Kontrollbericht zu generieren.


== Konformitätsbericht ==
---->
 
== Konformität ==


[[Datei:Komformitätsbericht auswahl.png|left|thumb|803px|Konformitätsbericht erstellen]]
Hier können Berichte zur Darstellung des Grades der Standard/Norm-Erfüllung bzw. Erfüllung von Abweichungsanalysen erstellt werden.
 
Diese Berichte geben für jedes Prüfobjekt bzw. jedes Normkapitel einen durchschnittlichen Reifegrad an.
Dieser durchschnittliche Reifegrad wird wie folgt berechnet:
* bei Prüfobjekten:
:: Alle Prüffragen werden gleich gewichtet, d.h. wenn ein Prüfobjekt 10 Prüffragen hat, von denen 5 mit Reifegrad 3, 3 mit Reifegrad 4 und 2 mit Reifegrad 2 beantwortet wurden, so ergibt sich der durchschnittliche Reifegrad aus: (5*3+3*4+2*2)/10 und beträgt 3,1.
* bei Standard- oder Norm-Kapitel:
:: Es wird zwischen unteren und oberen Kapitel Ebenen unterschieden.
::*Auf unterster Ebene mappen Normkapitel nur auf Prüfobjekte, wobei alle Prüfobjekte gleich gewichtet werden. Das bedeutet, dass der Durchschnitt von den einzelnen Prüfobjekten wie oben beschrieben berechnet wird und anschließend werden die Durchschnitte der Prüfobjekte aufsummiert und mit der Anzahl an Prüfobjekten dividiert. Sprich ein Kapitel mit 3 Prüfobjekten die jeweils einen Durchschnitt von 2.5, 3.3 und 4.1 hat einen Durchschnitt von (2.5+3.3+4.1)/3 also 3,3.
::* Auf oberen Ebenen mappen Kapitel auf Unterkapitel und auch potenziell auf Prüfobjekte. Der durchschnittliche Reifegrad des Oberkapitels ergibt sich hierbei aus der Summe der Durchschnitte der direkten Unterkapitel und der Summe der direkt gemappten Prüfobjekte. Das bedeutet, hat ein Oberkapitel 2 Unterkapitel, die jeweils einen Durschnitt von 4 aufweisen, und 3 Kapitel, die mit 2, 3 und 4 beantwortet wurden, dann ergibt sich der durchschnittliche Reifegrad für das Oberkapitel aus: (4+4+2+3+4)/5 er beträgt also 3,4.
 
[[Datei:RM Konformität auswahl.png|left|thumb|900px|Konformitätstyp auswählen]]
<br clear=all>
<br clear=all>


=== Konformitätsbericht nach Überprüfungen ===
===<span id="comp_review"/> Konformitätsbericht nach Überprüfungen ===
----


In diesem Bericht soll die Erfüllung der Voraussetzungen anhand einzelner Überprüfungen grafisch dargestellt werden. Die Erfüllung der Anforderungspunkten wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.
In diesem Bericht soll die Erfüllung der Voraussetzungen anhand einzelner Überprüfungen grafisch dargestellt werden. Die Erfüllung der Anforderungspunkten wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.


<big><b>Konformitätsbericht nach Überprüfungen erstellen:</b></big>
Je nach Rolle gibt es unterschiedliche Möglichkeiten diesen Bericht zu generieren:
# Überprüfungen:
# Überprüfungen:
#:* Sie können einen Konformitätsbericht von einer oder mehreren Überprüfungen generieren.
#:* Es kann ein Konformitätsbericht zu den ausgewählten Überprüfungen generiert werden.
# Verantwortliche: (nur Compliance Manager)
# Verantwortliche: (nur Compliance Manager)
#:* Sie können einen Konformitätsbericht von einem Verantwortlichen generieren, bei der alle Überprüfungen, die diesem Verantwortlichen zugeteilt sind, analysiert werden.
#:* Ein Konformitätsbericht bei dem alle Überprüfungen von einem Verantwortlichen/Team, mit der jeweiligen Erfüllung, angeführt sind.
# Organisationseinheiten: (nur Compliance Manager)
# Organisationseinheit: (nur Compliance Manager)
#:* Sie können einen Konformitätsbericht zu einer Organisationseinheit generieren, bei der alle Überprüfungen, die in dieser Organisationseinheit zugeteilt sind, analysiert werden.
#:* Ein Konformitätsbericht bei dem alle Überprüfungen der ausgewählten Organisationseinheit, mit der jeweiligen Erfüllung, angeführt sind.


[[Media:Konformitätsbericht Beispiel Überprüfung.pdf| Konformitätsbericht Beispiel: Überprüfungen]]
[[Media:Konformitätsbericht Beispiel Überprüfung.pdf| Konformitätsbericht Beispiel: Überprüfungen]]


[[Media:Konformitätsbericht Beispiel Verantwortlicher.pdf |  Konformitätsbericht Beispiel: Verantwortlicher]]
[[Media:Konformitätsbericht Beispiel Verantwortlicher.pdf |  Konformitätsbericht Beispiel: Verantwortlicher]]
<big><b>Berichtsoptionen</b></big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, aus welchem Managementsystem die Überprüfungen, die zur Auswahl stehen, kommen.
:: Dadurch kann auch ein Managementsystem übergreifender Konformitätsbericht erzeugt werden. (Verhalten siehe Analysezeitraum)
* Analysezeitraum
:: Diese Option steuert, aus welchem Analysezeitraum die Überprüfungen, die zur Auswahl stehen, kommen.
:: Durch diese Option kann auch ein Konformitätsbericht über mehrere Analysezeiträume erstellt werden. Wechselt man den Analysezeitraum, werden die Überprüfungen, die in einem anderen gewählt wurden nicht entfernt. Sie werden nur im jeweiligen Analysezeitraum angezeigt.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen (beeinflusst die Darstellung im Bericht).
Mit den restlichen Optionen kann zusätzlich konfiguriert werden, welche Prüffragen angedrückt werden, ob nicht abgeschlossene Überprüfungen inkludiert werden (relevant für Compliance Manager bei Auswahl von Verantwortlichen/Organisationseinheit), wie das Inhaltsverzeichnis aufgebaut ist und ob der Titel des Audits (wenn vorhanden) angezeigt wird.
[[Datei:RM Konformität nach Überprüfung Bericht erstellen.png|left|thumb|901px|Konformität nach Überprüfung]]
<br clear=all>


