Release Notes

eGRC News

Nützliche Neuerungen des Managementsystem
für Sie auf einen Blick.

September 2021 | Release Notes

Dank Automatisierung zu mehr Effizienz.

Alle Neuerungen in der Anwendung eGRC haben etwas gemeinsam: Automatisierung wird genutzt, um Prozesse fehlerfrei und effizient zu gestalten – zu Ihrem Vorteil!

Automatisierung
Integration
Intelligenz

Alle Neuerungen im Detail:

Auslagerungsmanagement

Zur Steuerung und Risikobewertung Ihrer Lieferanten, Dienstleister und Partner, steht Ihnen ab sofort das neue Modul Auslagerungsmanagement zur Verfügung. Über einen hinterlegten und individualisierbaren Workflow haben Sie so die schnelle und einfache Möglichkeit Ihre Lieferanten und Dienstleister nach verschiedenen Kriterien zu bewerten.

  • neues Modul Auslagerungsmanagement

Compliancemanagement

Mit dieser Version wird das neue Modul Compliancemanagement eingeführt. Hier finden Sie sowohl die externen Vorgaben (Regularien), als auch die Möglichkeit Anwendbarkeitserklärungen zu unterschiedlichen Regularien zu erstellen. 

  • neues Modul Compliancemanagement

Überstimmen von Risiken

Um eine noch differenzierte Risikobewertung durchzuführen, können Risiken vom jeweiligen Risikoeigentümer ab sofort neu bewertet oder die aus dem verknüpften Asset abgeleiteten Schadenswerte überstimmt werden. Dies wird selbstverständlich wie gewohnt lückenlos am Risiko dokumentiert, so dass zu jederzeit eine vollständige und transparente Historie sichergestellt ist.

  • Bewertung oder Überstimmen von Risiken

Planungsinstrument für das Informationsmanagementsystem

Ihr Informationssicherheitsbudget und auch der Personalbedarf können nun selbst definiert und vollständig geplant sowie bewertet werden. Die Nachhaltung der gesetzten und erreichten Ergebnisse sind wie gewohnt transparent dokumentiert. Dazu haben wir ergänzende Kennzahlen kreiert, welche im Dashboard auch in den Berichten angewandt werden können.

  • neu: Planungsinstrument

Zuordnungsmanagement Regularien / Richtlinien

Durch die neu designte Übersicht der Verknüpfung zwischen Vorgaben („Regularien“) und Fragen („Richtlinien“), erhalten Sie die zentrale Information darüber, ob alle externen Vorgaben durch Ihre internen Richtlinien abgedeckt sind.
Damit kann der Umsetzungsgrad von externen Vorgaben ermittelt werden und auf dem Dashboard durch die hierzu definierte Kennzahl dargestellt werden.

  • Übersicht der Verknüpfung zwischen Vorgaben und Fragen

Neue Systemkennzahlen

Da die Steuerung des Unternehmens von großer Relevanz ist, tragen wir diesem durch neue systemische Kennzahlen Rechnung. Neben den bereits zuvor genannten Kennzahlen „Richtlinienerfüllung“ und „Planungsdaten“ haben wir weitere relevante Kennzahlen aufgenommen wie beispielsweise den Verlauf der vergangenen 12 Monate von erkannten/gemeldeten – differenziert nach Kritikalität – Sicherheitsvorfällen.

  • neue relevante Kennzahlen

Sie wollen wissen, wie das Managementsystem embedded Governance Risk Compliance (eGRC) auch Ihrem Unternehmen zum Wachstum verhilft?

Unser Team freut sich auf Sie!
Kontaktieren Sie uns für mehr Informationen zu eGRC.

    Vergangene Release Notes

    Integration SAML 2.0 Login

    Wenn Sie in Ihrem Unternehmen bereits ein Single-Sign-On (SSO) per SAML in Verwendung haben, können Sie diesen Identity Provider ab sofort an eGRC anbinden. 

    Für weitere Details zur Einrichtung stehen wir wie gewohnt zur Verfügung. Sie erreichen uns unter support@goriscon.de. 

    Übersicht der benötigten Dokumentationen

    Für einen vollständigeren Überblick der benötigten Dokumentationen je Asset-Typ, wird ab dieser Version eine Liste an empfohlenen Dokumentationen bereitgestellt. Wie gewohnt können Sie diese Liste jederzeit auf Ihre Bedürfnisse anpassen.

