TISAX® Kapitel 1.1.1 - Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?

Die Organisation benötigt mindestens eine Richtlinie für Informationssicherheit. Diese spiegelt die Wichtigkeit und Bedeutung der Informationssicherheit wider und ist an die Organisation angepasst. Weitere Richtlinien können je nach Organisationsgröße und -struktur sinnvoll sein.

TISAX® Kapitel 1.2.1 - Inwieweit wird in der Organisation Informationssicherheit gemanagt?

Nur wenn Informationssicherheit in den strategischen Zielen einer Organisation verankert ist, kann Informationssicherheit nachhaltig in einer Organisation umgesetzt werden. Das Informationssicherheitsmanagementsystem (ISMS) ist ein Steuerungsinstrument für die Organisationsleitung, mit dem sie sicherstellt, dass Informationsicherheit nicht nur ein Ergebnis von Zufällen und individuellem Engagement, sondern von nachhaltigem Management ist.

TISAX® Kapitel 1.2.2 - Inwieweit sind die Verantwortlichkeiten für Informationssicherheit organisiert?

Ein erfolgreiches ISMS benötigt klare Verantwortlichkeiten in der Organisation.

TISAX® Kapitel 1.2.3 - Inwieweit werden Informationssicherheitsanforderungen in Projekten berücksichtigt?

Für die Durchführung von Projekten ist es wichtig, die Informationssicherheitsanforderungen zu berücksichtigen. Dies gilt für Projekte innerhalb der Organisation, unabhängig von der Art des Projekts. Durch eine geeignete Verankerung des Informationssicherheitsprozesses in den Projektmanagementverfahren der Organisation wird sichergestellt, dass keine Anforderungen übersehen werden.

TISAX® Kapitel 1.2.4 - Inwieweit sind die Verantwortlichkeiten zwischen organisationsfremden IT-Dienstleistern und der eigenen Organisation definiert?

Es ist wichtig, dass ein gemeinsames Verständnis der Verantwortungsaufteilung existiert und die Umsetzung aller Sicherheitsanforderungen sichergestellt wird. Bei der Nutzung von organisationsfremden IT-Dienstleistern und IT-Diensten sind deshalb die Verantwortlichkeiten bezüglich der Umsetzung von Maßnahmen zur Informationssicherheit festzulegen und nachweisbar zu dokumentieren.

TISAX® Kapitel 1.3.1 - Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?

Für jede Organisation ist es wichtig, die Informationen zu kennen, die einen wesentlichen Wert für sie darstellen (z.B. Geschäftsgeheimisse, kritische Geschäftsprozesse, Know-How, Patente). Diese werden als Informationswerte bezeichnet. Durch eine Inventarisierung wird sichergestellt, dass die Organisation einen Überblick über ihre Informationswerte erhält. Darüber hinaus ist es wichtig, die Informationsträger (z. B. IT-Systeme, Services/IT-Dienste, Mitarbeiter) zu kennen, welche diese Informationswerte verarbeiten.

TISAX® Kapitel 1.3.2 - Inwieweit werden Informationswerte hinsichtlich ihres Schutzbedarfs klassifiziert und gemanagt?

Das Ziel einer Klassifizierung von Informationswerten ist die beständige Ermittlung ihres Schutzbedarfs. Zu diesem Zweck wird der Wert der Information für die Organisation auf Basis der Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) ermittelt und in ein Klassifizierungsschema eingeordnet. Dies ermöglicht der Organisation die Umsetzung von angemessenen Schutzmaßnahmen.

TISAX® Kapitel 1.3.3 - Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene organisationsfremde IT-Dienste zum Verarbeiten von Informationswerten der Organisation eingesetzt werden?

Insbesondere bei organisationsfremden IT-Diensten, die mit verhältnismäßig geringen Kosten oder kostenfrei genutzt werden können, besteht ein erhöhtes Risiko, dass die Beschaffung und Inbetriebnahme ohne geeignete Berücksichtigung der Informationssicherheitsanforderungen erfolgt und somit die Sicherheit nicht sichergestellt wird.

TISAX® Kapitel 1.4.1 - Inwieweit werden Informationssicherheitsrisiken gemanagt?