=== Konformitätsbericht nach Standards und Normen ===
=== Konformitätsbericht nach Standards und Normen ===
----


In diesem Bericht soll die Erfüllung der Voraussetzungen in den einzelnen Anforderungsbereichen des Standards grafisch dargestellt werden. Die Erfüllung der Anforderungspunkte wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt. Für die Darstellung werden Fragen, die mit Ja, Nein oder Teilweise beantwortet wurden, zu Reifegraden umgewandelt. "Nein" entspricht Reifegrad 1, "Teilweise" Reifegrad 3 und "Ja" entspricht Reifegrad 5.
In diesem Bericht soll die Erfüllung der Voraussetzungen in den einzelnen Anforderungsbereichen des Standards grafisch dargestellt werden. Die Erfüllung der Anforderungspunkte wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.  


*Standards und Normen
Für die Darstellung werden Fragen, die mit Ja, Nein oder Teilweise beantwortet wurden, zu Reifegraden umgewandelt. "Nein" entspricht Reifegrad 1, "Teilweise" Reifegrad 3 und "Ja" entspricht Reifegrad 5.
::Sie können einen Konformitätsbericht zu einem Standard oder einer Norm generieren. In diesen Berichten werden alle - auf eine Norm gemappte - Prüfobjekte mit ihrer Beantwortung ausgewählt. Zusätzlich kann der Bericht auf eine Organisationseinheit eingeschränkt werden, was es ermöglicht die Erfüllung einer Norm für einzelne Organisationseinheiten auszuwerten.


[[Media:Konformitätsbericht Beispiel Norm.pdf |  Konformitätsbericht Beispiel: Norm]]
<big><b>Konformitätsbericht nach Standards und Normen erstellen:</b></big>


Zu Beachten:
Zuerst muss die gewünschte Norm oder der Standard ausgewählt werden zu dem ein Konformitätsbericht generiert werden soll. Im Anschluss sollte der Bericht noch über die Berichtsoptionen konfiguriert werden. Um den Bericht zu generieren muss noch auch den pinken Button zum Herunterladen geklickt werden.
* In den Berichten werden nur Überprüfungen / Prüfobjekte dargestellt, die dem ausgewählten Managementsystem zugeteilt sind.
* Ebenso werden zur Auswahl nur Überprüfungen angeboten, die im ausgewählten Analysezeitraum angelegt wurden.
* Über die Berichtsoptionen können zusätzliche Informationen, die im Bericht sein sollen, konfiguriert werden.


Anschließend klicken Sie auf den jeweiligen Button "Bericht als PDF herunterladen", um den Konformitätsbericht zu generieren.
 
<big><b>Berichtsoptionen</b></big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem der Konformitätsbericht erstellt werden soll.
:: Ohne die Rolle Compliance Manager, kann der Konformitätsbericht nur für das aktuelle Managementsystem generiert werden.
* Analysezeitraum
:: Diese Option steuert für welchen Analysezeitraum der Konformitätsbericht erstellt werden soll.
* Zielreifegrad
:: Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen (beeinflusst die Darstellung im Bericht).
::Die restlichen Optionen dienen zum Konfigurieren, welche Prüffragen und Überprüfungen im Bericht angedrückt werden.
* Organisationseinheit
:: Durch diese Option kann der Konformitätsbericht auf die ausgewählte Organisationseinheit und die in der Hierarchie darunter befindliche Organisationseinheiten eingeschränkt werden.
* Auswertung
:: Durch diese Option kann konfiguriert werden, welche Form der Auswertung inkludiert wird.
* Nicht anwendbare Kapitel
:: Durch diese Option können die Kapitel die für das ausgewählte Managementsystem nicht anwendbar sind aus dem Konformitätsbericht ausgeschlossen werden.
 
[[Datei:RM Konformität nach Standard Bericht erstellen.png|left|thumb|900px|Konformität nach Standard oder Norm]]
<br clear=all>


== Standards und Normen ==
== Standards und Normen ==
Hier können Berichte über Standards und Normen generiert werden.


[[Datei:Standards und Normen Berichte.png|left|thumb|800px|Standards und Normen Berichte]]
[[Datei:RM Standards auswahl.png|left|thumb|900px|Bericht für Standards und Normen auswählen]]
<br clear=all>
<br clear=all>
Die Kapitelabdeckung bei den Berichten wird folgendermaßen berechnet:
:Szenario 1:
:*Kapitel 1 - ohne Maßnahme
:**Kapitel 1.1 - mit Maßnahme
:**Kapitel 1.2 - mit Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 100%, da alle untergeordneten Kapitel Maßnahmen zugeteilt haben.
:Szenario 2:
:*Kapitel 1 - mit Maßnahme
:**Kapitel 1.1 - ohne Maßnahme
:**Kapitel 1.2 - ohne Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 100%. Da die Maßnahme zum übergeordneten Kapitel zugewiesen ist, zählt sie auch für die untergeordneten Kapitel.
:Szenario 3:
:*Kapitel 1 - ohne Maßnahme
:**Kapitel 1.1 - mit Maßnahme
:**Kapitel 1.2 - ohne Maßnahme
:Die Abdeckung von Kapitel 1 beträgt 50%, da nur die Hälfte der untergeordneten Kapitel Maßnahmen zugeteilt haben.