    Unabhängiger Start neuer Aufgaben

    Es können nun zu jeder Zeit neue Aufgaben gestartet werden.  

    Als neues Prüfkriterium kommt hinzu, ob es für ein Asset noch eine offene Aufgabe gibt. Solange dies der Fall ist, kann für dieses Asset keine neue Aufgabe erstellt werden. 

    Delegation von Aufgaben

    Da es vorkommt, dass eine Aufgabe nicht direkt vom Ergebnis– oder Durchführungsverantwortlichen bearbeitet werden soll oder kannhaben wir die Möglichkeit bereitgestellt, eine Aufgabe an eine weitere Person zu delegieren. Dies kann auch bei der QS-Instanz angewandt werden.

    Erweiterung der Schutzziele

    Die bisherigen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, können um folgende weitere Schutzziele ergänzt werden:

    Authentizität | Patientensicherheit | Behandlungseffektivität | Datenminimierung | Transparenz | Nichtverkettbarkeit | Intervenierbarkeit | Belastbarkeit.

    Standardmäßig sind nur die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit aktiviert.

    Außerdem können die Bezeichnungen der vier Schutzbedarfsklassen (Gering, Mittel, Hoch, Sehr hoch) flexibel angepasst werden.

    Überarbeitung Selfassessment

    Das Selfassessment wurde weiter optimiert und um eine Filterfunktion erweitert. Unter anderem muss eine Dokumentation nicht mehr in allen Fällen ergänzt werden, sondern nur noch bei erfolgter Umsetzung.

    Um die Bearbeitung noch effizienter zu gestalten, können die gestellten Fragen sowohl über das gesamte Selfassessment (Filter-Button links, oberhalb der Fragen) oder auf Richtlinien-Ebene nach dem Beantwortungsstatus gefiltert werden. So können z.B. nur noch offene, bzw. noch nicht beantwortete Fragen angezeigt werden.

    Kennzeichnung „rechnungsrelevanter Daten“

    Neben den bekannten Kennzeichnungen von Assets in Bezug auf die Verarbeitung von „personenbezogenen Daten“ oder von „Geschäftsgeheimnissen“ haben wir die neue Kennzeichnung „rechnungslegungsrelevanter Daten“ eingeführt. Damit sind alle Assets mit einer Relevanz zur GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) schneller identifizierbar und hinsichtlich der notwendigen Asset-Dokumentation gezielt auf die Anforderungen seitens der Finanzbehörden angepasst.

    Überarbeitung Maßnahmen

    Die Maßnahmen wurden um weitere Informationen ergänzt.

    Überdies wurde den Maßnahmen eine „ToDo“ – Funktion hinzugefügt. Damit können zu erledigende Maßnahmenschritte erfasst, dokumentiert und infolgedessen der Umsetzungsstatus einer Maßnahme eingesehen werden.

    Verzeichnis der Aufsichtsbehörden

    Die Liste der in Deutschland ansässigen Landesdatenschutzaufsichtsbehörden ist im System verfügbar.

    In diesem Zusammenhang kann dem Unternehmen ein Bundesland zugeordnet werden. Damit ist die Voraussetzung für eine automatische Verknüpfung mit der jeweiligen Datenschutzaufsichtsbehörde geschaffen.

    Anpassung an CI möglich

    Das Design der Anwendung kann nun an das farbliche CI des Unternehmens angepasst werden. Diese Funktion ist im Administrationsbereich verfügbar.

    Des Weiteren können im Administrationsbereich unter E-Mail-Konfiguration die durch das System automatisch generierten E-Mails (bei Anlage eines neuen Users, einer neuen Aufgabe etc.) inhaltlich konfiguriert werden.

    Bilder in Texte einfügen

    Wir haben den Texteditor um die Möglichkeit erweitert, Bilddateien in den Text einzubetten.

    Konfiguration zentraler Services

    Da unterschiedlichste Themen (z.B. Schwachstellenmanagement) in einem Unternehmen zentral gesteuert werden, wurden in der Anwendung die „zentralen Services“ eingeführt.

    Assets vom Typ „Prozess“ können als solche markiert und anschließend den weiteren Asset-Typen zugeordnet werden.

    Dies führt dazu, dass entsprechende Fragen im Selfassessment über den zentralen Service beantwortet werden und nicht für jedes einzelne Asset separat.

    Dienstleister

    Dienstleister können ab sofort deaktiviert werden. Wenn die Zusammenarbeit mit einem Dienstleister endet, kann der Status entsprechend angepasst werden. Dieser Dienstleister steht anschließend nicht mehr zur Auswahl.

