Suche aufrufen
Menü aufrufen
47
1.3K
10
34.8K
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Berichte für das Risikomanagement/en: Unterschied zwischen den Versionen

Aus HITGuard User Guide
Weitere Optionen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Isan (Diskussion | Beiträge)
Administratoren, translater, tsuser
10.680 Bearbeitungen
Keine Bearbeitungszusammenfassung
FuzzyBot (Diskussion | Beiträge)
9.961 Bearbeitungen
Übernehme Bearbeitung einer neuen Version der Quellseite
Markierungen: mobile web edit mobile edit
Zeile 1: Zeile 1:
<!--
HITGuard bietet unter "Risikomanagement → Berichte" die Möglichkeit verschiedenste Berichte für das Risikomanagement zu generieren.
[[Datei:RM Berichtauswahl allgemein.png|left|thumb|901px|Berichtauswahl]]<br clear=all>
Um einen Bericht zu erstellen, entscheidet man sich zuerst für einen Berichttyp. Anschließend wird noch ausgewählt, zu welchen Daten der Bericht generiert wird (z.B. Risiken oder Überprüfungen). Die meisten Berichte verfügen zusätzlich über Berichtsoptionen mit denen der Inhalt des Berichts noch spezifischer eingeschränkt und/oder erweitert werden kann.</p>Wissensdatenbanken können durch hinterlegte Übersetzungen für verwendete Wissensdatenbanken in verschiedenen Sprachen vorliegen. Um z.B. einen Bericht mit den englischen Texten zu generieren, muss über das Flaggen-Icon rechts oben am Bildschirm, neben dem Abmelde-Button, die Sprache gewechselt werden. Dadurch werden alle Inhalte für die Berichte in der gewünschten Sprache geladen, sofern eine Übersetzung in dieser Sprache für die Wissensdatenbank vorhanden ist.</p><b>Downloadoptionen:</b><br>Die Berichte stehen als PDF oder DOCX Datei zum Download zur Verfügung. Zum Generieren und Herunterladen muss bei einem Bericht auf den pinken Button geklickt werden. Anschließend kann ausgewählt werden, in welchem Format man den Bericht herunterladen möchte.</p>Es gibt beim Generieren auch die Option, die Berichte mit Revisionsinformationen zu generieren und zu archivieren. Dadurch kann der Bericht jederzeit von Experten unter "Administration → Berichtsarchiv" eingesehen, neu generiert sowie erneut heruntergeladen werden. Mehr Information dazu finden Sie unter [[Special:MyLanguage/Berichtsarchiv | "Administration → Berichtsarchiv"]].</p>Beim Generieren von Berichten mit Revisionsinformation im Archiv hat man ebenso die Möglichkeit, den Bericht gleich per E-Mail an verschiedene Empfänger zu senden. Mehr Information dazu finden Sie im [[Special:MyLanguage/Berichtsarchiv|Berichtsarchiv]] und unter [[Special:MyLanguage/Textbausteine | "Administration → Textbausteine"]].</p><b>Merkverhalten der Berichtsoptionen:</b>
Einige der Berichtsoptionen sind bei multiplen Berichten wiederzufinden. Bei diesen wird die getroffene Auswahl innerhalb des Managementsystems und für den einzelnen Benutzer gespeichert und auch bei den anderen Berichten angewandt. Selektiert man beispielsweise die Option "Inhaltsverzeichnis", ist diese Option infolgedessen auch bei den anderen Berichten, wo sie vorkommt, schon selektiert.</p><b>Lizenzen:</b></br>Ist keine gültige Lizenz von HITGuard vorhanden, dann wird dies bei den Berichten in der Fußzeile angezeigt! Um dies zu ändern, muss unter [[Special:MyLanguage/Lizenzierung | "Administration → Lizenzierung"]] von einem Experten oder einem Administrator eine Lizenz angefordert/eingespielt werden.</p>Es werden folgende Berichte im Bereich Risikomanagement von HITGuard angeboten:
== <span id="hazard_sit"></span> Risiken ==
===Allgemeiner Risikobericht===
In diesem Bericht werden Details zu Risiken dargestellt. Zusätzlich werden die Risiken in einer Risikomatrix nach ihrer Kritikalität positioniert. Zu den einzelnen Risiken können die zu ergreifenden bzw. die bereits ergriffenen Maßnahmen und Kontrollen dargestellt werden. Bei Bedarf kann auch die zeitliche Entwicklung der einzelnen Risiken dargestellt werden. Dasselbe gilt für die Abweichungen, die zu den Risiken erkannt wurden.</p><b>Achtung:</b> Nur Benutzern mit der Rolle "Compliance Manager" werden auch Maßnahmen und Kontrollen aus den anderen Managementsystemen angezeigt.
Risikobericht Beispiel: [[Media:Risikobericht ohne Maßnahmen mit Entwicklung.pdf | Risiken ohne Details zu M/K inkl. zeitlicher Entwicklung]]
<big><b>Risikobericht erstellen</b></big></p>
Um einen Risikobericht zu generieren müssen Sie zu "Risikomanagement → Berichte → Risiko → Allgemein" navigieren. Dort gibt es mehrere Möglichkeiten einen Risikobericht zu generieren:
# '''Risiken''': Dieser Bericht enthält die Details zu allen ausgewählten Risiken. Es können nur Berichte zu Risiken von Managementsystemen, zu denen man selbst zugeteilt ist, erstellt werden. (Ausnahmen sind Compliance Manager, diese können Berichte zu allen Risiken in allen Managementsystemen generieren)
# '''Strukturelemente''': Dieser Bericht enthält alle Risiken (des aktuellen Managementsystems), die den ausgewählten Strukturelementen zugewiesen sind.
# '''Verantwortliche(r)''' (nur Compliance Manager): Ein Bericht, der alle Risiken anführt für die das ausgewählte Team oder der/die ausgewählte Verantwortliche zuständig ist.</p>
Zum Generieren der Berichte muss auf den jeweiligen pinken Button geklickt werden.</p>
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Auswahl des Analysezeitraums
|Diese Option bestimmt, aus welchem Analysezeitraum die Berichtselemente kommen.
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Abweichungen
|Listet beim allgemeinen Risikobericht die Abweichungen, die mit dem Risiko verknüpft sind.
|-
!Maßnahmen
|Steuert, ob offene UND/ODER ausgesetzte UND/ODER erledigte Maßnahmen angedruckt werden.<br><br>Für die Maßnahmen wird bestimmt, ob Fortschrittsübersicht UND/ODER Fortschrittsprotokoll UND/ODER Anmerkungen angedruckt werden sollen.
|-
!Kontrollen
|Steuert, ob aktive UND/ODER ausgesetzte UND/ODER deaktivierte Kontrollen angedruckt werden.<br><br>Für die Kontrollen wird bestimmt, ob Statistik UND/ODER Durchführungsprotokoll UND/ODER Anmerkungen angedruckt werden sollen. Es wird bestimmt, ob irrelevante Kontrolldurchführungen im Bericht berücksichtigt werden sollen.
|-
!Zeitliche Entwicklung
|Listet die Einträge der Zeitlichen Entwicklung des Risikos in einem eigenen Kapitel.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM Gefährdungslage Bericht erstellen.png|left|thumb|902px|Risikobericht erstellen]]
<br clear=all>
===Brutto-Netto-Risikobericht===
In diesem Bericht werden Details zur Entwicklung einer Risiko dargestellt. Der Fokus des Berichts liegt daher auf dem Aspekt des Brutto-Netto-Risiko, das anhand von Maßnahmen und Kontrollen verwaltet wird. Zu den einzelnen Risiken werden alle zu ergreifenden bzw. bereits ergriffenen Maßnahmen und Kontrollen dargestellt. Das Bruttorisiko sowie die möglichen Szenarien des Nettorisikos können  gesondert dargestellt werden. Bei Bedarf kann auch die zeitliche Entwicklung der einzelnen Risiken dargestellt werden.</p><b>Achtung:</b> Nur Benutzern mit der Rolle "Compliance Manager" werden auch Maßnahmen und Kontrollen aus den anderen Managementsystemen angezeigt.
Brutto-Netto-Risikobericht Beispiel: [[Media:Brutto-Netto-Risikobericht.pdf | Brutto- und Nettorisiko mit Matrizen dargestellt, keine Details zu M/K]]
<big><b>Brutto-Netto-Risikobericht erstellen</b></big></p>Um einen Brutto-Netto-Risikobericht zu generieren müssen Sie zu "Risikomanagement → Berichte → Risiko → Brutto-Netto-Risiko" navigieren. Dort gibt es die Möglichkeit, den Bericht zu einer ausgewählten Risiko in verschiedenen Ausprägungen zu generieren. Es können nur Berichte zu Risiken von Managementsystemen, zu denen man selbst zugeteilt ist, erstellt werden. (Ausnahmen sind Compliance Manager, diese können Berichte zu allen Risiken in allen Managementsystemen generieren)</p>Zum Generieren der Berichte muss auf den pinken Button geklickt werden.
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Behandlung des aktuellen Risikos
|Steuert, ob die Maßnahmen und Kontrollen zur Behandlung des aktuellen Risikos im Bericht angedruckt werden.
|-
