VDA ISA 6.0.2

TISAX® Kapitel 1.2.1
Inwieweit wird in der Organisation Informationssicherheit gemanagt?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Nur wenn Informationssicherheit in den strategischen Zielen einer Organisation verankert ist, kann Informationssicherheit nachhaltig in einer Organisation umgesetzt werden. Das Informationssicherheitsmanagementsystem (ISMS) ist ein Steuerungsinstrument für die Organisationsleitung, mit dem sie sicherstellt, dass Informationsicherheit nicht nur ein Ergebnis von Zufällen und individuellem Engagement, sondern von nachhaltigem Management ist.

Anforderungen

Muss
Der Geltungsbereich (Scope) des ISMS (die vom ISMS gemanagte Organisation) ist festgelegt
Muss
Die Anforderungen der Organisation an das ISMS sind ermittelt
Muss
Die Organisationsleitung hat das ISMS beauftragt und freigegeben
Muss
Das ISMS stellt der Organisationsleitung geeignete Kontroll- und Steuerungsmittel zur Verfügung (z. B. Management-Review)
Muss
Anwendbare Maßnahmen wurden ermittelt (z.B. ISO 27001 Erklärung zur Anwendbarkeit, ausgefüllter ISA-Katalog).
Muss
Die Wirksamkeit des ISMS wird regelmäßig durch das Management überprüft.

Umsetzung

Verstehen der Organisation und ihres Kontextes

Um ein effektives Informationssicherheitsmanagementsystem (ISMS) zu implementieren, ist es unerlässlich, die Organisation und ihren Kontext zu verstehen. Dies beinhaltet die Identifizierung von internen und externen Themen, die für den Zweck der Organisation relevant sind und ihre Fähigkeit beeinflussen, die beabsichtigten Ergebnisse ihres ISMS zu erreichen.

Diese Themen könnten eine Vielzahl von Faktoren umfassen, von der Organisationsstruktur und Kultur bis hin zu gesetzlichen und regulatorischen Anforderungen und Markttrends. Die Bestimmung dieser Themen ist ein wichtiger Schritt zur Festlegung des Kontexts der Organisation, wie in ISO 31000:2018, 5.4.1, beschrieben.

Verstehen der Erfordernisse und Erwartungen interessierter Parteien

Die Organisation muss auch die interessierten Parteien identifizieren, die für ihr ISMS relevant sind, und ihre Anforderungen verstehen. Interessierte Parteien könnten Kunden, Mitarbeiter, Lieferanten, Regulierungsbehörden und andere Stakeholder sein. Es ist wichtig zu bestimmen, welche Anforderungen dieser Parteien durch das ISMS erfüllt werden sollen.

Diese Anforderungen können gesetzliche und regulatorische Vorgaben sowie vertragliche Verpflichtungen beinhalten.

Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems

Nachdem die Organisation ihre relevanten Themen und die Anforderungen der interessierten Parteien verstanden hat, muss sie den Anwendungsbereich ihres ISMS festlegen. Dies beinhaltet die Bestimmung der Grenzen und Anwendbarkeit des ISMS. Bei der Festlegung des Anwendungsbereichs muss die Organisation die in 4.1 und 4.2 aufgeführten Themen und Anforderungen berücksichtigen, sowie die Schnittstellen und Abhängigkeiten zwischen den von der Organisation selbst durchgeführten Tätigkeiten und den von anderen Organisationen durchgeführten Tätigkeiten. Der Anwendungsbereich muss als dokumentierte Information verfügbar sein.

Informationssicherheitsmanagementsystem

Schließlich muss die Organisation ein ISMS aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern, einschließlich der benötigten Prozesse und ihrer Wechselwirkungen.

Dieses ISMS sollte als ein dynamisches und sich ständig weiterentwickelndes System betrachtet werden, das sich an die sich ändernden Bedürfnisse der Organisation und ihrer interessierten Parteien anpasst.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde