Abhängigkeiten sind Beziehungen zwischen Strukturelementen (Organisationseinheiten, Prozessen, Ressourcen, Datenkategorien und Lieferanten). Sie zeigen, wie stark Elemente voneinander abhängig sind und welche Risiken für welche Elemente besonders kritisch sind.

Eine Ability to Control ist die Bewertung der Qualität des bereits implementierten Maßnahmen- und Kontrollensets zur Steuerung eines Risikos oder einer Chance. Sie zeigt, wie gut das Unternehmen in der Lage ist, das Risiko durch vorhandene Maßnahmen und Kontrollen zu kontrollieren. Die verfügbaren Bewertungsoptionen für die Ability to Control können in der Risikopolitik konfiguriert werden.

Im Zuge von Überprüfungen kann es Unklarheiten bei der Beantwortung von Prüffragen geben. Manchmal tauchen Rückfragen dazu auf, die nicht gleich beantwortet werden können. Diese Prüffragen und auch gesamte Prüfobjekte können mit „Abklärungsbedarf“ markiert werden. Sie sind dann in der Ansicht Risikomanagement → Schwachstellen → Abklärungsbedarf aufgelistet und können strukturiert abgearbeitet werden.

Mehr dazu finden Sie unter Schwachstellen → Abklärungsbedarf.

Eine Abweichung stellt einen Unterschied zum gewünschten Target Score dar, der in einer Abweichungsanalyse oder einem Prüfergebnis erkannt wird. Der Target Score wird im Mnagementsystem definiert. Generell handelt es sich bei Abweichungen um Untererfüllungen, also negativ beantwortete Prüffragen, die dann als Risiken dargestellt oder zu solchen zusammengefasst werden und mit Maßnahmen behandelt und behoben werden können. Auch Übererfüllungen werden erkannt, diese können im Chancenmanagement nützlich sein.

Mehr zu Abweichungen finden Sie hier.

Eine Abweichungsanalyse, die gängigste Form der Überprüfung in HITGuard, erfasst Abweichungen vom Soll-Zustand. Klassischerweise beantwortet man dabei einen Prüffragenkatalog aus einer Wissensdatenbank, wobei Abweichungen vom angestrebten Target Score erkannt werden. Sie kann als Interview durchgeführt oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden.

Im täglichen Arbeiten spricht man bei Abweichungsanalysen auch manchmal von Schwachstellenanalysen. Mehr zur Abweichungsanalyse finden Sie hier.

Eine Akte wird für eine oder mehrere eingegangene Meldungen im Fallmanagement erstellt und unterstützt das Support Team dabei, die gemeldeten Probleme zu lösen, Umstände zu klären und Vorfälle zu behandeln. Neben den dazugehörigen Meldungen können auch Überprüfungen, Risiken, Maßnahmen und Kontrollen mit der Akte verknüpft werden.

Mehr zu Akten finden Sie hier.

Die Ampelsteuerung in HITGuard zeigt den Status einer Maßnahme anhand von Farben an, um Fristen und Analysezeiträume visuell darzustellen.

Mehr zur Ampelsteuerung finden Sie hier.

Eine Analysezeitraum teilt die Daten eines Managementsystems in zeitliche Perioden ein. Das dient dazu, verschiedene Elemente eines Managementsystems auswert- und vergleichbar zu machen. Anhand verschiedener KPIs am Dashboard können die Analysezeiträume einander gegenübergestellt und miteinander verglichen werden.

Analysezeiträume werden durch Experts im Managementsystem definiert und manuell oder in festgelegten Intervallen überführt. Jeder Analysezeitraum hat ein Start- und ein Enddatum, einen Target Score und es können die enthaltenen Organisationseinheiten festgelegt werden. Für die Maßnahmenverfolgung wird zusätzlich ein Redaktionsschluss festgelegt, damit Fortschrittsmeldungen zeitgerecht eingeholt werden können.

Mehr zu Analysezeiträumen finden Sie unter Administration → Managementsysteme.

In HITGuard werden zwei Funktionen als „Änderungsprotokoll“ bezeichnet:

1. Änderungsprotokolle von Überprüfungen verfolgen die Veränderungen im Status der Überprüfung. Dabei werden Datum und Zeit, sowie der verantwortliche Benutzer aufgezeichnet.
2. Änderungsprotokolle von Kontrollen verfolgen die Entwicklungen von Kontrollen mit noch mehr Detail. Jeder Schritt des Kontrollen-Workflows, inklusive Änderungen von Text in Eingabefeldern werden mit Zeitstempel aufgezeichnet. Auch wenn der Expert im Nachhinein Änderungen beispielsweise am Status vornimmt, wird dies mit aufgezeichnet.

An vielen Elementen in HITGuard (Prüffragen, Maßnahmen, Kontrollen etc.) können Sie Anhänge hochladen. Sie können diese unter „Hochgeladene Anhänge“ verwalten, entweder im lizensierten Doku-Management oder als Experte unter Administration.

Ein Audit ist eine Ansammlung an Überprüfungen (Gesprächstermine, Interviews) zu einem bestimmten Themenblock. Das könnte beispielsweise die Befragung zum Arbeitsschutz mehrerer Standorte in einem Land sein. Mehrere Audits können zu einem Auditprogramm zusammengefasst werden.

Zur vereinfachten Planung von Auditprogrammen und Audits können Organisationseinheiten, die thematisch oder regional beieinander liegen und daher gemeinsam oft gemeinsam auditiert werden, in Clustern zusammengefasst werden.