!Bruttorisiko
|Steuert, ob die Bewertung des Bruttorisikos im Bericht angedruckt wird.
|-
!Behandlung des Bruttorisikos
|Steuert, ob die Maßnahmen und Kontrollen zur Behandlung des Bruttorisikos im Bericht angedruckt werden.
|-
!Ability to Control
|Steuert, ob die Bewertung der Qualität des bereits implementierten Maßnahmen- und Kontrollensets zur Risikosteuerung im Bericht angedruckt wird.
|-
!Nettorisiko
|Steuert, ob die Bewertung des Nettorisikos im Bericht angedruckt wird.
|-
!Best Case UND/ODER Most Likely Case UND/ODER Worst Case
|Steuert, ob und welche der möglichen Szenarien des Nettorisikos im Bericht angedruckt werden.
|-
!Risikomatrizen
|Steuert beim Brutto-Netto-Risikobericht, ob zusätzlich zur textuellen Information die Bewertung des Bruttorisikos sowie die Szenarien des Nettorisikos auch als Risikomatzrix angedruckt werden.
|-
!Zeitliche Entwicklung
|Listet die Einträge der Zeitlichen Entwicklung des Risikos in einem eigenen Kapitel.
|-
!Maßnahmen
|Für die Maßnahmen wird bestimmt, ob Fortschrittsübersicht UND/ODER Fortschrittsprotokoll UND/ODER Anmerkungen angedruckt werden sollen.
|-
!Kontrollen
|Für die Kontrollen wird bestimmt, ob Statistik UND/ODER Durchführungsprotokoll UND/ODER Anmerkungen angedruckt werden sollen. Es wird bestimmt, ob irrelevante Kontrolldurchführungen im Bericht berücksichtigt werden sollen.
|-
!Zeitliche Entwicklung
|Listet die Einträge der Zeitlichen Entwicklung des Risikos in einem eigenen Kapitel.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:Berichtseite BNR.png|left|thumb|902px|Brutto-Netto-Risikobericht erstellen]]<br clear=all>
== <span id="prot_need"></span> Schutzbedarf ==
In diesem Bericht werden wahlweise die Ergebnisse aus einer oder mehreren Schutzbedarfsanalysen dargestellt. Es werden Gestaltungsmöglichkeiten bzgl. der Zusammenfassung der Ergebnisse und etwaiger Details dazu zur Verfügung gestellt. Es bietet sich zudem die Möglichkeit, einen Anhang mit ausführlichen Erklärungen zur Grundlage der Einstufung der Schutzbedarfsanalysen zu erzeugen.
<big><b>Schutzbedarf Bericht erstellen</b></big></p>Um einen Schutzbedarf Bericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Schutzbedarf". Anschließend wählen Sie die Schutzbedarfsanalysen, für welche Sie den Bericht generieren wollen, und konfigurieren diesen über die Berichtsoptionen.</p>Zum Generieren des Berichtes muss der pinke Download Button geklickt werden. Dies ist für diesen Bericht nur im PDF Format möglich.
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Auswahl des Analysezeitraums
|Diese Option bestimmt, aus welchem Analysezeitraum die Berichtselemente kommen.
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Zusammenfassung
|Wenn mehrere Schutzbedarfsanalysen im Bericht enthalten sind, kann mit dieser Option eine zusammenfasssende Übersicht der Ergebnisse als Kreuztabelle erstellt werden.
|-
!Details zur Zusammenfassung
|Druckt oberhalb des Kreuzdiagramms eine Liste aller Interviews an, die zur Datenbasis des Berichts gehören.
|-
!Interviewergebnisse
|Druckt pro Interview ein Kreuzdiagramm der Ergebnisse und die Begründung der Bewertungen der einzelnen Schutzziele an.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM Schutzbedarf Bericht erstellen.png|left|thumb|906px|Berichte für Schutzbedarfsanalysen erstellen]]<br clear=all>
==<span id="gap_report"/> Abweichungsanalysen==
In diesem Bericht werden wahlweise die Ergebnisse aus einer oder mehreren Überprüfungen dargestellt. Achten Sie bei der Auswahl der Überprüfungen darauf, dass diese nach dem ausgewählten Analysezeitraum eingegrenzt werden. Eine Vielzahl an Berichtsoptionen hilft Ihnen dabei, die Berichte so zu konfigurieren, dass Sie Ihrem Bedarf entsprechend dargestellt werden.
Abweichungsbericht Beispiel: [[Media:Abweichungsbericht Beispiel Überprüfungen.pdf | Überprüfungen ohne Vorschläge ZR 5]]<br>
Abweichungsbericht Beispiel: [[Media:Abweichungsbericht Beispiel Verantwortlich.pdf | Verantwortliche mit Vorschlägen ZR 3]]<br>
Abweichungsbericht Beispiel: [[Media:Abweichungsbericht Beispiel OrgEh.pdf | Organisationseinheit alle Prüffragen ohne Vorschläge ZR 2]]
<big><b>Abweichungsanalysen Bericht erstellen</b></big></p>Um einen Abweichungsanalysen-Bericht zu generieren navigieren Sie zu "Risikomanagement → Berichte → Abweichungsanalysen". Anschließend gibt es je nach ihrer Rolle folgende Möglichkeiten:
# '''Überprüfungen''':  Dieser Bericht enthält alle Informationen über die ausgewählten Überprüfungen. Bei der Auswahl werden nur Überprüfungen des aktuellen Managementsystems im ausgewählten Analysezeitraum (rechts bei den Berichtsoptionen) angezeigt.
# '''Verantwortliche(r)''' (nur Compliance Manager): Dieser Bericht enthält alle Überprüfungen, für die das ausgewählte Team oder der Verantwortliche zuständig ist.
# '''Organisationseinheit''' (nur Compliance Manager): Dieser Bericht enthält alle Überprüfungen, die innerhalb einer Organisationseinheit angelegt wurden. Bei der Auswahl werden nur Organisationseinheiten angezeigt, für die im aktuellen Managementsystem und im ausgewählten Analysezeitraum Überprüfungen existieren.</p>
Es ist möglich, einen Bericht über mehrere Analysezeiträume zu erstellen. Dafür muss rechts bei den Berichtsoptionen der Analysezeitraum geändert werden. Dadurch stehen nun die Überprüfungen des gewählten Analysezeitraum zur Auswahl.<br><b>Achtung:</b> Wählen Sie einen neuen Analysezeitraum, werden die Überprüfungen aus den vorherigen nicht mehr angezeigt, bleiben aber selektiert.</p>Zum Generieren des Berichtes muss auf den pinken Download Button geklickt werden.
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Auswahl des Analysezeitraums
|Diese Option bestimmt, aus welchem Analysezeitraum die Berichtselemente kommen.
|-
!Auswahl des Target Scores
|Diese Option gibt bei Berichten mit Prüffragen an, ab wann eine solche als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um eine Abweichung.
|-
!Target Score am Deckblatt
|Steuert, ob der gewählte Target Score am Deckblatt des Berichts angedruckt wird.
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Überprüfung
|Kopfdaten: Falls aktiviert, werden alle vorhandenen Informationen zu den Überprüfungen in den Kopfdaten angedruckt. Falls nicht, zeigt der Bericht nur die überprüften Organisationseinheiten, Start und Ende der Überprüfungen sowie die Teilnehmer, sofern ausgefüllt.<br><br>Die weiteren Optionen steuern, ob die Anmerkungen zur Überprüfung angedruckt werden und ob und welche Grafiken im Bericht enthalten sind (Balkendiagramm, Compliance Spinnen).
|-
!Prüfobjekt
|Kopfdaten: Falls aktiviert, werden alle vorhandenen Informationen zu den Prüfobjekten in den Kopfdaten angedruckt. Falls nicht, zeigt der Bericht nur die Bezeichnung der Prüfobjekte.<br><br>Die weiteren Optionen steuern, ob und welche Grafiken im Bericht enthalten sind (Donutdiagramme UND/ODER Scorelinie).
|-
!Behandlungsplan nach Feststellungsart
|Druckt den Behandlungsplan (also die Maßnahmen und Kontrollen) nach Feststellungsart gruppiert zu Beginn des Berichts an. Dies ist nur möglich, wenn im Modul Auditmanagement die Feststellungsart bei Überprüfungen aktiviert ist.<br>Mehr zu den Feststellungsarten finden Sie [[Special:MyLanguage/Auditmanagement_Einstellungen|hier]].
|-
!Tabellarische Auswertung der Prüffragen
|Druckt eine Übersicht der Prüffragen und -ergebnisse mit ihren Antworten in Tabellenform an. Die Zellen mit den Antworten sind je nach dem Target Score eingefärbt. Entbehrliche Prüffragen/-ergebnisse sind grau hinterlegt. Nicht beantwortete sind nicht farblich hervorgehoben und mit "-" gekennzeichnet. Beantwortete Informationserhebungen sind mit "beantw." gekennzeichnet.<br><br>Alle ODER Nur positive ODER Nur negative:<br>Legt für die Tabelle fest, ob alle Bewertungen, nur positive nach Target Score oder nur negative nach Target Score enthalten sein sollen.<br><br>Informationserhebungen UND/ODER Entbehrliche UND/ODER Nicht beantwortete:<br>Steuert die Inklusion von Informationserhebungen sowie den als entbehrlich markierten und nicht beantworteten Prüffragen/-ergebnissen in der Tabelle.
