Übersetzungen exportieren

Einstellungen

Gruppe

Sprache

Format

Für die Offline-Übersetzung exportieren

Im systemeigenen Format exportieren

Im CSV-Format exportieren

HITGuard bietet unter "Maßnahmen → Berichte" die Möglichkeit verschiedenste Berichte für das Risikomanagement zu generieren.
[[Datei:B__Massnahmen.png|left|thumb|900px|Berichtauswahl]]

Um einen Bericht zu erstellen, entscheidet man sich zuerst für einen Berichttyp. Anschließend wird noch ausgewählt, zu welchen Daten der Bericht generiert wird (z.B. Risiken oder Überprüfungen). Die meisten Berichte verfügen zusätzlich über Berichtsoptionen mit denen der Inhalt des Berichts noch spezifischer eingeschränkt und/oder erweitert werden kann.Wissensdatenbanken können durch hinterlegte Übersetzungen für verwendete Wissensdatenbanken in verschiedenen Sprachen vorliegen. Um z.B. einen Bericht mit den englischen Texten zu generieren, muss über das Flaggen-Icon rechts oben am Bildschirm, neben dem Abmelde-Button, die Sprache gewechselt werden. Dadurch werden alle Inhalte für die Berichte in der gewünschten Sprache geladen, sofern eine Übersetzung in dieser Sprache für die Wissensdatenbank vorhanden ist.Downloadoptionen: Die Berichte stehen als PDF oder DOCX Datei zum Download zur Verfügung. Zum Generieren und Herunterladen muss bei einem Bericht auf den pinken Button geklickt werden. Anschließend kann ausgewählt werden, in welchem Format man den Bericht herunterladen möchte.Es gibt beim Generieren auch die Option, die Berichte mit Revisionsinformationen zu generieren und zu archivieren. Dadurch kann der Bericht jederzeit von Experten unter "Administration → Berichtsarchiv" eingesehen, neu generiert sowie erneut heruntergeladen werden. Mehr Information dazu finden Sie unter [[Special:MyLanguage/Berichtsarchiv | "Administration → Berichtsarchiv"]].Beim Generieren von Berichten mit Revisionsinformation im Archiv hat man ebenso die Möglichkeit, den Bericht gleich per E-Mail an verschiedene Empfänger zu senden. Mehr Information dazu finden Sie im [[Special:MyLanguage/Berichtsarchiv|Berichtsarchiv]] und unter [[Special:MyLanguage/Textbausteine | "Administration → Textbausteine"]].Merkverhalten der Berichtsoptionen:
Einige der Berichtsoptionen sind bei multiplen Berichten wiederzufinden. Bei diesen wird die getroffene Auswahl innerhalb des Managementsystems und für den einzelnen Benutzer gespeichert und auch bei den anderen Berichten angewandt. Selektiert man beispielsweise die Option "Inhaltsverzeichnis", ist diese Option infolgedessen auch bei den anderen Berichten, wo sie vorkommt, schon selektiert.Lizenzen:Ist keine gültige Lizenz von HITGuard vorhanden, dann wird dies bei den Berichten in der Fußzeile angezeigt! Um dies zu ändern, muss unter [[Special:MyLanguage/Lizenzierung | "Administration → Lizenzierung"]] von einem Experten oder einem Administrator eine Lizenz angefordert/eingespielt werden.Es werden folgende Berichte im Bereich Maßnahmen von HITGuard angeboten:

=== Maßnahmenbericht zu Standard/Norm===
In diesem Bericht werden zu einer/m ausgewählten Standard/Norm die verknüpften Maßnahmen aufgelistet.
{| class="wikitable"
! colspan="2" | Berichtsoptionen
|-
!Auswahl des Analysezeitraums
|Diese Option bestimmt, aus welchem Analysezeitraum die Berichtselemente kommen.
|-
!Inhaltsverzeichnis 
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird. 
|-
!Fortschrittsübersicht
|Druckt die Fortschrittsübersicht je Maßnahme an.
|-
!Fortschrittsprotokoll
|Druckt das Fortschrittsprotokoll je Maßnahme an.
|-
!Anmerkungen
|Steuert, ob die Anmerkungen zur Maßnahme im Bericht angedruckt werden.
|-
!Nicht anwendbare Kapitel in die Statistik aufnehmen
|Steuert, ob Kapitel, die im Managementsystem als nicht anwendbar markiert sind, im Bericht berücksichtigt werden.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}

