Suche aufrufen
Menü aufrufen
47
1330
10
34.806
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Schwachstellen

Aus HITGuard User Guide
Weitere Optionen
Version vom 9. August 2022, 09:14 Uhr von FuzzyBot (Diskussion | Beiträge) (Übernehme Bearbeitung einer neuen Version der Quellseite)

Was ist eine Überprüfung?

Unter einer Überprüfung wird in HITGuard die Erfassung von Abweichungen zu einem Soll-Zustand verstanden. Beispielsweise kann eine Überprüfung ein Audit durch einen externen Auditor darstellen. Die Erkenntnisse, die Ihnen vom Auditor eventuell in Form eines Berichts ausgehändigt wurden, können Sie als sogenanntes "Prüfergebnis" in HITGuard einpflegen.

Prüfergebnisse können auch durch eine Kontrolle mit HITGuard entstehen. Dies geschieht durch die Verwendung von Wissensdatenbanken in den "Abweichungsanalysen". Dabei wird eine Überprüfung durch strukturierte Fragebögen geleitet, mit deren Hilfe Abweichungen zum gewünschten Zielzustand ermittelt werden.

Der Zielzustand wird in HITGuard als Zielreifegrad bezeichnet und ist für jedes Managementsystem separat einstellbar. Nur Experten oder Administratoren können unter "Administration → Managementsysteme" den Zielreifegrad einstellen und verändern.

Überprüfungen (Abweichungsanalysen / Prüfergebnisse)

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Professionals und Experten alle Überprüfungen, die im Managementsystem angelegt wurden. Es werden alle Überprüfungen angezeigt, egal ob diese abgeschlossen, in Bearbeitung oder im Entwurfsstatus sind. Hier können ebenso neue Überprüfungen erstellt bzw. angefordert werden. Weiters können die Überprüfungen auch als PDF heruntergeladen werden.

Übersicht der Überprüfungen


Überprüfung erstellen / bearbeiten

Prüfergebnis:

  • Unter einem Prüfergebnis versteht man z.B. die Erkenntnisse, die im Zuge eines Audits vom Auditor eventuell in Form eines Berichtes ausgehändigt wurden.
  • Diese Erkenntnisse können über "Prüfergebnis +" eingepflegt werden.

Abweichungsanalyse:

  • Abweichungsanalysen sind fragebogengestützte Überprüfungen (WDB) zu bestimmten Themen. Durch diese Fragebögen lässt sich z.B. der Erfüllungsgrad einer Norm bestimmen. Zusätzlich zu den Fragebogenthemen können auch sonstige Prüfergebnisse erfasst werden.
  • Ist eine Übersetzung der WDB in der aktuell ausgewählten Sprache (Flagge rechts oben, neben dem Abmelde-Button) vorhanden, so wird diese angewandt.
  • Um eine Abweichungsanalyse zu erstellen, klicken Sie auf den "Abweichungsanalyse +"-Button.

Im Ablauf unterscheiden sich die beiden Überprüfungsmöglichkeiten nur darin, dass ein Prüfergebnis keine Prüfobjekte auf Basis von Wissensdatenbanken behandeln kann.

Zum Bearbeiten einer Überprüfung klickt man in der Übersicht mit einem Doppelklick darauf.

Für mehr Informationen zum Erstellen oder Bearbeiten einer Überprüfung, egal ob Abweichungsanalyse oder Prüfergebnis, siehe Überprüfung erstellen / bearbeiten.

Im folgendem Abschnitt wird erklärt, wie die Navigation im Überprüfungs-Assistent funktioniert.

Überprüfungs Assistent


Die Navigation im Assistent zur Durchführung von Überprüfungen funktioniert wie folgt:

  • Durch Klicken auf "Weiter" kommt man zum nächsten Schritt bzw. zur nächsten Prüffrage.
  • Durch Klicken auf "Zurück" kommt man zum letzten Schritt bzw. zur letzten Prüffrage.
  • Durch Klicken im Navigationsbaum auf der linken Seite kommt man zur gewünschten Stelle.
  • Unten links auf der Navigations-Maske können die Prüffragen im Navigationsbaum über eine Checkbox "Prüffragen" eingeblendet werden.
  • Blendet man die Prüffragen ein, kann auch über den Baum zu diesen navigiert werden.
  • "Speichern" und "Schließen" verhalten sich selbsterklärend.

Unabhängig davon, welche Art der Überprüfung Sie durchführen (Abweichungsanalyse mittels einer Wissensdatenbank oder Erfassung von Prüfergebnissen) die Bearbeitungsschritte im Assistent zur Durchführung von Überprüfungen sind im wesentlichen immer dieselben:

  1. Überprüfung erstellen und speichern
  2. Themen bzw. Prüfobjekte hinzufügen und Überprüfung aktivieren
  3. Beantwortung der Prüfobjekte bzw. Möglichkeit zur Anforderung einer Beantwortung im "Self-Assessment" durch den Interviewpartner
  4. Beantwortungen bzw. erkannte Abweichungen überprüfen
  5. Überprüfung abschließen

Eine Überprüfung kann von einem Experten durchgeführt werden. Dabei hat er aber auch die Möglichkeit, die Beantwortung der Überprüfung von seinem Interviewpartner in HITguard anzufordern. Via Workflow-Unterstützung erhält der Interviewpartner dazu eine Aufforderung und kann die Beantwortung durchführen um Sie anschließend an den Experten zu retournieren. Dieser prüft die Ergebnisse und kann die Überprüfung als abgeschlossen kennzeichnen und archivieren. Die Behandlung der Abweichungen aus der Überprüfung ist jederzeit möglich, auch wenn eine Überprüfung bereits abgeschlossen ist.

