Im Zuge von Überprüfungen kann es Unklarheiten bei der Beantwortung von Prüffragen geben. Manchmal tauchen Rückfragen dazu auf, die nicht gleich beantwortet werden können. Diese Prüffragen und auch gesamte Prüfobjekte können mit „Abklärungsbedarf“ markiert werden. Sie sind dann in der Ansicht Risikomanagement > Schwachstellen > Abklärungsbedarf aufgelistet und können strukturiert abgearbeitet werden.

Mehr dazu finden Sie unter Schwachstellen → Abklärungsbedarf.

Eine Abweichung stellt einen Unterschied zum gewünschten Target Score dar, der in einer Abweichungsanalyse oder einem Prüfergebnis erkannt wird. Generell handelt es sich dabei um Untererfüllungen, die dann als Risiken dargestellt oder zu solchen zusammengefasst werden und mit Maßnahmen behandelt und behoben werden können. Auch Übererfüllungen werden erkannt, diese können im Chancenmanagement nützlich sein.

In einer Abweichungsanalyse wird mithilfe eines Assistenten ein Prüffragenkatalog aus einer Wissensdatenbank beantwortet, wodurch Abweichungen vom angestrebten Score erkannt werden. Sie kann als Interview durchgeführt oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Es ist auch möglich, im Rahmen eines Interviews neue Prüfobjekte zu erstellen.

Eine Akte wird für eine oder mehrere eingegangene Meldungen im Fallmanagement erstellt und unterstützt das Support Team dabei, die gemeldeten Probleme zu lösen, Umstände zu klären und Vorfälle zu behandeln. Neben den dazugehörigen Meldungen können auch Überprüfungen, Gefährdungslagen, Maßnahmen und Kontrollen mit der Akte verknüpft werden.

Eine Analysezeitraum dient dazu, verschiedene Elemente eines Managementsystems auswert- und vergleichbar zu machen. Anhand verschiedener KPIs am Dashboard können die Analysezeiträume einander gegenübergestellt und miteinander verglichen werden.

Analysezeiträume werden durch Experts im Managementsystem definiert und manuell oder in festgelegten Intervallen überführt. Jeder Analysezeitraum hat ein Start- und ein Enddatum, einen Target Score und es können die enthaltenen Organisationseinheiten festgelegt werden. Für die Maßnahmenverfolgung wird zusätzlich ein Redaktionsschluss festgelegt, damit Fortschrittsmeldungen zeitgerecht eingeholt werden können.

Mehr zu Analysezeiträumen finden Sie unter Administration → Managementsysteme.

DSFA steht für Datenschutz-Folgenabschätzung. Für eine jede Verarbeitungstätigkeit (VT) muss, laut DSGVO, dokumentiert entschieden werden, ob eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen ist. Dies erfolgt im Zuge einer sogenannten DSFA-Erforderlichkeitsprüfung. Diese DSFA und DSFA-Erforderlichkeitsprüfung kann in HITGuard unter Datenschutz → DSFA durchgeführt werden.

Bei Experten handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

In HITGuard ist es möglich existierende Daten z.B. Gefährdungslagen oder Organisationseinheiten aus anderen Quellen (z.B. SAP) zu importieren. Die ID macht es möglich, Datenstände über Applikationen hin konsistent zu halten. Wird ein Import durchgeführt und die ID des Importdatensatzes stimmt mit einer vorhandenen ID überein, dann wird nicht ein neuer Datensatz importiert, sondern der vorhandene Datensatz mit dem Importdatensatz aktualisiert.

Beispiel: Sie verwenden SAP um Organisationseinheiten zu verwalten und importieren diese monatlich nach HITGuard um alle Änderungen aus SAP in HITGuard mitzunehmen.

Mehr dazu finden Sie unter Administration → Datenimport.

Der Begriff KPI steht für Key-Performance-Indikator bzw. Leistungskennzahl und bezeichnet in der Betriebswirtschaftslehre Kennzahlen, anhand derer der Fortschritt oder der Erfüllungsgrad hinsichtlich wichtiger Zielsetzungen oder kritischer Erfolgsfaktoren innerhalb einer Organisation gemessen und/oder ermittelt werden kann. In HITGuard können KPIs auf Dashboards hinzugefügt werden und dienen dem Überblick und dem Reporting.

LDAP oder Lightweight Directory Access Protocol ist ein Netzwerkprotokollstandard, der in HITGuard zur Authentifizierung von Benutzern verwendet werden kann. Damit können sich Benutzer mit den Anmeldedaten aus Ihrem Authentication Provider anmelden.

Mehr Information darüber finden Sie unter Login Möglichkeiten und unter Globale Einstellungen.

OrgEhs oder Organisationseinheiten bilden den Aufbau eines Unternehmens ab. Ein Unternehmen besteht dabei meist aus mehreren Organisationseinheiten, die sich an den einzelnen Verarbeitungsprozessen beteiligen, die wiederum in einer bis mehreren Organisationseinheiten stattfinden. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT-gestützt unter Verwendung von IT-Systemen. In HITGuard können die in den OrgEhs auftretenden Prozessschritte, die dabei verwendeten Daten und Ressourcen mit der Strukturanalyse abgebildet werden.

Bei Practitionern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Bei Professionals handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

RPO oder Recovery Point Objective gibt an, wie viel Datenverlust in Kauf genommen werden kann. Dabei gibt die RPO den Zeitraum an, der zwischen zwei Datensicherungen liegen darf. Das heißt: Wie viele Daten/Transaktionen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen dürfen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden.

RTO oder Recovery Time Objective gibt an, wie lange ein Geschäftsprozess/System ausfallen darf. Dabei gibt die RTO die Zeit an, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur – Daten – Nacharbeitung von Daten – Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage, in Einzelfällen Wochen, betragen.

Ist eine Überprüfung, Schutzbedarfsanalyse oder Verarbeitungstätigkeit in HITGuard vom Typ Self Assessment, dann heißt das, dass diese Tätigkeit z.B. vom Sachbearbeiter oder Interviewpartner durchzuführen ist. Der Verantwortliche kann dann vom Sachbearbeiter oder Interviewpartner eine Beantwortung der Tätigkeit anfordern. Der Sachbearbeiter oder Interviewpartner beantwortet diese und retourniert sie an den Verantwortlichen. Dieser kann die Beantwortung anschließend prüfen und akzeptieren oder eine neue Beantwortung anfordern.

TOMs sind technische und organisatorische Maßnahmen oder Kontrollen, die für den Umgang mit personenbezogenen Daten verwendet werden.

Nach Art. 32 DSGVO sind Verantwortliche und der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Kriterien, die die TOM erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

Mehr zur Erstellung und Verwendung von TOMs in HITGuard finden Sie unter Datenschutz → TOMs.

VT ist die Abkürzung für Verarbeitungstätigkeit. Eine gesetzliche Definition des Begriffs findet sich in Art. 4 der DSGVO, dort wird der Begriff „Verarbeitung“ wie folgt definiert:

• jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. D.h. jeder Vorgang oder Prozess, der in irgendeiner Form personenbezogene Daten verarbeitet, egal ob sie nur gespeichert oder für Auswertungen verwendet werden, ist eine Verarbeitungstätigkeit.