=== Statement of Applicability (SOA)===
=== Statement of Applicability (SOA)===
----
In diesem Bericht wird dargestellt, welche Kapitel des Standards/der Norm im Managementsystem "anwendbar" bzw. "nicht anwendbar" sind. Dazu findet sich auch die Begründung zur jeweiligen Anwendbarkeit und die mit den Kapiteln verknüpften Maßnahmen und Kontrollen.
*Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen & Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
*In den Donut-Diagrammen wird dabei der Geltungsbereich (Scope) des Standards/der Norm berücksichtigt. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option "Nicht anwendbare Kapitel in die Statistik aufnehmen" aufgehoben werden.


In diesem Bericht wird dargestellt, welche Kapitel der Norm im Managementsystem "anwendbar" bzw. "nicht anwendbar" sind. Dazu findet sich die Begründung zur jeweiligen Anwendbarkeit und die mit den Kapiteln verknüpften Maßnahmen und Kontrollen.
Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die zu dem gewählten Analysezeitraum bereits existierten.


<u>Maßnahmen:</u>
<u>Maßnahmen:</u>
Zeile 197: Zeile 286:
*Grün = Aktive Kontrollen zu Kapiteln
*Grün = Aktive Kontrollen zu Kapiteln
*Rot = Kapitel ohne Kontrollen
*Rot = Kapitel ohne Kontrollen
<big><b>Statement of Applicability (SOA) erstellen </b></big>
Zum Generieren einer SOA muss zuerst eine Norm / ein Standard ausgewählt und das SOA über die Berichtsoptionen konfiguriert werden. Zum Generieren wird auf den pinken Button zum Herunterladen geklickt.
<big><b>Berichtsoptionen</b></big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem das SOA generiert wird.
* Analysezeitraum
:: Diese Option steuert, aus welchem Analysezeitraum die Maßnahmen und Kontrollen die im SOA berücksichtigt werden, kommen.
Die restlichen Optionen ermöglichen es noch weiter zu konfigurieren, was in den Bericht mit aufgenommen wird. Die Auswahl "Statistik anzeigen" bestimmt beispielsweise, ob die Donut-Diagramme angezeigt werden sollen.
[[Datei:RM Standard SOA Bericht erstellen.png|left|thumb|880px|Statement of Applicability]]
<br clear=all>


=== Management Summary ===
=== Management Summary ===
----
In diesem Bericht finden Sie einen Management-Überblick von Maßnahmen und Kontrollen, die einem Standard/einer Norm zugewiesen wurden:
*Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen und Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
*Ein Balkendiagramm zeigt die Anzahl der Maßnahmen und Kontrollen nach Hauptkapiteln an. Die Anzahl entspricht der Summe der Maßnahmen bzw. Kontrollen, die dem Hauptkapitel und jedem darunter befindlichen Kapitel zugewiesen sind. Eine mehrmals zugewiesene Maßnahme bzw. Kontrolle wird je Hauptkapitel nur einmal gezählt.
*Der Bericht berücksichtigt dabei den Geltungsbereich (Scope) des Standards/der Norm. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option Nicht anwendbare Kapitel in die Statistik aufnehmen aufgehoben werden.


In diesem Bericht finden Sie einen Überblick über das Management, über die Summe, Art und Status von Maßnahmen sowie Kontrollen, die einem/r bestimmten Standard/Norm zugewiesen wurden. Die Auswertung aggregiert die Ergebnisse auf der ersten Kapitelebene des/der Standards/Norm für einen besseren Gesamtüberblick.
Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die zu dem gewählten Analysezeitraum bereits existierten.