[[Datei:Berichte Maßnahmenbericht zu Standard.png|left|thumb|900px|Maßnahmenbericht zu Standard/Norm erstellen]]

===Maßnahmenbericht===
In diesem Bericht werden die Details zu einer oder mehreren ausgewählten Maßnahmen dargestellt.
Beispiel Maßnahmenbericht: [[Media:Maßnahmenbericht.pdf | Maßnahmen mit Fortschrittsübersicht und -protokoll]]
{| class="wikitable"
! colspan="2" | Berichtsoptionen
|-
!Auswahl des Analysezeitraums
|Diese Option bestimmt, aus welchem Analysezeitraum die Berichtselemente kommen.
|-
!Inhaltsverzeichnis 
|Diese Option bestimmt, ob im Bericht ein Inhaltsverzeichnis angedruckt wird. 
|-
!Fortschrittsübersicht
|Druckt die Fortschrittsübersicht je Maßnahme an.
|-
!Fortschrittsprotokoll
|Druckt das Fortschrittsprotokoll je Maßnahme an.
|-
!Anmerkungen
|Steuert, ob die Anmerkungen zur Maßnahme im Bericht angedruckt werden.
|-
!Anhänge/Evidenzen auflisten
|Druckt die Dateinamen der Anhänge/Evidenzen im Bericht an.
|-
!Anhänge/Evidenzen als Zip-Datei
|Der Bericht wird gemeinsam mit etwaigen Anhängen/Evidenzen in einem Zip-Ordner heruntergeladen.
|-
!Berichtsanhang mit Erklärungen
|Fügt einen Berichtsanhang mit verschiedenen Erklärungstexten an.
|-
|}
[[Datei:Berichtseite_Maßnahmen.png|left|thumb|901px|Maßnahmenbericht erstellen]]

===Fortschrittsbericht===
Auf dieser Seite können Sie Berichte zu Maßnahmen innerhalb eines Analysezeitraumes für ausgewählte Organisationseinheiten erstellen, einsehen und herunterladen.Die Berichte liefern eine Bewertung der Maßnahmen und eine Bewertung des Projektfortschritts. Die Bewertung der Maßnahmen setzt sich mit der Kritikalität der Maßnahmen auseinander und empfiehlt auf Basis davon einen Umsetzungszeitraum. Die Bewertung des Projektfortschritts zeigt mittels Ampelfarben die Bewertung des Fortschritts einzelner Maßnahmen und des gesamten Projekts. Erledigte Maßnahmen werden in diesem Bericht durchgestrichen dargestellt, ausgesetzte kursiv.Die bereits erstellten Berichte werden links aufgelistet. Ein Klick auf einen Eintrag in dieser Liste zeigt auch die Revisionsinformation zu diesem Bericht an und er kann, falls eine Überarbeitung nötig ist, auch neu generiert werden. Mit Klick auf die blaue Bezeichnung in der Liste öffnet sich der Bericht in einer online Vorschau. Ist die Bezeichnung schwarz, wurde der Bericht vorbereitet aber noch nicht generiert. Mit Klick auf das Download Symbol kann der erstellte Bericht heruntergeladen werden.

[[Datei:Maßnahmen Berichte.png|left|thumb|900px|Maßnahmenberichte]]

Im Tab Datenselektion kann konfiguriert werden, welche Organisationseinheiten im Bericht enthalten sein sollen. Die Liste "Enthaltene OrgEhs" zeigt alle Organisationseinheiten, die aktuell berücksichtigt werden. Die Liste "Aktuelle OrgEhs" zeigt alle Organisationseinheiten, die im aktuellen Analysezeitraum des aktiven Managementsystem vorhanden sind. Es können mittels Drag & Drop jene der aktuellen OrgEhs, die noch nicht ausgewählt sind, zu den enthaltenen OrgEhs hinzugefügt werden.

[[Datei:Maßnahmen Berichte Datenselektion.png|left|thumb|900px|Datenselektion]]

==== Bewertungssystematik im Detailbericht ====
Im Detailbericht zu den Maßnahmen wird die folgende Bewertungssystematik angewandt und auch als Anhang im Bericht angedruckt.

