Schwachstellen: Unterschied zwischen den Versionen

Was ist eine Überprüfung?

Unter einer Überprüfung wird in HITGuard die Erfassung von Abweichungen zu einem Soll-Zustand verstanden. Beispielsweise kann eine Überprüfung ein Audit durch einen externen Auditor darstellen. Die Erkenntnisse, die Ihnen vom Auditor eventuell in Form eines Berichts ausgehändigt wurden, können Sie als sogenanntes "Prüfergebnis" in HITGuard einpflegen.

Prüfergebnisse können aber auch durch eine Überprüfung mit HITGuard entstehen. Dies geschieht in HITGuard durch die Verwendung von Wissensdatenbanken in "Abweichungsanalysen". In Abweichungsanalysen wird eine Überprüfung durch strukturierte Fragebögen geleitet, mit deren Hilfe Abweichungen zum gewünschten Zielzustand ermittelt werden.

Der Zielzustand wird in HITGuard als Zielreifegrad bezeichnet und ist für jedes Managementsystem separat einstellbar. Nur Experten oder Administratoren können unter "Administration → Managementsysteme" den Zielreifegrad einstellen und verändern.

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Professionals und Experten alle Überprüfungen welche im aktuellen Managementsystem angelegt wurden. Es werden alle Überprüfungen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Hier können ebenso neue Überprüfungen erstellt bzw. angefordert werden. Weiters können die Überprüfungen auch als PDF heruntergeladen werden.

Prüfergebnis:

• Unter einem Prüfergebnis versteht man z.b. die Erkenntnisse, welche im Zuge eines Audits vom Auditor eventuell in Form eines Berichtes ausgehändigt wurden.
• Diese Erkenntnisse können über "Prüfergebnis +" frei eingepflegt werden.

Abweichungsanalyse:

• Abweichungsanalysen sind Fragebogen (WDB) gestützte Überprüfungen zu bestimmten Themen. Durch diese Fragebögen lässt sich z.b der Erfüllungsgrad einer Norm bestimmen. Zusätzlich zu den Fragebogenthemen können, aber auch sonstige Prüfergebnisse erfasst werden.
• Ist eine Übersetzung der WDB in der aktuell ausgewählten Sprache (Flagge rechts oben, neben dem Abmelden-Button) vorhanden, so wird diese angewandt.
• Um eine Abweichungsanalyse zu erstellen, müssen Sie auf den "Abweichungsanalyse +" Button klicken.

Im Ablauf untescheiden sich die 2 Überprüfungsmöglichkeiten nur in dem Punkt, dass ein Prüfergebniss keine Prüfobjekte auf Wissensdatenbank Basis behandeln kann.

Zum bearbeiten einer Überprüfung muss in der Übersicht auf diese ein Doppelklick ausgeführt werden.

Für mehr Informationen zum erstellen oder bearbeiten einer Überprüfung, egal ob Abweichungsanalyse oder Prüfergebnis, siehe Überprüfung erstellen / bearbeiten.

Im folgendem Abschnitt wird erklärt, wie die Navigation im Überprüfungs-Assistenten funktioniert.

Die Navigation im Assistenten zur Durchführung von Überprüfungen funktioniert wie folgt:

• Durch Klicken auf "Weiter" kommt man zum nächsten Schritt bzw. zur nächsten Prüffrage.

• Durch Klicken auf "Zurück" kommt man zum letzten Schritt bzw. zur letzten Prüffrage.

• Durch Klicken im Navigationsbaum auf der linken Seite kommt man zur gewünschten Stelle.

• Unten links auf der Navigations-Maske können die Prüffragen im Navigationsbaum über eine Checkbox "Prüffragen" eingeblendet werden.

• Blendet man die Prüffragen ein, kann somit auch über den Baum zu diesen navigiert werden.

• "Speichern" und "Schließen" verhalten sich selbsterklärend.

Unabhängig davon, welche Art der Überprüfung Sie durchführen (Abweichungsanalyse mittels einer Wissensdatenbank oder Erfassung von Prüfergebnissen) die Bearbeitungsschritte im Assistenten zur Durchführung von Überprüfungen sind im wesentlichen immer dieselben:

1. Überprüfung erstellen und speichern
2. Themen bzw. Prüfobjekte hinzufügen und Überprüfung aktivieren
3. Beantwortung der Prüfobjekte bzw. Möglichkeit zur Anforderung einer Beantwortung im "Self Assessment" durch den Interviewpartner
4. Beantwortungen bzw. erkannte Abweichungen überprüfen
5. Überprüfung abschließen

Eine Überprüfung kann von einem Expert durchgeführt werden. Dabei hat er aber auch die Möglichkeit, die Beantwortung der Überprüfung von seinem Interviewpartner in HITguard anzufordern. Via Workflow-Unterstützung erhält der Interviewpartner dazu eine Aufforderung und kann die Beantwortung durchführen um Sie dann auch anschließend wieder an den Experten zu retournieren. Dieser prüft die Ergebnisse und kann dann die Überprüfung als abgeschlossen kennzeichnen und somit archivieren. Die Behandlung der Abweichungen aus der Überprüfung ist jederzeit möglich, auch wenn eine Überprüfung bereits abgeschlossen ist.