[[Media:Management Summary Beispiel Bericht.pdf |  Management Summary Beispiel Bericht]]
[[Media:Management Summary Beispiel Bericht.pdf |  Management Summary Beispiel Bericht]]
<big><b>Management Summary erstellen </b></big>
Zum Generieren einer Management-Summary muss zuerst eine Norm / ein Standard ausgewählt und der Bericht über die Berichtsoptionen konfiguriert werden. Zum Generieren muss anschließend nur auf den pinken Button zum Herunterladen geklickt werden.
<big><b>Berichtsoptionen</b></big>
* Managementsystem (nur Compliance Manager)
:: Diese Option steuert, für welches Managementsystem die Management Summary generiert wird.
* Analysezeitraum
:: Diese Option steuert aus welchem Analysezeitraum die Maßnahmen und Kontrollen die in der Management Summary berücksichtigt werden kommen.
Die restlichen Optionen ermöglichen es noch weiter zu konfigurieren, was in den Bericht mit aufgenommen wird. Die Auswahl "Statistik anzeigen" bestimmt beispielsweise, ob die Donut-Diagramme angezeigt werden sollen.
[[Datei:RM Standard Management Summary Bericht erstellen.png|left|thumb|880px|Management Summary]]
<br clear=all>
== Strukturanalyse ==
Hier können Berichte zur RTO und RPO Erfüllung generiert werden. Mehr Information zu RTO und RPO finden Sie unter [[Strukturanalyse#RTO | "Risikomanagement → Strukturanalyse"]].
[[Datei:RM RTO RPO auswahl.png|left|thumb|900px|Bericht für RTO oder RPO auswählen]]
<br clear=all>
=== RTO-Erfüllung ===
Dieser Bericht zeigt ob die aus den diversen Schutzbedarfsanalysen abgeleiteten Anforderungen an die Ressourcen hinsichtlich der maximal vertretbaren Wiederanlaufzeit erfüllt werden können oder nicht. Dabei kann die Erfüllung wahlweise für eine bestimmte Ressource (Auswahl der Ressource im Drop Down) oder die gesamte Struktur (keine Auswahl einer spezifischen Ressource über das Drop Down) ausgewertet werden.
<big><b>RTO-Erfüllungsbericht erstellen </b></big>
Zum Generieren eines RTO-Erfüllungsbericht muss zuerst die Ressource für die die RTO-Erfüllung analysiert werden soll ausgewählt werden und der Bericht über die Berichtsoptionen konfiguriert werden.
Zum Generieren muss anschließend nur auf den pinken Button zum Herunterladen geklickt werden.
<big><b>Berichtsoptionen</b></big>
Dieser Bericht enthält Berechnungen von Statistiken, Kennzahlen oder andere Inhalte mit Erklärungsbedarf. Standardmäßig wird daher ein Anhang mit Erläuterungen generiert. Wenn dies nicht gewünscht ist, kann dies über die Berichtsoption "Anhang mit Erklärungen andrucken" deaktiviert werden.
Es kann ebenfalls entschieden werden ob Erfüllte oder nicht erfüllte Anforderungen im Bericht aufscheinen sollen oder nicht.
Außerdem kann konfiguriert werden wieviel Information zu den relevanten Ressourcen im Bericht angedrückt wird.
[[Datei:RM RTO Erfüllung Bericht erstellen.png|left|thumb|900px|RTO Bericht erstellen]]
<br clear=all>
=== RPO-Erfüllung ===
Zeigt ob die aus den diversen Schutzbedarfsanalysen abgeleiteten Anforderungen an die Ressourcen hinsichtlich des maximal vertretbaren Datenverlusts jeweils erfüllt werden können oder nicht. Dabei kann die Erfüllung wahlweise für eine bestimmte Ressource (Auswahl der Ressource im Drop Down) oder die gesamte Struktur (keine Auswahl einer spezifischen Ressource über das Drop Down) ausgewertet werden.
<big><b>RPO-Erfüllungsbericht erstellen </b></big>
Zum Generieren eines RPO-Erfüllungsbericht muss zuerst die Ressource für die die RPO-Erfüllung analysiert werden soll ausgewählt werden und der Bericht über die Berichtsoptionen konfiguriert werden.
Zum Generieren muss anschließend nur auf den pinken Button zum Herunterladen geklickt werden.
<big><b>Berichtsoptionen</b></big>
Dieser Bericht enthält Berechnungen von Statistiken, Kennzahlen oder andere Inhalte mit Erklärungsbedarf. Standardmäßig wird daher ein Anhang mit Erläuterungen generiert. Wenn dies nicht gewünscht ist, kann dies über die Berichtsoption "Anhang mit Erklärungen andrucken" deaktiviert werden.
Es kann ebenfalls entschieden werden ob Erfüllte oder nicht erfüllte Anforderungen im Bericht aufscheinen sollen oder nicht.
Außerdem kann konfiguriert werden wieviel Information zu den relevanten Ressourcen im Bericht angedrückt wird.
[[Datei:RM RPO Erfüllung Bericht erstellen.png|left|thumb|900px|RPO Bericht erstellen]]
<br clear=all>

Version vom 12. Mai 2022, 05:45 Uhr

HITGuard bietet unter "Risikomanagement → Berichte" die Möglichkeit verschiedenste Berichte für das Risikomanagement zu generieren.

Berichtauswahl


Um einen Bericht zu erstellen, entscheidet man sich zuerst für einen Berichttyp. Anschließend wird noch ausgewählt, zu welchen Daten der Bericht generiert wird (z.B. Gefährdungslagen oder Audit). Die meisten Berichte verfügen zusätzlich über Berichtsoptionen mit denen der Inhalt des Berichts noch spezifischer eingeschränkt und / oder erweitert werden kann.

Sprachen:
Wissensdatenbanken können durch hinterlegte Übersetzungen für verwendete Wissensdatenbanken in verschiedenen Sprachen vorliegen. Um z.B. einen Bericht mit den englischen Texten zu generieren, muss über das Flaggen-Icon rechts oben am Bildschirm, neben dem Abmelde-Button, die Sprache gewechselt werden. Dadurch werden alle Inhalte für die Berichte in der gewünschten Sprache geladen, sofern eine Übersetzung in dieser Sprache für die Wissensdatenbank vorhanden ist.

Bericht Formate:
Die Berichte stehen als PDF oder DOCX Datei zum Download zur Verfügung. Zum generieren und herunterladen muss bei einem Bericht auf den pinken Button geklickt werden. Anschließend kann ausgewählt werden ob man den Bericht als PDF oder DOCX herunterladen will.

Lizenzen:
Ist keine gültige Lizenz von HITGuard vorhanden, dann wird dies bei den Berichten in der Fußzeile angezeigt! Um dies zu ändern, muss unter "Administration → Lizenzierung" von einem Experten oder einem Administrator eine Lizenz angefordert / eingespielt werden.

Es werden folgende Berichte im Bereich Risikomanagement von HITGuard angeboten:

Gefährdungslagenbericht

In diesem Bericht werden Details zu Gefährdungslagen dargestellt. Zusätzlich werden die Gefährdungslagen in einer Risikomatrix nach ihrer Kritikalität positioniert.

Zu den einzelnen Gefährdungslagen können die zu ergreifenden bzw. die bereits ergriffenen Maßnahmen und Kontrollen dargestellt werden. Bei Bedarf kann auch die zeitliche Entwicklung der einzelnen Gefährdungslagen dargestellt werden. Dasselbe gilt für die Abweichungen, die zu den Gefährdungslagen erkannt wurden.

Achtung: Nur Benutzern mit der Rolle "Compliance Manager" werden auch Maßnahmen und Kontrollen aus den anderen Managementsystemen angezeigt.