Ziel des Informationssicherheits-Risikomanagements ist das rechtzeitige Erkennen, Bewerten und Behandeln von Risiken zur Erreichung der Schutzziele der Informationssicherheit. Es befähigt damit die Organisation, angemessene Maßnahmen zum Schutz ihrer Informationswerte unter Abwägung der damit verbundenen Chancen und Risiken zu etablieren. Es wird empfohlen, das Informationssicherheits-Risikomanagement einer Organisation so einfach wie möglich zu gestalten, um es effektiv und effizient betreiben zu können.

TISAX® Kapitel 1.5.1 - Inwieweit wird die Einhaltung der Informationssicherheit in Verfahren und Prozessen sichergestellt?

Es reicht nicht aus, Anforderungen an die Informationssicherheit zu definieren sowie Richtlinien zu erstellen und zu veröffentlichen. Es ist wichtig, regelmäßig deren Wirksamkeit zu überprüfen.

TISAX® Kapitel 1.5.2 - Inwieweit wird das ISMS von einer unabhängigen Stelle überprüft?

Als wesentliches Kontrollwerkzeug reicht es nicht aus, die Wirksamkeit des ISMS ausschließlich von einem internen Standpunkt aus zu bewerten. Es muss zusätzlich in regelmäßigen Abständen und bei wesentlichen Änderungen eine unabhängige und damit objektive Bewertung eingeholt werden.

TISAX® Kapitel 1.6.1 - Inwieweit werden für die Informationssicherheit relevante Ereignisse oder Beobachtungen gemeldet?

Mögliche Sicherheitsereignisse oder -beobachtungen werden von jedermann erkannt. Es ist entscheidend, dass jedermann bekannt ist, wann und wie eigene Beobachtungen, die mögliche Sicherheitsauswirkungen haben, oder Ereignisse zu melden sind, so dass die Experten entscheiden können, ob und wie damit umzugehen ist.

TISAX® Kapitel 2.1.1 - Inwieweit wird die Eignung von Mitarbeitern für sensible Tätigkeitsbereiche sichergestellt?

Kompetente, verlässliche und vertrauenswürdige Mitarbeiter sind ein Schlüssel für die Informationssicherheit in der Organisation. Daher ist es wichtig, die Eignung potenzieller Mitarbeiter (z.B. Bewerber) in einen angemessenen Maß zu überprüfen.

TISAX® Kapitel 2.1.2 - Inwieweit werden alle Mitarbeiter vertraglich zur Einhaltung der Informationssicherheitsrichtlinien verpflichtet?

Für Organisationen gelten Gesetze, Vorschriften und interne Richtlinien. Bereits bei der Einstellung von Mitarbeitern muss sichergestellt werden, dass sich Mitarbeiter zur Einhaltung der Richtlinien verpflichten und ihnen die Folgen eines Fehlverhaltens bewusst sind.

TISAX® Kapitel 2.1.3 - Inwieweit werden Mitarbeiter hinsichtlich der Risiken beim Umgang mit Informationen geschult und sensibilisiert?

Wenn die Anforderungen und Risiken der Informationssicherheit bei den Mitarbeitern nicht bekannt sind, besteht das Risiko, dass sich Mitarbeiter falsch verhalten und damit der Organisation ein Schaden entsteht. Daher ist es wichtig, dass Informationssicherheit als selbstverständlicher Teil ihrer Tätigkeit verinnerlicht ist und gelebt wird.

TISAX® Kapitel 2.1.4 - Inwieweit ist mobiles Arbeiten geregelt?

Beim Arbeiten außerhalb der speziell dafür festgelegten Sicherheitszonen (mobiles Arbeiten) entstehen Risiken, die entsprechende Schutzmaßnahmen erfordern.

TISAX® Kapitel 3.1.1 - Inwieweit werden Sicherheitszonen für den Schutz von Informationswerten gemanagt?

Sicherheitszonen dienen dem physischen Schutz von Informationswerten. Je sensibler die zu verarbeitenden Informationswerte sind, desto mehr Schutzmaßnahmen sind erforderlich.

TISAX® Kapitel 3.1.3 - Inwieweit ist der Umgang mit Informationsträgern gemanagt?