Status und Löschen einer Überprüfung

Eine Überprüfung kann sich in verschiedenen Status befinden. Sind die Emailbenachrichtigungen im Managementsystem aktiv, werden bei Statuswechsel alle im Workflow relevanten Personen zur Durchführung ihrer Aufgaben aufgefordert. Dies würde z.B. der Interviewpartner sein, wenn ein Auditor eine Beantwortung anfordert oder der Auditor selbst, falls er die Beantwortung retourniert.

Der Status der Überprüfung kann über den blauen Butten rechts oben gewechselt werden.


Entwurf

  • Wird die Überprüfung das erste Mal gespeichert oder vom Status "In Bearbeitung" deaktiviert, befindet Sie sich im Status "Entwurf".
  • "Entwurf" heißt, dass die Überprüfung noch nicht aktiv ist und vom System noch niemand über die Überprüfung informiert wurde.
  • Aus diesem Status kann die Überprüfung aktiviert, also in den Status "In Bearbeitung" gesetzt werden.

In Bearbeitung

  • Wird die Überprüfung aktiviert, wird Sie in den Status "In Bearbeitung" gesetzt. Dadurch sehen Interviewpartner und Auditoren diese unter "Meine Aufgaben".
  • Jetzt ist es Zeit für den Lead-Auditor die Kontrolle durchzuführen oder eine Beantwortung durch "Beantwortung anfordern" von Interviewpartnern einzuholen (nur bei Typ Self-Assessment).
  • Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" gesetzt werden.
  • Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" gesetzt werden.

Angefordert (nur bei Typ Self-Assessments)

  • Wird die Überprüfung durch den Lead-Auditor angefordert, wird Sie in den Status "Angefordert" gesetzt. Die Interviewpartner werden über eine E-Mail aufgefordert die Überprüfung durchzuführen.
  • Der Interviewpartner kann nach der Durchführung durch Klicken auf "Überprüfung absenden" den Status auf "beantwortet" setzen.

Beantwortet (nur bei Typ Self-Assessments)

  • Wird die Überprüfung durch den Interviewpartner mit "Überprüfung absenden" retourniert, wird Sie in den Status "Beantwortet" gesetzt. Die Auditoren werden durch eine E-Mail aufgefordert die Beantwortung zu kontrollieren.
  • Sie kann durch "Beantwortung anfordern" wieder in den Status "Angefordert" versetzt werden. Der Interviewpartner muss seine Beantwortung überarbeiten.
  • Sie kann durch "Überprüfung deaktivieren" wieder in den Status "Entwurf" versetzt werden (Nur die Auditoren werden darüber informiert).
  • Sie kann durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt werden.

Geschlossen

  • Wird die Überprüfung durch "Überprüfung abschließen" in den Status "Geschlossen" versetzt, ist sie schreibgeschützt und sie kann nicht mehr bearbeitet werden.

Löschen einer Überprüfung

  • Durch "Überprüfung Löschen" können Sie Überprüfungen, die noch nicht abgeschlossen sind, löschen.
  • Achtung: Durch das Löschen werden die durch diese Überprüfung angelegten Prüfobjekte sowie bereits zu Risiken zugewiesene Abweichungen ebenfalls gelöscht!

Überprüfungstyp wechseln (Interview <=> Self-Assessment)

Der Typ der Überprüfung kann nur im Status "Entwurf" geändert werden.

Wurde der falsche Typ eingestellt und die Überprüfung aktiviert, muss die Überprüfung zuerst durch "Überprüfung deaktivieren" in den Status "Entwurf" zurückgesetzt werden.

Prüfobjekte

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Prüfobjekte, die im Zuge von Überprüfungen im aktuellen Managementsystem angelegt wurden.

Übersicht der Prüfobjekte


Durch Klicken auf ein Prüfobjekt, öffnet sich die Detailansicht.

Prüfobjekt bearbeiten


Hier sehen Sie, wie das Prüfobjekt beantwortet wurde. Ebenso kann, wenn mehrere Versionen des Prüfobjektes vorhanden sind, angesehen werden, wie sich die Beurteilung des Prüfobjektes von einer Version zur nächsten entwickelt hat. Nur die Kopfdaten eines Prüfobjektes sind über diese Maske bearbeitbar. Das heißt diese Maske kann nicht zum Beantworten eines Prüfobjektes verwendet werden.