Mehr zu Auditclustern finden Sie unter Auditmanagement → Auditcluster.

Der Auditplaner ist ein Werkzeug zur Planung und Verwaltung von Audits. Mit dem Auditplaner können Sie Überprüfungen in einem Audit erstellen, mit Prüfobjekten befüllen und Neubewertungen einleiten.

Mehr zum Auditplaner finden Sie hier.

Ein Auditprogramm ist eine Ansammlung an Audits zu einem bestimmten Themenblock. Ein Auditprogramm könnte beispielsweise alle Überwachungsaudits einer ISO 27001-Zertifizierung in einem Jahr beinhalten.

Eine Bedrohung ist ein Element, das die Ursache einer möglichen Gefährdung darstellt. Bedrohungen können mit Abweichungen und Risiken verknüpft werden und sollen diese dadurch konkretisieren.

Mehr zu Bedrohungen finden Sie hier.

Begleiter unterstützen externe Lead-Auditoren in der Durchführung von Überprüfungen.

Bei Beobachtern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Das Betreuungsteam ist das Team, das im Fallmanagement für eingehende Meldungen zuständig ist.

Mehr zum Betreuungsteam finden Sie hier.

Die Betroffenenkategorien sind Kategorien der von der Datenverarbeitung betroffenen Personen. Sie werden in HITGuard erfasst und dann im Zuge von Verarbeitungstätigkeiten mit Datenkategorien verknüpft.

Mehr zu Betroffenenkategorien finden Sie hier.

Die Strategie ist neben Eintrittswahrscheinlichkeit und Schadensausmaß die wichtigste Eigenschaft von Risiken und Chancen. Risiken werden mit Bewältigungsstrategien reduziert, während das positive Potenzial von Chancen mit Behandlungsstrategien vergrößert wird.

Mehr zu Risiken und Chancen finden Sie hier.

Beziehungen sind Verknüpfungen zwischen Organisationseinheiten, Prozessen, Ressourcen, Datenkategorien und Lieferanten, die in der Strukturanalyse dargestellt werden. Sie können hierarchische Beziehungen oder Abhängigkeitsbeziehungen darstellen. Beziehungen werden manuell oder durch eine Schutzbedarfsanalyse erstellt.

Mehr zu Beziehungen finden Sie hier.

Das Bruttorisiko ist die Bewertung eines Risikos bei seiner ursprünglichen Entdeckung, bevor man es mit Maßnahmen und Kontrollen behandelt und hoffentlich reduziert hat.

Mehr zu Risiken und Chancen finden Sie hier.

Ein Business Service ist eine Ressource, die unterschiedliche Anwendungen zusammenfasst, die ähnlichen Zwecken dienen. Beispiel: Anstatt E-Mail, Telefon, und MS Teams einzeln zu bewerten und zu besprechen, kann man ein Business Service „Kommunikationsdienste“ schaffen und dieses als Konglomerat bewerten.

Eine Chance kann eine Sammlung aus positiven Abweichungen sein, die eine Gelegenheit darstellen oder ein konkretes Potenzial für die verknüpften Entitäten bilden. Chancen können unter Risikomanagement > Risiken & Chancen eingesehen und bearbeitet werden. Sie können sich in verschiedenen Status befinden und werden mit Maßnahmen und Kontrollen behandelt. Eine Reihe an KPIs liefern weitere Auskunft über den Zustand der Chancen.

Mehr zu Risiken und Chancen finden Sie hier.

Co-Auditoren unterstützen interne Lead-Auditoren in der Durchführung von Überprüfungen.

Beim Compliance Manager handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Ein Dashboard in HITGuard ist eine konfigurierbare Seite mit einer oder mehreren Kennzahlen, die man für Auswertungen und Reporting verwenden kann.

Mehr zu Dashboards finden Sie hier.

Datenkategorien sind Stammdaten. Sie werden verwendet, um Daten für die Verwendung in HITGuard zu kategorisieren. Beispielsweise gibt es eine Datenkategorie Mitarbeiterdaten, die als Unterkategorie Kontaktdaten, Bankdaten oder Vertragsdaten des Mitarbeiters anführt. Zu den Datenkategorien können Sie in der Strukturanalyse sehen, in welchen Applikationen, über welche Verarbeitungstätigkeiten und in welchen Fachbereichen sie verarbeitet werden.

Mehr zu Datenkategorien finden Sie hier.

Die Datenklassifikation kennzeichnet die Vertraulichkeit der Daten und gibt vor, wie Daten zu handhaben sind. Dies richtet sich nach der Vertraulichkeit der Daten und dem damit einhergehenden erwünschtem Schutzniveau. Die Anzahl der Kategorien, der Name der Datenklasse sowie deren Beschreibung sind unter Risikomanagement > Risikopolitik frei definierbar.

DSFA steht für Datenschutz-Folgenabschätzung. Für eine jede Verarbeitungstätigkeit (VT) muss, laut DSGVO, dokumentiert entschieden werden, ob eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen ist. Dies erfolgt im Zuge einer sogenannten DSFA-Erforderlichkeitsprüfung. Diese DSFA und DSFA-Erforderlichkeitsprüfung kann in HITGuard unter Datenschutz → DSFA durchgeführt werden.

Die Eintrittswahrscheinlichkeit bezeichnet die geschätzte Wahrscheinlichkeit für das Eintreten eines bestimmten Ereignisses in einem bestimmten zukünftigen Zeitraum (z.B. ein Mal in 30 Jahren). Klassen an Eintrittswahrscheinlichkeiten können in der Risikopolitik definiert werden. Die Anzahl der Kategorien, der Name der Eintrittswahrscheinlichkeitsklassen sowie deren Beschreibung und hinterlegte Eintrittswahrscheinlichkeiten (in Häufigkeit je Zeitraum) ist dabei frei konfigurierbar.