Bewertung der Maßnahmen Jede Maßnahme wird hinsichtlich ihrer Kritikalität bewertet. Wie kritisch eine Maßnahme ist, hängt davon ab, wie hoch der potentielle Schaden durch die erkannte Schwachstelle ist bzw. wie hoch die Wahrscheinlichkeit des Eintretens des Ereignisses ist. Aus der Kritikalität der Maßnahme ergibt sich daher die Dringlichkeit der Behebung dieser Schwachstelle.Kritikalität einer Maßnahme Die Kritikalität einer Maßnahme hängt vom betroffenen IT-System bzw. den damit verbundenen Daten ab. Dies kann anhand der durchgeführten Business Impact Analyse und Risikoanalysen erhoben werden. Sollte es für den betroffenen Service keine solche Bewertung geben, so ist folgende Abwägung vorzunehmen: 
# Betrifft die Maßnahme IT Kernservices (wie z.B. das Netzwerk, die Firewall, das E-Mail Service oder gar die physische Sicherheit wie Zutritt zum Serverraum), dann ist immer von einer Kritikalitätsstufe HOCH auszugehen 
# Für alle nicht unter 1) fallenden IT-Services ist folgende Überlegung zu treffen: 
#* Das Bedrohungspotential ist NIEDRIG, wenn 
#** einer Gesellschaft ein monetärer Schaden von <300 Tsd. EUR entstehen könnte,
#** ein in begrenztem Maße nach außen wirkender Imageverlust entstehen könnte,
#** die körperliche Unversehrtheit von Menschen nicht garantiert werden könnte, auch wenn das Eintreten als unwahrscheinlich gilt.
#* Das Bedrohungspotential ist MITTEL, wenn 
#** einer Gesellschaft ein monetärer Schaden von >300 Tsd. EUR bis max. 5 Mio. EUR entstehen könnte,
#** ein Imageverlust bei Kunden und Partnern entstehen könnte, der durch mittelfristige Maßnahmen kompensiert werden müsste,
#** die körperliche Unversehrtheit von Menschen nicht garantiert werden könnte und das Eintreten des Falles als nicht unwahrscheinlich gilt.
#* Das Bedrohungspotential ist HOCH, wenn
#** einer Gesellschaft ein monetärer Schaden von >5Mio EUR entstehen könnte,
#** eine negative mediale Berichterstattung nicht ausschließbar wäre (mit nicht auszuschließenden mittel- bis längerfristigen Folgewirkungen),
#** Menschen definitiv an Leib und Leben gefährdet wären.
# Wenn keine entsprechende Risikoanalyse vorliegt, gilt es auch, die Eintrittswahrscheinlichkeit der Bedrohung zu berücksichtigen. Wenn das Eintreten der Risikosituation als sehr unwahrscheinlich gilt (ggf. durch eine Verkettung von Umständen ausgelöst werden müsste) oder zur Reduktion des Risikos kompensierende Maßnahmen ergriffen wurden, so kann die getroffene Risikoeinstufung auch reduziert werden. Ist eine Schwachstelle von extern ausnutzbar, so darf die Risikoeinschätzung nicht reduziert werden.

Empfohlener Umsetzungszeitraum Abhängig von der Kritikalität der Maßnahme ergibt sich der empfohlene Startzeitpunkt für die Behebung der Maßnahme.
# HOCH: unmittelbar nach der Übermittlung der Auditfeststellungen 
# MITTEL: 1 bis spätestens 2 Monate nach der Übermittlung der Auditfeststellungen 
# NIEDRIG: 2 bis spätestens 4 Monate nach der Übermittlung der Auditfeststellungen

K.O. Maßnahmen gelten immer als HOCH und sind solche, die unmittelbar zu beheben sind, da die Schwachstelle mit sehr großem Angriffspotential verbunden ist.Natürlich kann nicht vom gleichen Aufwand für die Behebung jeder Maßnahme ausgegangen werden. Projekte werden daher abhängig von ihrer geplanten Projektlaufzeit und den geschätzten Projekttagen wie folgt klassifiziert:
# KLEIN: <1 Monat Laufzeit; <= 2 PT Aufwand 
# MITTEL: <3 Monate Laufzeit; <= 10 PT Aufwand 
# GROSS: > 3 Monate Laufzeit; >10 PT Aufwand
Daher wird hier nur eine empfohlene Umsetzungsdauer angegeben.
Unter Berücksichtigung der Faktoren Kritikalität und Aufwand ergibt sich folgender empfohlener maximaler Umsetzungszeitraum:
{| class="wikitable"
|-
! 
!colspan="3" | Aufwand
|-
! Kritikalität !! GROSS !! MITTEL !! KLEIN 
|-
| NIEDRIG || 4 Monate + Projektaufwand || 7 Monate|| 5 Monate
|-
| MITTEL || 2 Monate + Projektaufwand || 5 Monate || 3 Monate
|-
| HOCH || Projektaufwand || 3 Monate || 1 Monat
|}