Informationsträger unterliegen während ihres Lebenszyklus (z.B. Nutzung, Entsorgung) Risiken wie z.B. in Bezug auf Verlust, Diebstahl oder der unberechtigten Einsichtnahme.

TISAX® Kapitel 3.1.4 - Inwieweit ist der Umgang mit mobilen IT-Geräten und mobilen Datenträgern gemanagt?

Mobile IT-Geräte (z.B. Notebooks, Tablets, Smartphones) und mobile Datenträger (z.B. SD-Cards, Festplatten) werden in der Regel nicht nur in den Räumlichkeiten einer Organisation verwendet, sondern auch mobil eingesetzt. Dies führt zu einem erhöhten Risiko in Bezug auf z.B. Verlust oder Diebstahl.

TISAX® Kapitel 4.1.1 - Inwieweit ist der Umgang mit Identifikationsmitteln verwaltet?

Um die Berechtigung sowohl für den physischen als auch elektronischen Zugang zu überprüfen, werden oftmals Identifikationsmittel wie Schlüssel, Sichtausweise, weitere physische Zugriffsgeräte und auch kryptographische Tokens verwendet. Die Schutzmerkmale sind nur dann verlässlich, wenn der Umgang mit solchen Identifikationsmitteln adäquat gehandhabt wird.

TISAX® Kapitel 4.1.2 - Inwieweit wird der Zugang von Benutzern zu IT-Diensten und IT-Systemen gesichert?

Nur sicher identifizierte (authentifizierte) Bentuzer sollen Zugang zu IT-Systemen erhalten. Dafür wird die Identität eines Benutzers durch geeignete Verfahren sicher festgestellt.

TISAX® Kapitel 4.1.3 - Inwieweit werden Benutzerkonten und Anmeldeinformationen sicher verwaltet und angewendet?

Der Zugang zu Informationen und IT-Systemen erfolgt über validierte Benutzerkonten, welche einer Person zugeordnet sind. Es ist wichtig, dass Anmeldeinformationen geschützt werden und die Rückverfolgbarkeit von Transaktionen und Zugriffen sichergestellt wird.

TISAX® Kapitel 4.2.1 - Inwieweit werden Zugriffsrechte vergeben und verwaltet?

Das Management von Zugriffsrechten stellt sicher, dass nur berechtigte (autorisierte) Benutzer Zugriff auf Informationen und IT-Services haben. Zu diesem Zweck werden den Benutzerkonten Zugriffsrechte zugewiesen.

TISAX® Kapitel 5.1.1 - Inwieweit wird die Nutzung kryptografischer Verfahren verwaltet?

Beim Einsatz von kryptografischen Verfahren ist es wichtig, Risiken im Bereich Verfügbarkeit (verlorenes Schlüsselmaterial) wie auch Risiken durch falsch angewendete Verfahren im Bereich Integrität und Vertraulichkeit (schlechte Algorithmen/Protokolle oder unzureichende Schlüsselstärken) zu berücksichtigen.

TISAX® Kapitel 5.1.2 - Inwieweit werden Informationen während der Übertragung geschützt?

Werden Informationen über öffentliche oder private Netzwerke übertragen, können diese unter Umständen von unberechtigten Dritten mitgelesen oder verändert werden. Daher müssen Anforderungen an den Schutzbedarf der Informationen ermittelt und durch Ergreifen geeigneter Maßnahmen während einer solchen Übertragung umgesetzt werden.

TISAX® Kapitel 5.2.1 - Inwieweit werden Änderungen verwaltet?

Das Ziel ist es sicherzustellen, dass bei allen Änderungen in der Organisation, von Geschäftsprozessen und an IT-Systemen (Änderungsmanagement) Aspekte der Informationssicherheit berücksichtigt werden, damit diese Änderungen nicht zu einer ungeregelten Verringerung des Informationssicherheitsniveaus führen.

TISAX® Kapitel 5.2.2 - Inwieweit sind Entwicklungs- und Testumgebungen von Produktivumgebungen getrennt?

Das Ziel einer Trennung der Entwicklungs-, Test- und Produktivumgebungen ist es sicherzustellen, dass die Verfügbarkeit, Vertraulichkeit und Integrität von produktiven Daten aufrechterhalten werden.

TISAX® Kapitel 5.2.3 - Inwieweit werden IT-Systeme vor Schadsoftware geschützt?