Mehr zu Risiken und Chancen finden Sie hier.

Die Erforderlichkeitsprüfung ist der Schritt zur Erkenntnis, ob für die zugeordneten Verarbeitungstätigkeiten eine DSFA durchgeführt werden muss.

In Maßnahmen muss festgehalten werden, wann die Notwendigkeit der Umsetzung erkannt wurde. Dieses Feld ist daher ein Pflichtfeld.

In Maßnahmen kann festgehalten werden, anhand welchen Ereignisses die Notwendigkeit der Maßnahmenumsetzung erkannt wurde. Werden Maßnahmen aus einem Risiko oder aus einer Überprüfung heraus erstellt, ist dieses Feld mit dessen Bezeichnung vorbesetzt.

Bei Erstbewertungen wird eine Überprüfung (eine Schutzbedarfs- oder Abweichungsanalyse) zum ersten Mal durchgeführt. Die Ergebnisse können danach für die Weiterarbeit oder Auswertung in HITGuard verwendet werden.

Bei Experten handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Externe im Kontext des Datenschutzes sind betriebsfremde juristische oder natürliche Personen, also Unternehmen oder Einzelpersonen, die personenbezogene Daten von Ihrem Unternehmen erhalten bzw. an Ihr Unternehmen übermitteln. Externe können unter Datenschutz > Externe erfasst werden.

Mehr zu Externen im Datenschutz hier.

Externe Auditoren sind Lead Auditoren, die nicht aus der Organisation kommen und daher auch keinen eigenen HITGuard Zugang haben. Sie sollten daher Audits immmer in Begleitung durchführen. Sie können unter Auditmanagement > Externe Auditoren erfasst und dann in Audits und Überprüfungen als Lead-Auditoren eingetragen werden. Externe Auditoren können Personen oder Unternehmen sein.

In den Einstellungen des Auditmanagement kann das Erfassen von Feststellungsarten aktiviert werden. Dann stehen bei Beantwortungen in Überprüfungen folgende Zusätze zur Verfügung: Hauptabweichung, Nebenabweichung, Hinweis, Empfehlung, Vorbildliche Umsetzung. Diese können in KPIs und Berichten besonders hervorgehoben werden.

Eine Fortschrittsmeldung ist eine Meldung vom Verantwortlichen einer Maßnahme an den oder die Verantwortlichen eines Managementsystems, wie der aktuelle Status einer Maßnahme ist. Fortschrittsmeldungen werden in der Regel angefordert, können aber unter Umständen auch proaktiv eingemeldet werden.

Mehr zu Fortschrittsmeldungen finden Sie hier.

Funktionen können im Auditmanagement dazu verwendet werden, mehr Information zu Überprüfungen darzustellen. So kann ein einzelner User beispielsweise durch die Brille eines Teamleiters oder eines Facility Managers befragt werden.

Mehr zu Funktionen finden Sie hier.

Die Globalen Einstellungen enthalten Konfigurationsmöglichkeiten, die sich auf das gesamte Produktivsystem und alle Managementsysteme auswirken.

Mehr zu den Globalen Einstellungen finden Sie hier.

In HITGuard ist es möglich existierende Daten z.B. Risiken oder Organisationseinheiten aus anderen Quellen (z.B. SAP) zu importieren. Die ID macht es möglich, Datenstände über Applikationen hin konsistent zu halten. Wird ein Import durchgeführt und die ID des Importdatensatzes stimmt mit einer vorhandenen ID überein, dann wird nicht ein neuer Datensatz importiert, sondern der vorhandene Datensatz mit dem Importdatensatz aktualisiert.

Beispiel: Sie verwenden SAP um Organisationseinheiten zu verwalten und importieren diese monatlich nach HITGuard um alle Änderungen aus SAP in HITGuard mitzunehmen.

Mehr dazu finden Sie unter Administration → Datenimport.

Eine Informationserhebung ist eine Prüffrage in einer Wissensdatenbank, die keine Bewertung hat. Hier können Informationen erhoben werden, z.B. Mitarbeiterzahlen oder Vorgabedokumente.

Ist eine Überprüfung oder Schutzbedarfsanalyse in HITGuard vom Typ Interview, dann heißt das, dass diese Tätigkeit nicht vom Interviewpartner durchzuführen ist. Der Lead-Auditor und etwaige Co-Auditoren/Begleiter führen die Überprüfung gemeinsam mit dem Verantwortlichen und/oder Interviewpartner als Interview durch und füllen alle Formulare selbst aus.

Der Interviewpartner ist die Person, die die Informationen im Rahmen einer Überprüfung liefert. Im Fall einer Abweichungsanalyse beantwortet der Interviewpartner die Prüffragen. Im Fall der Schutzbedarfsanalyse gibt der Interviewpartner Auskunft über die Ressourcen und Datenkategorien, die eine OrgEh oder ein Prozess nutzen. Beide Arten von Überprüfungen können als Interview oder als Self Assessment durchgeführt werden.

Eine Kante ist eine Verbindungslinie zwischen zwei Entitäten in der Strukturanalyse. Sie zeigt, ob eine Abhängigkeitsbeziehung besteht, in welche Richtung die Abhängigkeit läuft (Pfeilrichtung, wer hängt von wem ab) und mit welchem Prozentsatz bezüglich der Schutzziele die Abhängigkeit gewichtet ist.

