In the course of a review, there can be an uncertainty regarding the answer to a review question. Sometimes further queries arise for them that can’t be answered right away. These review questions can be marked with “Clarification needed”. They are then listed in the overview under Risk management → Vulnerabilities → Clarification needed and can be worked through uncomplicatedly.

More on the Clarificatio needed tag can be found under Vulnerabilities → Clarification needed.

Eine Abweichung stellt einen Unterschied zum gewünschten Target Score dar, der in einer Abweichungsanalyse oder einem Prüfergebnis erkannt wird. Generell handelt es sich dabei um Untererfüllungen, die dann als Risiken dargestellt oder zu solchen zusammengefasst werden und mit Maßnahmen behandelt und behoben werden können. Auch Übererfüllungen werden erkannt, diese können im Chancenmanagement nützlich sein.

In einer Abweichungsanalyse wird mithilfe eines Assistenten ein Prüffragenkatalog aus einer Wissensdatenbank beantwortet, wodurch Abweichungen vom angestrebten Score erkannt werden. Sie kann als Interview durchgeführt oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Es ist auch möglich, im Rahmen eines Interviews neue Prüfobjekte zu erstellen.

Eine Akte wird für eine oder mehrere eingegangene Meldungen im Fallmanagement erstellt und unterstützt das Support Team dabei, die gemeldeten Probleme zu lösen, Umstände zu klären und Vorfälle zu behandeln. Neben den dazugehörigen Meldungen können auch Überprüfungen, Gefährdungslagen, Maßnahmen und Kontrollen mit der Akte verknüpft werden.

Eine Analysezeitraum dient dazu, verschiedene Elemente eines Managementsystems auswert- und vergleichbar zu machen. Anhand verschiedener KPIs am Dashboard können die Analysezeiträume einander gegenübergestellt und miteinander verglichen werden.

Analysezeiträume werden durch Experts im Managementsystem definiert und manuell oder in festgelegten Intervallen überführt. Jeder Analysezeitraum hat ein Start- und ein Enddatum, einen Target Score und es können die enthaltenen Organisationseinheiten festgelegt werden. Für die Maßnahmenverfolgung wird zusätzlich ein Redaktionsschluss festgelegt, damit Fortschrittsmeldungen zeitgerecht eingeholt werden können.

Mehr zu Analysezeiträumen finden Sie unter Administration → Managementsysteme.

Zur vereinfachten Planung von Auditprogrammen und Audits können Organisationseinheiten, die thematisch oder regional beieinander liegen und daher gemeinsam oft gemeinsam auditiert werden, in Clustern zusammengefasst werden.

Mehr zu Auditclustern finden Sie unter Auditmanagement → Auditcluster.

Bei Beobachtern handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

Beim Compliance Manager handelt es sich in HITGuard um eine Benutzerrolle.

Mehr zu Benutzerrollen finden Sie unter Administration → Benutzer/Benutzerrollen.

OrgUnit or organizational units map the structure of a company. A company usually consists of several organizational units that participate in the individual processing steps, which in turn take place in one or more organizational units. The creation and processing of data in these organizational units during the individual process steps is predominantly IT-supported using IT systems. In HITGuard, the process steps occurring in the OrgUnit as well as the data and resources used in the process can be mapped with the Structure Analysis.

Beim Prüfergebnis werden mithilfe eines Assistenten Fragenkataloge und deren Antworten in HITGuard eingepflegt, die nicht aus einer Wissensdatenbank stammen. Die Prüfobjekte und Prüffragen können nach einer Überprüfung vollständig beantwortet erfasst, in einem Interview gemeinsam bearbeitet, oder dem Verantwortlichen und/oder Interviewpartner zum Self Assessment übermittelt werden. Beispielsweise können so die Inhalte eines externen Audits dokumentiert und in Auswertungen miteinbezogen werden.

Die Risikopolitik ist ein Konglomerat aus Parametern und Einstellungen für das Risikomanagement in HITGuard. Dazu gehören beispielsweise die Schutzziele, Schadensausmaße, Eintrittswahrscheinlichkeiten oder auch die Risikomatrix. Unter Risikomanagement > Risikopolitik können diese und mehr Faktoren für alle Managementsysteme konfiguriert werden, um den maximalen Nutzen aus den verschiedenen Analysen und Workflows im Risikomanagement ziehen zu können.

Mehr zur Risikopolitik finden Sie unter Risikomanagement → Risikopolitik.

RPO or Recovery Point Objective indicates how much data loss can be accepted. The RPO specifies the period of time that can elapse between two data backups. In other words, the maximum amount of data/transactions that can be lost between the last backup and the system failure. If no data loss is acceptable, the RPO is 0 seconds.

RTO or Recovery Time Objective specifies how long a business process/system may be down. The RTO specifies the time that may pass from the time of damage until the complete recovery of the business processes (recovery of: Infrastructure - Data - Reprocessing of data - Resumption of activities) may pass. The time period can range from 0 minutes (systems must be available immediately) to several days, in some cases weeks.

Der Sachbearbeiter ist jener Benutzer, dem vom Verantwortlichen die Bearbeitung einer Aufgabe in den verschiedenen Modulen HITGuards zugewiesen wird. Für viele Elemente, wie Risiken oder Verarbeitungstätigkeiten, werden sowohl Verantwortlicher wie auch Sachbearbeiter festgelegt, um Arbeit delegieren zu können.

If a review, protection needs analysis or processing activity in HITGuard is of the Self Assessment type, then this means that this activity is to be carried out by the officer or interviewee, for example. The responsible party can then request a response to the activity from the case worker or interview partner. The clerk or interview partner answers this and returns it to the responsible person. The latter can then check and accept the response or request a new response.

Es gibt in HITGuard drei Arten von Überprüfungen:

1. Abweichungsanalysen
2. Schutzbedarfsanalysen
3. Prüfergebnisse

Der Umsetzer wird bei Kontrolldefinitionen festgelegt. Es ist jener Benutzer, der die Kontrolle durchführt, nachdem sie auslöst, und sie dann zur Prüfung retourniert. Mehr zu Kontrollen finden Sie unter Kontrolldefinitionen.

Für die verschiedenen Elemente in HITGuard kann eine (oder mehrere) verantwortliche Person oder ein (oder mehrere) verantwortliches Team festgelegt werden. Bei Elementen der Stammdaten (z.B. Ressourcen oder Organisationseinheiten) ist der Verantwortliche rein informativ und aktuell nicht aktiv in Workflows involviert. Bei Elementen der verschiedenen Managementmodule ist der Verantwortliche auch in Workflows involviert. Beispielsweise implementiert er eine Maßnahme und meldet deren Fortschritt, überprüft Risiken und Verarbeitungstätigkeiten und sieht Überprüfungen unter Meine Aufgaben.

Die Rolle des Verantwortlichen für jedes Element ergibt sich aus dem Kontext bzw. kann auf der jeweiligen Seite in der Online Hilfe nachgeschlagen werden.

Eine Wirksamkeitsprüfung dient dazu festzustellen, ob die Umsetzung einer Maßnahme kurz- oder auch langfristig den gewünschten Effekt erzielt hat. Dies wird in Form einer Folgemaßnahme überprüft, die sich mit dem neuen Ist-Zustand auseinandersetzt.

Eine Wissensdatenbank ist ein Katalog von Prüffragen, anhand dessen Compliance und Score festgestellt werden können. Wissensdatenbanken können von TogetherSecure als Abonnement bezogen oder direkt im Tool frei erstellt werden.

Mehr zu Wissensdatenbanken finden Sie unter Administration → Wissensdatenbanken.