Das Ziel ist es, den Schutz von IT-Systemen vor Schadsoftware sowohl technisch als auch organisatorisch sicherzustellen.

TISAX® Kapitel 5.2.4 - Inwieweit werden Ereignisprotokolle aufgezeichnet und analysiert?

Ereignisprotokolle unterstützen die Rückverfolgbarkeit von Ereignissen im Falle eines Sicherheitsvorfalls. Dies setzt voraus, dass Ereignisse, die zur Ermittlung der Ursachen notwendig sind, aufgezeichnet und gespeichert werden. Darüber hinaus ist die Protokollierung und Analyse von Aktivitäten entsprechend der geltenden Gesetzgebung (z. B. Datenschutz- oder Betriebsverfassungsgesetz) erforderlich, um festzustellen, welches Benutzerkonto Änderungen an IT-Systemen vorgenommen hat.

TISAX® Kapitel 5.2.5 - Inwieweit werden Schwachstellen erkannt und behandelt?

Schwachstellen erhöhen das Risiko von IT-Systemen, Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität nicht erfüllen zu können. Zu den Möglichkeiten für Angreifer, sich Zugiff zum IT-System zu verschaffen oder dessen Betriebsstabilität zu gefährden, gehört die Ausnutzung von Schwachstellen.

TISAX® Kapitel 5.2.6 - Inwieweit werden IT-Systeme und -Dienste technisch überprüft (System- und Dienst-Audit)?

Das Ziel von technischen Überprüfungen ist die Erkennung von Zuständen, die zu einer Gefährdung der Verfügbarkeit, Vertraulichkeit oder Integrität von IT-Systemen und -Diensten führen können.

TISAX® Kapitel 5.2.7 - Inwieweit wird das Netzwerk der Organisation verwaltet?

IT-Systeme in einem Netzwerk sind unterschiedlichen Risiken ausgesetzt oder haben einen unterschiedlichen Schutzbedarf. Um einen ungewollten Datenaustausch oder -Zugriff zwischen diesen IT-Systemen zu erkennen oder zu unterbinden, werden diese in geeignete Segmente unterteilt, und der Zugriff wird durch Sicherheitstechnologien gesteuert und überwacht.

TISAX® Kapitel 5.2.8 - Inwieweit ist eine Kontinuitätsplanung für IT-Dienste vorhanden?

Kontinuitäts- (einschließlich Kontingenz)-Planung für IT-Dienste ist Teil eines Gesamtprogramms zum Erreichen der Kontinuität des Betriebs für die Mission der Organisation und geschäftskritische Funktionen. In Kontinuitätsplänen behandelte Maßnahmen schließen die geregelte Leistungsverringerung des Systems (en: system degradation), einen System-Shutdown, den Rückgriff auf einen manuellen Modus, alternative Informationsströme und den Betrieb in Betriebsarten ein, die für das Auftreten eines Sicherheitsvorfalls vorbehalten sind.

TISAX® Kapitel 5.2.9 - Inwieweit wird die Sicherung und Wiederherstellung von Daten und IT-Diensten sichergestellt?

Daten und IT-Dienste können durch Ereignisse wie Hardwareausfälle, Softwarefehler, Fehler des Betreibers oder Angriffe nicht verfügbar werden. Die Sicherung und Wiederherstellung (en: backup and recovery) ermöglichen es Organisationen, sich von entsprechenden Situationen zu erholen und den möglichen Schaden für die Organisation auf ein hinnehmbares Maß zu begrenzen.

TISAX® Kapitel 5.3.1 - Inwieweit wird Informationssicherheit bei neuen oder weiterentwickelten IT-Systemen berücksichtigt?

Informationssicherheit ist ein fester Bestandteil über den gesamten Lebenszyklus von IT-Systemen. Dies umfasst insbesondere die Berücksichtigung von Anforderungen an die Informationssicherheit bei der Entwicklung oder Anschaffung von IT-Systemen.

TISAX® Kapitel 5.3.2 - Inwieweit sind Anforderungen an Netzwerkdienste definiert?

