TISAX® Kapitel 1.2.1 - Inwieweit wird in der Organisation Informationssicherheit gemanagt?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir für alle VDA ISA 5 Anforderungen kostenlose Leitfäden erstellt.

VDA ISA 5.1

Ziel

Die nachhaltige Umsetzung von Informationssicherheit in einer Organisation kann nur erreicht werden, wenn sie in den strategischen Zielen der Organisation verankert ist.

Das Informationssicherheitsmanagementsystem (ISMS) dient als Steuerungsinstrument für die Organisationsleitung, um sicherzustellen, dass Informationssicherheit nicht nur das Ergebnis von Zufällen und individuellem Engagement ist, sondern von nachhaltigem Management.

Anforderungen (muss):

Der Geltungsbereich (Scope) des ISMS (die vom ISMS gemanagte Organisation) ist festgelegt.
Die Anforderungen der Organisation an das ISMS sind ermittelt.
Die Organisationsleitung hat das ISMS beauftragt und freigegeben.
Das ISMS stellt der Organisationsleitung geeignete Kontroll- und Steuerungsmittel zur Verfügung (z. B. Management-Review).
Anwendbare Kontrollen wurden ermittelt (z. B. ISO 27001 Statement of Applicability, ausgefüllter ISA Katalog).
Die Wirksamkeit des ISMS wird regelmäßig durch das Management überprüft.

Anforderungen (sollte):

keine

Zusatzanforderungen

keine

Umsetzung

Verstehen der Organisation und ihres Kontextes

Um ein effektives Informationssicherheitsmanagementsystem (ISMS) zu implementieren, ist es unerlässlich, die Organisation und ihren Kontext zu verstehen. Dies beinhaltet die Identifizierung von internen und externen Themen, die für den Zweck der Organisation relevant sind und ihre Fähigkeit beeinflussen, die beabsichtigten Ergebnisse ihres ISMS zu erreichen.

Diese Themen könnten eine Vielzahl von Faktoren umfassen, von der Organisationsstruktur und Kultur bis hin zu gesetzlichen und regulatorischen Anforderungen und Markttrends. Die Bestimmung dieser Themen ist ein wichtiger Schritt zur Festlegung des Kontexts der Organisation, wie in ISO 31000:2018, 5.4.1, beschrieben.

Verstehen der Erfordernisse und Erwartungen interessierter Parteien

Die Organisation muss auch die interessierten Parteien identifizieren, die für ihr ISMS relevant sind, und ihre Anforderungen verstehen. Interessierte Parteien könnten Kunden, Mitarbeiter, Lieferanten, Regulierungsbehörden und andere Stakeholder sein. Es ist wichtig zu bestimmen, welche Anforderungen dieser Parteien durch das ISMS erfüllt werden sollen.

Diese Anforderungen können gesetzliche und regulatorische Vorgaben sowie vertragliche Verpflichtungen beinhalten.

Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems

Nachdem die Organisation ihre relevanten Themen und die Anforderungen der interessierten Parteien verstanden hat, muss sie den Anwendungsbereich ihres ISMS festlegen. Dies beinhaltet die Bestimmung der Grenzen und Anwendbarkeit des ISMS. Bei der Festlegung des Anwendungsbereichs muss die Organisation die in 4.1 und 4.2 aufgeführten Themen und Anforderungen berücksichtigen, sowie die Schnittstellen und Abhängigkeiten zwischen den von der Organisation selbst durchgeführten Tätigkeiten und den von anderen Organisationen durchgeführten Tätigkeiten. Der Anwendungsbereich muss als dokumentierte Information verfügbar sein.

Informationssicherheitsmanagementsystem

Schließlich muss die Organisation ein ISMS aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern, einschließlich der benötigten Prozesse und ihrer Wechselwirkungen.

Dieses ISMS sollte als ein dynamisches und sich ständig weiterentwickelndes System betrachtet werden, das sich an die sich ändernden Bedürfnisse der Organisation und ihrer interessierten Parteien anpasst.

© DeltaSecure GmbH. Alle Rechte vorbehalten.

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close