Mehr zu Kanten und ihrer Verwendung finden Sie hier.

Kontrolldefinitionen sind die Grundlage von Kontrollen in HITGuard. Sie werden von Experten oder Professionals angelegt und mit Stammdaten, Umsetzern und Prüfern und einem Wiederholungsschema versehen.

Kontrollen sind die wiederkehrenden Aufgaben, die aufgrund von Kontrolldefinitionen ausgelöst werden.

Der Begriff KPI steht für Key-Performance-Indikator bzw. Leistungskennzahl und bezeichnet in der Betriebswirtschaftslehre Kennzahlen, anhand derer der Fortschritt oder der Erfüllungsgrad hinsichtlich wichtiger Zielsetzungen oder kritischer Erfolgsfaktoren innerhalb einer Organisation gemessen und/oder ermittelt werden kann. In HITGuard können KPIs auf Dashboards hinzugefügt werden und dienen dem Überblick und dem Reporting.

Mehr zu Dashboards finden Sie hier.

LDAP oder Lightweight Directory Access Protocol ist ein Netzwerkprotokollstandard, der in HITGuard zur Authentifizierung von Benutzern verwendet werden kann. Damit können sich Benutzer mit den Anmeldedaten aus Ihrem Authentication Provider anmelden.

Mehr Information darüber finden Sie unter Login Möglichkeiten und unter Globale Einstellungen.

Der Lead-Auditor ist der federführende Auditor bei den dazugehörigen Überprüfungen. Er oder sie leitet die Interviews mit den Interviewpartnern und wird dabei von Co-Auditoren oder Begleitern unterstützt. Erstellen Sie eine Überprüfung, wird Ihr Benutzer automatisch als Lead-Auditor eingetragen, kann aber geändert werden.

Ein Lieferant ist eine Art von Stammdatum in HITGuard. Sie repräsentieren Unternehmen oder Organisationen, die Inputgüter oder Ressourcen, beispielsweise Anwendungen, zur Verfügung stellen. Sie können diese Stammdaten nur mit dem Supplier Risk Management Add-on nutzen.

Mehr zu Lieferanten finden Sie hier.

Lieferantenbenutzer stellen die Ansprechpersonen in den Lieferantenorganisationen dar. Mit dem Supplier Risk Management Add-on können Sie diese Lieferantenbenutzer anlegen, damit sich die Ansprechpersonen im Lieferantenportal anmelden können, um die Lieferantenüberprüfungen zu beantworten, die Sie ihnen zukommen lassen.

Die Lieferantenbewertung ist eine spezielle Form der Schwachstellenanalyse, die man mit dem Supplier Risk Management Add-on nutzen kann. Damit können Sie eine Überprüfung an Ihre Lieferanten schicken, die diese über ein eigenes Portal beantworten.

Mehr zu Lieferanten finden Sie hier.

Ist das Auditmanagement für ein Managementsystem aktiviert, kann man uner Administration > Organisationseinheiten den Lokalen Managementbeauftragten konfigurieren. Der LMB ist der Auditkoordinator und Ansprechpartner, der für jede OrgEh vom Typ Gesellschaft festgelegt werden sollte.

Ein Managementsystem ist eine inhaltliche Bündelung von Elementen, also Maßnahmen und Fortschrittsmeldungen, Kontrollen, Feststellungen und Abweichungen, Audits und Überprüfungen etc.

Dabei werden die Elemente zu einem Team an verantwortlichen Experten und Professionals im Sinne der Überwachung bzw. des Workflow-Handlings zugewiesen (z.B. dem Information Security Management-Team oder dem Datenschutz-Team). Ebenso werden alle darin verwalteten Elemente im Sinne der Analysezeiträume historisiert und dadurch vergleichbar gemacht.

Eine Maßnahme ist eine einmalige Aufgabe in HITGuard, die einem Verantwortlichen zur Umsetzung zugeteilt wird. Der Fortschritt kann regelmäßig erhoben werden, um die Umsetzung nachverfolgen zu können. Maßnahmen helfen beispielsweise dabei, in ihrem Managementsystem Risiken zu reduzieren und entdeckte Schwachstellen zu korrigieren.

In HITGuard können Hinweisgeber Vorfälle melden oder Mitarbeiter und andere Stakeholder Fragen stellen. Dafür gibt es ein eigenes Portal, das aktiviert werden kann, um Meldungen abzugeben. Meldungen werden an die Mitarbeiter des Managementsystems gesendet, damit diese sie beantworten und bearbeiten können oder Rückfragen stellen. Meldungen können je nach Einstellung offen oder anonym sein.

Mehr zu Meldungen finden Sie hier.

Modellsegmente stellen unterschiedliche Arten von Ressourcen dar. In der Strukturanalyse kann man Modellsegmente getrennt ein- und ausblenden, um die Auswertung unterschiedlich zu gestalten. Die Anwendungsebene und die Business Service Ebene repräsentieren Ressourcen, die direkt von den Teilen der Organisation verwendet werden. Die IT-Infrastruktur repräsentiert die darunterliegenden Server und Datenbanken. OT-Infrastruktur steht für Produktionsmaschinerie, Physische Sicherheit z.B. für Gebäude oder Serverräume. Die Prozessebene sammelt weitere Ressourcen, die nicht den anderen Kategorien entsprechen.

