TISAX® Kapitel 1.5.1 - Inwieweit wird die Einhaltung der Informationssicherheit in Verfahren und Prozessen sichergestellt?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt

Jetzt kostenlos Erstberatung vereinbaren

VDA ISA 5.1

Ziel

Es reicht nicht aus, Anforderungen an die Informationssicherheit zu definieren sowie Richtlinien zu erstellen und zu veröffentlichen. Es ist wichtig, regelmäßig die Wirksamkeit zu überprüfen.

Anforderungen (muss):

Die Einhaltung von Richtlinien wird organisationsweit überprüft.

Prüfungen von Richtlinien und Verfahren der Informationssicherheit werden regelmäßig durchgeführt.

Korrekturmaßnahmen für mögliche Nicht-Konformitäten (Abweichungen) werden eingeleitet und verfolgt.

Die Einhaltung von Anforderungen der Informationssicherheit (z. B. technische Vorgaben) werden regelmäßig überprüft.

Die Ergebnisse der durchgeführten Prüfungen werden aufgezeichnet und aufbewahrt.

Anforderungen (sollte):

Eine Planung über Inhalt und Rahmenbedingungen (Zeitplanung, Umfang, Kontrollen) der durchzuführenden Prüfungen liegt vor.

Referenz zu anderen Standards:

Referenz zu ISO 27001: A.18.2.2, A.18.2.3

Umsetzung

Einhaltung von Sicherheitsrichtlinien und -standards

Führungskräfte sollten kontinuierlich sicherstellen, dass die relevanten Sicherheitsrichtlinien, Standards und alle weiteren Anforderungen im Bereich der Informationsverarbeitung und zugehörigen Prozesse in ihrem Zuständigkeitsbereich eingehalten werden. Sie sollten Mechanismen zur Überwachung der Einhaltung der festgelegten Informationssicherheitsstandards identifizieren. Bei einer regelmäßigen und effizienten Überprüfung sollten automatisierte Bewertungs- und Berichterstattungstools in Betracht gezogen werden.

Führungskräfte müssen einen Prozess etablieren, um festzustellen, wie die Einhaltung von Sicherheitsvorgaben überprüft wird.

Berücksichtigen Sie automatische Tools zur Überwachung und Berichterstattung für regelmäßige Kontrollen.

Bei Feststellung eines Nichtbefolgens:

Halten Sie die Ergebnisse der Überprüfungen und Maßnahmen schriftlich fest.

Melden Sie die Ergebnisse an zuständige Stellen, besonders wenn externe Prüfungen anstehen.

Überprüfung der Einhaltung von technischen Vorgaben

Technische Standards sollten primär mittels automatisierten Werkzeugen überprüft werden, die technische Berichte generieren, die anschließend durch Fachexperten analysiert werden. Als Alternative können manuelle Inspektionen mit der Hilfe von Software-Tools von qualifizierten Systemingenieuren vorgenommen werden.

Nutzen Sie vorzugsweise automatische Werkzeuge, um technische Compliance-Berichte zu erstellen.

Diese Berichte sollten von Technologieexperten ausgewertet werden.

Manuelle Überprüfungen sind ebenfalls möglich, sollten aber von erfahrenen Systemingenieuren unter Zuhilfenahme geeigneter Tools durchgeführt werden.

Bei Penetrationstests oder Sicherheitslückenanalysen ist Vorsicht geboten, da sie Systeme gefährden könnten.

Solche Tests sollten sorgfältig geplant, dokumentiert und wiederholbar sein.Stellen Sie sicher, dass nur autorisierte Fachleute diese Überprüfungen durchführen oder beaufsichtigen.

Technische Konformitätsprüfungen zielen darauf ab, die korrekte Implementierung von Hardware- und Software-Kontrollen sicherzustellen und erfordern spezielle Fachkenntnisse. Sie können auch Penetrationstests und Schwachstellenanalysen umfassen, die von unabhängigen Experten durchgeführt werden. Ein solcher Test bietet jedoch nur einen Snapshot eines Systems zu einem bestimmten Zeitpunkt und ersetzt keine Risikobewertung.

TISAX® Anforderungen

TISAX® Kapitel 1.1.1 - Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?

TISAX® Kapitel 1.2.1 - Inwieweit wird in der Organisation Informationssicherheit gemanagt?

TISAX® Kapitel 1.2.2 - Inwieweit sind die Verantwortlichkeiten für Informationssicherheit organisiert?

TISAX® Kapitel 1.2.3 - Inwieweit werden Informationssicherheitsanforderungen in Projekten berücksichtigt?

TISAX® Kapitel 1.2.4 - Inwieweit sind die Verantwortlichkeiten zwischen organisationsfremden IT-Service-Anbietern und der eigenen Organisation definiert?

TISAX® Kapitel 1.3.1 - Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?

TISAX® Kapitel 1.3.2 - Inwieweit werden Informationswerte hinsichtlich ihres Schutzbedarfs klassifiziert und gemanagt?

TISAX® Kapitel 1.3.3 - Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene organisationsfremde IT-Dienste zum Verarbeiten von Informationswerten der Organisation eingesetzt werden?

TISAX® Kapitel 1.4.1 - Inwieweit werden Informationssicherheitsrisiken gemanagt?

TISAX® Kapitel 1.5.1 - Inwieweit wird die Einhaltung der Informationssicherheit in Verfahren und Prozessen sichergestellt?

TISAX® Kapitel 1.5.2 - Inwieweit wird das ISMS von einer unabhängigen Instanz überprüft?

TISAX® Kapitel 2.1.1 - Inwieweit wird die Eignung von Mitarbeitern für sensible Tätigkeitsbereiche sichergestellt?

Beispiellose Cyber Security, die wirtschaftlich ist.

Jetzt kontaktieren

LEISTUNGEN

INFO

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close