Bei Projekten mit großem Aufwand sollte berücksichtigt werden, dass kurzfristig zu treffende risikoreduzierende Maßnahmen jedenfalls zu Projektbeginn umgesetzt werden. Die Projektdauer folgender langfristig wirkender Lösung ist dann unter wirtschaftlichen Gesichtspunkten und der Berücksichtigung der wirtschaftlichen Gesamtsituation des Unternehmens zu planen.
Bewertung des Projektfortschritts
Bewertung des Fortschritts einzelner Maßnahmen 
Solange eine Aufgabe zeitlich innerhalb der empfohlenen Frist liegt, ist die Ampel zum Projektfortschritt grün. Wenn eine Aufgabe erstmals als überfällig gilt, so wird die Ampel gelb. Wenn beim nächsten Berichtsintervall die Aufgabe immer noch nicht erledigt ist, so wird die Ampel rot und bleibt es solange, bis die Maßnahme behoben oder ein Follow Up Audit durchgeführt wurde, da die Bewertung des Projektfortschritts im Zuge eines Follow Up Audittermins zurückgesetzt wird. Es werden bei diesem Audit neue Umsetzungstermine vereinbart. Am „erkannt am“ Datum einer Maßnahme ist allerdings ersichtlich, seit wann die Maßnahme offen ist.
Bewertung des Fortschritts im Gesamtprojekt 
Auch für den Fortschritt im gesamten Projektverlauf gibt es eine Bewertung über Ampelfarben.
* KEINER
** Wenn im aktuellen Berichtszeitraum 0 Feststellungen als abgeschlossen berichtet wurden.ACHTUNG: Wenn "Keiner" in rot statt schwarz geschrieben steht, bedeutet dies, dass eine Verzögerung bzw. Überfälligkeit hinsichtlich der Erledigung von Feststellungen droht. Andernfalls kann es auch daran liegen, dass derzeit zwar an Maßnahmen gearbeitet wird, diese aber z.B. aufgrund ihrer aufwendigen Natur von längerer Bearbeitungsdauer sind.
* GERING 
** Wenn im aktuellen Berichtszeitraum weniger als bzw. genau 10% der Feststellung als abgeschlossen berichtet wurden und/oder 
** mehr als 33% der Feststellungen als überfällig gelten.
* MITTEL 
** Wenn im aktuellen Berichtszeitraum mehr als 10% aber weniger als bzw. genau 20% der Feststellungen als abgeschlossen berichtet wurden und/oder 
** mehr als 20% aber weniger als 33% der Feststellungen als überfällig gelten.
* HOCH 
** Wenn im aktuellen Berichtszeitraum mehr als 20% der Feststellung als abgeschlossen berichtet wurden und/oder 
** maximal 20% der Feststellungen als überfällig gelten.

Abgeschlossene/Ausgesetzte Maßnahmen
Eine durchgestrichene Zeile ist eine im aktuellen Analysezeitraum erledigte Aufgabe, die beim nächsten Bericht entfällt. Eine kursive Zeile ist ein unter Begründung ausgesetzte Aufgabe.

<!--

HITGuard bietet unter "Maßnahmen → Berichte" die Möglichkeit verschiedenste Berichte für das Risikomanagement zu generieren.

[[Datei:B__Massnahmen.png|left|thumb|900px|Berichtauswahl]]

Um einen Bericht zu erstellen, entscheidet man sich zuerst für einen Berichttyp. Anschließend wird noch ausgewählt, zu welchen Daten der Bericht generiert wird (z.B. Risiko oder Audit). Die meisten Berichte verfügen zusätzlich über Berichtsoptionen mit denen der Inhalt des Berichts noch spezifischer eingeschränkt und/oder erweitert werden kann.

Sprachen: 
Wissensdatenbanken können durch hinterlegte Übersetzungen für verwendete Wissensdatenbanken in verschiedenen Sprachen vorliegen. Um z.B. einen Bericht mit den englischen Texten zu generieren, muss über das Flaggen-Icon rechts oben am Bildschirm, neben dem Abmelde-Button, die Sprache gewechselt werden. Dadurch werden alle Inhalte für die Berichte in der gewünschten Sprache geladen, sofern eine Übersetzung in dieser Sprache für die Wissensdatenbank vorhanden ist.