Das Nettorisiko ist die erwartete Bewertung des Risikos, nachdem alle zukünftig geplanten Maßnahmen und Kontrollen realisiert wurden. Es stellt einen Erwartungswert für die Zukunft dar und teilt sich in Best Case, Most Likely Case und Worst Case.

Mehr zu Risiken und Chancen finden Sie hier.

Bei Neubewertungen wird eine Überprüfung (eine Schutzbedarfs- oder Abweichungsanalyse) erneut durchgeführt, um die Ergebnisse der vorangehenden Analyse zu aktualisieren. Dafür wird einen neue Überprüfung erstellt, in der auch die vorherigen Ergebnisse übernommen werden können. Dies passiert entweder manuell oder durch den Workflowplan. Bei der Abweichungsanalyse hat man außerdem noch die Möglichkeit, eine teil-automatische Neubewertung durchzuführen.

Norm-Mappings sind Referenzen auf Kapitel von Standards und Normen, die für die Auswertung dieser verwendet werden. Man kann beispielsweise Maßnahmen, Kontrolldefinitionen, Prüfobjekte oder auch Dokumente mit Standards und Normen in Beziehung setzen. Es gibt in HITGuard auch Mappings zwischen einzelnen Standards und Normen, um diese gegeneinander auswerten zu können. Anhand von Norm-Mappings wird dokumentiert, welche regulatorischen Anforderungen oder Compliance-Vorgaben durch das jeweilige Objekt abgedeckt werden. Das Mapping kann beim Erstellen eines Objekts manuell erfolgen oder automatisch übernommen werden, wenn beispielsweise eine Maßnahme aus einem Risiko erstellt wird.

OrgEhs oder Organisationseinheiten bilden den Aufbau eines Unternehmens ab. Sie gehören zu den Stammdaten. Ein Unternehmen besteht dabei meist aus mehreren Organisationseinheiten, die sich an den einzelnen Verarbeitungsprozessen beteiligen, die wiederum in einer bis mehreren Organisationseinheiten stattfinden. Das Erstellen und Verarbeiten von Daten erfolgt in diesen Organisationseinheiten während der einzelnen Prozessschritte überwiegend IT-gestützt unter Verwendung von IT-Systemen. In HITGuard können die Beziehungen zwischen OrgEhs und anderen Stammdaten mit der Strukturanalyse abgebildet werden.

Die Parteilichkeit zeigt, ob es sich bei einem Audit um ein internes oder ein externes Audit handelt.

Bei Practitionern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie hier.

Bei Professionals handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie hier.

Ein Prozess ist eine Reihe von verbundenen Aktivitäten, die Inputs in Outputs umwandeln. Ein Prozess kann gekapselt und Teil eines anderen Prozesses sein und/oder andere Prozesse enthalten bzw. diese anstoßen. Prozesse gehen oft über Abteilungs- und Betriebsgrenzen hinweg und gehören zur Ablauforganisation eines Betriebs.

Prozessfragen sind Prüffragen in Wissensdatenbanken, die mit einem Reifegrad nach dem CMMI-Modell beantwortet werden (Reifegrad 0 bis Reifegrad 5).

Der Prüfer ist in HITGuard der Benutzer, der die Durchführung einer Kontrolle überprüft.

Mehr zu Kontrollen finden Sie hier.

Das Prüfergebnis ist neben der Abweichungsanalyse eine Form der Schwachstellenanalyse. Mit einem freien Prüfergebnis werden beispielsweise die Inhalte eines externen Berichts oder Audits als Schwachstellenanalyse dokumentiert. So können Sie die erkannten Schwachstellen in HITGuard abbilden und damit weiterarbeiten, auch wenn Sie keine Wissensdatenbank haben, die hier als Vorlage dient.

Eine Prüffrage ist eine einzelne Frage in einer Überprüfung. Sie dient dazu, den Zustand eines kleinen, abgegrenzten Themenbereiches zu erfassen. Sie stammt meist aus einer Wissensdatenbank oder einer Vorlage und wird vom Auditor oder Interviewpartner beantwortet, um Abweichungen vom Soll-Zustand festzustellen. Die Antworten auf Prüffragen bilden die Grundlage für die Identifikation von Schwachstellen, die später Risiken, Maßnahmen oder Kontrollen zugeordnet werden können.

Prüfobjekte sind Ansammlungen von Prüffragen, die entweder frei erstellt werden können (Prüfergebnis) oder von Themen aus Wissensdatenbanken kommen (Abweichungsanalyse). Prüfobjekte werden bewertet, indem Prüffragen beantwortet und diese Antworten zu einem Durchschnittswert zusammengerecht werden. Durch Neubewertungen entsteht eine Historie des Prüfobjekts, in der man die Entwicklung des Prüfobjekts nachverfolgen kann.

Das Prüfverhalten legt fest, wie entschieden wird, ob eine Kontrolle als erfolgreich durchgeführt gilt, wenn mehrere Prüfer beteiligt sind. Das Prüfverhalten kann in der Kontrolldefinition konfiguriert werden.

Mehr zu Kontrolldefinitionen finden Sie hier.

Der Redaktionsschluss ist jenes Datum, bei dem alle Fortschrittsmeldungen zu den Maßnahmen eines Analysezeitraums abgeschlossen sein sollten. Sie können dieses Rückmeldedatum im Managementsystem konfigurieren. Es muss vor oder am Datum des Analysezeitraumende liegen.