Teil-Automatische Neubewertung initiieren

Durch die Umsetzung von Maßnahmen, kann es passieren, dass Prüfobjekte zur Teil-Automatischen Neubewertung vorgeschlagen werden. Dies geschieht immer dann, wenn die Maßnahme entweder im Zuge einer Überprüfung für ein Prüfobjekt angelegt wurde oder mit einem Prüfobjekt verknüpft, der "nachher" Wert der Schwachstellenreduktion gesetzt wurde und die Maßnahme umgesetzt wird. Wird eine Maßnahme umgesetzt, werden die verknüpften Prüfobjekte mit "Neubewertung empfohlen" markiert.

Damit nicht ständig, wenn eine Maßnahme umgesetzt wurde, eine neue Überprüfung durchgeführt werden muss, bietet HITGuard die Möglichkeit eben diese markierten Prüfobjekte einer teil-automatischen Neubewertung zu unterziehen. D.h. es wird von HITGuard automatisch ein Update der Abweichung der jeweiligen Prüffragen der Prüfobjekte vorgenommen. Dabei werden die Prüffragen, die durch die Umsetzung von Maßnahmen betroffen sind auf den "nachher" Wert der Schwachstellenreduktion gesetzt.

Durchführung:

  1. Prüfobjekt auswählen.
  2. Orangen Pfeil "Teil-Automatische Neubewertung initiieren" klicken.
  3. Abweichungen, die zu aktualisieren sind, auswählen.
  4. Orangen Pfeil "Neubewertung für ausgewählte Abweichungen durchführen" klicken.
Teil-Automatische Neubewertung


Abweichungen

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Abweichungen, die bei der Durchführung von Überprüfungen festgestellt wurden.

Übersicht der Abweichungen


Durch die Spalten "Maßnahme fehlt", "Zielwert fehlt", "Zielwert zu niedrig" lässt sich herausfinden, gegen welche Abweichungen noch nichts oder zu wenig unternommen wurde. Diese Abweichungen werden im Raster mit einem Tag versehen. Hat eine Abweichung keinen Tag, heißt das, dass versucht wird die Abweichung zu beheben.

Hier haben Sie die Möglichkeit Abweichungen, die noch keiner Gefährdungslage zugewiesen wurden, einer solchen zuzuweisen.

Durch Doppelklicken auf eine Abweichung öffnet sich die Überprüfung an der Stelle, wo die Abweichung festgestellt wurde. Hier können nun Maßnahmen und Kontrollen zur Abweichung festgelegt werden. Mehr dazu unter Prüffragen beantworten.

Target Score Gewichtung

Was der Target Score ist und wo er eingestellt wird, finden Sie unter Managementsysteme. Überall dort wo Abweichungen vorkommen, gibt es eine zusätzliche Form der Sortierung: Die Target Score Gewichtung. Dies ist beispielsweise unter "Risikomanagement → Schwachstellen → Abweichungen" möglich.

Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Target Score Gewichtung. Je größer die Abweichung vom Target Score und je größer die Gewichtung des Schutzzieles ist, desto größer ist die Target Score Gewichtung: Target Score Gewichtung = Abweichungsgrad * Gewichtung des Schutzzieles.

Anmerkung: Eine Beantwortung mit "Nein" entspricht Reifegrad 1, "Teilweise" entspricht Reifegrad 3.

Beispiele zur Veranschaulichung: Gewichtung des Schutzzieles: Mittel (3)

  • Reifegrad der Abweichung = 2, Zielreifegrad = 4 => Abweichungsgrad = 2, Target Score Gewichtung = 2 * 3 = 6.
  • Reifegrad der Abweichung = 4, Zielreifegrad = 4 => Abweichungsgrad = 0, Target Score Gewichtung = 0 * 3 = 0.
Zielreifegrad Gewichtung anwenden


Abklärungsbedarf

Unter "Risikomanagement → Schwachstellen → Überprüfungen | Prüfobjekte | Abweichungen | Abklärungsbedarf" finden Sie alle Prüffragen / Prüfergebnisse, die im Zuge einer Überprüfung mit "Abklärungsbedarf" gekennzeichnet wurden.

Übersicht der abklärungsbedürftigen Prüffragen / Prüfergebnisse


Diese Kennzeichnung ist in der Praxis notwendig, wenn Sie bei der Beantwortung einer Prüffrage noch nicht abklären können, wie die Frage zu beantworten ist. Dies kann vorkommen, wenn Sie beispielsweise noch eine andere Person hinzuziehen oder die Information anderweitig nachrecherchieren müssten. Im Anschluss an eine Reihe von Überprüfungen wird ausgewertet, welche Fragen noch recherchiert werden müssen. Genau dazu dient die Ansicht „Abklärungsbedarf“.

Wird auf eine Prüffrage/Prüfergebnis geklickt, wird man zu dieser weitergeleitet.

Es ist ebenso möglich, eine Auflistung alle abklärungsbedürftigen Prüffragen/Ergebnisse über den Export Button zu exportieren (neben der Suchleiste). Dadurch erhält man eine einfach verwendbare Auflistung der abklärungsbedürftigen Prüffragen.

Abgerufen von „https://userguide.hitguard.de/index.php?title=Schwachstellen/de&oldid=21065
Zuletzt geändert
Diese Seite wurde zuletzt am 9. August 2022 um 09:14 Uhr bearbeitet.