Im Zuge von Überprüfungen kann es Unklarheiten bei der Beantwortung von Prüffragen geben. Manchmal tauchen Rückfragen dazu auf, die nicht gleich beantwortet werden können. Diese Prüffragen und auch gesamte Prüfobjekte können mit „Abklärungsbedarf“ markiert werden. Sie sind dann in der Ansicht Risikomanagement → Schwachstellen → Abklärungsbedarf aufgelistet und können strukturiert abgearbeitet werden.

Mehr dazu finden Sie unter Schwachstellen → Abklärungsbedarf.

Eine Abweichung stellt einen Unterschied zum gewünschten Target Score dar, der in einer Abweichungsanalyse oder einem Prüfergebnis erkannt wird. Generell handelt es sich dabei um Untererfüllungen, die dann als Risiken dargestellt oder zu solchen zusammengefasst werden und mit Maßnahmen behandelt und behoben werden können. Auch Übererfüllungen werden erkannt, diese können im Chancenmanagement nützlich sein.

In einer Abweichungsanalyse wird mithilfe eines Assistenten ein Prüffragenkatalog aus einer Wissensdatenbank beantwortet, wodurch Abweichungen vom angestrebten Score erkannt werden. Sie kann als Interview durchgeführt oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Es ist auch möglich, im Rahmen eines Interviews neue Prüfobjekte zu erstellen.

Eine Akte wird für eine oder mehrere eingegangene Meldungen im Fallmanagement erstellt und unterstützt das Support Team dabei, die gemeldeten Probleme zu lösen, Umstände zu klären und Vorfälle zu behandeln. Neben den dazugehörigen Meldungen können auch Überprüfungen, Risiken, Maßnahmen und Kontrollen mit der Akte verknüpft werden.

Eine Analysezeitraum dient dazu, verschiedene Elemente eines Managementsystems auswert- und vergleichbar zu machen. Anhand verschiedener KPIs am Dashboard können die Analysezeiträume einander gegenübergestellt und miteinander verglichen werden.

Analysezeiträume werden durch Experts im Managementsystem definiert und manuell oder in festgelegten Intervallen überführt. Jeder Analysezeitraum hat ein Start- und ein Enddatum, einen Target Score und es können die enthaltenen Organisationseinheiten festgelegt werden. Für die Maßnahmenverfolgung wird zusätzlich ein Redaktionsschluss festgelegt, damit Fortschrittsmeldungen zeitgerecht eingeholt werden können.

Mehr zu Analysezeiträumen finden Sie unter Administration → Managementsysteme.

Zur vereinfachten Planung von Auditprogrammen und Audits können Organisationseinheiten, die thematisch oder regional beieinander liegen und daher gemeinsam oft gemeinsam auditiert werden, in Clustern zusammengefasst werden.

Mehr zu Auditclustern finden Sie unter Auditmanagement → Auditcluster.

Bei Beobachtern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Das Betreuungsteam ist das Team, das im Fallmanagement für eingehende Meldungen zuständig ist. Mehr zum Betreuungsteam finden Sie hier.

Beim Compliance Manager handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

DSFA steht für Datenschutz-Folgenabschätzung. Für eine jede Verarbeitungstätigkeit (VT) muss, laut DSGVO, dokumentiert entschieden werden, ob eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen ist. Dies erfolgt im Zuge einer sogenannten DSFA-Erforderlichkeitsprüfung. Diese DSFA und DSFA-Erforderlichkeitsprüfung kann in HITGuard unter Datenschutz → DSFA durchgeführt werden.

Bei Experten handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

In HITGuard ist es möglich existierende Daten z.B. Risiken oder Organisationseinheiten aus anderen Quellen (z.B. SAP) zu importieren. Die ID macht es möglich, Datenstände über Applikationen hin konsistent zu halten. Wird ein Import durchgeführt und die ID des Importdatensatzes stimmt mit einer vorhandenen ID überein, dann wird nicht ein neuer Datensatz importiert, sondern der vorhandene Datensatz mit dem Importdatensatz aktualisiert.

Beispiel: Sie verwenden SAP um Organisationseinheiten zu verwalten und importieren diese monatlich nach HITGuard um alle Änderungen aus SAP in HITGuard mitzunehmen.