Ressourcen gehören zu den Stammdaten. Sie stellen IT- oder OT-Systeme, Personen, Gebäude oder andere Entitäten dar, die für die Durchführung von Prozessen oder für die Funktionalität einer Organisationseinheit benötigt werden. HITGuard bietet über die Strukturanalyse die Möglichkeit Ressourcenstrukturen abzubilden und deren Auswirkungen und Abhängigkeiten auf andere Systeme grafisch darzustellen.

Bei der Datenimport/-export Schnittstelle von HITGuard handelt es sich um eine REST Schnittstelle, die sich an die OpenAPI 3.0 Spezifikation hält. Es handelt sich dabei also um eine Schnittstelle, die von Applikationen angesprochen werden kann. Mit dieser Schnittstelle können Sie diverse Systeme mit HITGuard interagieren lassen und beispielsweise Informationen importieren.

Mehr zur REST API finden Sie hier.

Es gibt beim Generieren von Berichten auch die Option, die Berichte mit Revisionsinformationen zu generieren und zu archivieren. Dadurch kann der Bericht jederzeit von Experten unter Administration > Berichtsarchiv eingesehen, neu generiert sowie erneut heruntergeladen werden. Erstellt man den Bericht mit Revisionsinformation, so kann man den Titel für das Deckblatt des Berichts editieren und weitere Informationen festhalten. Dazu gehören Datenklassifikation, Copyright, Revisionsnummer, Revisionsdatum und diverse Namen und Daten.

Ein Risiko kann eine Sammlung aus negativen Abweichungen sein, die eine konkrete Gefahr für die Organisation bilden. Risiken können unter Risikomanagement > Risiken & Chancen eingesehen und bearbeitet werden. Sie können sich in verschiedenen Status befinden, werden mit Stammdaten in der Strukturanalyse in Verbindung gesetzt und werden mit Maßnahmen und Kontrollen behandelt. Eine Reihe an KPIs liefern weitere Auskunft über den Zustand der Risiken.

Mehr zu Risiken und Chancen finden Sie hier.

Die Risikokennzahl sagt aus, wie schwerwiegend ein Risiko oder wie gut eine Chance ist. Sie wird kalkuliert, indem der Risikofaktor der Eintrittswahrscheinlichkeit und der Risikofaktor des Schadensausmaßes/Nutzens multipliziert werden. Anhand der Risikokennzahl wird das Risiko bzw. wird die Chance in der Risikomatrix platziert und eingefärbt.

Mehr zu Risiken und Chancen finden Sie hier.

Die Risikomatrix ergibt sich - für jede Schutzbedarfsklasse - aus der Kombination von Schadensausmaß oder Nutzen (vertikal) und Eintrittswahrscheinlichkeit (horizontal). In der Matrix werden die jeweiligen Risikofaktoren multipliziert um die Risikokennzahl zu erhalten. Je größer die Risikokennzahl desto kritischer ist ein Risiko und umso dringender muss es behandelt werden um schwerwiegende Folgen zu verhindern. Man kann die Risikomatrix auch für das Chancenmanagement verwenden. Dabei wird die Achse der Schadensausmaße um Nutzenkategorien erweitert. Je höher der Chancenfaktor (also je weiter weg von Null) desto größer ist eine Chance und umso eher sollte sie ausgenutzt werden, um daraus zu gewinnen.

Mehr zu Risiken und Chancen finden Sie hier.

Die Risikopolitik ist ein Konglomerat aus Einstellungen für das Risikomanagement in HITGuard. Dazu gehören beispielsweise die Schutzziele, Schadensausmaße, Eintrittswahrscheinlichkeiten oder auch die Risikomatrix. Unter Risikomanagement → Risikopolitik können diese und mehr Faktoren für alle Managementsysteme konfiguriert werden, um den maximalen Nutzen aus den verschiedenen Analysen und Workflows im Risikomanagement ziehen zu können.

Mehr zur Risikopolitik finden Sie hier.

RPO oder Recovery Point Objective gibt an, wie viel Datenverlust in Kauf genommen werden kann. Dabei gibt die RPO den Zeitraum an, der zwischen zwei Datensicherungen liegen darf. Das heißt: Wie viele Daten/Transaktionen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen dürfen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden. RPO wird mit der Strukturanalyse ausgewertet.

RTO oder Recovery Time Objective gibt an, wie lange ein Geschäftsprozess/System ausfallen darf. Dabei gibt die RTO die Zeit an, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur – Daten – Nacharbeitung von Daten – Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage, in Einzelfällen Wochen, betragen. RTO wird mit der Strukturanalyse ausgewertet.

Der Sachbearbeiter ist jener Benutzer, dem vom Verantwortlichen die Bearbeitung einer Aufgabe in den verschiedenen Modulen HITGuards zugewiesen wird. Für viele Elemente, wie Risiken oder Verarbeitungstätigkeiten, werden sowohl Verantwortlicher wie auch Sachbearbeiter festgelegt, um Arbeit delegieren zu können.

Eine Schutzbedarfsanalyse, auch Business Impact Analyse (BIA) genannt, ermittelt wie kritisch Ressourcen oder Datenkategorien für die Organisation sind. Sie bewertet, wie kritisch diese Elemente für Organisationseinheiten oder Prozesse sind, und legt fest, welche Schutzziele (z.B. Vertraulichkeit, Integrität, Verfügbarkeit) in welchem Ausmaß betroffen sind. Die Ergebnisse bilden die Grundlage für die Strukturanalyse, um Abhängigkeiten und Risiken zu erkennen und geeignete Maßnahmen und Kontrollen abzuleiten.

Mehr zu Schutzbedarfsanalysen finden Sie hier.