    Sofern innerhalb der Anwendung mit mehreren Mandanten gearbeitet wird, können Dienstleister nun dem jeweiligen Mandanten zugeordnet werden.

    Neues UI

    Die Anwendung eGRC erscheint in einem komplett neuen und optimierten Design.

    Der verfügbare Platz auf Ihrem Monitor wird dabei optimal genutzt und Sie haben die wichtigsten Funktionen zu jeder Zeit im direkten Zugriff. Über die neue Informationszentrale („i“-Button im Header) erreichen Sie eine ausführlichere Version der Release Notes, in der Ihnen auch nochmal alle Änderungen der Benutzeroberfläche im Detail beschrieben werden.

    Asset Mitarbeiter

    Nicht nur Prozesse, Anwendungen etc. gehören zu den Kronjuwelen Ihres Unternehmens, sondern natürlich auch die Mitarbeiter.

    Deshalb steht Ihnen ab dieser Version der neue Asset-Typ „Mitarbeiter“ zur Verfügung.

    Außerdem wurden in diesem Rahmen die „Informationscluster“ und die „Dienstleister“ ebenfalls in den Bereich der Assets umgezogen und sind somit direkter erreichbar.

    Dokumente und deren Freigabeworkflow

    Im Bereich der Dokumente wurde der neue Dokumenten-Typ „Konzepte“ eingeführt.

    Außerdem wurde der Freigabeworkflow überarbeitet. Dieser bildet nun die gesamte Kommunikation zwischen dem Dokumenten-Verantwortlichen (Ergebnisverantwortlicher) und dem Autoren-Team (Durchführungsverantwortliche) ab.

    Workflowkonfiguration

    Der im Managementprozess hinterlegte Workflow kann nun an die individuellen Wünsche und Bedürfnisse im Unternehmen angepasst werden.

    So kann beispielsweise der genaue Freigabeprozess einer Aufgabe definiert werden. Außerdem werden dem User ausschließlich die Aufgaben angezeigt, bei denen er selbst aktiv tätig werden muss.

    Methoden zur Ermittlung des Business Impact

    Es stehen nun zwei Methoden zur Durchführung der Business Impact Analyse zur Verfügung. Die „Standard“ Methode entspricht dem bisherigen Ablauf und hat nur leichte optische Änderungen erfahren. In der „erweiterten“ Methode wurde die Ermittlung der maximal tolerierbaren Ausfallzeit angepasst. Für eine genaue Erläuterung der Methode dürfen Sie gerne jederzeit auf uns zukommen.

    Rollenkatalog

    Der für das Unternehmen notwendige Rollenkatalog kann nun direkt in der Anwendung angelegt und gepflegt werden.

    Hierzu wurde innerhalb des Systems die neue Rolle des „HR-Manager“ implementiert. Der zugeordnete User kann den für das Unternehmen gültigen Rollenkatalog erstellen und pflegen. Über das Symbol in der Statusleiste haben die User jederzeit Zugriff.

    Business Impact Analyse | Kritische Termine

    Im Rahmen der Durchführung einer Business Impact Analyse können Sie nun kritische Termine festlegen. An solchen kritischen Terminen muss das IT-Asset auf jeden Fall verfügbar sein. Diese Termine werden Ihnen auch in den Detailseiten beim Asset angezeigt. Um Planungen für Wartung / Update durchzuführen, steht eine Komplettübersicht der kritischen Termine bereit.

    Erweiterung der Risikomethodik

    Bereits in den letzten Versionen haben wir Schritt für Schritt unsere Methode zur Risikoermittlung verfeinert. In dieser Version haben wir einen Risikoscore auf Assetebene eingeführt. Damit können Sie schnell und transparent die für Ihr Unternehmen kritischsten Risiken auf einen Blick erkennen. Wie bei eGRC üblich sind jetzt die verbundenen Risiken zum Asset auch an diesem verfügbar.

    Übersicht von Assetbewertungen 

    Beim Starten eines neuen eGRC-internen-Managementprozesses erhalten Sie nun beim Anlegen neuer Aufgaben/Prozessstart eine genaue Übersicht darüber, welche Assets noch nicht angestoßen wurden. Damit unterstützen wir bei der Vereitelung möglicher Versäumnisse. Durch die in diesem Zuge mit eingeführte direkte Information über den Zeitpunkt der letzten Durchführung der Prozessaufgabe, kann kein Asset im Laufe des Prozesses doppelt betrachtet oder sogar vergessen werden.