|-
!Detaillierte Auswertung der Prüffragen
|Druckt eine detaillierte Übersicht der Prüffragen und -ergebnisse mit verschiedenen zusätzlichen Informationen im Bericht an.<br><br>Alle ODER Nur positive ODER Nur negative:<br>Legt für die detaillierte Auswertung fest, ob alle Bewertungen, nur positive nach Target Score oder nur negative nach Target Score enthalten sein sollen.<br><br>Informationserhebungen UND/ODER Entbehrliche UND/ODER Nicht beantwortete:<br>Steuert die Inklusion von Informationserhebungen sowie den als entbehrlich markierten und nicht beantworteten Prüffragen/-ergebnissen in der detaillierten Auswertung.<br><br>Antwort UND/ODER Begründung UND/ODER Beschreibung UND/ODER Schutzziele UND/ODER Maßnahmen & Kontrollen:<br>Steuert die Inklusion dieser Elemente in der detaillierten Auflistung der Prüffragen/-ergebnisse.<br><br>in Anhang verschieben:<br>Wenn diese Option selektiert ist, wird die detaillierte Auswertung der Prüffragen und Prüfergebnisse vom Hauptteil des Berichts in den Anhang verschoben.
|-
!Anhänge/Evidenzen auflisten
|Druckt die Dateinamen der Anhänge/Evidenzen im Bericht an.
|-
!Bildanhänge einbetten
|Angehängte Bilddateien (.jpg oder .png) zu Prüffragen und/oder Prüfergebnissen werden auch im Bericht als Bilder eingebettet. Die Dateinamen der jeweiligen Bilder werden unter diesen angedruckt. Wo vorhanden, wird ein Timestamp der Aufnahme ebenfalls angedruckt. Die Dateigröße des Berichts ist dementsprechend größer und das Generieren des Berichts kann daher etwas länger dauern.
|-
!Anhänge/Evidenzen als Zip-Datei
|Der Bericht wird gemeinsam mit etwaigen Anhängen/Evidenzen in einem Zip-Ordner heruntergeladen.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM Abweichungsanalysen Bericht erstellen.png|left|thumb|902px|Abweichungsanalysebericht erstellen]]<br clear=all>
==<span id="conf"></span> Konformität==
[[Datei:RM Konformität auswahl.png|right|thumb|650px|Konformitätstyp auswählen]]
Hier können Berichte zur Darstellung des Grades der Standard/Norm-Erfüllung bzw. Erfüllung von Abweichungsanalysen erstellt werden.</p>Diese Berichte geben für jedes Prüfobjekt bzw. jedes Normkapitel einen durchschnittlichen Score an.
Dieser durchschnittliche Score wird wie folgt berechnet:
* bei Prüfobjekten:
:Alle Prüffragen werden gleich gewichtet, d.h. wenn ein Prüfobjekt 10 Prüffragen hat, von denen 5 mit Score 3, 3 mit Score 4 und 2 mit Score 2 beantwortet wurden, so ergibt sich der durchschnittliche Score aus: (5*3+3*4+2*2)/10 und beträgt 3,1.
* bei Standard- oder Norm-Kapitel:
:Es wird zwischen unteren und oberen Kapitel Ebenen unterschieden.
:*Auf unterster Ebene mappen Normkapitel nur auf Prüfobjekte, wobei alle Prüfobjekte gleich gewichtet werden. Das bedeutet, dass der Durchschnitt von den einzelnen Prüfobjekten wie oben beschrieben berechnet wird und anschließend werden die Durchschnitte der Prüfobjekte aufsummiert und mit der Anzahl an Prüfobjekten dividiert. Sprich ein Kapitel mit 3 Prüfobjekten die jeweils einen Durchschnitt von 2.5, 3.3 und 4.1 hat einen Durchschnitt von (2.5+3.3+4.1)/3 also 3,3.
:*Auf oberen Ebenen mappen Kapitel auf Unterkapitel und auch potenziell auf Prüfobjekte. Der durchschnittliche Score des Oberkapitels ergibt sich hierbei aus der Summe der Durchschnitte der direkten Unterkapitel und der Summe der direkt gemappten Prüfobjekte. Das bedeutet, hat ein Oberkapitel 2 Unterkapitel, die jeweils einen Durschnitt von 4 aufweisen, und 3 Kapitel, die mit 2, 3 und 4 beantwortet wurden, dann ergibt sich der durchschnittliche Score für das Oberkapitel aus: (4+4+2+3+4)/5 er beträgt also 3,4.
===<span id="comp_review"/> Konformitätsbericht nach Überprüfungen ===
In diesem Bericht soll die Erfüllung der Voraussetzungen anhand einzelner Überprüfungen grafisch dargestellt werden. Die Erfüllung der Anforderungspunkten wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachometern dargestellt.
<big><b>Konformitätsbericht nach Überprüfungen erstellen</b></big></p>Je nach Rolle gibt es unterschiedliche Möglichkeiten diesen Bericht zu generieren:
# '''Überprüfungen''': Es kann ein Konformitätsbericht zu den ausgewählten Überprüfungen generiert werden.
# '''Verantwortliche''': (nur Compliance Manager) Ein Konformitätsbericht bei dem alle Überprüfungen von einem Verantwortlichen/Team mit der jeweiligen Erfüllung angeführt sind.
# '''Organisationseinheit''' (nur Compliance Manager): Ein Konformitätsbericht bei dem alle Überprüfungen der ausgewählten Organisationseinheit mit der jeweiligen Erfüllung angeführt sind.
Konformitätsbericht Beispiel: [[Media:Konformitätsbericht Beispiel Überprüfung.pdf|Überprüfungen]]<br>
Konformitätsbericht Beispiel: [[Media:Konformitätsbericht Beispiel Verantwortlicher.pdf|Verantwortlicher]]
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Auswahl des Analysezeitraums
|Diese Option bestimmt, aus welchem Analysezeitraum die Berichtselemente kommen.
|-
!Auswahl des Target Scores
|Diese Option gibt bei Berichten mit Prüffragen an, ab wann eine solche als Abweichung gilt. Ist die Beantwortung unter dem eingestellten Wert, handelt es sich um eine Abweichung.
|-
!Target Score am Deckblatt
|Steuert, ob der gewählte Target Score am Deckblatt des Berichts angedruckt wird.
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Prüfobjekte/Prüffragen in Inhaltsverzeichnis
|Diese Option bestimmt, ob das Inhaltsverzeichnis auch einzelne Prüfobjekte/Prüffragen enthält.
|-
!Überprüfung
|Kopfdaten: Falls aktiviert, werden alle vorhandenen Informationen zu den Überprüfungen in den Kopfdaten angedruckt. Falls nicht, zeigt der Bericht nur die überprüften Organisationseinheiten, Start und Ende der Überprüfungen sowie die Teilnehmer, sofern ausgefüllt.<br><br>Die weiteren Optionen steuern, ob die Anmerkungen zur Überprüfung angedruckt werden und ob und welche Grafiken im Bericht enthalten sind (Balkendiagramm, Compliance Spinnen).
|-
!Prüfobjekt
|Kopfdaten: Falls aktiviert, werden alle vorhandenen Informationen zu den Prüfobjekten in den Kopfdaten angedruckt. Falls nicht, zeigt der Bericht nur die Bezeichnung der Prüfobjekte.<br><br>Die weiteren Optionen steuern, ob und welche Grafiken im Bericht enthalten sind (Donutdiagramme UND/ODER Scorelinie).
|-
!Tabellarische Auswertung der Prüffragen
|Druckt eine Übersicht der Prüffragen und -ergebnisse mit ihren Antworten in Tabellenform an. Die Zellen mit den Antworten sind je nach dem Target Score eingefärbt. Entbehrliche Prüffragen/-ergebnisse sind grau hinterlegt. Nicht beantwortete sind nicht farblich hervorgehoben und mit "-" gekennzeichnet. Beantwortete Informationserhebungen sind mit "beantw." gekennzeichnet.<br><br>Alle ODER Nur positive ODER Nur negative:<br>Legt für die Tabelle fest, ob alle Bewertungen, nur positive nach Target Score oder nur negative nach Target Score enthalten sein sollen.<br><br>Informationserhebungen UND/ODER Entbehrliche UND/ODER Nicht beantwortete:<br>Steuert die Inklusion von Informationserhebungen sowie den als entbehrlich markierten und nicht beantworteten Prüffragen/-ergebnissen in der Tabelle.
|-
!Detaillierte Auswertung der Prüffragen
|Druckt eine detaillierte Übersicht der Prüffragen und -ergebnisse mit verschiedenen zusätzlichen Informationen im Bericht an.<br><br>Alle ODER Nur positive ODER Nur negative:<br>Legt für die detaillierte Auswertung fest, ob alle Bewertungen, nur positive nach Target Score oder nur negative nach Target Score enthalten sein sollen.<br><br>Informationserhebungen UND/ODER Entbehrliche UND/ODER Nicht beantwortete:<br>Steuert die Inklusion von Informationserhebungen sowie den als entbehrlich markierten und nicht beantworteten Prüffragen/-ergebnissen in der detaillierten Auswertung.<br><br>Antwort UND/ODER Begründung UND/ODER Beschreibung UND/ODER Schutzziele UND/ODER Maßnahmen & Kontrollen:<br>Steuert die Inklusion dieser Elemente in der detaillierten Auflistung der Prüffragen/-ergebnisse.<br><br>in Anhang verschieben:<br>Wenn diese Option selektiert ist, wird die detaillierte Auswertung der Prüffragen und Prüfergebnisse vom Hauptteil des Berichts in den Anhang verschoben.
