Suche aufrufen
Menü aufrufen
47
1330
10
34.806
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Managementsysteme

Aus HITGuard User Guide
Weitere Optionen
Version vom 19. Januar 2021, 11:17 Uhr von FuzzyBot (Diskussion | Beiträge) (Übernehme Bearbeitung einer neuen Version der Quellseite)

Administratoren und Experten können Managementsysteme über "Administration → Managementsysteme" erstellen, bearbeiten und verwalten.
Experten können nur jene Managementsysteme bearbeiten, für die sie verantwortlich sind.

Was ist ein Managementsystem?

Ein Managementsystem ist eine inhaltliche Bündelung von Feststellungen, Fortschrittsmeldungen sowie Kontrollen oder Auditprogrammen (im Risikomanagement).
Dabei werden die Elemente zu einem Team an verantwortlichen Experten und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. dem Information Security Management-Team oder dem Datenschutz-Team). Ebenso werden alle darin verwalteten Elemente, im Sinne der Analysezeiträume, historisiert und dadurch vergleichbar gemacht.

Welchen Zweck erfüllen Managementsysteme?

Managementsysteme haben zwei zentrale Funktionen:
  1. Sie dienen dazu Maßnahmen, Kontrollen oder Risikoidentifikationen ausgewählter Abteilungen, Themenbereichen zuzuteilen und dafür verantwortliche Experten zu definieren. Diese betreuen die Fortschrittserhebung zu den Maßnahmen.
    Beispiel:
    • Informationssicherheitsmanagement Reporting: Maßnahmen aus den Information Security Management Audits werden von Frau XY verwaltet
    • Qualitätsmanagement Reporting: Maßnahmen aus den Qualitätsmanagement Management Audits werden von Herrn Mustermann verwaltet
  2. Sie dienen dazu die Rückmeldungen aus den Fortschrittserhebungen zu den diversen Maßnahmen zeitlichen Perioden zuzuteilen und entsprechende Kennzahlen sowie Trends analysieren zu können.
    Beispiel:
    • Herr Mustermann erhebt halbjährlich Fortschritte über zehn Abteilungen.
    • Frau XY erhebt quartalsweise Fortschritte über zwei Abteilungen.
Das heißt:
  • Maßnahmen zur Risikobehandlung können von Mitarbeitern aus unterschiedlichen Verantwortungsbereichen umgesetzt werden.
    Experten aus den einzelnen Managementsystemen können laufend den Fortschritt der Maßnahmenentwicklungen erheben und über mehrere Analysezeiträume hinweg berichten.
  • Neben den Maßnahmen können für die weitere Risikoüberwachung Kontrollen angelegt werden, die die Wirksamkeit und Nachhaltigkeit von umgesetzten Maßnahmen sicherstellen.
    Kontrollen werden den Mitarbeitern des jeweiligen Verantwortungsbereiches zugewiesen, die in vordefinierten Intervallen an die Durchführung der Kontrolle erinnert werden.
    Die Durchführung dieser - ggf. mit Angabe von Evidenzen – ist darüber nachvollziehbar dokumentiert.

Löschen eines Managementsystems:

  • Das Löschen eines Managementsystems kann nur vom verantwortlichen Experten ausgelöst werden.
  • Es wird das Löschen von Managementsystemen nur dann unterstützt, wenn keine Analysezeiträume enthalten sind.

Stammdaten

In den Stammdaten wird ein Managementsystem konfiguriert.
Die hier getroffenen Einstellungen wirken sich auf die zu erstellenden Maßnahmen und Berichte aus.