Downloadoptionen: 
Die Berichte stehen als PDF oder DOCX Datei zum Download zur Verfügung. Zum Generieren und Herunterladen muss bei einem Bericht auf den pinken Button geklickt werden. Anschließend kann ausgewählt werden, in welchem Format man den Bericht herunterladen möchte.

Es gibt beim Generieren auch die Option, die Berichte mit Revisionsinformationen zu generieren und zu archivieren. Dadurch kann der Bericht jederzeit von Experten unter "Administration → Berichtsarchiv" eingesehen, neu generiert sowie erneut heruntergeladen werden. Mehr Information dazu finden Sie unter [[Special:MyLanguage/Berichtsarchiv | "Administration → Berichtsarchiv"]].

Beim Generieren von Berichten mit Revisionsinformation im Archiv hat man ebenso die Möglichkeit, den Bericht gleich per E-Mail an verschiedene Empfänger zu senden. Mehr Information dazu finden Sie im [[Special:MyLanguage/Berichtsarchiv | Berichtsarchiv]] und unter [[Special:MyLanguage/Textbausteine | "Administration → Textbausteine"]].

Merkverhalten der Berichtsoptionen:
Einige der Berichtsoptionen sind bei multiplen Berichten wiederzufinden. Bei diesen wird die getroffene Auswahl innerhalb des Managementsystems und für den einzelnen Benutzer gespeichert und auch bei den anderen Berichten angewandt. Selektiert man beispielsweise die Option "Inhaltsverzeichnis", ist diese Option infolgedessen auch bei den anderen Berichten, wo sie vorkommt, schon selektiert.

Lizenzen:
Ist keine gültige Lizenz von HITGuard vorhanden, dann wird dies bei den Berichten in der Fußzeile angezeigt! Um dies zu ändern, muss unter [[Special:MyLanguage/Lizenzierung | "Administration → Lizenzierung"]] von einem Experten oder einem Administrator eine Lizenz angefordert / eingespielt werden.

Es werden folgende Berichte im Bereich Maßnahmen von HITGuard angeboten:

=== Maßnahmenbericht zu Standard/Norm===

In diesem Bericht werden zu einer/m ausgewählten Standard/Norm die verknüpften Maßnahmen aufgelistet.

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager): Diese Option steuert, für welches Managementsystem der Bericht generiert wird.
* Analysezeitraum: Diese Option steuert, aus welchem Analysezeitraum die Maßnahmen, die im Bericht berücksichtigt werden, kommen.
* Fortschrittsübersicht: Es kann konfiguriert werden, ob eine Übersicht der Fortschrittsentwicklung zur Maßnahmen angedruckt werden soll.
::* Der '''aktuelle Fortschritt''' zeigt den angegebenen Prozentsatz des Fortschritts der letzten akzeptierten Fortschrittsmeldung.
::* Die '''Fortschrittsentwicklung''' zeigt die prozentuelle Veränderung des Fortschritts im Vergleich zum vergangenen Analysezeitraum.
::* Bei '''Fortschrittsmeldungen''' wird die Anzahl der akzeptierten Fortschrittsmeldungen zur Maßnahme angezeigt.
::* Die '''Laufzeit''' gibt an, wie lange die Maßnahme zu bearbeiten ist oder war. Sie zeigt also die Dauer in Tagen vom Fristbeginn bis zum Berichtsdatum oder dem Datum, an dem die Maßnahme als erledigt gekennzeichnet wurde. Wurde kein Fristbeginn definiert, kann die Laufzeit nicht berechnet werden.
::* Bei '''Überfällig''' wird angezeigt, wie lange die Maßnahmen überfällig ist oder war. Sie zeigt also die Dauer in Tagen vom Fristende bis zum Berichtsdatum oder dem Datum, an dem die Maßnahme als erledigt gekennzeichnet wurde. Wurde kein Fristende definiert, kann diese Dauer nicht berechnet werden.
* Fortschrittsprotokoll: Es kann konfiguriert werden, ob das Protokoll der Fortschrittsmeldungen zur Maßnahme angedruckt werden soll.
* Nicht anwendbare Kapitel in die Statistik aufnehmen: Dadurch werden Kapitel, die im Managementsystem mit nicht anwendbar markiert sind, im Bericht angeführt.