|-
!Anhänge/Evidenzen auflisten
|Druckt die Dateinamen der Anhänge/Evidenzen im Bericht an.
|-
!Bildanhänge einbetten
|Angehängte Bilddateien (.jpg oder .png) zu Prüffragen und/oder Prüfergebnissen werden auch im Bericht als Bilder eingebettet. Die Dateinamen der jeweiligen Bilder werden unter diesen angedruckt. Wo vorhanden, wird ein Timestamp der Aufnahme ebenfalls angedruckt. Die Dateigröße des Berichts ist dementsprechend größer und das Generieren des Berichts kann daher etwas länger dauern.
|-
!Anhänge/Evidenzen als Zip-Datei
|Der Bericht wird gemeinsam mit etwaigen Anhängen/Evidenzen in einem Zip-Ordner heruntergeladen.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM Konformität nach Überprüfung Bericht erstellen.png|left|thumb|902px|Konformität nach Überprüfung]]<br clear=all>
=== Konformitätsbericht nach Standards und Normen ===
In diesem Bericht soll die Erfüllung der Voraussetzungen in den einzelnen Anforderungsbereichen des Standards grafisch dargestellt werden. Die Erfüllung der Anforderungspunkte wird visuell in Form von Spinnendiagrammen, Tortendiagrammen oder Tachos dargestellt. Nach Auswahl eines Standards können Sie auch aus einer Liste der dafür relevanten Wissensdatenbanken und deren Versionen all jene auswählen, die in die Datengrundlage des Berichts mit einbezogen werden sollen.</p>Für die Darstellung werden Fragen, die mit Ja, Nein oder Teilweise beantwortet wurden, zu Scores umgewandelt. "Nein" entspricht Score 1, "Teilweise" Score 3 und "Ja" entspricht Score 5.</p>
<big><b>Konformitätsbericht nach Standards und Normen erstellen</b></big></p>Zuerst muss die gewünschte Norm oder der Standard ausgewählt werden zu dem ein Konformitätsbericht generiert werden soll. Ist die Option "Gemappte Normkapitel inkludieren" selektiert, kann man aus einer zweiten Liste den gemappten Standard/die gemappte Norm auswählen. Im Anschluss muss gewählt werden, welche Wissensdatenbanken für den Bericht berücksichtigt werden sollen.</p>Die ausgewählten Wissensdatenbanken bilden die Basis für die Auswertungen im Bericht. Es werden nur Wissensdatenbanken angezeigt, die ein Mapping auf den ausgewählten Standard/Norm besitzen und mindestens ein Prüfobjekt (einer Abweichungsanalyse) dieses Mapping besitzt. Liegt ein Prüfobjekt in mehreren Versionen vor, wird nur das mit der höchsten Version berücksichtigt. Falls auch auf eine OrgEh eingeschränkt wird, wird die höchste Version des Prüfobjektes hergenommen, welches mit der OrgEh verknüpft ist. Zusätzlich ist zu beachten, dass die Überprüfungen nicht im Status "Entwurf" sein dürfen, ansonsten werden die betroffenen Wissensdatenbanken nicht aufgelistet.
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Auswahl des Analysezeitraums
|Diese Option bestimmt, aus welchem Analysezeitraum die Berichtselemente kommen.
|-
!Auswahl des Zeitraums von-bis
|Diese Option bestimmt, aus welchem Zeitraum zwischen einem Start- und Enddatum die Berichtselemente kommen.
|-
!Auswahl der OE
|Diese Option bestimmt, welche Organisationseinheiten für den Bericht berücksichtigt werden.
|-
!Target Score am Deckblatt
|Steuert, ob der gewählte Target Score am Deckblatt des Berichts angedruckt wird.
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Prüfobjekte/Prüffragen in Inhaltsverzeichnis
|Diese Option bestimmt, ob das Inhaltsverzeichnis auch einzelne Prüfobjekte/Prüffragen enthält.
|-
!Nur abgeschlossene Überprüfungen
|Mit dieser Option werden nur Überprüfungen im Status "Abgeschlossen" im Bericht inkludiert.
|-
!Berichtsdarstellung
|Steuert, in welchem der folgenden Formate die Auswertung im Bericht dargestellt wird:<br> - Tabellarische Auswertung<br> - Tabellarische Auswertung + graphische Auswertung der Hauptkapitel<br> - Graphische Auswertung der Hauptkapitel<br> - Graphische Auswertung der Hauptkapitel & Unterkapitel inkl. Prüffragen
|-
!Detaillierte Auswertung der Prüffragen
|Druckt eine detaillierte Übersicht der Prüffragen und -ergebnisse mit verschiedenen zusätzlichen Informationen im Bericht an.<br><br>Alle ODER Nur positive ODER Nur negative:<br>Legt für die detaillierte Auswertung fest, ob alle Bewertungen, nur positive nach Target Score oder nur negative nach Target Score enthalten sein sollen.<br><br>Informationserhebungen UND/ODER Entbehrliche UND/ODER Nicht beantwortete:<br>Steuert die Inklusion von Informationserhebungen sowie den als entbehrlich markierten und nicht beantworteten Prüffragen/-ergebnissen in der detaillierten Auswertung.<br><br>Antwort UND/ODER Begründung UND/ODER Beschreibung UND/ODER Schutzziele UND/ODER Maßnahmen & Kontrollen:<br>Steuert die Inklusion dieser Elemente in der detaillierten Auflistung der Prüffragen/-ergebnisse.<br><br>in Anhang verschieben:<br>Wenn diese Option selektiert ist, wird die detaillierte Auswertung der Prüffragen und Prüfergebnisse vom Hauptteil des Berichts in den Anhang verschoben.
|-
!Gemappte Normkapitel inkludieren
|Wenn der gewählte Standard/Norm über Mappings auf Kapitel anderer Standards/Normen verweist, dann können die Prüffragen und Prüfergebnisse, die zu diesen Normkapiteln in Beziehung stehen, mit dieser Option mit in den Bericht aufgenommen werden.
|-
!Nicht anwendbare Kapitel in die Statistik aufnehmen
|Steuert, ob Kapitel, die im Managementsystem als nicht anwendbar markiert sind, im Bericht berücksichtigt werden.
|-
!Prüfergebnisse miteinbeziehen
|Wenn aktiviert, werden auch selbst erstellte Prüfergebnisse berücksichtigt (also jene, die nicht aus einer Wissensdatenbank stammen).
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM Konformität nach Standard Bericht erstellen.png|left|thumb|901px|Konformität nach Standard oder Norm]]<br clear=all>
== <span id="san"></span> Standards und Normen ==
Hier können Berichte über Standards und Normen generiert werden.
[[Datei:RM Standards auswahl.png|left|thumb|901px|Bericht für Standards und Normen auswählen]]<br clear=all>
Die Kapitelabdeckung bei den Berichten wird folgendermaßen berechnet:
{| class="wikitable"
!Szenario
!Kapitel
|-
!Szenario 1:
|Kapitel 1 - ohne Maßnahme<br>Kapitel 1.1 - mit Maßnahme<br>Kapitel 1.2 - mit Maßnahme<br><br>Die Abdeckung von Kapitel 1 beträgt 100%, da alle untergeordneten Kapitel Maßnahmen zugeteilt haben.
|-
!Szenario 2:
|Kapitel 1 - mit Maßnahme<br>Kapitel 1.1 - ohne Maßnahme<br>Kapitel 1.2 - ohne Maßnahme<br><br>Die Abdeckung von Kapitel 1 beträgt 100%. Da die Maßnahme zum übergeordneten Kapitel zugewiesen ist, zählt sie auch für die untergeordneten Kapitel.
|-
!Szenario 3:
|Kapitel 1 - ohne Maßnahme<br>Kapitel 1.1 - mit Maßnahme<br>Kapitel 1.2 - ohne Maßnahme<br><br>Die Abdeckung von Kapitel 1 beträgt 50%, da nur die Hälfte der untergeordneten Kapitel Maßnahmen zugeteilt haben.
|}
=== Statement of Applicability (SOA)===
In diesem Bericht wird dargestellt, welche Kapitel des Standards/der Norm im Managementsystem "anwendbar" bzw. "nicht anwendbar" sind. Dazu findet sich auch die Begründung zur jeweiligen Anwendbarkeit und die mit den Kapiteln verknüpften Maßnahmen und Kontrollen.
*Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen und Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
*In den Donut-Diagrammen wird dabei der Geltungsbereich (Scope) des Standards/der Norm berücksichtigt. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option "Nicht anwendbare Kapitel in die Statistik aufnehmen" aufgehoben werden.</p>
Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die in dem gewählten Analysezeitraum bereits existierten.</p>Durch die Option "Gemappte Normkapitel inkludieren", kann die Datenbasis auf gemappte Normkapitel ausgeweitet werden. Dies bedeutet, dass, wenn der Standard S1 ein Kapitel K hat, welches auf Standard S2 Kapitel K mapped (S1.K => S2.K) und vom Standard S1 ein Bericht generiert wird, im Bericht auch Maßnahmen und Kontrollen mit einbezogen, die auf Standard S2 Kapitel K mappen. Dieses Verhalten gilt genauso für die von S2.K gemappten Kapitel.
{| class="wikitable"
!Maßnahmen
|Grün = Abgeschlossene Maßnahmen<br>Orange = Ausgesetzte Maßnahmen<br>Blau = Offene Maßnahmen
