HITGuard Release Februar 2023

Das Verhalten der Schutzbedarfsanalyse (SBA) in Bezug auf den Schreibschutz wurde angepasst. Bisher war es so, dass die Radio Buttons OrgEh/Prozess und die dazugehörige Auswahl der OrgEh/des Prozesses schreibgeschützt war, sobald man die SBA zum ersten Mal gespeichert hatte. Nun ist es so, dass erst dann, wenn im zweiten Schritt der SBA die Ressourcen/Business Services und Daten hinzugefügt sind, die Auswahl im ersten Schritt schreibgeschützt wird.

Bisher wurden unter Risikomanagement > Schwachstellen zwei Buttons für die Anlage von Abweichungsanalysen und Prüfergebnissen geführt. Dies wurde nun zu einem Button mit einer Dropdown Option zusammengefasst:

BILD

Ein wiederholt von unseren Kunden geäußerter Wunsch war die Erhebung von Informationen in Überprüfungen, die keiner gesonderten Bewertung unterliegen. D.h. es werden zu einem Themengebiet Informationen notiert (z.B. allgemeine Beschreibungen zu Abläufen oder der Ausgestaltung eines bestimmten Themenbereichs) ohne dass diese mit Gewichtungen, Antworten bzw. Feststellungsarten verknüpft werden. Diese Antworten werden eher für die Dokumentation und in Berichten benötigt. Sie können somit nun von den Auswertungen der Prüfergebnisse ausgenommen werden.

BILD

Prüfobjekte, die zu Themen aus der Wissensdatenbank mehrfach angelegt wurden, werden mit einer hochzählenden Nummerierung versehen. Zur besseren Übersichtlichkeit wird diese Nummerierung jetzt nur noch an die Bezeichnung angehängt, anstatt an Bezeichnung und Kürzel.

Unter Risikomanagement > Schwachstellen > Abweichungen findet sich die Abweichungsliste. Diese kann nun auf negative Abweichungen, positive Abweichungen bzw. keine Abweichungen gefiltert werden. Nutzen Sie dazu den Dropdown Button oben links.

BILD

Weiters gibt es eine neue Spalte, um den Fragentyp einblenden zu können. Dies kann dabei helfen, wenn Sie schnell herausfinden möchten, ob zusätzlich zum Fragenkatalog weitere Fragen in der Überprüfung erfasst wurden, die eine zukünftige Version der Wissensdatenbank ergänzen könnten.

Unter Risikomanagement > Berichte > Gefährdungslagen findet sich nun neben dem bereits bekannten Gefährdungslagenbericht ein Brutto-Netto-Risiko Bericht:

BILD

In diesem Bericht werden Details zur Entwicklung einer Gefährdungslage dargestellt. Der Fokus des Berichts liegt daher auf der Entwicklung vom Brutto- zum Nettorisiko, die durch Maßnahmen und Kontrollen beeinflusst wird. Wie gewohnt bietet auch dieser Bericht eine Menge an Berichtsoptionen, um den Detailgrad des generierten Ergebnisses steuern zu können.

Unter Risikomanagement > Berichte > Konformität > Nach Standards und Normen gibt es die Option "Gemappte Normkapitel inkludieren". Wenn Sie diese Option aktivieren, können Sie beispielsweise eine Auswertung Ihrer Normerfüllung nach ISO 27001:2022 generieren, auch wenn Sie bisher nur Prüfobjekte, die mit Normversion ISO 27001:2013 verknüpft sind, beantwortet haben. Denn auf Basis des Mappings, das von der ISO 27002:2022 auf die ISO 27002:2013 erfolgt, kann dieser Bericht auch die "alten Ergebnisse" Ihrer Bewertungen z.B. nach der WDB Informationssicherheitsmanagement nach ISO/IEC 27001:2013 V15 in die Analyse miteinbeziehen.

Dasselbe funktioniert auch umgekehrt. D.h. sollten Sie schon alle Ihre Auswertungen nach der ISO 27002:2022 durchgeführt haben, wollen aber eine Auswertung der Ergebnisse nach "der alten Norm" durchführen, dann können Sie einen derartigen Bericht hier ebenfalls generieren.

Die Termine, die im HITGuard Auditkalender geplant werden, können nun als ics-Datei heruntergeladen werden. Dabei stehen zwei Optionen zur Verfügung: der Termin kann als einfacher Kalendereintrag oder als Besprechungseintrag heruntergeladen werden. Im zweiten Fall werden die Teilnehmer bereits im Kalendereintrag vorbesetzt und somit kann der Termin sofort als Einladung zu einem Meeting genutzt werden.

Die Auswertung der Auditzeiten in Audittagen bzw. -stunden wurde in der Übersichtsliste der Audits aufgenommen. D.h. dass diese Informationen unter Auditmanagement > Auditplanung > Audits bzw. Auditmanagement > Auditplanung > Auditprogramm bearbeiten > Zugeordnete Audits eingeblendet werden kann, indem für diese Listen die Anzeige der Spalten „Audittage“ und „Auditstunden“ konfiguriert wird.