Risikobericht Beispiel Gefährdungslagen ohne M / K inkl. zeitlicher Entwicklung

Risikobericht Beispiel Gefährdungslagen inkl. ausgesetzte M / K

Risikobericht Beispiel Gefährdungslagen inkl. aller M / K

Risikobericht Beispiel Verantwortliche(r) ohne ausgesetzte M / K

Risikobericht Beispiel Strukturelemente ohne ausgesetzte M / K

Gefährdungslagenbericht erstellen:

Um einen Gefährdungslagenbericht zu generieren müssen Sie zu "Risikomanagement → Berichte → Gefährdungslage" navigieren. Dort gibt es mehrere Möglichkeiten einen Gefährdungslagenbericht zu generieren:

  1. Gefährdungslagen
    • Dieser Bericht enthält die Details zu allen ausgewählten Gefährdungslagen.
    • Es können nur Berichte zu Gefährdungslagen von Managementsystemen, zu denen man selbst zugeteilt ist, erstellt werden. (Ausnahmen sind Compliance Manager, diese können Berichte zu allen Gefährdungslagen in allen Managementsystemen generieren)
  2. Strukturelemente
    • Dieser Bericht enthält alle Gefährdungslagen (des aktuellen Managementsystems), die den ausgewählten Strukturelementen zugewiesen sind.
  3. Verantwortliche(r) (nur Compliance Manager)
    • Ein Bericht, der alle Gefährdungslagen anführt für die das ausgewählte Team oder der / die ausgewählte Verantwortliche zuständig ist.

Zum Generieren der Berichte muss auf den jeweiligen pinken Button geklickt werden.

Berichtsoptionen

Mit den Berichtsoptionen kann spezifiziert werden in welchen Status sich Maßnahmen / Kontrollen befinden müssen um im Bericht angeführt zu werden.

Weiters kann entschieden werden, ob die zeitliche Entwicklung der Gefährdungslagen im Bericht angezeigt werden soll und ob auch die zur jeweiligen Gefährdungslage zugewiesenen Abweichungen mit angedrückt werden sollen.

Gefährdungslagenbericht erstellen


Schutzbedarf

In diesem Bericht werden wahlweise die Ergebnisse aus einer oder mehreren Schutzbedarfsanalysen dargestellt. Es werden Gestaltungsmöglichkeiten bzgl. der Zusammenfassung der Ergebnisse und etwaiger Details dazu zur Verfügung gestellt. Es bietet sich zudem die Möglichkeit einen Anhang mit ausführlichen Erklärungen zur Grundlage der Einstufung der Schutzbedarfsanalysen zu erzeugen.

Schutzbedarf Bericht erstellen:

Um einen Schutzbedarf Bericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Schutzbedarf". Anschließend wählen Sie die Schutzbedarfsanalysen für welche Sie den Bericht generieren wollen und konfigurieren diese über die Berichtsoptionen.

Zum Generieren des Berichtes muss der pinke Button zum Herunterladen geklickt werden.

Berichtsoptionen:

  • Zusammenfassung inkludieren:
Durch das Aktivieren dieser Option wird Ihnen im Bericht eine Zusammenfassung aller Ergebnisse als Kreuzdiagramm angedruckt.
  • Details zur Zusammenfassung inkludieren:
Zusätzlich zum Kreuzdiagramm werden im oberen Abschnitt der Zusammenfassung all jene Interviews aufgelistet, die als Datenquelle für das Kreuzdiagramm dienen.
  • Interviewergebnisse inkludieren:
Zusätzlich zum Kreuzdiagramm eines einzelnen Interviews wird die Begründung zu den Bewertungen der einzelnen Schutzziele angedruckt.
  • Anhang mit Erklärung andrucken:
Dieser Bericht enthält Berechnungen von Statistiken, Kennzahlen oder andere Inhalte mit Erklärungsbedarf. Standardmäßig wird daher ein Anhang mit Erläuterungen generiert. Wenn dies nicht gewünscht ist, kann diese Berichtsoption deaktiviert werden.
Berichte für Schutzbedarfsanalysen erstellen


Abweichungsanalysen

In diesem Bericht werden wahlweise die Ergebnisse aus einer oder mehreren Überprüfungen dargestellt. Achten Sie bei der Auswahl der Überprüfungen darauf, dass diese nach dem ausgewählten Analysezeitraum eingegrenzt werden. Eine Vielzahl an Berichtsoptionen hilft Ihnen dabei, die Berichte so zu konfigurieren, dass Sie Ihrem Bedarf entsprechend dargestellt werden.

Abweichungsbericht Beispiel Überprüfungen ohne Vorschläge ZR 5

Abweichungsbericht Beispiel Verantwortliche mit Vorschlägen ZR 3

Abweichungsbericht Beispiel Organisationseinheit alle Prüffragen ohne Vorschläge ZR 2

Abweichungsanalysen Bericht erstellen:

Um einen Abweichungsanalysen-Bericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Abweichungsanalysen". Anschließend gibt es je nach ihrer Rolle folgende Möglichkeiten:

  1. Überprüfungen
    • Dieser Bericht enthält alle Informationen über die ausgewählten Überprüfungen.
    • Bei der Auswahl werden nur Überprüfungen des aktuellen Managementsystems im ausgewählten Analysezeitraum (rechts bei den Berichtsoptionen) angezeigt.
  2. Verantwortliche(r) (nur Compliance Manager)
    • Dieser Bericht enthält alle Überprüfungen für die das ausgewählte Team oder der Verantwortliche zuständig ist.
  3. Organisationseinheit (nur Compliance Manager)
    • Dieser Bericht enthält alle Überprüfungen, die innerhalb einer Organisationseinheit angelegt wurden.
    • Bei der Auswahl werden nur Organisationseinheiten angezeigt, für die im aktuellen Managementsystem und im ausgewählten Analysezeitraum Überprüfungen existieren.