    Neue Kennzahlen auf dem Dashboard

    Die Entwicklung von Kennzahlen für die Beurteilung des Risikos und des Umsetzungsrades schreitet weiter voran. In diesem Release werden neue Kennzahlen (KPI) hinsichtlich des Reifegrades Ihrer Assets und Richtlinien eingeführt, welche Ihnen auf einen Blick den aktuellen Status innerhalb Ihrer Organisation vermitteln.

    Auch die Liste der zehn größten Risiken für Ihr Unternehmen hat einen Platz auf dem Dashboard.

    Individualisierbarer Dokumentenexport

    Auf vielfachen Wunsch haben wir im Policy-Management (Dokumente) die Bereitstellung für eine externe Verwendung eingeführt. Zum einen besteht die Möglichkeit, das von der Anwendung generierte Dokument (PDF) mit Ihrem eigenen Logo zu versehen. Für weitere Verarbeitungen können die Dokumente in einem Microsoft Word Format exportiert werden.

    Neu definierte Leseansicht 

    In den Dokumenten können Informationen stehen, welche ausschließlich den verantwortlichen Personen zugänglich sein sollen. Diesem Sachverhalt sind wir nachgegangen und haben eine Detailansicht eingeführt. Damit sind nun die entsprechenden Leseberechtigungen auf Dokumentenebene einstellbar. Für alle User wurde eine vereinfachte und optisch optimierte Leseansicht hinzugefügt.

    Audit auf Knopfdruck

    Interne und externe Audits können über die Anwendung verwaltet werden. Interne Audits können digital durchgeführt werden. Alle Informationen, die Sie bisher bereits in der Anwendung dokumentiert haben, stehen Ihnen per Knopfdruck für die nächste Prüfung zur Verfügung!

    Geschäftsgeheimnisse schützen

    Sollte im Rahmen der Prozessanalysen durch die Software festgestellt werden, dass in einem Prozess oder in einer Anwendung Geschäftsgeheimnisse verarbeitet werden, so wird dieses Asset automatisch gekennzeichnet.

    Erweiterte Exportfunktion

    Sie haben ab sofort die Möglichkeit innerhalb der Anwendung alle Übersichtslisten in verschiedenen Dateiformaten exportieren.

    Log-In Funktionen

    Der Log-In in der Anwendung erscheint nicht nur in einem neuen Design, sondern auch mit einigen neuen Funktionen. So erhalten neu angelegte Benutzer automatisch eine Willkommens-E-Mail mit der Möglichkeit über einen Link direkt ihr Passwort zu vergeben.

    Außerdem haben Sie zukünftig die Möglichkeit nicht nur die im System fest hinterlegte Passwortkomplexität zu verwenden, sondern können diese an die in Ihrem Unternehmen vorgegebenen Richtlinien individuell anpassen.

    Automatisierte Risikoentscheidung

    Die im Rahmen des Selfassessment erkannten Abweichungen werden ab sofort automatisch mit dem Risikoakzeptanzniveau Ihres Unternehmens abgeglichen.

    Die darin enthaltenen Abweichungen werden in das Risikoinventar automatisch aufgenommen und bei den Verbleibenden entscheiden Sie über die Akzeptanz des Risikos. Sollten Sie sich dazu entscheiden, eine risikominimierende Maßnahme vorzunehmen, wird die Maßnahme automatisch für Sie angelegt.

    Freigabeworkflow

    Sowohl Leitlinien als auch Richtlinien sollten in Ihrem Unternehmen stets durch die Geschäftsleitung geprüft und freigegeben werden bevor diese unternehmensweit veröffentlicht werden. Ab dieser Version werden Sie dabei über einen Freigabeworkflow unterstützt, der automatisiert Aufgaben an die beteiligten Personen ausspielt und sämtliche Aktionen lückenlos dokumentiert.

    Weiterentwicklung der Gefährdungsanalyse

    Im Rahmen der Gefährdungsanalyse ordnen Sie Ihren Assets Gefährdungscluster (beispielsweise die „Elementar Gefährdungen des BSI“) zu.

    Zur effizienteren Handhabung werden die Gefährdungscluster nun nach dem jeweiligen Assettyp hinsichtlich Ihrer Relevanz vorselektiert.