BILD

So kann auch mit der Verwendung von Filtern z.B. nach der Parteilichkeit im Audit eingeschränkt werden und es können ganz einfach die Zeiten externer oder interner Audits getrennt ermittelt werden. Jeder Tag, an dem eine Überprüfung geplant ist, zählt als Audittag. Sonstige Termine werden nicht in die Auditstunden eingerechnet. 2.3 Auditprogrammübersicht erweitert

Die Übersicht unter Auditmanagement > Auditplanung > Auditprogramme war hinsichtlich der dort einsehbaren Informationen bisher sehr spärlich gestaltet, vor allem im Vergleich zu den Informationsmöglichkeiten bei den Audits. Diese Spalten wurden daher nun ergänzt: Parteilichkeit, Status Auditprogramm, Status Auditprogrammbericht und Ersteller. Diese Erweiterung wurde ebenfalls bei der Übersichtsliste zum gleichnamigen Bericht ergänzt.

Die Option „Target Score am Deckblatt“ gab es bisher bei den Abweichungsanalyseberichten im Risiko- und Auditmanagement. Sie steht nun auch bei den folgenden Berichten zur Verfügung:

• Auditmanagement > Berichte > Audit
• Risikomanagement > Berichte > Konformität > Nach Überprüfungen
• Risikomanagement > Berichte > Konformität > Nach Standards und Normen

Das Fallmanagement erhält mit diesem Release die Möglichkeit, für einzelne oder mehrere Meldungen bzw. Akten Berichte zu generieren.

BILD

Mit Berichtsoptionen stehen Ihnen für beide Berichte mehrere Möglichkeiten zur Verfügung, die Inhalte an Ihre Bedürfnissen anzupassen (links: Optionen des Aktenberichts, rechts: Optionen des Meldungsberichts).

BILD

Für Maßnahmen wurde ein neues KPI „Maßnahmenfortschritt“ implementiert. Damit können Sie Fortschritte zwischen Analysezeiträumen nachvollziehen. Sie sehen den aktuellen Fortschritt über alle Maßnahmen und die Fortschrittsentwicklung im Vergleich zum vergangenen Analysezeitraum. Dabei können Sie auf einzelne Organisationseinheiten und Analysezeiträume einschränken. 

BILD

Bisher konnte einer Maßnahme zur Wirksamkeitsprüfung eine weitere Maßnahme zugewiesen werden. Diese Funktion wurde erweitert. Es kann nun auch eine Kontrolle als Wirksamkeitsprüfung einer Maßnahme zugewiesen werden.

BILD

Berichte zu den Maßnahmen und Kontrollen wurden aus dem Menüpunkt Risikomanagement > Berichte entfernt und auf die neuen Menüpunkte Maßnahmen > Berichte bzw. Kontrollen > Berichte aufgeteilt.

BILD

Neben dem bereits bekannten Fortschrittsbericht und dem Maßnahmenbericht zu Standard/Norm gibt es nun einen neuen allgemeinen Maßnahmenbericht, mit dem Details zu einzelnen oder mehreren Maßnahmen aufgelistet werden können. Dieser ist vergleichbar mit dem allgemeinen Kontrollbericht und umfasst eine Fortschrittsübersicht und die Möglichkeit, das Fortschrittsprotokoll zu den ausgewählten Maßnahmen im Bericht aufzunehmen.

Die Fortschritte zu Maßnahmen können in mehreren Berichten als Berichtsoption ausgewählt werden. Es kann der generelle Umsetzungsfortschritt mit der Option „Fortschrittsübersicht“ und das Protokoll der Fortschrittsmeldungen mit der Option „Fortschrittsprotokoll“ in den Bericht aufgenommen werden. Berichte mit dieser Option sind:

• Risikomanagement > Berichte > Gefährdungslagen
• Risikomanagement > Berichte > Brutto-Netto-Risiko
• Maßnahmen > Berichte > Maßnahmenbericht zu Standard/Norm
• Maßnahmen > Berichte > Maßnahmenbericht

In Berichten, die Informationen zu Maßnahmen enthalten, wird nun auch das Umsetzungsdatum von Maßnahmen im Status Erledigt angedruckt. Dies betrifft folgende Berichte:

• Maßnahmen > Maßnahmenbericht zu Standard/Norm
• Maßnahmen > Maßnahmenbericht
• Risikomanagement > Berichte > Gefährdungslagen > Allgemein
• Risikomanagement > Berichte > Gefährdungslagen > Brutto-Netto-Risiko

Die Maßnahmen- und Kontrollberichte wurden in ihrem Layout an die bereits vorhanden Berichte angepasst. Auch die Berichtsoptionen wurden über die Berichte hinweg vereinheitlicht.