Es ist möglich einen Bericht über mehrere Analysezeiträume zu erstellen. Dafür muss rechts bei den Berichtsoptionen der Analysezeitraum geändert werden. Dadurch stehen nun die Überprüfungen des gewählten Analysezeitraum zur Auswahl.

Achtung: Wählen Sie einen neuen Analysezeitraum, werden die Überprüfungen aus den vorherigen nicht mehr angezeigt, bleiben aber selektiert.

Zum Generieren des Berichtes muss auf den pinken Button zum Herunterladen geklickt werden.

Berichtsoptionen

  • Managementsystem (nur Compliance Manager)
Diese Option steuert, aus welchem Managementsystem die Überprüfungen, die zur Auswahl stehen, kommen.
Dadurch kann auch ein Managementsystem übergreifender Abweichungsbericht erzeugt werden.
  • Analysezeitraum
Diese Option steuert aus welchem Analysezeitraum, die zur Auswahl stehenden Überprüfungen kommen.
  • Zielreifegrad
Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen.

Die restlichen Optionen spezifizieren welche Informationen von den Prüffragen angezeigt werden und welche Bedingungen Prüffragen erfüllen müssen damit sie im Bericht angezeigt wird.

Es kann auch ausgewählt werden, dass die mit den Prüffragen verknüpften Maßnahmen / Kontrollen angezeigt werden.

Abweichungsanalysen Bericht erstellen



Konformität

Hier können Berichte zur Darstellung des Grades der Standard/Norm-Erfüllung bzw. Erfüllung von Abweichungsanalysen erstellt werden.

Diese Berichte geben für jedes Prüfobjekt bzw. jedes Normkapitel einen durchschnittlichen Reifegrad an. Dieser durchschnittliche Reifegrad wird wie folgt berechnet:

  • bei Prüfobjekten:
Alle Prüffragen werden gleich gewichtet, d.h. wenn ein Prüfobjekt 10 Prüffragen hat, von denen 5 mit Reifegrad 3, 3 mit Reifegrad 4 und 2 mit Reifegrad 2 beantwortet wurden, so ergibt sich der durchschnittliche Reifegrad aus: (5*3+3*4+2*2)/10 und beträgt 3,1.
  • bei Standard- oder Norm-Kapitel:
Es wird zwischen unteren und oberen Kapitel Ebenen unterschieden.
  • Auf unterster Ebene mappen Normkapitel nur auf Prüfobjekte, wobei alle Prüfobjekte gleich gewichtet werden. Das bedeutet, dass der Durchschnitt von den einzelnen Prüfobjekten wie oben beschrieben berechnet wird und anschließend werden die Durchschnitte der Prüfobjekte aufsummiert und mit der Anzahl an Prüfobjekten dividiert. Sprich ein Kapitel mit 3 Prüfobjekten die jeweils einen Durchschnitt von 2.5, 3.3 und 4.1 hat einen Durchschnitt von (2.5+3.3+4.1)/3 also 3,3.
  • Auf oberen Ebenen mappen Kapitel auf Unterkapitel und auch potenziell auf Prüfobjekte. Der durchschnittliche Reifegrad des Oberkapitels ergibt sich hierbei aus der Summe der Durchschnitte der direkten Unterkapitel und der Summe der direkt gemappten Prüfobjekte. Das bedeutet, hat ein Oberkapitel 2 Unterkapitel, die jeweils einen Durschnitt von 4 aufweisen, und 3 Kapitel, die mit 2, 3 und 4 beantwortet wurden, dann ergibt sich der durchschnittliche Reifegrad für das Oberkapitel aus: (4+4+2+3+4)/5 er beträgt also 3,4.
Konformitätstyp auswählen


Konformitätsbericht nach Überprüfungen

In diesem Bericht soll die Erfüllung der Voraussetzungen anhand einzelner Überprüfungen grafisch dargestellt werden. Die Erfüllung der Anforderungspunkten wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.


Konformitätsbericht nach Überprüfungen erstellen:

Je nach Rolle gibt es unterschiedliche Möglichkeiten diesen Bericht zu generieren:

  1. Überprüfungen:
    • Es kann ein Konformitätsbericht zu den ausgewählten Überprüfungen generiert werden.
  2. Verantwortliche: (nur Compliance Manager)
    • Ein Konformitätsbericht bei dem alle Überprüfungen von einem Verantwortlichen/Team, mit der jeweiligen Erfüllung, angeführt sind.
  3. Organisationseinheit: (nur Compliance Manager)
    • Ein Konformitätsbericht bei dem alle Überprüfungen der ausgewählten Organisationseinheit, mit der jeweiligen Erfüllung, angeführt sind.

Konformitätsbericht Beispiel: Überprüfungen

Konformitätsbericht Beispiel: Verantwortlicher

Berichtsoptionen

  • Managementsystem (nur Compliance Manager)
Diese Option steuert, aus welchem Managementsystem die Überprüfungen, die zur Auswahl stehen, kommen.
Dadurch kann auch ein Managementsystem übergreifender Konformitätsbericht erzeugt werden. (Verhalten siehe Analysezeitraum)
  • Analysezeitraum
Diese Option steuert, aus welchem Analysezeitraum die Überprüfungen, die zur Auswahl stehen, kommen.
Durch diese Option kann auch ein Konformitätsbericht über mehrere Analysezeiträume erstellt werden. Wechselt man den Analysezeitraum, werden die Überprüfungen, die in einem anderen gewählt wurden nicht entfernt. Sie werden nur im jeweiligen Analysezeitraum angezeigt.
  • Zielreifegrad
Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen (beeinflusst die Darstellung im Bericht).