Mehr dazu finden Sie unter Administration → Datenimport.

Ist eine Überprüfung oder Schutzbedarfsanalyse in HITGuard vom Typ Interview, dann heißt das, dass diese Tätigkeit nicht vom Interviewpartner durchzuführen ist. Der Lead-Auditor und etwaige Co-Auditoren/Begleiter führen die Überprüfung gemeinsam mit dem Verantwortlichen und/oder Interviewpartner als Interview durch und füllen alle Formular selbst aus.

Der Begriff KPI steht für Key-Performance-Indikator bzw. Leistungskennzahl und bezeichnet in der Betriebswirtschaftslehre Kennzahlen, anhand derer der Fortschritt oder der Erfüllungsgrad hinsichtlich wichtiger Zielsetzungen oder kritischer Erfolgsfaktoren innerhalb einer Organisation gemessen und/oder ermittelt werden kann. In HITGuard können KPIs auf Dashboards hinzugefügt werden und dienen dem Überblick und dem Reporting.

LDAP oder Lightweight Directory Access Protocol ist ein Netzwerkprotokollstandard, der in HITGuard zur Authentifizierung von Benutzern verwendet werden kann. Damit können sich Benutzer mit den Anmeldedaten aus Ihrem Authentication Provider anmelden.

Mehr Information darüber finden Sie unter Login Möglichkeiten und unter Globale Einstellungen.

OrgEhs oder Organisationseinheiten bilden den Aufbau eines Unternehmens ab. Ein Unternehmen besteht dabei meist aus mehreren Organisationseinheiten, die sich an den einzelnen Verarbeitungsprozessen beteiligen, die wiederum in einer bis mehreren Organisationseinheiten stattfinden. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT-gestützt unter Verwendung von IT-Systemen. In HITGuard können die in den OrgEhs auftretenden Prozessschritte, die dabei verwendeten Daten und Ressourcen mit der Strukturanalyse abgebildet werden.

Bei Practitionern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Bei Professionals handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Beim Prüfergebnis werden mithilfe eines Assistenten Fragenkataloge und deren Antworten in HITGuard eingepflegt, die nicht aus einer Wissensdatenbank stammen. Die Prüfobjekte und Prüffragen können nach einer Überprüfung vollständig beantwortet erfasst, in einem Interview gemeinsam bearbeitet, oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Beispielsweise können so die Inhalte eines externen Audits dokumentiert und in Auswertungen miteinbezogen werden.

Die Risikopolitik ist ein Konglomerat aus Parametern und Einstellungen für das Risikomanagement in HITGuard. Dazu gehören beispielsweise die Schutzziele, Schadensausmaße, Eintrittswahrscheinlichkeiten oder auch die Risikomatrix. Unter Risikomanagement → Risikopolitik können diese und mehr Faktoren für alle Managementsysteme konfiguriert werden, um den maximalen Nutzen aus den verschiedenen Analysen und Workflows im Risikomanagement ziehen zu können.

Mehr zur Risikopolitik finden Sie unter Risikomanagement → Risikopolitik.

RPO oder Recovery Point Objective gibt an, wie viel Datenverlust in Kauf genommen werden kann. Dabei gibt die RPO den Zeitraum an, der zwischen zwei Datensicherungen liegen darf. Das heißt: Wie viele Daten/Transaktionen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen dürfen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden.

RTO oder Recovery Time Objective gibt an, wie lange ein Geschäftsprozess/System ausfallen darf. Dabei gibt die RTO die Zeit an, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur – Daten – Nacharbeitung von Daten – Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage, in Einzelfällen Wochen, betragen.

Der Sachbearbeiter ist jener Benutzer, dem vom Verantwortlichen die Bearbeitung einer Aufgabe in den verschiedenen Modulen HITGuards zugewiesen wird. Für viele Elemente, wie Risiken oder Verarbeitungstätigkeiten, werden sowohl Verantwortlicher wie auch Sachbearbeiter festgelegt, um Arbeit delegieren zu können.

