Überprüfung

Im nachfolgenden Abschnitt, werden die einzelnen Punkte des ersten Schrittes einer Überprüfung erklärt.

Audit:

• Wird diese Überprüfung im Zuge eines Audits durchgeführt, können Sie hier das Audit mit der Überprüfung in Verbindung setzen. Entsteht die Überprüfung aufgrund eines Audits werden außerdem die Felder Hauptprüfer, Interviewpartner sowie Beginn und Enddatum vom Audit vorbesetzt. (Für mehr über Audits siehe Auditverwaltung)

OrgEh:

• Hier wird die Organisationseinheit eingetragen, welche für die Überprüfung zuständig ist.

Bezeichnung:

• Hier wird eingetragen, wie die Überprüfung bezeichnet werden soll.

Beschreibung:

• Hier sollten Kurz der Zweck der Überprüfung beschrieben werden.

Hauptprüfer:

• Hier wird der Hauptverantwortlichen einer Überprüfung festgelegt. Er / Sie wählt die Themenbereiche der Überprüfung aus, bestimmt weitere Prüfer, sowie Interviewpartner und fordert Beantwortungen von diesen an.

Weitere Prüfer:

• Sind Personen, die als Experten der jeweiligen Themenbereiche in ein Assessment miteinbezogen werden.

Interviewpartner:

• Mit ihnen werden im Verlauf einer Überprüfung Interviews über die Themen geführt. Im Zuge eines Self-Assessments werden Sie mit der Beantwortung der Prüffragen beauftragt. (siehe Typ)

Beginn und Enddatum:

• Hier tragen Sie die geplante Zeitspanne der Überprüfung ein.

Typ:

• Interview: Die Überprüfung wird gemeinsam mit dem Interviewpartner durchgeführt. Der Interviewpartner selbst kann an der Überprüfung nichts ändern, kann diese aber einsehen.
• Self-Assessment: Der Interviewpartner wird damit beauftragt Themen selbständig zu beantworten. Der Prüfer fordert über den "Beantwortung anfordern"-Button (wenn die Überprüfung aktiviert wurde) eine Beantwortung an und überprüft diese im Anschluss.

Änderungsprotokoll:

• Hier wird mit aufgezeichnet zu welchen Zeitpunkten die Überprüfung von wem bearbeitet wurde, wann Sie den Status gewechselt hat und wann Sie abgeschlossen wurde.

In diesem Punkt fügen Sie oder der Hauptprüfer die Prüfobjekte / Themen hinzu welche in der Überprüfung behandelt werden sollen.

Themen / Prüfobjekte können aus Wissensdatenbanken ausgewählt oder von Benutzern erstellt werden. Sie müssen unterscheiden ob es sich um eine Erstbewertung des Themas / Prüfobjekts handelt, oder ob ein Thema /Prüfobjekt in diesem Kontext schon einmal behandelt wurde. Dadurch entscheidet sich, ob Sie ein Thema / Prüfobjekt als Erstbewertung / Neuanlage hinzufügen oder als Neubewertung bereits existierender Prüfobjekte.

Hierfür wählen Sie zuerst die gewünschte Wissensdatenbank über das Dropdown im Tab "Erstbewertung mittels Wissensdatenbank". Danach wählen Sie alle Themen aus welche zum ersten mal im Kontext einer Überprüfung behandelt wurden. In der oberen Leiste sehen Sie alle Prüfobjekte welche bereits hinzugefügt worden sind und können diese auch wieder entfernen.

Um eine Neubewertung hinzuzufügen müssen Sie zuerst in den Tab "Neubewertung bestehender Prüfobjekte" wechseln. Hier können Sie dann auswählen welche Prüfobjekte oder Themen Sie einer Neubewertung unterziehen möchten. Haben Sie die Prüfobjekte und Themen ausgewählt, dann müssen Sie diese durch Klicken des "Ausgewählte Prüfobjekte einer Neubewertung unterziehen"-Buttons zur Überprüfung hinzufügen.

Im Tab "Neuanlage eines Prüfobjektes" können Sie ein Prüfobjekte ohne Wissensdatenbank erstellen. Wie mit Prüfobjekten ohne Wissensdatenbank umgegangen wird finden Sie unter Prüfobjekte ohne WDB

Hier werden alle Prüfobjekte welche der Überprüfung hinzugefügt wurden angeführt. Durch Klicken auf "Weiter" werden Sie in die Übersicht der einzelnen Prüfobjekte weitergeleitet, in der Sie alle zugeordneten Prüffragen und Prüfergebnisse sehen.

In dieser Ansicht werden die Kopfdaten des Prüfobjektes, sowie alle zugeordneten Prüffragen und Prüfergebnisse angedrückt. Hier besteht ebenso die Möglichkeit durch Klicken auf des "Plus"-Buttons zusätzliche Prüfergebnisse in das Prüfobjekt einzupflegen. Für mehr Informationen zu Prüfergebnissen siehe Prüfergebnisse einpflegen.