Eine Überprüfung kann sich in verschiedenen Stati befinden. Sind die Emailbenachrichtigungen im Managementsystem aktiv, werden bei Status wechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde z.b. der Interviewpartner sein, wenn ein Prüfer eine Beantwortung anfordert und die Prüfer falls er die Beantwortung retourniert.

Der Status der Überprüfung kann über den blauen Butten rechts oben gewechselt werden.

Entwurf

• Wird die Überprüfung das erste mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet Sie sich im Status "Entwurf".
• "Entwurf" heißt, dass die Überprüfung noch nicht aktiv ist und vom System noch niemand über die Überprüfung informiert wird / wurde.
• Aus diesem Status kann die Überprüfung aktiviert, also in den Status "In Bearbeitung" gesetzt werden.

In Bearbeitung

• Wird die Überprüfung aktiviert, wird Sie in den Status "In Bearbeitung" versetzt. Dadurch sehen die Interviewpartner und Prüfer diese Überprüfung unter "Meine Aufgaben".
• Jetzt ist es Zeit für den Hauptprüfer die Überprüfung durchzuführen oder eine Beantwortung durch "Beantwortung anfordern" von Interviewpartnern anzufordern. (nur bei Typ Self-Assesment)
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden.
• Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.

Angefordert (nur bei Typ Self-Assesments)

• Wird die Überprüfung durch den Hauptprüfer angefordert, wird Sie in den Status "Angefordert" versetzt. Die Interviewpartner werden jetzt über eine Email aufgefordert die Überprüfung durchzuführen.
• Sie kann durch den Interviewpartner nach Durchführung durch klicken auf "Überprüfung absenden" in den Status "Beantwortet" versetzt werden.

Beantwortet (nur bei Typ Self-Assesments)

• Wird die Überprüfung durch den Interviewpartner durch "Überprüfung absenden" retourniert, wird Sie in den Status "Beantwortet" versetzt. Die Prüfer werden jetzt durch eine Email aufgefordert die Beantwortung zu prüfen.
• Sie kann durch "Beantwortung anfordern" wieder in den Status "Angefordert" versetzt werden und der Interviewpartner muss seine Beantwortung überarbeiten.
• Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden. (Nur die Prüfer werden darüber informiert)
• Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.

Geschlossen

• Wird die Überprüfung durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt, wird die Überprüfung schreibgeschützt und sie kann nicht mehr bearbeitet werden.

Löschen einer Überprüfung

• Durch "Überprüfung Löschen" können Sie Überprüfungen welche noch nicht abgeschlossen sind löschen.
• Achtung: Durch das Löschen werden die durch diese Überprüfung angelegten Prüfobjekte sowie bereits zu Risiken zugewiesene Abweichungen ebenfalls gelöscht!

Der Typ der Überprüfung kann nur im Status "Entwurf" geändert werden.

Wurde also der falsche Typ eingestellt und die Überprüfung aktiviert, muss die Überprüfung zuerst durch "Überprüfung deaktivieren" in den Status "Entwurf" zurückgesetzt werden.

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Prüfobjekte, welche, im Zuge von Überprüfungen, im aktuellen Managementsystem angelegt wurden.

Durch Klicken auf ein Prüfobjekt, öffnet sich die Detailansicht zum Prüfobjekt.

Hier sehen Sie wie das Prüfobjekt beantwortet wurde. Ebenso kann sich, wenn mehrere Versionen des Prüfobjektes vorhanden sind, angesehen werden, wie sich die Beurteilung des Prüfobjektes von einer Version zur nächsten entwickelt hat. Nur die Kopfdaten eines Prüfobjektes sind über diese Maske bearbeitbar. D.h. diese Maske kann nicht zum Beantworten eines Prüfobjektes verwendet werden.