Ist eine Überprüfung, Schutzbedarfsanalyse oder Verarbeitungstätigkeit in HITGuard vom Typ Self Assessment, dann heißt das, dass diese Tätigkeit z.B. vom Sachbearbeiter oder Interviewpartner durchzuführen ist. Der Verantwortliche kann dann vom Sachbearbeiter oder Interviewpartner eine Beantwortung der Tätigkeit anfordern. Der Sachbearbeiter oder Interviewpartner beantwortet diese und retourniert sie an den Verantwortlichen. Dieser kann die Beantwortung anschließend prüfen und akzeptieren oder eine neue Beantwortung anfordern.

In Wissensdatenbanken können Prüffragen als Strukturfragen hinterlegt werden. Ihre Antwort ist nicht Teil der Berechnung des Scores. Sie definieren lediglich, ob und welche Teilfragen dann beantwortet werden sollen.

Jede Strukturfrage einer Wissensdatenbank kann Teilfragen haben. Im Gegensatz zur Strukturfrage fließen diese in die Berechnung des Scores ein. Es ist möglich, die Antworten abhängig von der Antwort auf die Strukturfrage zu definieren.

TOMs sind technische und organisatorische Maßnahmen oder Kontrollen, die für den Umgang mit personenbezogenen Daten verwendet werden.

Nach Art. 32 DSGVO sind Verantwortliche und der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Kriterien, die die TOM erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

Mehr zur Erstellung und Verwendung von TOMs in HITGuard finden Sie unter Datenschutz → TOMs.

Es gibt in HITGuard drei Arten von Überprüfungen:

1. Abweichungsanalysen
2. Schutzbedarfsanalysen
3. Prüfergebnisse

Der Umsetzer wird bei Kontrolldefinitionen festgelegt. Es ist jener Benutzer, der die Kontrolle durchführt, nachdem sie auslöst, und sie dann zur Prüfung retourniert.

Mehr zu Kontrollen finden Sie unter Kontrolldefinitionen.

Für die verschiedenen Elemente in HITGuard kann eine (oder mehrere) verantwortliche Person oder ein (oder mehrere) verantwortliches Team festgelegt werden. Bei Elementen der Stammdaten (z.B. Ressourcen oder Organisationseinheiten) ist der Verantwortliche rein informativ und aktuell nicht aktiv in Workflows involviert. Bei Elementen der verschiedenen Managementmodule ist der Verantwortliche auch in Workflows involviert. Beispielsweise implementiert er eine Maßnahme und meldet deren Fortschritt, überprüft Risiken und Verarbeitungstätigkeiten und sieht Überprüfungen unter Meine Aufgaben.

Die Rolle des Verantwortlichen für jedes Element ergibt sich aus dem Kontext bzw. kann auf der jeweiligen Seite in der Online Hilfe nachgeschlagen werden.

Ein Verarbeitungsregister in HITGuard ist die Sammlung aller Verarbeitungstätigkeiten des Managementsystems. Es kann in Gesellschafts- und Organisationsregister aufgeteilt werden.

VT ist die Abkürzung für Verarbeitungstätigkeit. Eine gesetzliche Definition des Begriffs findet sich in Art. 4 der DSGVO, dort wird der Begriff „Verarbeitung“ wie folgt definiert:

• jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. D.h. jeder Vorgang oder Prozess, der in irgendeiner Form personenbezogene Daten verarbeitet, egal ob sie nur gespeichert oder für Auswertungen verwendet werden, ist eine Verarbeitungstätigkeit.

Eine Wirksamkeitsprüfung dient dazu festzustellen, ob die Umsetzung einer Maßnahme kurz- oder auch langfristig den gewünschten Effekt erzielt hat. Dies wird in Form einer Folgemaßnahme oder einer Kontrolle überprüft, die sich mit dem neuen Ist-Zustand auseinandersetzt.

Eine Wissensdatenbank ist ein Katalog von Prüffragen, anhand dessen Compliance und Score festgestellt werden können. Wissensdatenbanken können von TogetherSecure als Abonnement bezogen oder direkt im Tool frei erstellt werden.

Mehr zu Wissensdatenbanken finden Sie unter Administration → Wissensdatenbanken.

Der zentrale Managementbeauftragte kann bei aktiviertem Auditmanagement Add-on unter Auditmanagement > Einstellungen eingetragen werden. Dieser User wird dann bei allen neuen Auditprogrammen als Ersteller vorbesetzt.