    Sicherheitsbewusstsein schaffen:
    Anbindung an eLearning Plattform

    Durch die Anbindung an die eLearning Plattform Increase Your Skills können Sie Ihr Wissen zu den Themen Informationssicherheit und Datenschutz stetig erweitern und vertiefen.

    Transparente und mehrdimensionale Risikoübersicht durch erneuerte Matrix

    Aufbauend auf die Einführung der Gefährdungsstufen wurde die Risikomatrix den Gefährdungsstufen angepasst. Risiken werden entsprechend Eintrittswahrscheinlichkeit und des potenziellen Schadens in Kategorien dargestellt.

    Erweiterung der Wissensdatenbank:
    VDA/TISAX Katalog ab sofort integriert

    Als weiteres Framework wurde der VDA/TISAX Katalog integriert. Es ergänzt die bereits bestehenden Frameworks Europäische Datenschutzgrundverordnung, DIN ISO/IEC 27001,
    BSI IT-Grundschutz, etc.

    Übersichtlich und schnell zu finden:
    neue Aufrufmöglichkeit der Diagramm-Funktion

    Im Beschreibungsfeld der Assetübersicht haben Sie ab sofort die Möglichkeit zwischen der textuellen Beschreibung und dem hinterlegten Diagramm zu wechseln. Von hier gelangen Sie mit nur einem Klick zur Detailansicht des Diagramms.

    Erhöhte Usability durch
    das überarbeitete User Interface

    Zur besseren Handhabung wurde der Bereich Administration neu strukturiert. Des Weiteren wurden an vielen Stellen im System optische Überarbeitungen vorgenommen, um die Usability für aktive User weiter zu erhöhen.

    Asset-Übersicht 2.0:
    Fokussieren der Unternehmenswerte

    Assets und damit Ihre Unternehmenswerte rücken noch weiter in den Fokus von eGRC. Im ersten Schritt bedeutet dies für Sie, dass Sie zukünftig Assets immer und zu jeder Zeit über einen je Asset-Typ eigenen Menüpunkt im System erreichen können.

    Eintrittswahrscheinlichkeiten
    für Gefährdungen

    Der bisherige Schieberegler zur Bestimmung der Eintrittswahrscheinlichkeit wird durch einen für den Anwender simplen und kurzen Fragenkatalog ersetzt. Dieser besteht aus drei (bzw. bei durch äußere Einflüsse verursachte Gefährdung durch eine) Frage(n), die am Ende ein für Sie verwertbares Ergebnis ausgeben.

    Automatisierter E-Mail
    Versand neuer Aufgaben

    Mit Bereitstellung der neuen Version unserer Software eGRC erhalten Sie und Ihre Kollegen neue, anstehende Aufgaben nicht nur direkt in der Anwendung, sondern auch eine kurze, automatisierte Info per Mail an die von Ihnen im User hinterlegte Mailadresse.

    Datenschutzfolgeabschätzungen
    auf Klick!

    Artikel 35 EU-DSGVO verlangt von Verantwortlichen die Erstellung einer Datenschutzfolgeabschätzung bei einem “voraussichtlichen hohen Risiko” für die betroffene Person. Diese können Sie nun für jedes Asset, das personenbezogene Daten verarbeitet, per Knopfdruck generieren.

    Kleinere Anpassungen
    im Backend

    Um für Sie die Arbeit in unserer Software noch stabiler zu gestalten, haben wir einige kleinere Änderungen im Backend unserer Software vorgenommen.

    Open Telekom Cloud:
    die ideale Cloud für Ihre Anwendung

    Ab sofort steht Ihnen Ihre Umgebung in einer vollkommen neuen Infrastruktur zur Verfügung. Aufgrund von Sicherheitsaspekten, Datenschutz und Verfügbarkeit wurde die Anwendung eGRC zu einem neuen Partner umgezogen.

    Push-Nachrichten
    zum Schutz vor Datenpannen

    eGRC User werden ab sofort durch Push-Nachrichten bei anstehenden Aufgaben unterstützt. So werden beispielsweise Informationssicherheits- oder Datenschutzbeauftrage direkt per Push-Nachricht informiert, wenn eine potenzielle Datenpanne gemeldet wird.

    Effizientes Aufgabenmanagement
    durch direktes Adressieren von Assets

    Informationssicherheits- oder Datenschutzbeauftragte können Aufgaben gezielt an einzelne Assets adressieren. Dies ermöglicht es auch im Rahmen von Projekten den Prozess schnell und zielgerichtet zu durchlaufen, ohne alle anderen Assets erneut in die Analysen einzubeziehen.