Stammdaten bearbeiten:
  • Hier werden der Name, der/die Verantwortliche und die Teammitglieder für ein Managementsystem festgelegt und eingetragen.
    Pro Managementsystem kann es nur einen Verantwortlichen geben.
    Nur Professionals und Experten können für ein Managementsystem verantwortlich sein.
    Managementsysteme sind nach Erstellung nur mehr von der verantwortlichen Person oder den Administratoren bearbeitbar.
Stammdaten bearbeiten

E-Mail Einstellungen:
  • Wird hier eine E-Mail-Einstellung gesetzt, dann werden alle Erinnerungen, die von diesem Managementsystem ausgehen, über diese E-Mail-Adresse versendet.
    Wird hier keine E-Mail-Einstellung konfiguriert, so werden alle Mails von jener Adresse versandt, die in den globalen Einstellungen hinterlegt ist.(siehe Globale Email)
E-Mail Einstellungen

Intervallschema definieren:
Mit dem Intervallschema wird definiert, ob Analysezeiträume einem vorgegebenen Rhythmus folgen sollen.
Analysezeiträume können:
  • Manuelle Anlage: Hier wird die zeitliche Eingrenzung mit einem Von-bis-Datum manuell definiert. Das ist von Anlage zu Anlage individuell.
  • Startdatum plus Intervall: Hier wird ein Jahr in drei Analysezeiträume unterteilt. Begonnen wird beispielsweise mit 1.2. bis 31.5.2017; 1.6. bis 30.09.2017 und 1.10. bis 31.1.2018.
Intervallschema definieren

Optionale Maßnahmeneigenschaften:
Diese Eigenschaften haben Auswirkung auf die Maßnahmenerstellung in den jeweiligen Managementsystemen.
  • Maßnahmen-ID Generierung:
Falls aktiviert, wird bei Neuanlage von Maßnahmen automatisch eine ID vorgeschlagen.
Diese ist abhängig von der gewählten Organisationseinheit und nach dem Schema: [OrgEh-Kürzel]_[Laufende Nummer] aufgebaut. Das heißt: Wenn beispielsweise die letzte angelegte Maßnahme mit der ID ToSec_7 erstellt wurde, dann wäre der Vorschlag für die nächste Maßnahmen-ID ToSec_8.
  • Korrektur- & Verbesserungsmaßnahme:
Falls aktiviert, können Maßnahmen als Korrektur und/oder Verbesserungsmaßnahmen gekennzeichnet werden.
Nach diesen Kennzeichnern kann in der Maßnahmenliste gefiltert werden. Zudem werden sie auf Berichten abgedruckt.
Optionale Maßnahmeneigenschaften

Verwendete Schutzziele:
Werden hier Schutzziele aktiviert, sind diese in der Risikopolitik des Risikomanagements standardmäßig aktiviert.
Das wiederum hat Auswirkungen auf Risikobewertungen und Analysen. Diese Schutzziele sind dann innerhalb des Managementsystems verwendbar.
Schutzziele können von Experten unter "Risikomanagement → Risikopolitik" verwaltet und erstellt werden. (siehe Schutzziele)
Verwendete Schutzziele

Allgemeine Einstellungen:
  • Schadensausmaßklassifikation:
Definieren Sie hier die in diesem Managementsystem verwendete Klassifikation zur Bewertung von potenziellen Schäden. Treffen Sie keine Auswahl, wird die Standard-Schadensausmaßklassifikation verwendet.
Ein Anwendungsfall für eine eigene Schadensausmaßklassifikation wäre z.B. potenzielle Schäden im Datenschutzmanagementsystem aus Sicht des Betroffenen zu bewerten.
Dadurch werden im Risikomanagement-Dashboard, bei Gefährdungslagen und in der Strukturanalyse standardmäßig nur noch Gefährdungslagen und SBA Gewichtungen zur zugehörigen Schadensausmaßklassifikation angezeigt.
  • Data Protector:
Legt fest, ob der Data Protector, also der Datenschutz, für dieses Managementsystem verwendet wird.
Datei:Allgemeine Einstellungen.PNG
Allgemeine Einstellungen

Analysezeitraum und Historie

Zweck

Analysezeiträume dienen dazu im Risikomanagement sowie in der Maßnahmen und Kontrollverwaltung bzw. beim Datenschutz einzelnen Perioden Resultate zuzuordnen und diese auswertbar und vergleichbar zu machen. Dies ermöglicht den Fortschritt von Maßnahmen über mehrere Zeiträume zu verfolgen und zu analysieren.