Netzwerkdienste haben unterschiedliche Anforderungen an die Informationssicherheit, Qualität der Datenübertragung oder Verwaltung. Es ist wichtig, diese Kriterien und den Nutzungsumfang der unterschiedlichen Netzwerkdienste zu kennen.

TISAX® Kapitel 5.3.3 - Inwieweit ist die Rückgabe und das sichere Entfernen von Informationswerten aus organisationsfremden IT-Diensten geregelt?

Um als Informationseigentümer die Hoheit über die Informationswerte sicherzustellen, ist es erforderlich, dass im Falle einer Beendigung des IT-Dienstes die Informationswerte wieder sicher entfernt werden können oder bei Bedarf zurückgegeben werden.

TISAX® Kapitel 5.3.4 - Inwieweit sind Informationen in gemeinsam genutzten organisationsfremden IT-Diensten geschützt?

Eine klare Trennung zwischen den einzelnen Mandanten muss sichergestellt sein, so dass die eigenen Informationen in organisationsfremden IT-Diensten jederzeit geschützt werden und dass verhindert wird, dass von weiteren Organisationen (Mandanten) auf sie zugegriffen wird.

TISAX® Kapitel 6.1.1 - Inwieweit wird die Informationssicherheit bei Auftragnehmern und Kooperationspartnern sichergestellt?

Es wird auch in der Zusammenarbeit mit Kooperationspartnern und Auftragnehmern ein angemessenes Informationssicherheitsniveau beibehalten.

TISAX® Kapitel 6.1.2 - Inwieweit ist Geheimhaltung beim Austausch von Informationen vertraglich vereinbart?

Geheimhaltungsvereinbarungen dienen dem rechtlichen Schutz von Informationen einer Organisation, insbesondere wenn diese über die Organisationsgrenzen hinaus ausgetauscht werden.

TISAX® Kapitel 7.1.1 - Inwieweit wird die Einhaltung regulatorischer und vertraglicher Bestimmungen sichergestellt?

Die Nichteinhaltung von gesetzlichen, regulatorischen oder vertraglichen Bestimmungen kann zu Risiken bezüglich der Informationssicherheit von Kunden und der eigenen Organisation führen. Daher ist es entscheidend sicherzustellen, dass diese Bestimmungen bekannt sind und eingehalten werden.

TISAX® Kapitel 7.1.2 - Inwieweit wird der Schutz von personenbezogenen Daten bei der Umsetzung der Informationssicherheit berücksichtigt?

Die Privatsphäre und der Schutz von personenbezogenen Daten werden, sofern zutreffend, entsprechend den Anforderungen von maßgebenden nationalen Gesetzen und Vorschriften bei der Umsetzung der Informationssichersicherheit berücksichtigt.

TISAX® Kapitel 8.1.1 - Inwieweit ist ein Sicherheitskonzept vorhanden, das Mindestanforderungen zur physischen und umgebungsbezogenen Sicherheit für den Prototypenschutz beschreibt?

Die erforderlichen Maßnahmen zum Prototypenschutz sind auf Liegenschaften und in Einrichtungen von Lieferanten, Entwicklungspartnern und Dienstleistern anzuwenden und umzusetzen. Ein Sicherheitskonzept ist vom jeweiligen Betreiber zu erstellen. Die Umsetzung und Einhaltung der im Sicherheitskonzept definierten Maßnahmen zur physischen und umgebungsbezogenen Sicherheit sind vom verantwortlichen Betreiber sicherzustellen.

TISAX® Kapitel 8.1.2 - Inwieweit ist Perimeterschutz vorhanden, der den unberechtigten Zutritt zu geschützten Objekten der Liegenschaften verhindert?

Der unberechtigte Zutritt zu Liegenschaften, in denen als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile hergestellt, bearbeitet oder gelagert werden, muss verhindert werden.

TISAX® Kapitel 8.1.3 - Inwieweit ist die Außenhaut der geschützten Gebäude in einer Form ausgeführt, die das Entfernen oder Öffnen von Außenhautkomponenten mit handelsüblichen Werkzeugen verhindert?

Der unberechtigte Zutritt in Gebäude / Sicherheitsbereiche, in denen als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile hergestellt, bearbeitet oder gelagert werden, ist zu verhindern.

TISAX® Kapitel 8.1.4 - Inwieweit wird der Sicht- und Einblickschutz in definierte Sicherheitsbereiche sichergestellt?