|-
!Maßnahmen zu Kapiteln
|Rot = Kapitel ohne Maßnahmen<br>Blau = Kapitel mit offenen Maßnahmen<br>Grün = Kapitel mit erledigten Maßnahmen
|-
!Kontrollen zu Kapiteln
|Orange = Ausgesetzte Kontrollen zu Kapiteln<br>Grün = Aktive Kontrollen zu Kapiteln<br>Rot = Kapitel ohne Kontrollen
|-
|}
<big><b>Statement of Applicability (SOA) erstellen</b></big></p>Zum Generieren eines SOA muss zuerst eine Norm/ein Standard ausgewählt und das SOA über die Berichtsoptionen konfiguriert werden. Zum Generieren wird auf den pinken Download Button geklickt.
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Statistik
|In der Statistik wird die Erfüllung auf Basis der Gesamtzahl an Kapiteln ermittelt. Dabei werden nur die Unterkapitel in die Berechnung mit einbezogen.<br>Beispiel: Eine Norm besteht aus einem übergeordneten Kapitel und drei Unterkapiteln. Die Berechnungsbasis für die Statistik ist 3 (Gesamtzahl der Unterkapitel). Das Überkapitel dient nur der Strukturierung.
|-
!Geltungsberich
|Steuert, ob der im Standard hinterlegte Geltungsbereich angedruckt wird.
|-
!Maßnahmen- und Kontrolldetails
|Steuert, ob Details zu enthaltenen Maßnahmen und Kontrollen angedruckt werden.
|-
!Gemappte Normkapitel inkludieren
|Wenn die gewählte Norm auf andere Normen verweist, dann können die Maßnahmen und Kontrollen, die zu diesen Normkapiteln in Beziehung stehen, über das Aktivieren dieser Option mit in die Auswertung aufgenommen werden.
|-
!Nicht anwendbare Kapitel in die Statistik aufnehmen
|Steuert, ob Kapitel, die im Managementsystem als nicht anwendbar markiert sind, im Bericht berücksichtigt werden.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM Standard SOA Bericht erstellen.png|left|thumb|882px|Statement of Applicability]]<br clear=all>
=== Management Summary ===
In diesem Bericht finden Sie einen Management-Überblick von Maßnahmen und Kontrollen, die einem Standard/einer Norm zugewiesen wurden:
*Donut-Diagramme zeigen die Anzahl und den Status zugewiesener Maßnahmen und Kontrollen. Die Gesamtzahl der Kapitel in der Auswertung entspricht der Anzahl der Kapitel auf der untersten Ebene. Wurde eine Maßnahme bzw. Kontrolle einem Kapitel zugewiesen, so wird sie auch allen seinen Unterkapiteln zugerechnet. Hat also ein Überkapitel eine Maßnahme oder Kontrolle zugeteilt, verhält es sich genauso, als wenn alle Unterkapitel diese Maßnahme oder Kontrolle zugeteilt hätten.
*Ein Balkendiagramm zeigt die Anzahl der Maßnahmen und Kontrollen nach Hauptkapiteln an. Die Anzahl entspricht der Summe der Maßnahmen bzw. Kontrollen, die dem Hauptkapitel und jedem darunter befindlichen Kapitel zugewiesen sind. Eine mehrmals zugewiesene Maßnahme bzw. Kontrolle wird je Hauptkapitel nur einmal gezählt.
*Der Bericht berücksichtigt dabei den Geltungsbereich (Scope) des Standards/der Norm. Wurde dieser eingeschränkt, werden Kapitel, die als nicht anwendbar markiert wurden, nicht berücksichtigt. Dies kann durch Aktivieren der Option "Nicht anwendbare Kapitel in die Statistik aufnehmen" aufgehoben werden.</p>Die Datenbasis kann dabei auf einen früheren Analysezeitraum eingeschränkt werden. Es werden dann nur Maßnahmen und Kontrollen berücksichtigt, die in dem gewählten Analysezeitraum bereits existierten.
Beispiel Bericht: [[Media:Management Summary Beispiel Bericht.pdf|Management Summary]]
<big><b>Management Summary erstellen</b></big></p>Zum Generieren einer Management-Summary muss zuerst eine Norm/ein Standard ausgewählt und der Bericht über die Berichtsoptionen konfiguriert werden. Zum Generieren muss anschließend nur auf den pinken Download Button geklickt werden.
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Auswahl des Analysezeitraums
|Diese Option bestimmt, aus welchem Analysezeitraum die Berichtselemente kommen.
|-
!Statistik
|In der Statistik wird die Erfüllung auf Basis der Gesamtzahl an Kapiteln ermittelt. Dabei werden nur die Unterkapitel in die Berechnung mit einbezogen.<br>Beispiel: Eine Norm besteht aus einem übergeordneten Kapitel und drei Unterkapiteln. Die Berechnungsbasis für die Statistik ist 3 (Gesamtzahl der Unterkapitel). Das Überkapitel dient nur der Strukturierung.
|-
!Maßnahmen- und Kontrolldetails
|Steuert, ob Details zu enthaltenen Maßnahmen und Kontrollen angedruckt werden.
|-
!Gemappte Normkapitel inkludieren
|Wenn die gewählte Norm auf andere Normen verweist, dann können die Maßnahmen und Kontrollen, die zu diesen Normkapiteln in Beziehung stehen, über das Aktivieren dieser Option mit in die Auswertung aufgenommen werden.
|-
!Nicht anwendbare Kapitel in die Statistik aufnehmen
|Steuert, ob Kapitel, die im Managementsystem als nicht anwendbar markiert sind, im Bericht berücksichtigt werden.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM Standard Management Summary Bericht erstellen.png|left|thumb|882px|Management Summary]]<br clear=all>
== <span id="structural"></span> Strukturanalyse ==
Hier können Berichte zur RTO und RPO Erfüllung generiert werden. Mehr Information zu RTO und RPO finden Sie unter [[Strukturanalyse#RTO | "Risikomanagement → Strukturanalyse"]].
[[Datei:RM RTO RPO auswahl.png|left|thumb|901px|Bericht für RTO oder RPO auswählen]]<br clear=all>
=== RTO-Erfüllung ===
Dieser Bericht zeigt, ob die aus den diversen Schutzbedarfsanalysen (SBAs) abgeleiteten Anforderungen an die Ressourcen hinsichtlich der maximal vertretbaren Wiederanlaufzeit jeweils erfüllt werden können oder nicht.</p>Der Bericht kann ohne Einschränkung auf eine Ressource erstellt werden. Dann wird dargestellt wie gut die aus allen SBAs abgeleiteten Anforderungen an alle involvierten Ressourcen hinsichtlich der maximal vertretbaren Wiederanlaufzeit erfüllt werden.</p>Wenn der Bericht auf eine Ressource (z.B. eine bestimmte Hardware-Komponente) eingeschränkt wird, werden nur Ressourcen, die diese Ressource benötigen (z.B. bestimmte Applikationen und Datenbanken) um funktionstüchtig arbeiten zu können, in die Auswertung mit einbezogen. Es werden dann nur SBAs betrachtet, die Anforderungen an diese Ressourcen definieren.</p>
<big><b>RTO-Erfüllungsbericht erstellen</b></big></p>Zum Generieren muss anschließend nur auf den pinken Download Button geklickt werden.
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Statistik
|
|-
!Erfüllte Anforderungen
|
|-
!Nicht erfüllte Anforderungen
|
|-
!Ressourcen mit definierten Informationen
|
|-
!Ressourcen mit undefinierten/nicht relevanten Informationen
|
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM RTO Erfüllung Bericht erstellen.png|left|thumb|902px|RTO Bericht erstellen]]<br clear=all>
=== RPO-Erfüllung ===
Dieser Bericht zeigt, ob die aus den diversen Schutzbedarfsanalysen (SBAs) abgeleiteten Anforderungen an die Ressourcen hinsichtlich des maximal vertretbaren Datenverlusts jeweils erfüllt werden können oder nicht.</p>Der Bericht kann ohne Einschränkung auf eine Ressource erstellt werden. Dann wird dargestellt wie gut die, aus allen SBAs abgeleiteten Anforderungen an alle involvierten Ressourcen hinsichtlich des maximal vertretbaren Datenverlusts erfüllt werden.</p>Wenn der Bericht auf eine Ressource (z.B. eine bestimmte Hardware-Komponente) eingeschränkt wird, werden nur Ressourcen, die diese Ressource benötigen (z.B. bestimmte Applikationen und Datenbanken), um funktionstüchtig arbeiten zu können in die Auswertung mit einbezogen. Es werden dann nur SBAs betrachtet die Anforderungen an diese Ressourcen definieren.</p>
<big><b>RPO-Erfüllungsbericht erstellen </b></big></p>Zum Generieren muss anschließend nur auf den pinken Download Button geklickt werden.
{| class="wikitable"
! colspan="2" | <b>Berichtsoptionen</b>
|-
!Inhaltsverzeichnis
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird.
|-
!Statistik
|
|-
!Erfüllte Anforderungen
|
|-
!Nicht erfüllte Anforderungen
|
|-
!Ressourcen mit definierten Informationen
|
|-
!Ressourcen mit undefinierten/nicht relevanten Informationen
|
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:RM RPO Erfüllung Bericht erstellen.png|left|thumb|902px|RPO Bericht erstellen]]<br clear=all>
-->