In einem Managementsystem werden innerhalb eines Analysezeitraums Maßnahmen festgestellt, bearbeitet und umgesetzt.

Für diese Maßnahmen können jederzeit Fortschrittsmeldungen angefordert werden.

Am Ende eines Analysezeitraums muss für jede aktive Maßnahme mindestens eine Fortschrittsmeldung vorhanden sein. Erst dann kann der Analysezeitraum in den nächsten überführt werden. Der Verantwortliche wird vor Redaktionsschluss via E-Mail aufgefordert Fortschrittsmeldungen zu den aktiven Maßnahmen einzuholen.

Wurden alle Fortschrittsmeldungen akzeptiert, kann der Analysezeitraum überführt werden und der Ablauf beginnt von vorne.

Durch Gegenüberstellung der Analysezeiträume am Maßnahmen-Dashboard ist es möglich, den Fortschritt von Maßnahmen nachzuverfolgen.

Analysezeiträume können auf zwei unterschiedliche Weisen angelegt werden.(siehe Intervallschema definieren)

Aktiver Analysezeitraum

Aktiver Analysezeitraum


Redaktionsschluss:
  • Relevant für die Maßnahmen und Kontrollverwaltung.
    Das ist jenes Datum bei dem alle Fortschrittsmeldungen, zu allen Maßnahmen, eines Analysezeitraums abgeschlossen sein sollten.
    Fortschrittsmeldungen können über "Maßnahmen → Fortschrittsmeldungen" auch jederzeit manuell angefordert werden.
Zielreifegrad:
  • Der Zielreifegrad beschreibt den Zielzustand für alle Abweichungsanalysen.
    Wenn Sie bei einer Analyse unter einem Zielreifegrad liegen wird die beantwortete Prüffrage als Abweichung erkannt.
    Die identifizierten Abweichungen sollten im nächsten Schritt Risiken zugeteilt und durch Maßnahmen und Kontrollen behandelt werden.
Enthaltene OrgEhs:
  • Organisationseinheiten sind in den Analysezeiträumen denen sie zugeteilt sind berichtspflichtig.
    Das heißt: Sie müssen zum Redaktionsschluss Fortschrittsmeldungen über die ihnen zugeteilten Maßnahmen abgeben.
    Eine Organisationseinheit kann zeitgleich auch in mehreren Managementsystemen bzw. Analysezeiträumen berichten.
In Nachfolge-Analysezeitraum überführen:
  • Beim Überführen eines Analysezeitraums in den nächsten werden, im Zusammenhang mit der Maßnahmen- und Kontrollverwaltung,
    alle nicht auf Status „erledigt“ befindlichen Maßnahmen in den neuen Analysezeitraum überführt und dem jeweiligen Status entsprechend adaptiert.
    Die erledigten Maßnahmen werden im nächsten Zeitraum nicht mehr weiterverfolgt.

Löschen eines Analysezeitraums

  • Das Löschen eines Analysezeitraums kann nur vom verantwortlichen Experten ausgelöst werden.
  • Es wird das Löschen von Analysezeiträumen nur dann unterstützt, solange noch keine Fortschrittsmeldungen erstellt wurden.
  • Es kann immer nur der aktuelle Analysezeitraum gelöscht aber nicht mehr abgeschlossen werden.


Historie

  • In der Historie werden die Analysezeiträume, die schon abgeschlossen wurden, mit Beginn, Ende und Redaktionsschluss aufgelistet.
Historie


Abgerufen von „https://userguide.hitguard.de/index.php?title=Managementsysteme/de&oldid=8574