Es muss sichergestellt werden, dass der unberechtigte Einblick auf als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile verhindert wird.

TISAX® Kapitel 8.1.5 - Inwieweit ist der Schutz vor unbefugtem Betreten in Form einer Zugangskontrolle geregelt?

Es muss sichergestellt werden, dass alle Zugänge zu Sicherheitsbereichen, in denen als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile hergestellt, bearbeitet oder gelagert werden, mit angemessenen Maßnahmen vor unbefugtem Zutritt geschützt werden.

TISAX® Kapitel 8.1.6 - Inwieweit werden die zu sichernden Räumlichkeiten auf Einbruch überwacht?

Es muss sichergestellt werden, dass Räumlichkeiten, in denen als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile hergestellt, bearbeitet oder gelagert werden, auf Einbruch überwacht werden. Eine zeitnahe Alarmverfolgung ist sichergestellt.

TISAX® Kapitel 8.1.7 - Inwieweit ist ein dokumentiertes Besuchermanagement vorhanden?

Schutz vor unberechtigtem Zutritt zu Sicherheitsbereichen, in denen als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile hergestellt, bearbeitet oder gelagert werden, einschließlich einer rückverfolgbaren Dokumentation.

TISAX® Kapitel 8.1.8 - Inwieweit ist eine Mandantentrennung vor Ort gegeben?

Um sicherzustellen, dass das auftraggeberspezifische Know-How jederzeit geschützt wird, muss eine klare Trennung von Mandanten sichergestellt werden. Dies beinhaltet insbesondere den Schutz vor unberechtigtem Einblick und Zutritt in Bereiche, in denen als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile bearbeitet oder gelagert werden.

TISAX® Kapitel 8.2.1 - Inwieweit liegen vertragsrechtlich gültige Geheimhaltungsvereinbarungen/ -verpflichtungen vor?

Wenn als schutzbedürftig klassifizierte Informationen weitergegeben werden, muss sichergestellt werden, dass externe Organisationen verpflichtet sind, die Anforderungen an die Informationssicherheit zu erfüllen und dass die dafür notwendigen Maßnahmen umgesetzt sind. Die notwendige rechtliche Grundlage für diese Verpflichtung wird durch Geheimhaltungsvereinbarungen geschaffen. Daher muss sichergestellt werden, dass als schutzbedürftig klassifizierte Informationen nur dann weitergegeben werden, wenn eine derartige Geheimhaltungsvereinbarung rechtswirksam abgeschlossen wurde.

TISAX® Kapitel 8.2.2 - Inwieweit sind Vorgaben für die Beauftragung von Unterauftragnehmern bekannt und erfüllt?

Bei der Einbindung von Unterauftragnehmern müssen die Mindestanforderungen zum Prototypenschutz eingehalten werden.

TISAX® Kapitel 8.2.3 - Inwieweit werden Mitarbeiter und Projektbeteiligte bezüglich des Umgangs mit Prototypen nachweislich geschult und sensibilisiert?

Durch Schulungen/Sensibilisierungs-Seminare zum Prototypenschutz müssen die Mitarbeiter die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten im Umgang mit als schutzbedürftig klassifizierten Fahrzeugen, Komponenten und Bauteilen erwerben.

TISAX® Kapitel 8.2.4 - Inwieweit sind die Sicherheitseinstufungen des Projekts und die daraus resultierenden Maßnahmen zur Absicherung bekannt?

Es muss sichergestellt sein, dass jedem Projektbeteiligtem die Sicherheitseinstufung und die Sicherheitsvorgaben je nach Projektfortschritt bekannt sind und eingehalten werden.

TISAX® Kapitel 8.2.5 - Inwieweit ist ein Prozess zur Zutrittsvergabe in Sicherheitsbereiche definiert?

Es ist ein Prozess zum Schutz vor unberechtigtem Zutritt in Sicherheitsbereiche, in denen als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile hergestellt, bearbeitet oder gelagert werden, definiert.

TISAX® Kapitel 8.2.6 - Inwieweit sind Regelungen zur Bildaufzeichnung und zum Umgang mit erstelltem Bildmaterial vorhanden?