Die übrigen Optionen dienen der Konfiguration der zusätzlichen Berichtsinhalte wie Inhaltsverzeichnis und Anhänge.

[[Datei:Berichte Maßnahmenbericht zu Standard.png|left|thumb|901px|Maßnahmenbericht zu Standard/Norm erstellen]]

===Maßnahmenbericht===

In diesem Bericht werden die Details zu einer oder mehreren ausgewählten Maßnahmen dargestellt.

[[Media:Maßnahmenbericht.pdf | Maßnahmenbericht Beispiel: Maßnahmen mit Fortschrittsübersicht und -protokoll]]

<big>Berichtsoptionen</big>
* Managementsystem (nur Compliance Manager): Diese Option steuert, für welches Managementsystem der Bericht generiert wird.
* Analysezeitraum: Diese Option steuert, aus welchem Analysezeitraum die Maßnahmen, die im Bericht berücksichtigt werden, kommen.
* Fortschrittsübersicht: Es kann konfiguriert werden, ob eine Übersicht der Fortschrittsentwicklung zur Maßnahmen angedruckt werden soll.
::* Der '''aktuelle Fortschritt''' zeigt den angegebenen Prozentsatz des Fortschritts der letzten akzeptierten Fortschrittsmeldung.
::* Die '''Fortschrittsentwicklung''' zeigt die prozentuelle Veränderung des Fortschritts im Vergleich zum vergangenen Analysezeitraum.
::* Bei '''Fortschrittsmeldungen''' wird die Anzahl der akzeptierten Fortschrittsmeldungen zur Maßnahme angezeigt.
::* Die '''Laufzeit''' gibt an, wie lange die Maßnahme zu bearbeiten ist oder war. Sie zeigt also die Dauer in Tagen vom Fristbeginn bis zum Berichtsdatum oder dem Datum, an dem die Maßnahme als erledigt gekennzeichnet wurde. Wurde kein Fristbeginn definiert, kann die Laufzeit nicht berechnet werden.
::* Bei '''Überfällig''' wird angezeigt, wie lange die Maßnahmen überfällig ist oder war. Sie zeigt also die Dauer in Tagen vom Fristende bis zum Berichtsdatum oder dem Datum, an dem die Maßnahme als erledigt gekennzeichnet wurde. Wurde kein Fristende definiert, kann diese Dauer nicht berechnet werden.
* Fortschrittsprotokoll: Es kann konfiguriert werden, ob das Protokoll der Fortschrittsmeldungen zur Maßnahme angedruckt werden soll.

Die übrigen Optionen dienen der Konfiguration der zusätzlichen Berichtsinhalte wie Inhaltsverzeichnis und Anhänge.

[[Datei:Berichtseite_Maßnahmen.png|left|thumb|900px|Maßnahmenbericht erstellen]]

===Fortschrittsbericht===
Auf dieser Seite können Sie Berichte zu Maßnahmen innerhalb eines Analysezeitraumes für ausgewählte Organisationseinheiten erstellen, einsehen und herunterladen.

Die Berichte liefern eine Bewertung der Maßnahmen und eine Bewertung des Projektfortschritts. Die Bewertung der Maßnahmen setzt sich mit der Kritikalität der Maßnahmen auseinander und empfiehlt auf Basis davon einen Umsetzungszeitraum. Die Bewertung des Projektfortschritts zeigt mittels Ampelfarben die Bewertung des Fortschritts einzelner Maßnahmen und des gesamten Projekts. Erledigte Maßnahmen werden in diesem Bericht durchgestrichen dargestellt, ausgesetzte kursiv.

Die bereits erstellten Berichte werden links aufgelistet. Ein Klick auf einen Eintrag in dieser Liste zeigt auch die Revisionsinformation zu diesem Bericht an und er kann, falls eine Überarbeitung nötig ist, auch neu generiert werden. Mit Klick auf die blaue Bezeichnung in der Liste öffnet sich der Bericht in einer online Vorschau. Ist die Bezeichnung schwarz, wurde der Bericht vorbereitet aber noch nicht generiert. Mit Klick auf das Download Symbol kann der erstellte Bericht heruntergeladen werden.