Durch die Umsetzung von Maßnahmen, kann es passieren, dass Prüfobjekte zur Teil-Automatischen Neubewertung vorgeschlagen werden. Dies geschieht immer dann, wenn die Maßnahme entweder im Zuge einer Überprüfung für ein Prüfobjekt angelegt wurde oder mit eienm Prüfobjekt verknüpft wurde, der "nacher" Wert der Schwachstellenreduktion gesetzt wurde und die Maßnahme umgesetzt wird. Wird so eine Maßanhme nun umgesetzt, werden die verknüpften Prüfobjekte mit "Neubewertung empfohlen" markiert.

Damit nicht immer, wenn eine Maßnahme umgesetzt wurde, eine neue Überprüfung durchgeführt werden muss, bietet HITGuard die zusätzliche Möglichkeit eben diese markierten Prüfobjekte einer Teil-Automatischen Neubewertung zu unterziehen. D.h. es wird von HITGUard automatisch ein Update der Abweichung der jeweiligen Prüffragen der Prüfobjekte vorgenommen. Dabei werden die Prüffragen, welche durch die Umsetzung von Maßnahmen betroffen sind auf den "nacher" Wert der Schwachstellenreduktion gesetzt.

Durchführung:

1. Prüfobjekt auswählen.
2. Orangen Pfeil "Teil-Automatische Neubewertung initiieren" klicken.
3. Abweichungen welche zu aktualisieren sind auswählen.
4. Orangen Pfeil "Neubewertung für ausgewählte Abweichungen durchführen" klicken.

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Abweichungen, welche bei der Durchführung von Überprüfungen festgestellt wurden.

Durch die Spalten "Maßnahme fehlt", "Zielwert fehlt", "Zielwert zu niedrig" lässt sich sofort herausfinden, gegen welche Abweichungen noch nichts unternommen bzw. zu wenig unternommen wird. Diese Abweichungen werden im Grid außerdem mit einem Tag versehen. Hat eine Abweichung kein Tag, heißt dass, das versucht wird die Abweichung zu beheben.

Hier haben Sie außerdem die Möglichkeit Abweichungen, welche noch keiner Gefährdungslage zugewiesen wurden, einer Gefährdungslage zuzuweisen.

Durch Doppelklicken auf eine Abweichung öffnet sich die Überprüfung an der Stelle wo die Abweichung festgestellt wurde. Hier können nun Maßnahmen und Kontrollen zur Abweichung festgelegt werden. Mehr dazu unter Prüffragen beantworten.

Was der Zielreifegrad ist und wo er eingestellt wird finden Sie unter Managementsysteme. Überall wo Abweichungen vorkommen, gibt es noch eine zusätzliche Form der Sortierung, die Zielreifegrad-Gewichtung. Z.b. unter "Risikomanagement → Schwachstellen → Abweichungen".

Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Zielreifegrad-Gewichtung. Je größer die Abweichung vom Zielreifegrad und je größer die Gewichtung des Schutzzieles desto größer die Zielreifegrad-Gewichtung: Zielreifegrad-Gewichtung = Abweichungsgrad * Gewichtung des Schutzzieles.

Anmerkung: Eine Beantwortung mit "Nein" entspricht Reifegrad 1, "Teilweise" entspricht Reifegrad 3.

Beispiele zur Veranschaulichung: Gewichtung des Schutzzieles: Mittel (3)

• Reifegrad der Abweichung = 2, Zielreifegrad = 4 => Abweichungsgrad = 2, Zielreifegrad-Gewichtung = 2 * 3 = 6.
• Reifegrad der Abweichung = 4, Zielreifegrad = 4 => Abweichungsgrad = 0, Zielreifegrad-Gewichtung = 0 * 3 = 0.

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Prüffragen / Prüfergebnisse welche, im Zuge einer Überprüfung, mit "Abklärungsbedarf" gekennzeichnet wurden.

Diese Kennzeichnung ist in der Praxis dann notwendig, wenn Sie bei der Beantwortung einer Prüffrage momentan noch nicht abklären können, wie die Frage zu beantworten ist, weil Sie z.B. noch eine andere Person hinzuziehen oder die Information anderweitig nachrecherchieren müssten. Im Anschluss an eine Reihe von Überprüfungen ist es praktisch einfach auswerten zu können, welche Fragen nun tatsächlich noch recherchiert werden müssen. Genau dazu dient die Ansicht „Abklärungsbedarf“.

Wird auf eine Prüffrage/Prüfergebnis geklickt, wird man zu eben dieser weitergeleitet.

Es ist ebenso möglich, eine Auflistung alle abklärungsbedürftigen Prüffragen/Ergebnisse über den Export Button zu exportieren. (neben der Suchleiste) Dadurch erhält man eine einfach verwendbare Auflistung der abklärungsbedürftigen Prüffragen.