Regelungen zur Bildaufzeichnung von als schutzbedürftig klassifizierten Fahrzeugen, Komponenten oder Bauteilen sind zu definieren, um eine unberechtigte Erstellung oder Weitergabe von derartigem Bildmaterial zu verhindern.

TISAX® Kapitel 8.2.7 - Inwieweit ist ein Prozess für das Mitführen und die Nutzung von mobilen Video- und Fotogeräten in definierten Sicherheitsbereichen etabliert?

Ein Prozess für das Mitführen und die Nutzung von mobilen Video- und Fotogereäten in Sicherheitsbereichen, in denen als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile hergestellt, bearbeitet oder gelagert werden, ist definiert. Die unberechtigte Erstellung oder Weitergabe von Bildmaterial ist zu verhindern.

TISAX® Kapitel 8.3.1 - Inwieweit werden Transporte von als schutzbedürftig klassifizierten Fahrzeugen, Komponenten oder Bauteilen nach den Vorgaben des Auftraggebers abgewickelt?

Als schutzbedürftig klassifizierte Fahrzeuge, Komponenten und Bauteile sind auf dem Transportweg vor unberechtigter Einsichtnahme, unberechtigter Bildaufzeichnung und Zugriff zu schützen.

TISAX® Kapitel 8.3.2 - Inwieweit ist sichergestellt, dass als schutzbedürftig klassifizierte Fahrzeuge, Komponenten und Bauteile den Vorgaben des Auftraggebers entsprechend abgestellt/gelagert werden?

Als schutzbedürftig klassifizierte Fahrzeuge, Komponenten und Bauteile sind während des Abstellen/ der Lagerung vor unberechtigter Einsichtnahme, unberechtigtem Fotografieren und Zugriff zu schützen.

TISAX® Kapitel 8.4.1 - Inwieweit werden die vorgegebenen Regelungen zur Tarnung von den Projektbeteiligten umgesetzt?

Es muss sichergestellt sein, dass jedem Projektbeteiligtem die Regelungen zur Tarnung bekannt sind und eingehalten werden, um einen angemessenen Sichtschutz auf Versuchssfahrzeuge sicherzustellen.

TISAX® Kapitel 8.4.2 - Inwieweit werden Maßnahmen für den Schutz von freigegebenem Test- und Erprobungsgelände eingehalten/umgesetzt?

Zur Aufrechterhaltung eines störungsfreien und abgesicherten Versuchsbetriebs auf Test- und Erprobungsgelände sind die jeweils vom Auftraggeber definierten Schutzmaßnahmen einzuhalten.

TISAX® Kapitel 8.4.3 - Inwieweit werden die Schutzmaßnahmen für freigegebene Test- und Erprobungsfahrten in der Öffentlichkeit eingehalten/umgesetzt?

Es ist sicherzustellen, dass die jeweiligen Vorgaben des Auftraggebers für den Betrieb von als schutzbedürftig klassifizierten Versuchssfahrzeugen auf öffentlichen Straßen bekannt sind und eingehalten werden.

TISAX® Kapitel 8.5.1 - Inwieweit sind die Sicherheitsvorgaben für Ausstellungen und Veranstaltungen mit als schutzbedürftig klassifizierten Fahrzeugen, Komponenten oder Bauteilen bekannt?

Es ist sicherzustellen, dass die jeweiligen Sicherheitsvorgaben des Auftraggebers für Ausstellungen und Veranstaltungen mit als schutzbedürftig klassifizierten Fahrzeugen, Komponenten oder Bauteilen bekannt sind.

TISAX® Kapitel 8.5.2 - Inwieweit sind die Schutzmaßnahmen für Film- und Fotoshootings mit als schutzbedürftig klassifizierten Fahrzeugen, Komponenten oder Bauteilen bekannt?

Es ist sicherzustellen, dass die jeweiligen Sicherheitsvorgaben des Auftraggebers für Film- und Fotoshootings mit als schutzbedürftig klassifizierten Fahrzeugen, Komponenten oder Bauteilen bekannt sind.

TISAX® Kapitel 9.1.1 - Inwieweit sind Richtlinien zum Datenschutz vorhanden?