HITGuard offers the possibility of generating various risk management reports under "Risk management → Reports".  
HITGuard offers the possibility of generating various risk management reports under "Risk management → Reports".  

Version vom 8. März 2024, 08:54 Uhr


HITGuard offers the possibility of generating various risk management reports under "Risk management → Reports".

Report selection


To create a report, first choose a type of report. Subsequently, choose which data to include in the report (e.g. risks or reviews). Most reports also have additional report options which allow further specification of the report's contents.

Languages:
Knowledge bases can be made available in different languages due to stored translations for used knowledge bases. For example, to generate a report with the English texts, the language must be changed using the flag icon at the top right of the screen, next to the logout button. This will load all content for the reports in the desired language, provided that a translation in that language is available for the knowledge base.

Download options:
The reports are available for download as PDF or DOCX files. Click the pink button to generate and download a report. Then, choose whether the report should be downloaded as a PDF or DOCX.

Additionally, there is the option to generate and archive the reports including revision information. In doing this, the report can be viewed, generated anew, or downloaded again by an expert under "Administration → Report archive". More information about this can be found under "Administration → Report archive".

When generating reports with revision information in the archive, there is also the option to send the report by e-mail to various recipients right away. More information about this can be found in the report archive and under "Administration → Text blocks".

Remembering report options: Some of the report options can be found for various reports. For these, the selected options are remembered within the management system and for the individual user, and then also applied for other reports with that same option. For example, if the option "Table of contents" is selected, then it will already be selected when accessing any other report pages that use this option.

Licenses:
If no valid license for HITGuard is available, this will be displayed in the footer of the report! To change this, an expert or administrator has to request/upload a license under "Administration → Licensing".

The following reports are offered in the risk management section of HITGuard:

Risks

General risk report

In this report, details on risks are presented. In addition, the risks are positioned in a risk matrix according to their criticality.

The measures and controls to be taken or already taken can be displayed for the individual risks. Furthermore, the development of the risks over time can be displayed.

Users with the Compliance Manager role will also see measures and controls from all other management systems.

Risk report example of risks without M/C incl. development over time (DE)

Generate risk report:

To generate a risk report, you have to navigate to "Risk Management → Reports → Risks → General". There you have several options to generate the report:

  1. Risks: You can generate a risk report for one or more risks. However, you can only generate risk reports in management systems to which you are assigned.
  2. Structural elements: You can list all the risks assigned to the selected structural elements.
  3. Responsible person(s) (compliance manager only): You can generate a risk report in which all risks are listed for which a specific team or a responsible person is responsible.

After that, just click on the pink download button to generate the report.

Report options

With the report options, you can specify what status measures/controls have to be in in order to appear in the report.

Additionally, you can decide whether or not to show the temporal development of the risks in the report and whether or not to add the gaps linked with the respective risks.