Es besteht die Möglichkeit, dass Prüfobjekt mit Entitäten zu verknüpfen. Dies sorgt dafür, dass alle Abweichungen des Prüfobjektes, mit all ihren Maßnahmen und Kontrollen, direkt mit den Entitäten verknüpft sind. Dadurch ist in der Entität und der Strukturanalyse sofort erkenntlich welche Gefährdungslagen eine Entität betreffen.

Hier werden Sie dazu aufgefordert die Prüffrage zu beantworten. Dabei unterscheidet sich ob die Frage mit Ja, Nein, Teilweise oder mit einem Reifegrad zu beantworten ist. Wie die Antwortmöglichkeiten ausfallen, wird von dem Fragebogen der Wissensdatenbank vorgegeben.

Sie können die Frage auf entbehrlich setzten wenn Sie für den Kontext der Überprüfung nicht nötig ist.

Auf der rechten Seite können sie die zugewiesenen Schutzziele gewichten sowie Evidenzen hochladen.

Handelt es sich bei dem Prüfobjekt um eine Neubewertung wird unter der Prüffrage angezeigt wie sie zuvor beantwortet wurde. Klicken Sie auf diese Beantwortung, öffnet sich die Beantwortungshistorie der Prüffrage. In dieser Historie sehen Sie wie diese in vorherigen Bewertungen beantwortet sowie die hinterlegten Evidenzen.

Abklärungsbedarf

Weiters können Sie Fragen mit "Abklärungsbedarf" kennzeichnen. Diese Kennzeichnung ist in der Praxis dann von Nöten, wenn Sie bei einer Prüffragenbeantwortung momentan nicht abklären können, wie die Frage zu beantworten ist, weil Sie z.B. noch eine andere Person hinzuziehen oder die Information anderweitig nachrecherchieren müssten. Im Anschluss an eine Reihe von Überprüfungen ist es praktisch einfach auswerten zu können, welche Fragen nun tatsächlich noch recherchiert werden müssen. Genau dazu dient die Ansicht „Abklärungsbedarf“ welche Sie unter "Risikomanagement → Schwachstellen → Abklärungsbedarf" finden.

Sie können hier Maßnahmen und/oder Kontrollen mit dieser Prüffrage verknüpfen.

Klicken Sie:

• Empfohlene Maßnahme erstellen, falls Sie eine für diese Prüffrage empfohlene Maßnahme erstellen möchten. (Nicht für alle Prüffragen verfügbar)
• Bestehende Maßnahme verknüpfen, wenn Sie eine bereits existierende Maßnahme verknüpfen möchten.
• Neue Maßnahme erstellen, falls Sie hierzu eine neue Maßnahme erstellen möchten.
• Empfohlene Kontrolle erstellen, falls Sie eine für diese Prüffrage empfohlene Kontrolle erstellen möchten. (Nicht für alle Prüffragen verfügbar)
• Bestehende Kontrolle verknüpfen, wenn Sie eine bereits existierende Kontrolle verknüpfen möchten.
• Neue Kontrolle erstellen, falls Sie hierzu eine neue Kontrolle erstellen möchten.

Schwachstellenreduktion

• Ist unter "Administration → Globale Einstellungen → Optionale Maßnahmeneigenschaften" die Schwachstellenreduktion aktiviert, so kann bei den verknüpften Maßnahmen angegeben werden, welche Auswirkungen ihre Umsetzung auf die Beantwortung der Prüffrage haben. Wird die Maßnahme umgesetzt, wird das Prüfobjekt unter "Risikomanagement → Schwachstellen → Prüfobjekte" zur automatischen Neubewertung vorgeschlagen.

Haben Sie nun alle Prüfobjekte beantwortet kommen Sie zum Punkt "Abweichungen behandeln". Auf dieser Seite werden alle Prüfobjekte welche Abweichungen haben mit ihren Abweichungen angezeigt. Abweichungen sind Prüffragen oder Prüfergebnisse welche mit Nein, Teilweise oder einem Reifegrad unter dem Soll-Reifegrad beantwortet wurden. Diesen Abweichungen können Sie hier nun Gefährdungslagen zuordnen.

Um eine Abweichung einer Gefährdungslage zuzuordnen gibt es 2 Möglichkeiten:

1. Über das Dropdown ein bereits existierende Gefährdungslage auswählen. Anschließend die Abweichungen welche Sie zu der Gefährdungslage zuordnen wollen auswählen und auf "Ausgewählte Abweichungen gewählter Gefährdungslage zuweisen" klicken.
2. Sie selektieren die gewünschten Abweichungen und klicken auf "Gefährdungslage zu Prüfgegenstand anlegen". Dadurch öffnet sich ein Dialog in dem Sie eine neue Gefährdungslage für die selektierten Abweichungen erstellen und zuweisen können.