Die Organisation benötigt mindestens eine Richtlinie zum Datenschutz. Diese spiegelt die Wichtigkeit und Bedeutung des Datenschutzes wider und ist an die Organisation angepasst. Weitere Richtlinien können je nach Organisationsgröße und -struktur sinnvoll sein.

TISAX® Kapitel 9.2.1 - Inwieweit sind die Verantwortlichkeiten für Datenschutz organisiert?

Ein erfolgreicher Datenschutz benötigt klare Verantwortlichkeiten in der Organisation.

TISAX® Kapitel 9.3.1 - Inwieweit werden Verarbeitungen identifiziert und erfasst?

Das Unternehmen erfüllt seine Rechenschafts- und Transparenzpflicht und schafft sich so eine Übersicht über die jeweiligen Datenverarbeitungen.

TISAX® Kapitel 9.4.1 - Inwieweit wird der Umgang mit risikoreichen Verarbeitungen sichergestellt (Datenschutzfolgenabschätzung)?

Der Umgang mit risikoreichen Verarbeitungen wird in Zusammenarbeit mit dem Dienstleister mit entsprechenden Maßnahmen abgesichert, um Risiken für die Rechte und Freiheiten der Betroffenen zu identifizieren und ggf. zu reduzieren.

TISAX® Kapitel 9.5.1 - Inwieweit ist die Übermittlung von Daten gemanagt?

Das Unternehmen kennt und sichert Datenübermittlungen ab.

TISAX® Kapitel 9.5.2 - Inwieweit werden vertragliche Vereinbarungen an Auftragnehmer und Kooperationspartner weitergegeben und deren Einhaltung überprüft?

Das Unternehmen kennt und sichert Datenübermittlungen an Unterauftragnehmer ab.

TISAX® Kapitel 9.5.3 - Inwieweit werden Datenübermittlungen an Drittländer gemanagt?

Das Unternehmen kennt und sichert Datenübermittlungen in Drittländer ab.

TISAX® Kapitel 9.6.1 - Inwieweit werden Betroffenenanfragen verarbeitet?

Das Ziel ist die Sicherstellung einer fristgerechten Bearbeitung und Erfüllung von Betroffenenanfragen, um die gesetzlich zugesicherten Betroffenenrechte zu wahren.

TISAX® Kapitel 9.6.2 - Inwieweit werden Datenschutzvorfälle verarbeitet?

Das Ziel der Bearbeitung von Datenschutzvorfällen soll sicherstellen, dass ein möglicher Schaden für die Betroffenen begrenzt und ein wiederholtes Eintreten verhindet wird. Zudem muss die gesetzlich erforderliche Dokumentation und ggf. fristgerechte Meldung an die Aufsichtsbehörde sichergestellt sein.

TISAX® Kapitel 9.7.1 - Inwieweit werden Mitarbeiter auf Vertraulichkeit verpflichtet?

Für Organisationen gelten Gesetze, Vorschriften und interne Richtlinien. Für die Beschäftigung (Einstellung/Durchführung/Beendigung) ist es wichtig, dass sich Mitarbeiter zur Einhaltung der Richtlinien verpflichten.

TISAX® Kapitel 9.7.2 - Inwieweit werden Mitarbeiter zum Datenschutz geschult?

Wenn die Anforderungen und die Risiken des Datenschutzes bei den Mitarbeitern nicht bekannt sind, besteht das Risiko, dass sich Mitarbeiter falsch verhalten und damit der Organisation ein Schaden entsteht. Daher ist es wichtig, dass Datenschutzes als selbstverständlicher Teil ihrer Tätigkeit verinnerlicht ist und gelebt wird.

TISAX® Kapitel 9.8.1 - Inwieweit ist der Umgang mit Weisungen in Auftragsverarbeitungsverhältnissen gemanaget?

Durch den geordneten und definierten Umgang mit Weisungen hinsichtlich der auftragsgegenständlichen Verarbeitung des Verantwortlichen soll sichergestellt werden, dass die Aufgaben des Auftragsverarbeiters erfüllt werden sowie dass der Auftragsverarbeiter die vorgesehenen und vertraglich vereinbarten Pflichten erfüllt (insbesondere auch zur Feststellung einer ggf. vorliegenden Überschreitung des vertraglich vereinbarten Rahmens).