Mit den restlichen Optionen kann zusätzlich konfiguriert werden, welche Prüffragen angedrückt werden, ob nicht abgeschlossene Überprüfungen inkludiert werden (relevant für Compliance Manager bei Auswahl von Verantwortlichen/Organisationseinheit), wie das Inhaltsverzeichnis aufgebaut ist und ob der Titel des Audits (wenn vorhanden) angezeigt wird.

Konformität nach Überprüfung


Konformitätsbericht nach Standards und Normen

In diesem Bericht soll die Erfüllung der Voraussetzungen in den einzelnen Anforderungsbereichen des Standards grafisch dargestellt werden. Die Erfüllung der Anforderungspunkte wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt.

Für die Darstellung werden Fragen, die mit Ja, Nein oder Teilweise beantwortet wurden, zu Reifegraden umgewandelt. "Nein" entspricht Reifegrad 1, "Teilweise" Reifegrad 3 und "Ja" entspricht Reifegrad 5.

Konformitätsbericht nach Standards und Normen erstellen:

Zuerst muss die gewünschte Norm oder der Standard ausgewählt werden zu dem ein Konformitätsbericht generiert werden soll. Im Anschluss sollte der Bericht noch über die Berichtsoptionen konfiguriert werden. Um den Bericht zu generieren muss noch auch den pinken Button zum Herunterladen geklickt werden.


Berichtsoptionen

  • Managementsystem (nur Compliance Manager)
Diese Option steuert, für welches Managementsystem der Konformitätsbericht erstellt werden soll.
Ohne die Rolle Compliance Manager, kann der Konformitätsbericht nur für das aktuelle Managementsystem generiert werden.
  • Analysezeitraum
Diese Option steuert für welchen Analysezeitraum der Konformitätsbericht erstellt werden soll.
  • Zielreifegrad
Diese Option gibt an, ab wann eine Prüffrage als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um Abweichungen (beeinflusst die Darstellung im Bericht).
Die restlichen Optionen dienen zum Konfigurieren, welche Prüffragen und Überprüfungen im Bericht angedrückt werden.
  • Organisationseinheit
Durch diese Option kann der Konformitätsbericht auf die ausgewählte Organisationseinheit und die in der Hierarchie darunter befindliche Organisationseinheiten eingeschränkt werden.
  • Auswertung
Durch diese Option kann konfiguriert werden, welche Form der Auswertung inkludiert wird.
  • Nicht anwendbare Kapitel
Durch diese Option können die Kapitel die für das ausgewählte Managementsystem nicht anwendbar sind aus dem Konformitätsbericht ausgeschlossen werden.
Konformität nach Standard oder Norm


Standards und Normen

Hier können Berichte über Standards und Normen generiert werden.

Bericht für Standards und Normen auswählen


Die Kapitelabdeckung bei den Berichten wird folgendermaßen berechnet:

Szenario 1:
  • Kapitel 1 - ohne Maßnahme
    • Kapitel 1.1 - mit Maßnahme
    • Kapitel 1.2 - mit Maßnahme
Die Abdeckung von Kapitel 1 beträgt 100%, da alle untergeordneten Kapitel Maßnahmen zugeteilt haben.
Szenario 2:
  • Kapitel 1 - mit Maßnahme
    • Kapitel 1.1 - ohne Maßnahme
    • Kapitel 1.2 - ohne Maßnahme
Die Abdeckung von Kapitel 1 beträgt 100%. Da die Maßnahme zum übergeordneten Kapitel zugewiesen ist, zählt sie auch für die untergeordneten Kapitel.
Szenario 3:
  • Kapitel 1 - ohne Maßnahme
    • Kapitel 1.1 - mit Maßnahme
    • Kapitel 1.2 - ohne Maßnahme
Die Abdeckung von Kapitel 1 beträgt 50%, da nur die Hälfte der untergeordneten Kapitel Maßnahmen zugeteilt haben.

Statement of Applicability (SOA)

In diesem Bericht wird dargestellt, welche Kapitel des Standards/der Norm im Managementsystem "anwendbar" bzw. "nicht anwendbar" sind. Dazu findet sich auch die Begründung zur jeweiligen Anwendbarkeit und die mit den Kapiteln verknüpften Maßnahmen und Kontrollen.

  • Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen & Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
  • In den Donut-Diagrammen wird dabei der Geltungsbereich (Scope) des Standards/der Norm berücksichtigt. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option "Nicht anwendbare Kapitel in die Statistik aufnehmen" aufgehoben werden.

Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die zu dem gewählten Analysezeitraum bereits existierten.

Maßnahmen:

  • Grün = Abgeschlossene Maßnahmen
  • Orange = Ausgesetzte Maßnahmen
  • Blau = Offene Maßnahmen

Maßnahmen zu Kapiteln:

  • Rot = Kapitel ohne Maßnahmen
  • Blau = Kapitel mit offenen Maßnahmen
  • Grün = Kapitel mit erledigten Maßnahmen

Kontrollen zu Kapiteln:

  • Orange = Ausgesetzte Kontrollen zu Kapiteln
  • Grün = Aktive Kontrollen zu Kapiteln
  • Rot = Kapitel ohne Kontrollen

Statement of Applicability (SOA) erstellen

Zum Generieren einer SOA muss zuerst eine Norm / ein Standard ausgewählt und das SOA über die Berichtsoptionen konfiguriert werden. Zum Generieren wird auf den pinken Button zum Herunterladen geklickt.

Berichtsoptionen

  • Managementsystem (nur Compliance Manager)
Diese Option steuert, für welches Managementsystem das SOA generiert wird.
  • Analysezeitraum
Diese Option steuert, aus welchem Analysezeitraum die Maßnahmen und Kontrollen die im SOA berücksichtigt werden, kommen.

