TISAX® Kapitel 1.5.1
Inwieweit wird die Einhaltung der Informationssicherheit in Verfahren und Prozessen sichergestellt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
Es reicht nicht aus, Anforderungen an die Informationssicherheit zu definieren sowie Richtlinien zu erstellen und zu veröffentlichen. Es ist wichtig, regelmäßig deren Wirksamkeit zu überprüfen.
Anforderungen
- Muss
- Die Einhaltung von Richtlinien wird organisationsweit überprüft.
- Muss
- Prüfungen von Richtlinien und Verfahren der Informationssicherheit werden regelmäßig durchgeführt.
- Muss
- Korrekturmaßnahmen für mögliche Nicht-Konformitäten (Abweichungen) werden eingeleitet und verfolgt.
- Muss
- Die Einhaltung von Anforderungen der Informationssicherheit (z.B. technische Vorgaben) werden in regelmäßigen Abständen überprüft.
- Muss
- Die Ergebnisse der durchgeführten Überprüfungen werden aufgezeichnet und aufbewahrt.
- Sollte
- Ein Plan über Inhalt und Rahmenbedingungen (Zeitplan, Umfang, Kontrollen) der durchzuführenden Überrüfungen liegt vor.
Umsetzung
Einhaltung von Sicherheitsrichtlinien und -standards
Führungskräfte sollten kontinuierlich sicherstellen, dass die relevanten Sicherheitsrichtlinien, Standards und alle weiteren Anforderungen im Bereich der Informationsverarbeitung und zugehörigen Prozesse in ihrem Zuständigkeitsbereich eingehalten werden. Sie sollten Mechanismen zur Überwachung der Einhaltung der festgelegten Informationssicherheitsstandards identifizieren. Bei einer regelmäßigen und effizienten Überprüfung sollten automatisierte Bewertungs- und Berichterstattungstools in Betracht gezogen werden.
- Führungskräfte müssen einen Prozess etablieren, um festzustellen, wie die Einhaltung von Sicherheitsvorgaben überprüft wird.
- Berücksichtigen Sie automatische Tools zur Überwachung und Berichterstattung für regelmäßige Kontrollen.
- Bei Feststellung eines Nichtbefolgens:
- Halten Sie die Ergebnisse der Überprüfungen und Maßnahmen schriftlich fest.
- Melden Sie die Ergebnisse an zuständige Stellen, besonders wenn externe Prüfungen anstehen.
Überprüfung der Einhaltung von technischen Vorgaben
Technische Standards sollten primär mittels automatisierten Werkzeugen überprüft werden, die technische Berichte generieren, die anschließend durch Fachexperten analysiert werden. Als Alternative können manuelle Inspektionen mit der Hilfe von Software-Tools von qualifizierten Systemingenieuren vorgenommen werden.
- Nutzen Sie vorzugsweise automatische Werkzeuge, um technische Compliance-Berichte zu erstellen.
- Diese Berichte sollten von Technologieexperten ausgewertet werden.
- Manuelle Überprüfungen sind ebenfalls möglich, sollten aber von erfahrenen Systemingenieuren unter Zuhilfenahme geeigneter Tools durchgeführt werden.
- Bei Penetrationstests oder Sicherheitslückenanalysen ist Vorsicht geboten, da sie Systeme gefährden könnten.
- Solche Tests sollten sorgfältig geplant, dokumentiert und wiederholbar sein.Stellen Sie sicher, dass nur autorisierte Fachleute diese Überprüfungen durchführen oder beaufsichtigen.
Technische Konformitätsprüfungen zielen darauf ab, die korrekte Implementierung von Hardware- und Software-Kontrollen sicherzustellen und erfordern spezielle Fachkenntnisse. Sie können auch Penetrationstests und Schwachstellenanalysen umfassen, die von unabhängigen Experten durchgeführt werden. Ein solcher Test bietet jedoch nur einen Snapshot eines Systems zu einem bestimmten Zeitpunkt und ersetzt keine Risikobewertung.
Verwandte TISAX-Kapitel
- Kapitel 1.5.2 – Unabhängige Prüfung – ISMS extern überprüfen lassen.
- Kapitel 7.1.1 – Regulatorische Bestimmungen – Gesetzliche und vertragliche Compliance.