Schutzziele sind grundlegende Sicherheitsziele, die definieren, hinsichtlich welcher Gesichtspunkte das Managementsystem orientiert werden soll. Sie geben vor, welche Eigenschaften einer Information oder eines Systems besonders geschützt werden müssen, um Risiken zu minimieren.

Diese Schutzziele werden in der Schutzbedarfsanalyse bewertet und mit Gewichtungen versehen, um die Kritikalität für die Organisation zu bestimmen. Sie fließen in die Risikobewertung und die Ableitung von Maßnahmen und Kontrollen ein.

Mehr zu Schutzzielen finden Sie hier.

Die Schwachstellenanalyse ist eine Überprüfung. Gängigerweise handelt es sich dabei um eine Abweichungsanalyse.

Ist eine Überprüfung, Schutzbedarfsanalyse oder Verarbeitungstätigkeit in HITGuard vom Typ Self Assessment, dann heißt das, dass diese Tätigkeit z.B. vom Sachbearbeiter oder Interviewpartner durchzuführen ist. Der verantwortliche Expert- oder Professional-Benutzer kann dann vom Sachbearbeiter oder Interviewpartner eine Beantwortung der Tätigkeit anfordern. Der Sachbearbeiter oder Interviewpartner beantwortet diese und retourniert sie an den Verantwortlichen. Dieser kann die Beantwortung anschließend prüfen und akzeptieren oder eine neue Beantwortung anfordern.

Stammdaten haben zwei Bedeutungen in HITGuard:

1. Stammdaten sind die Daten, die Ihre Organisation und ihr Umfeld darstellen. Konkret sind das die Organisationseinheiten, Ressourcen, Prozesse, Datenkategorien und Lieferanten. Expert-Benutzer können sie im Modul „Administration“ pflegen. Die Stammdaten werden in der Strukturanalyse als Objekte, die miteinander in Beziehung stehen, dargestellt.
2. Stammdaten sind die Kopfdaten unterschiedlicher Elemente. Das sind jeweils die zentralen Eingabefelder, wie Bezeichnung, Beschreibung, Grundeinstellungen oder die Verknüpfung zu anderen Daten.

Die Strukturanalyse ist die zentrale Darstellung aller Beziehungen zwischen Organisationseinheiten, Prozessen, Ressourcen, Daten und Lieferanten. Sie verknüpft die Ergebnisse aus Schutzbedarfsanalysen und Schwachstellenanalysen, sodass Abhängigkeiten und Risiken transparent werden. Durch diese Vernetzung erkennt man, wie sich Risiken entlang der Struktur auswirken, und wo Maßnahmen und Kontrollen notwendig sind, um Sicherheit und Compliance im gesamten Unternehmen zu gewährleisten.

In Wissensdatenbanken können Prüffragen als Strukturfragen hinterlegt werden. Sie steuern dann, ob andere Prüffragen, die „darunterhängen“, eingeblendet werden oder nicht. Ihre Antwort ist nicht Teil der Berechnung des Scores. Sie definieren lediglich, ob und welche Teilfragen dann beantwortet werden sollen. Dies kann zum Beispiel der Fall sein, wenn gewisse Fragen nur bei Standorten ab einer gewissen Größe zu beantworten sind.

Target Score Der Target Score ist der definierte Sollwert, der den gewünschten Zielzustand für die Bewertung von Prüffragen oder Prüfergebnissen vorgibt. Er dient als Referenzpunkt, um Abweichungen vom Idealzustand zu erkennen. Jede Antwort auf eine Prüffrage wird mit dem Target Score verglichen. Liegt der Antwortwert unter oder auch über dem Target Score, gilt die Prüffrage als Abweichung. (Die Antworten „Ja“ „Nein“ und „Teilweise“ werden hierfür in Zahlenwerte übersetzt.) Sie können den Target Score im Managementsystem festlegen.

Teams bestehen aus mindestens einem Mitglied und sind für die Umsetzung der Ihnen zugeteilten Aufgaben (Maßnahmen, Kontrollen, Audits, Business Impact Analysen, etc.) verantwortlich. Die Mitglieder eines Teams sind für die Bearbeitung der ihnen zugewiesenen Aufgaben verantwortlich und bekommen per E-Mail die Aufforderung, diese Aufgaben umzusetzen.

Der Teamleiter hat nur die Aufgabe, einen Überblick über sein Team zu haben. Er kann sehen, welche Aufgaben seinem Team zugeteilt sind, ist aber nicht für die Umsetzung (außer er ist auch Mitglied) dieser Aufgaben verantwortlich. Er erhält deshalb auch keine E-Mails, die ihn auffordern eine Aufgabe umzusetzen. Er kann aber, falls nötig, die Aufgaben dennoch umsetzen. Teamleiter werden nur bei Überschreitung der Deadline z.B. von Kontrollen oder Fortschrittsmeldungen informiert.

Mehr zum Team finden Sie hier.

Technikfragen sind Prüffragen in Wissensdatenbanken, die mit Ja, Nein oder Teilweise beantwortet werden.

Die teil-automatische Neubewertung aktualisiert Prüffragen, wenn eine verknüpfte Maßnahme umgesetzt wurde und ein Nachher-Wert für die Abweichung hinterlegt wurde. HITGuard erstellt dafür eine neue Überprüfung und setzt die relevanten Prüffragen auf den definierten Nachher-Wert.

Mehr zur teil-automatischen Neubewertung finden Sie hier.

Jede Strukturfrage einer Wissensdatenbank kann Teilfragen haben. Im Gegensatz zur Strukturfrage fließen diese in die Berechnung des Scores ein. Es ist möglich, die Antworten abhängig von der Antwort auf die Strukturfrage zu definieren.