Die restlichen Optionen ermöglichen es noch weiter zu konfigurieren, was in den Bericht mit aufgenommen wird. Die Auswahl "Statistik anzeigen" bestimmt beispielsweise, ob die Donut-Diagramme angezeigt werden sollen.


Statement of Applicability


Management Summary

In diesem Bericht finden Sie einen Management-Überblick von Maßnahmen und Kontrollen, die einem Standard/einer Norm zugewiesen wurden:

  • Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen und Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
  • Ein Balkendiagramm zeigt die Anzahl der Maßnahmen und Kontrollen nach Hauptkapiteln an. Die Anzahl entspricht der Summe der Maßnahmen bzw. Kontrollen, die dem Hauptkapitel und jedem darunter befindlichen Kapitel zugewiesen sind. Eine mehrmals zugewiesene Maßnahme bzw. Kontrolle wird je Hauptkapitel nur einmal gezählt.
  • Der Bericht berücksichtigt dabei den Geltungsbereich (Scope) des Standards/der Norm. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option Nicht anwendbare Kapitel in die Statistik aufnehmen aufgehoben werden.

Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die zu dem gewählten Analysezeitraum bereits existierten.

Management Summary Beispiel Bericht

Management Summary erstellen

Zum Generieren einer Management-Summary muss zuerst eine Norm / ein Standard ausgewählt und der Bericht über die Berichtsoptionen konfiguriert werden. Zum Generieren muss anschließend nur auf den pinken Button zum Herunterladen geklickt werden.

Berichtsoptionen

  • Managementsystem (nur Compliance Manager)
Diese Option steuert, für welches Managementsystem die Management Summary generiert wird.
  • Analysezeitraum
Diese Option steuert aus welchem Analysezeitraum die Maßnahmen und Kontrollen die in der Management Summary berücksichtigt werden kommen.

Die restlichen Optionen ermöglichen es noch weiter zu konfigurieren, was in den Bericht mit aufgenommen wird. Die Auswahl "Statistik anzeigen" bestimmt beispielsweise, ob die Donut-Diagramme angezeigt werden sollen.

Management Summary


Strukturanalyse

Hier können Berichte zur RTO und RPO Erfüllung generiert werden. Mehr Information zu RTO und RPO finden Sie unter "Risikomanagement → Strukturanalyse".

Bericht für RTO oder RPO auswählen


RTO-Erfüllung

Dieser Bericht zeigt ob die aus den diversen Schutzbedarfsanalysen abgeleiteten Anforderungen an die Ressourcen hinsichtlich der maximal vertretbaren Wiederanlaufzeit erfüllt werden können oder nicht. Dabei kann die Erfüllung wahlweise für eine bestimmte Ressource (Auswahl der Ressource im Drop Down) oder die gesamte Struktur (keine Auswahl einer spezifischen Ressource über das Drop Down) ausgewertet werden.

RTO-Erfüllungsbericht erstellen

Zum Generieren eines RTO-Erfüllungsbericht muss zuerst die Ressource für die die RTO-Erfüllung analysiert werden soll ausgewählt werden und der Bericht über die Berichtsoptionen konfiguriert werden.

Zum Generieren muss anschließend nur auf den pinken Button zum Herunterladen geklickt werden.

Berichtsoptionen

Dieser Bericht enthält Berechnungen von Statistiken, Kennzahlen oder andere Inhalte mit Erklärungsbedarf. Standardmäßig wird daher ein Anhang mit Erläuterungen generiert. Wenn dies nicht gewünscht ist, kann dies über die Berichtsoption "Anhang mit Erklärungen andrucken" deaktiviert werden.

Es kann ebenfalls entschieden werden ob Erfüllte oder nicht erfüllte Anforderungen im Bericht aufscheinen sollen oder nicht.

Außerdem kann konfiguriert werden wieviel Information zu den relevanten Ressourcen im Bericht angedrückt wird.

RTO Bericht erstellen


RPO-Erfüllung

Zeigt ob die aus den diversen Schutzbedarfsanalysen abgeleiteten Anforderungen an die Ressourcen hinsichtlich des maximal vertretbaren Datenverlusts jeweils erfüllt werden können oder nicht. Dabei kann die Erfüllung wahlweise für eine bestimmte Ressource (Auswahl der Ressource im Drop Down) oder die gesamte Struktur (keine Auswahl einer spezifischen Ressource über das Drop Down) ausgewertet werden.

RPO-Erfüllungsbericht erstellen

Zum Generieren eines RPO-Erfüllungsbericht muss zuerst die Ressource für die die RPO-Erfüllung analysiert werden soll ausgewählt werden und der Bericht über die Berichtsoptionen konfiguriert werden.

Zum Generieren muss anschließend nur auf den pinken Button zum Herunterladen geklickt werden.

Berichtsoptionen

Dieser Bericht enthält Berechnungen von Statistiken, Kennzahlen oder andere Inhalte mit Erklärungsbedarf. Standardmäßig wird daher ein Anhang mit Erläuterungen generiert. Wenn dies nicht gewünscht ist, kann dies über die Berichtsoption "Anhang mit Erklärungen andrucken" deaktiviert werden.

Es kann ebenfalls entschieden werden ob Erfüllte oder nicht erfüllte Anforderungen im Bericht aufscheinen sollen oder nicht.

Außerdem kann konfiguriert werden wieviel Information zu den relevanten Ressourcen im Bericht angedrückt wird.

RPO Bericht erstellen


Abgerufen von „https://userguide.hitguard.de/index.php?title=Berichte_für_das_Risikomanagement/de&oldid=17600
Zuletzt geändert
Diese Seite wurde zuletzt am 12. Mai 2022 um 05:45 Uhr bearbeitet.