Generate risk report


Gross-net-risk report

This report lists details about the development of a risk. The focus of the report, therefore, lies on the aspect of the gross-net-risk, which is managed with measures and controls.

All to-be-implemented as well as already implemented measures and controls are listed for the individual risks. The gross risk as well as the possible net risk scenarios can be displayed separately. If desired, the development over time of the risk can also be displayed.

Caution: The measures and controls from other management systems are only visible for users with the role "Compliance manager".

Example Gross-net-risk report: gross and net risks shown with matrices, no details for M/C (DE)

Create gross-net-risk report:

To generate a gross-net risk report, you have to navigate to "Risk Management → Reports → Risks → Gross-net-risk". There you can generate the report for a selected risk with different characteristics. Reports can only be created for risks in management systems one is authorized for. (The exception are compliance managers, who can generate reports for all risks in all management systems.)

Click the pink download button to generate the report.

Report options

The exact structure and content of the report can be configured with the report options.

  • Gross risk: Adds the probability of occurrence and the extent of damage of the original gross risk.
  • Treatment of the gross risk: Adds the measures and control intended for the treatment of the gross risk.
  • Ability to Control: Adds the ability to control of the treating measures and controls to the information of the gross risk.
  • Treatment of the current risk: Adds the measures and control intended for the treatment of the gross risk.
  • Net risk with best/most likely/worst case: Adds the probability of occurrence and the extent of damage of the selected net risk scenarios. At least one scenario needs to be selected for this.
  • Risk matrices: Adds the matrix as an image to the textual information of the gross and net risks.

The remaining report options control the amount of details for the report's content.

Create gross-net-risk report


Protection needs

In this report, the results of either one or multiple protection needs analyses are displayed. Choices can be made regarding the summary of the results as well as their details. Additionally, it's possible to add an appendix with explanations for the basis of the assessment in the protection needs analysis.

Generate protection needs report:

To generate a protection needs analysis, you have to navigate to "Risk management → Reports → Protection needs". Then, choose which protection needs analysis to generate the report for and configure this via the report options.

To generate the report click on the pink download button. This is only possible in PDF format for this report.

Report options:

  • Summary: Selecting this option adds a summary of all results in the form of a crosstab to the report.
  • Summary details: In addition to the crosstab, the upper section of the summary includes a list of all interviews that form part of the crosstab's data source.
  • Interview results: In addition to the crosstab of an individual interview, the rationale for the assessments of the individual protection needs is added.
  • Table of contents: Decides whether the table of contents is printed or not.
  • Appendix with explanations: This report contains calculations of statistics, key figures or other content requiring explanation. An appendix with explanations is therefore generated by default. If this is not desired, this report option can be deactivated.
Reports for Protection needs analyses


Gap report

In this report, the results of either one or multiple gap analyses are displayed. When choosing the reviews, take note that they are limited by the chosen analysis period. An array of report options allow you to configure the reports to be displayed the way you need them.

Gap report example: reviews without proposals ZR 5

Gap report example: responsible with pProposals ZR 3

Gap report example: organizational unit all audit questions without proposals ZR 2

Create deviation report:

To generate a deviation report navigate to "Risk Management → Reports → Gap Analyses". There, you have several options to generate such a report:

  1. Reviews: This report contains all information about the selected reviews. The selection shows only reviews from the current management system in the selected analysis period (with the report options to the right).
  2. Responsible(s) (compliance manager only): This report contains all reviews the selected person(s) or team(s) is/are responsible for.
  3. Organizational unit (compliance manager only): This report contains all reviews that have been created for an organizational unit. The selection shows only organizational units for which reviews exist in the current management system and within the selected analysis period.

It is possible to create a report for several analysis periods. For this, change the analysis period among the report options to the right. Then, the reviews of the chosen analysis period are made available.

Caution: If you select a new analysis period, the reviews from the previous ones will no longer be displayed, but will remain selected.

After that, click on the respective pink download button to generate the gap report.

Report options

  • Management system: (compliance manager only) This option controls which management system the available elements come from. This allows for generating a report that spans multiple management systems.
  • Analysis period: This options controls what analysis period the available reviews come from.
  • Target score: This option shows, when a response to a question constitutes a gap. If the response is below the defined value, it is a gap.
  • Treatment plan by determination type: This option adds a short overview of all measures and controls at the beginning of the report, grouped by Hints/Recommendations/Minor deviations/Major deviations.

The remaining options specify which information is added regarding the questions and what characteristics questions need to have in order to be printed in the report.

You can also choose to add the measures and controls linked with the review questions.

Create gap report


Conformity report

Choose conformity type


Here, you can generate reports to show the conformity with a standard or norm as well as the results of gap analyses.

These reports show a distinct average score for each requirement or norm chapter. This average score is calculated as follows:

  • For requirements:
All review questions are weighted equally. This means, if a requirement has 10 review questions, 5 of which are at score 3, 3 are at 4 and 2 are at 2, then the average score is: (5*3+3*4+2*2)/10 and comes out to 3.1.
  • For standard/norm chapters:
A distinction is made between primary and secondary chapter levels.
  • At the lower level, norm chapters map onto requirements. This means, that the average score for the requirements is calculated as shown above. In the next step, the averages of the requirements are summed up and divided by the number of requirements. Therefore, a chapter with 3 requirements that have a level of 2.5, 3.3 and 4.1, respectively, the average score is: (2.5+3.3+4.1)/3 and comes out to 3.3.
  • At the upper level, chapters map onto secondary chapters as well as requirements, potentially. The average score of the primary chapter stems from the sum of the averages of its direct secondary chapters and the sum of the mapped requirements. This means, if a primary chapter has 2 secondary chapters with a level of 4 each and 3 chapters with 2, 3 and 4, respectively, then the average score for the primary chapter is: (4+4+2+3+4)/5 and comes out to 3.4.

Conformity report by reviews

The purpose of this report is to graphically illustrate the fulfillment of the prerequisites based on individual reviews. The fulfillment of the prerequisite points is presented visually in the form of spider diagrams, pie charts or tachometers.


Create report of conformity by reviews:

  1. Reviews: You can generate a conformity report from one or more reviews.
  2. Responsible (compliance manager only): You can generate a compliance report for one responsible person or team, where all reviews assigned to this responsible person or team are analyzed.
  3. Organizational units (compliance manager only): You can generate a compliance report for an organizational unit, where all reviews assigned in this organizational unit are analyzed.

Conformity report example: by reviews

Conformity report example: responsible person

Report options

  • Management system (compliance manager only): This option controls which management system the available reviews come from. This allows for generating a report that spans multiple management systems.
  • Analysis period: This options controls what analysis period the available reviews come from. This allows for generating a report that spans multiple analysis periods. If you change the analysis period, the previous reviews are not displayed but remain selected. They are only displayed within their respective analysis period.
  • Target score: This option shows, when a response to a question constitutes a gap. If the response is below the defined value, it is a gap.
  • Treatment plan by determination type: This option adds a short overview of all measures and controls at the beginning of the report, grouped by Hints/Recommendations/Minor deviations/Major deviations.

The remaining options allow for further configurations, such as which review questions to add, whether or not to include only completed reviews (relevant for commpliance managers when choosing the responsible person/organizational unit), how the table of content is to be structured and whether the audit title should be displayed (if available).

Conformity by review


Conformity report by standards and norms

The purpose of this report is to graphically illustrate the fulfillment of the prerequisites in each requirement area of the standard. The fulfillment of the prerequisite items will be visually represented in the form of spider diagrams, pie charts, or tachometers. After selecting a standard, a list of applicable knowledge bases and their various versions will appear. From this, choose all knowledge bases and versions thereof which are to be part of the report's data basis.

For display purposes, questions answered Yes, No, or Partially are converted to scores. "No" corresponds to score 1, "Partial" corresponds to score 3, and "Yes" corresponds to score 5.

Create conformity report by standard:

First, the desired norm or standard must be selected for which a conformity report is to be generated. Then you have to select which knowledge bases should be considered for the report.

The selected knowledge bases form the basis for the evaluations in the report. Only knowledge bases that have a mapping to the selected standard and at least one review object (of a gap analysis) are displayed. If a review object exists in several versions, only the one with the highest version is considered. If a restriction is also made to an OrgUnit, the highest version of the review object that is linked to the OrgUnit is used. In addition, note that reviews may not be in the state "Draft" or the respective knowledge bases will also not be listed.

