Release-Vorstellung 23/R1
Datum und Inhalt der Veranstaltung
Am Freitag, den 12. Mai 2023, beginnt die Auslieferung des neuen Releases 23/R1 der Software ibi systems iris an unsere Kunden. Als Vorbereitung darauf stellten wir unseren Kunden im Rahmen einer Online-Release-Vorstellung alle Neuerungen des Releases vor.
Dabei präsentierten wir unseren Kunden nicht nur die zahlreichen neuen Features, sondern zeigten ihnen anhand realer Use Cases auch direkt den Nutzen der Feature-Highlights auf. Hierbei stellten wir zunächst vor, wie durch die Nutzung von Prüfautomationen Assessments um dynamische Inhalte ergänzt sowie durch regelbasierte Maßnahmenvorschläge flexibel gehalten werden können. Daneben zeigten wir, wie durch den Einsatz der neuen Prüfungsplanung zur automatischen Erstellung von Prüfungen Zeit bei der unternehmensübergreifenden Auditplanung gespart werden kann.
Am Ende gab es noch einen Ausblick auf die Planung der zukünftigen Architektur unserer Software.
Agenda
11. Mai 2023
| 09:00 – 09:15 | Get-together und Begrüßung Pascal Jonietz, Geschäftsführer, ibi systems GmbH |
| 09:15 – 10:00 | Aktuelle Insights zum Release Dr. Christian Ritter, Leiter Produktmanagement, ibi systems GmbH |
| 10:00 – 10:30 | Live-Demo Teresa Geiger, Produktmanagerin, ibi systems GmbH |
| 10:30 – 10:45 | Kaffeepause |
| 10:45 – 12:00 | Vorstellung neuer Use Cases Dynamischer Application Security Check — So halten Sie Ihre Prüfinhalte flexibel Stefan Minack, Information Security Officer, ibi systems GmbH Effizientes Internes Kontrollsystem — Sparen Sie Zeit durch die Auditplanung Stefan Minack, Information Security Officer, ibi systems GmbH |
| 12:00 – 12:15 | Sneak Peek auf iris.next Dr. Christian Ritter, Leiter Produktmanagement, ibi systems GmbH |
| ab 12:15 | Offene Fragen und Diskussion |
Auslieferung und Highlights
Das Release 23/R1 zeichnet sich insbesondere durch die nachfolgenden Feature-Highlights aus:
Vereinheitlichung der Prüfautomationen und Erweiterung um dynamische Prüfinhalte
Die Prüfautomationen bei den Prüfungen und Prüfvorlagen wurden vereinheitlicht und um die Möglichkeit der Definition
von dynamischen Prüfinhalten ergänzt. Darüber hinaus ist die Liste der zu einer Prüfung bzw. Prüfvorlage definierten Prüfautomationen nun nicht mehr unter dem Reiter Prüfinhalt, sondern unter einem eigenen Reiter zu finden.
Die Grundlage der neuen vereinheitlichten Prüfautomationen stellt die Regeldefinition mit beliebig vielen Bedingungen dar. Als Bedingung kann festgelegt werden, dass bei der Prüfungsdurchführung das Ergebnis einer Kontrolle einen vordefinierten (Ziel-)Wert annimmt oder von ihm abweicht, oder ein definierter Status (nicht) eintreten soll. Zudem können mehrere Bedingungen mithilfe der Funktionen UND und ODER verschachtelt werden.
Werden die Bedingungen erfüllt, können drei Arten von Automationen ausgelöst werden: Dynamische Prüfinhalte, Anpassung betroffener Elemente sowie Maßnahmenempfehlungen.
Im Rahmen der neuen dynamischen Prüfinhalte können Kontrollen und Prüfblöcke ausgewählt werden, die bei Eintritt der definierten Automationsregel im Wizard der Prüfungsdurchführung angezeigt werden. Ohne Feuern der Automation sind diese Kontrollen bzw. Prüfblöcke bei der Prüfungsdurchführung für den Prüfer nicht sichtbar.
Bei der Anpassung betroffener Elemente kann für die mit der Prüfung verknüpften Assets und Prozesse ausgewählt werden, wie der Schutzbedarf welches Schutzzieles automatisch angepasst werden soll. Der Schutzbedarf für die Assets oder Prozesse kann entweder aus dem Ergebnis einer Kontrolle übernommen oder auf einen vordefinierten Wert gesetzt werden.
Hinsichtlich der Maßnahmenempfehlungen können verschiedene Maßnahmen ausgewählt werden, die dem Benutzer bei Eintritt der Bedingung vorgeschlagen werden sollen. Hierbei kann ausgewählt werden, ob die Maßnahmenempfehlungen für die Prüfung insgesamt oder nur bei einzelnen Kontrollen vorgeschlagen werden sollen. Ein Überblick über alle in der Prüfung vorkommenden Maßnahmenempfehlungen ist auf der Übersichtsseite der Prüfung im Widget Empfehlungen zu finden, wo ausgewählte Maßnahmenempfehlungen durch einen Klick hergeleitet werden können. Wurde die Checkbox für die automatische Übernahme bei Prüfungsabschluss gesetzt, werden die Maßnahmenempfehlungen automatisch hergeleitet, sobald die Prüfung abgeschlossen wurde. Alle hergeleiteten Maßnahmen sind im Widget Maßnahmen direkt über dem Widget Empfehlungen zu sehen.
Prüfaktivitäten zur automatischen Prüfungsplanung
Unter dem Reiter Prüfungen gibt es mit dem neuen Release einen neuen Untereintrag Prüfaktivitäten. Hier haben Sie die Möglichkeit, anstehende Prüfungen bereits im Voraus zu planen und festzulegen, wann die entsprechenden Prüfungen automatisch erstellt werden sollen. Bei der Planung können sowohl statische als auch dynamische Datensatzinhalte festgelegt werden, die in den erzeugten Prüfungen automatisch hinterlegt werden.
Zuerst kann bestimmt werden, aus welcher Prüfvorlage die Prüfungen erzeugt werden sollen. Der Prüfungstyp, die Prüfmethode, die Prüfgruppe, die Bezeichnung, die Dokumente und die Beschreibung werden bei Auswahl der Prüfvorlage vorbelegt und können angepasst bzw. ergänzt werden. Sowohl die eben aufgeführten Attribute als auch die allgemein definierten betroffenen Elemente werden automatisch in die Stammdaten der erzeugten Prüfungen übernommen.
Als nächstes können Assets, Prozesse oder Organisationseinheiten als Prüfobjekte festgelegt werden. Für jedes ausgewählte Prüfobjekt wird bei Fälligkeit der Prüfaktivität eine eigene Prüfung automatisch aus der Prüfvorlage erzeugt. Bei jeder der erzeugten Prüfungen ist automatisch jeweils das relevante Prüfobjekt als betroffenes Element (zusätzlich zu den allgemein definierten) hinterlegt.
Sowohl für die Verantwortlichkeit der zukünftigen Prüfungen als auch bei der Zuweisung von Prüfungsabschluss durch, Prüfer und Reviewer gibt es ein statisches und ein dynamisches Feld zur Auswahl von zuzuweisenden Benutzern oder Organisationseinheiten. Bei der statischen Auswahl können direkt Benutzer oder Organisationseinheiten ausgewählt werden, welche für alle automatisch erzeugten Prüfungen übernommen werden. Mithilfe der dynamischen Zuweisung können zuständige Benutzer oder Organisationseinheiten in den zukünftigen Prüfungen automatisch abhängig von den jeweiligen Zuständigkeiten der gewählten Prüfobjekte belegt werden.
In der Prüfaktivität kann zudem angegeben werden, mit wieviel zeitlichem Vorlauf die Prüfungen vor dem eigentlichen Beginn des Prüfzeitraums erstellt werden sollen. Darüber hinaus kann neben der Dauer des Prüfzeitraums eingestellt werden, ob die Prüfungen einmalig oder als Serientermin angelegt werden sollen und in welchem Turnus die serienmäßige Erstellung gegebenenfalls erfolgen soll.
Außerdem können weitere Einstellungen für die in der Zukunft erstellten Prüfungen vorgenommen werden. Es kann beispielsweise festgelegt werden, ob die Prüfungen für Prüfer nur ab Beginn ihrer individuellen Prüfzeiträume sichtbar sind oder ob der Prüfungszeitraum automatisch gesetzt wird.
Alle Prüfungen, die aus der Prüfaktivität erzeugt wurden, können auf der Übersichtsseite der Prüfaktivität im Widget Prüfungen gesehen werden. Die automatische Erstellung der Prüfungen findet immer in der Nacht vor dem gewählten Prüfungserstellungszeitpunkt statt.
Ergebnisabhängiges Kommentarpflichtfeld bei Kontrollen
Bei der Erstellung einer Kontrolle bzw. Kontrollvorlage kann bestimmt werden, ob der Kommentar zu einer Kontrolle bei der Prüfungsdurchführung immer erforderlich ist oder ob er abhängig von Ergebnis oder Status der Kontrolle verpflichtend ist. Diesbezüglich kann eingestellt werden, dass der Kommentar entweder erforderlich ist, wenn der Status der Kontrolle als Nicht zutreffend angegeben wird oder wenn das Ergebnis der Kontrolle kleiner als der Zielwert ist.
Wird bei der Prüfungsdurchführung kein Kommentar angegeben, obwohl er erforderlich wäre, erscheint eine Fehlermeldung mit dem Hinweis auf die Erforderlichkeit des Kommentars.
Weitere Features
Neben den erwähnten Highlights enthält das Release noch eine große Menge an weiteren neuen Funktionen, die vor allem der Verbesserung des Prüfungsbereichs und der Usability dienen.