[[Datei:Maßnahmen Berichte.png|left|thumb|900px|Maßnahmenberichte]]

Im Tab Datenselektion kann konfiguriert werden, welche Organisationseinheiten im Bericht enthalten sein sollen. Die Liste "Enthaltene OrgEhs" zeigt alle Organisationseinheiten, die aktuell berücksichtigt werden. Die Liste "Aktuelle OrgEhs" zeigt alle Organisationseinheiten, die im aktuellen Analysezeitraum des aktiven Managementsystem vorhanden sind. Es können mittels Drag & Drop jene der aktuellen OrgEhs, die noch nicht ausgewählt sind, zu den enthaltenen OrgEhs hinzugefügt werden.

[[Datei:Maßnahmen Berichte Datenselektion.png|left|thumb|900px|Datenselektion]]

==== Bewertungssystematik im Detailbericht ====

Im Detailbericht zu den Maßnahmen wird die folgende Bewertungssystematik angewandt und auch als Anhang im Bericht angedruckt.

Bewertung der Maßnahmen

Jede Maßnahme wird hinsichtlich ihrer Kritikalität bewertet. Wie kritisch eine Maßnahme ist, hängt davon ab, wie hoch der potentielle Schaden durch die erkannte Schwachstelle ist bzw. wie hoch die Wahrscheinlichkeit des Eintretens des Ereignisses ist. Aus der Kritikalität der Maßnahme ergibt sich daher die Dringlichkeit der Behebung dieser Schwachstelle.

Kritikalität einer Maßnahme

Die Kritikalität einer Maßnahme hängt vom betroffenen IT-System bzw. den damit verbundenen Daten ab. Dies kann anhand der durchgeführten Business Impact Analyse und Risikoanalysen erhoben werden. Sollte es für den betroffenen Service keine solche Bewertung geben, so ist folgende Abwägung vorzunehmen:

# Betrifft die Maßnahme IT Kernservices (wie z.B. das Netzwerk, die Firewall, das E-Mail Service oder gar die physische Sicherheit wie Zutritt zum Serverraum), dann ist immer von einer Kritikalitätsstufe HOCH auszugehen 
# Für alle nicht unter 1) fallenden IT-Services ist folgende Überlegung zu treffen: 
#* Das Bedrohungspotential ist NIEDRIG, wenn 
#** einer Gesellschaft ein monetärer Schaden von <300 Tsd. EUR entstehen könnte,
#** ein in begrenztem Maße nach außen wirkender Imageverlust entstehen könnte,
#** die körperliche Unversehrtheit von Menschen nicht garantiert werden könnte, auch wenn das Eintreten als unwahrscheinlich gilt.
#* Das Bedrohungspotential ist MITTEL, wenn 
#** einer Gesellschaft ein monetärer Schaden von >300 Tsd. EUR bis max. 5 Mio. EUR entstehen könnte,
#** ein Imageverlust bei Kunden und Partnern entstehen könnte, der durch mittelfristige Maßnahmen kompensiert werden müsste,
#** die körperliche Unversehrtheit von Menschen nicht garantiert werden könnte und das Eintreten des Falles als nicht unwahrscheinlich gilt.
#* Das Bedrohungspotential ist HOCH, wenn
#** einer Gesellschaft ein monetärer Schaden von >5Mio EUR entstehen könnte,
#** eine negative mediale Berichterstattung nicht ausschließbar wäre (mit nicht auszuschließenden mittel- bis längerfristigen Folgewirkungen),
#** Menschen definitiv an Leib und Leben gefährdet wären.
# Wenn keine entsprechende Risikoanalyse vorliegt, gilt es auch, die Eintrittswahrscheinlichkeit der Bedrohung zu berücksichtigen. Wenn das Eintreten der Risikosituation als sehr unwahrscheinlich gilt (ggf. durch eine Verkettung von Umständen ausgelöst werden müsste) oder zur Reduktion des Risikos kompensierende Maßnahmen ergriffen wurden, so kann die getroffene Risikoeinstufung auch reduziert werden. Ist eine Schwachstelle von extern ausnutzbar, so darf die Risikoeinschätzung nicht reduziert werden.

Empfohlener Umsetzungszeitraum

Abhängig von der Kritikalität der Maßnahme ergibt sich der empfohlene Startzeitpunkt für die Behebung der Maßnahme.

# HOCH: unmittelbar nach der Übermittlung der Auditfeststellungen  
# MITTEL: 1 bis spätestens 2 Monate nach der Übermittlung der Auditfeststellungen 
# NIEDRIG: 2 bis spätestens 4 Monate nach der Übermittlung der Auditfeststellungen

K.O. Maßnahmen gelten immer als HOCH und sind solche, die unmittelbar zu beheben sind, da die Schwachstelle mit sehr großem Angriffspotential verbunden ist.