Report options

  • Management system (compliance manager only): This option controls which management system the available reviews come from. This allows for generating a report that spans multiple management systems.
  • Analysis period: This option controls for which analysis period the conformity report should be created. This ensures that only test objects up to and including the selected analysis period are taken into account. Test objects from more recent analysis periods (newly created or re-evaluated) will not be included in the report.
  • Time period: The period can be limited to a certain date in addition to the analysis period.
  • Target score: This option shows when a response to a question constitutes a gap. If the response is below the defined value, it is a gap.
  • Questions: These options specify which information is added regarding the questions and what characteristics questions need to have in order to be printed in the report.
  • Target score on the cover page: This option controls whether the set target score is printed on the cover page of the report.
  • Only closed reviews: This option decides whether review results from open reviews are considered in the analysis or only those of closed ones.
  • Include mapped standard chapters: This option decides whether review results should be included that are related to mapped norm chapters. This means chapters in previous and follow-up versions of the norm, as well as other thematically related norms.
  • Organizational unit: This options allows for limiting the conformity report to the selected organizational unit and those below it in the hierarchy.This means that only review objects that are linked to the selected OrgEh in are relevant for the evaluation in the report.
  • Type of evaluation:
  • Tabular evaluation
  • Tabular evaluation + graphical evaluation of the main chapters
  • Graphical evaluation of the main chapters
  • Graphical evaluation of the mail chapters & subchapters incl. questions
  • Not applicable chapters: This option allows you to exclude those chapters that have been marked as "not applicable" for the management system from the report.
Conformity report by standard or norm


Standards and Norms

Reports about standards and norms can be generated here.

Choose report for standards and norms


The chapter applicability for the reports is calculated as follows:

Scenario 1: Chapter 1 - without measures
Chapter 1.1 - with a measure
Chapter 1.2 - with a measure

The applicability of chapter 1 is 100%, because all chapters below have assigned measures. 		Scenario 2: Chapter 1 - with a measure
Chapter 1.1 - without measures
Chapter 1.2 - without measures

The applicability of chapter 1 is 100%. As the measure is assigned to the super-chapter, it also counts towards the sub-chapters. 		Scenario 3: Chapter 1 - without measures
Chapter 1.1 - with a measure
Chapter 1.2 - without measures

The applicability of chapter 1 is 50%, because only half of its sub-chapters have measures assigned to them.

Statement of Applicability (SOA)

This report shows which chapters of the standard are "applicable" or "not applicable" in the management system. It also includes the justification for each chapter's applicability and the measures and controls associated with the chapters.

  • Donut charts show the number and status of assigned measures & controls. The total number of chapters in the evaluation corresponds to the number of chapters at the lowest level. If a measure or control has been assigned to a chapter, it is also assigned to all its sub-chapters. Thus, if a super-chapter has assigned a measure or control, it behaves in the same way as if all sub-chapters had assigned that measure or control.
  • In the donut diagrams, the scope of the standard is taken into account. If this has been restricted, chapters marked as not applicable are not taken into account. This can be canceled by activating the option Include not applicable chapters in the statistics.

The data basis can thereby be restricted to an earlier analysis period. In this case, only measures and controls that already existed in the selected analysis period are taken into account.

With the option "Include mapped standard chapters", the database can be extended to mapped standard chapters. This means that if standard S1 has a chapter C that is mapped to standard S2 chapter C (S1.C => S2.C) and a report is generated from standard S1, the report will also include actions and controls that are mapped to standard S2 chapter C. This behavior also applies to chapters mapped from S2.C.

Measures: Green = Completed measures
Orange = Suspended measures
Blue = Open measures
Measures for chapters: Red = Chapter without measures
Blue = Chapter with open measures
Green = Chapter with completed measures
Controls to chapters: Orange = Suspended controls to chapters
Green = Active controls to chapters
Red = Chapters without controls

Create Statement of applicability (SOA)

To generate an SOA, choose a standard/norm and configure the SOA via the report options. Click on the pink download button to generate the report.

Report options

  • Management system (compliance Manager only): This option controls which management system the available reviews come from. This allows for generating a report that spans multiple management systems.
  • Analysis period: This options controls what analysis period the available measures and controls come from.

The remaining options specify which information is added to the report. For example, "Show statistic" controls whether the donut diagrams are displayed.


Statement of Applicability


Management Summary

This report provides a management overview of the measures and controls assigned to a standard/norm.

  • Donut charts show the number and status of assigned measures & controls. The total number of chapters in the evaluation corresponds to the number of chapters at the lowest level. If a measure or control has been assigned to a chapter, it is also assigned to all its sub-chapters. Thus, if a super-chapter has assigned a measure or control, it behaves in the same way as if all sub-chapters had assigned that measure or control.
  • A bar chart shows the number of measures & controls by main chapters. The number is the sum of the measures or controls assigned to the main chapter and each sub-chapter below it. A measure or control assigned several times is only counted once per main chapter.
  • The report takes into account the scope of the standard. If the scope is limited, chapters marked as not applicable are not taken into account. This can be canceled by activating the option Include not applicable chapters in the statistics.

The data basis can thereby be restricted to an earlier analysis period. In this case, only measures and controls that already existed in the selected analysis period are taken into account.

Management Summary example report

Create management summary

To generate a management summary, choose a standard/norm and configure the management summary via the report options. Click on the pink download button to generate the report.

Report options

  • Management system (compliance manager only): This option controls which management system the available reviews come from. This allows for generating a report that spans multiple management systems.
  • Analysis period: This options controls what analysis period the available measures and controls come from.

The remaining options specify which information is added to the report. For example, "Statistic" controls whether the donut diagrams are displayed.

Management Summary


Strukturanalyse

Reports on RTO and RPO fulfillment can be generated here. You can find more information on RTO and RPO under "Risk management → Structural analysis".

Select RTO or RPO report


RTO-Fulfillment

This report shows whether or not the requirements derived from the various protection needs analyses (PNAs) for the resources can be met in terms of the maximum justifiable recovery time in each case.

The report can be generated without restriction to a resource. Then it is shown how well the requirements derived from all PNAs are met for all involved resources with regard to the maximum justifiable recovery time.

If the report is restricted to a resource (e.g., a specific hardware component), only resources that require this resource (e.g., specific applications and databases) to be able to work functionally are included in the evaluation. Only PNAs that define requirements for these resources are then considered.

Create RTO-Fulfillment report

To generate a RTO fulfillment report, first choose the resource for which the RTO fulfillment is to be analyzed and configure the report via the options.

Then, click the pink download button to generate the report.

Report options

This report contains calculations of statistics, key figures or other content requiring explanation. An appendix with explanations is therefore generated by default. If this is not desired, this report option can be deactivated.

It can also be decided whether fulfilled or not fulfilled requirements should appear in the report or not.

It is also possible to configure how much information about the relevant resources is printed in the report.

Create RTO fulfillment report


RPO-Fulfillment

This report shows whether the requirements derived from the various protection needs assessments (PNAs) for the resources in terms of maximum acceptable data loss can be met in each case or not.

The report can be generated without restriction to a resource. Then it is shown how well the requirements derived from all PNAs are met for all involved resources with regard to the maximum acceptable data loss.

If the report is restricted to one resource (e.g., a specific hardware component), only resources that require this resource (e.g., specific applications and databases) to be able to work functionally are included in the evaluation. Only PNAs that define requirements for these resources are then considered.

Create RPO-Fulfillment report

To generate an RPO-Fulfillment report, first select the resource for which RPO-Fulfillment is to be analyzed and configure the report using the report options.

Then, click the pink download button to generate the report.

Report options

This report contains calculations of statistics, key figures or other content requiring explanation. An appendix with explanations is therefore generated by default. If this is not desired, this report option can be deactivated.

It can also be decided whether fulfilled or not fulfilled requirements should appear in the report or not.

It is also possible to configure how much information about the relevant resources is printed in the report.

Create RPO-Fulfillment report


Abgerufen von „https://userguide.hitguard.de/index.php?title=Berichte_für_das_Risikomanagement/en&oldid=30322
Zuletzt geändert
Diese Seite wurde zuletzt am 8. März 2024 um 08:54 Uhr bearbeitet.