Eine Themensammlung im Auditmanagement erlaubt es Ihnen, unterschiedliche Themen aus Wissensdatenbanken zu gruppieren. Das hilft, wenn Sie oft Überprüfungen anlegen müssen, die auf dieselben Themen aus unterschiedliche Wissensdatenbanken zugreifen.

Mehr zu Themensammlungen finden Sie hier.

TOMs sind technische und organisatorische Maßnahmen oder Kontrollen, die für den Umgang mit personenbezogenen Daten verwendet werden.

Nach Art. 32 DSGVO sind Verantwortliche und der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Kriterien, die die TOM erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

Mehr zur Erstellung und Verwendung von TOMs in HITGuard finden Sie hier.

Eine Überprüfung in HITGuard ist ein strukturierter Prozess um kritische Systeme oder Abweichungen vom Soll-Zustand festzustellen. Überprüfungen sind zentral für die Risikoanalyse und können regelmäßig neu bewertet werden.

Die Schutzbedarfsanalyse dient dazu, den erforderlichen Schutz für Daten und Ressourcen wie IT-Systeme, Gebäude oder Software zu ermitteln.

Die Schwachstellenanalyse (auch Abweichungsanalyse genannt) dient der Identifikation von Schwachstellen. Bei Abweichungsanalysen erstellen Sie einen Fragebogen anhand einer Vorlage, bei einem Prüfergebnis pflegen Sie externe Berichte in HITGuard ein. Dabei werden Prüfobjekte bewertet, Abweichungen erkannt und mit Risiken, Maßnahmen und Kontrollen verknüpft.

Der Umsetzer wird bei Kontrolldefinitionen festgelegt. Es ist jener Benutzer, der die Kontrolle durchführt, nachdem sie auslöst, und sie dann zur Prüfung retourniert.

Mehr zu Kontrollen finden Sie hier.

Für die verschiedenen Elemente in HITGuard kann eine (oder mehrere) verantwortliche Person oder ein (oder mehrere) verantwortliches Team festgelegt werden. Bei Elementen der Stammdaten (z.B. Ressourcen oder Organisationseinheiten) ist der Verantwortliche rein informativ und aktuell nicht aktiv in Workflows involviert. Bei Elementen der verschiedenen Managementmodule ist der Verantwortliche auch in Workflows involviert. Beispielsweise implementiert er eine Maßnahme und meldet deren Fortschritt, überprüft Risiken und Verarbeitungstätigkeiten und sieht Überprüfungen unter Meine Aufgaben.

Die Rolle des Verantwortlichen für jedes Element ergibt sich aus dem Kontext bzw. kann auf der jeweiligen Seite in der Online Hilfe nachgeschlagen werden.

Ein Verarbeitungsregister in HITGuard ist die Sammlung aller Verarbeitungstätigkeiten des Managementsystems. Es kann in Gesellschafts- und Organisationsregister aufgeteilt werden.

VT ist die Abkürzung für Verarbeitungstätigkeit. Eine gesetzliche Definition des Begriffs findet sich in Art. 4 der DSGVO, dort wird der Begriff „Verarbeitung“ wie folgt definiert:

• jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. D.h. jeder Vorgang oder Prozess, der in irgendeiner Form personenbezogene Daten verarbeitet, egal ob sie nur gespeichert oder für Auswertungen verwendet werden, ist eine Verarbeitungstätigkeit.

Eine Wirksamkeitsprüfung dient dazu festzustellen, ob die Umsetzung einer Maßnahme kurz- oder auch langfristig den gewünschten Effekt erzielt hat. Dies wird in Form einer Folgemaßnahme oder einer Kontrolle überprüft, die sich mit dem neuen Ist-Zustand auseinandersetzt.

Eine Wissensdatenbank ist ein Katalog von Prüffragen, anhand dessen Compliance und Score festgestellt werden können. Wissensdatenbanken dienen als Vorlage für Abweichungsanalysen. Wissensdatenbanken können von TogetherSecure als Abonnement bezogen oder direkt im Tool frei erstellt werden.

Mehr zu Wissensdatenbanken finden Sie unter Administration → Wissensdatenbanken.

Ein Workflow ist ein automatisierter Ablauf, bei dem unterschiedliche Benutzer an einem Element interagieren. Das können einmalige oder wiederkehrende Aufgaben sein. Bei Maßnahmen und Kontrollen geben Benutzer unterschiedliches Feedback zur Erfüllung von ihren Aufgaben. Auch Überprüfungen und Risiken können anderen Benutzern zur Beantwortung zugeschickt werden.

Workflowpläne sind dazu da, Neubewertungen von Schutzbedarfs- oder Schwachstellenanalysen einzuleiten. Es kann die einmalige oder wiederkehrende Ausführung von Workflows automatisiert angestoßen werden. HITGuard erstellt automatisch eine Neubewertung von bereits dokumentierten Ergebnissen von Schutzbedarfsanalysen, Abweichungsanalysen und Prüfergebnissen.

Mehr zum Workflowplan von Schutzbedarfsanalysen finden Sie hier.
Mehr zum Workflowplan von Abweichungsanalysen und Prüfergebnissen finden Sie hier.

Der zentrale Managementbeauftragte kann bei aktiviertem Auditmanagement Add-on unter Auditmanagement > Einstellungen eingetragen werden. Dieser User wird dann bei allen neuen Auditprogrammen als Ersteller vorbesetzt.