Natürlich kann nicht vom gleichen Aufwand für die Behebung jeder Maßnahme ausgegangen werden. Projekte werden daher abhängig von ihrer geplanten Projektlaufzeit und den geschätzten Projekttagen wie folgt klassifiziert:

# KLEIN: <1 Monat Laufzeit; <= 2 PT Aufwand 
# MITTEL: <3 Monate Laufzeit; <= 10 PT Aufwand 
# GROSS: > 3 Monate Laufzeit; >10 PT Aufwand

Daher wird hier nur eine empfohlene Umsetzungsdauer angegeben.

Unter Berücksichtigung der Faktoren Kritikalität und Aufwand ergibt sich folgender empfohlener maximaler Umsetzungszeitraum:

{| class="wikitable"
|-
! 
!colspan="3" | Aufwand
|-
! Kritikalität  !! GROSS  !! MITTEL  !! KLEIN  
|-
| NIEDRIG  || 4 Monate + Projektaufwand || 7 Monate|| 5 Monate
|-
| MITTEL  || 2 Monate + Projektaufwand || 5 Monate || 3 Monate
|-
| HOCH  || Projektaufwand  || 3 Monate || 1 Monat
|}

Bei Projekten mit großem Aufwand sollte berücksichtigt werden, dass kurzfristig zu treffende risikoreduzierende Maßnahmen jedenfalls zu Projektbeginn umgesetzt werden. Die Projektdauer folgender langfristig wirkender Lösung ist dann unter wirtschaftlichen Gesichtspunkten und der Berücksichtigung der wirtschaftlichen Gesamtsituation des Unternehmens zu planen.

Bewertung des Projektfortschritts

Bewertung des Fortschritts einzelner Maßnahmen

Solange eine Aufgabe zeitlich innerhalb der empfohlenen Frist liegt, ist die Ampel zum Projektfortschritt  grün. Wenn eine Aufgabe erstmals als überfällig gilt, so wird die Ampel gelb. Wenn beim nächsten  Berichtsintervall die Aufgabe immer noch nicht erledigt ist, so wird die Ampel rot und bleibt es solange, bis die Maßnahme behoben oder ein Follow Up Audit durchgeführt wurde, da die Bewertung des  Projektfortschritts im Zuge eines Follow Up Audittermins zurückgesetzt wird. Es werden bei diesem Audit neue Umsetzungstermine vereinbart. Am „erkannt am“ Datum einer Maßnahme ist allerdings ersichtlich, seit wann die Maßnahme offen ist.

Bewertung des Fortschritts im Gesamtprojekt

Auch für den Fortschritt im gesamten Projektverlauf gibt es eine Bewertung über Ampelfarben.

* KEINER
** Wenn im aktuellen Berichtszeitraum 0 Feststellungen als abgeschlossen berichtet wurden.ACHTUNG: Wenn "Keiner" in rot statt schwarz geschrieben steht, bedeutet dies, dass eine Verzögerung bzw. Überfälligkeit hinsichtlich der Erledigung von Feststellungen droht. Andernfalls kann es auch daran liegen, dass derzeit zwar an Maßnahmen gearbeitet wird, diese aber z.B. aufgrund ihrer aufwendigen Natur von längerer Bearbeitungsdauer sind.
* GERING 
** Wenn im aktuellen Berichtszeitraum weniger als bzw. genau 10% der Feststellung als abgeschlossen berichtet wurden und/oder 
** mehr als 33% der Feststellungen als überfällig gelten.
* MITTEL 
** Wenn im aktuellen Berichtszeitraum mehr als 10% aber weniger als bzw. genau 20% der Feststellungen als abgeschlossen berichtet wurden und/oder 
** mehr als 20% aber weniger als 33% der Feststellungen als überfällig gelten.
* HOCH 
** Wenn im aktuellen Berichtszeitraum mehr als 20% der Feststellung als abgeschlossen berichtet wurden und/oder 
** maximal 20% der Feststellungen als überfällig gelten.

Abgeschlossene/Ausgesetzte Maßnahmen
Eine durchgestrichene Zeile ist eine im aktuellen Analysezeitraum erledigte Aufgabe, die beim nächsten Bericht entfällt. Eine kursive Zeile ist ein unter Begründung ausgesetzte Aufgabe.

-->