TISAX® Kapitel 1.2.2 - Inwieweit sind die Verantwortlichkeiten für Informationssicherheit organisiert?
Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt
Es ist wichtig, dass die Verantwortlichkeiten für die Informationssicherheit in der Organisation definiert, dokumentiert und zugewiesen sind.
VDA ISA 5.1
Ziel
Ein erfolgreiches ISMS benötigt klare Verantwortlichkeiten in der Organisation.
Anforderungen (muss):
Anforderungen (sollte):
Zusatzanforderungen
Umsetzung
Informationssicherheitsrollen und -verantwortlichkeiten
Die Verantwortlichkeiten für Informationssicherheit sollten klar definiert und dokumentiert sein. Dies umfasst die Identifizierung von Werten und Informationssicherheitsprozessen, die Zuweisung verantwortlicher Entitäten für jeden Wert oder Prozess und die Dokumentation dieser Verantwortlichkeiten. Darüber hinaus sollten Berechtigungsebenen definiert und dokumentiert werden.
Personen, denen Verantwortlichkeiten für Informationssicherheit zugeordnet sind, können Sicherheitsaufgaben an andere delegieren, bleiben jedoch für die ordnungsgemäße Durchführung dieser Aufgaben verantwortlich. Sie sollten daher sicherstellen, dass alle delegierten Aufgaben ordnungsgemäß ausgeführt wurden.
Um die Verantwortlichkeiten im Bereich Informationssicherheit zu erfüllen, sollten die ernannten Personen in diesem Bereich kompetent sein und die Möglichkeit erhalten, mit Entwicklungen Schritt zu halten. Darüber hinaus sollten die Koordination und der Überblick über die Informationssicherheitsaspekte in Lieferantenbeziehungen identifiziert und dokumentiert werden.
Aufgabentrennung
Die Aufgabentrennung ist eine Methode, um das Risiko versehentlichen oder bewussten Missbrauchs von Werten der Organisation zu verringern. Sie stellt sicher, dass keine Einzelperson oder Abteilung die vollständige Kontrolle über einen bestimmten Prozess oder eine bestimmte Ressource hat.
Um die Möglichkeiten für unbefugte oder unbeabsichtigte Änderungen oder den Missbrauch der Werte der Organisation zu reduzieren, sollten miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche getrennt werden.
Es sollte sichergestellt werden, dass keine einzelne Person Zugriff auf Werte hat und diese ohne Genehmigung oder Nachweis modifizieren oder verwenden kann. Das Auslösen eines Ereignisses sollte von seiner Berechtigung getrennt werden. Die Möglichkeit von Absprachen sollte bei der Gestaltung der Maßnahmen berücksichtigt werden.
Für kleine Organisationen könnte die Aufgabentrennung nur mit Schwierigkeiten zu erreichen sein. Das Prinzip sollte jedoch so weit wie möglich und praktikabel angewandt werden. Falls die Aufgabentrennung nur schwer durchführbar ist, sollten andere Maßnahmen wie die Überwachung von Tätigkeiten, Prüfpfade und Leitungsaufsicht in Betracht gezogen werden.
Weitere Informationen
Viele Organisationen ernennen einen Manager für Informationssicherheit, der die Gesamtverantwortung für die Entwicklung und Umsetzung der Informationssicherheit übernimmt. Die Verantwortung für die Bereitstellung von Ressourcen und die Umsetzung von Maßnahmen liegt jedoch oft bei den einzelnen Managern.
Eine gängige Praxis ist es, einen Eigentümer für jeden Wert zu ernennen, der dann für den laufenden Schutz der Werte verantwortlich ist.
TISAX® Anforderungen
TISAX® Kapitel 1.1.1 - Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?
TISAX® Kapitel 1.2.1 - Inwieweit wird in der Organisation Informationssicherheit gemanagt?
TISAX® Kapitel 1.3.1 - Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?
TISAX® Kapitel 1.4.1 - Inwieweit werden Informationssicherheitsrisiken gemanagt?
TISAX® Kapitel 1.5.2 - Inwieweit wird das ISMS von einer unabhängigen Instanz überprüft?
© DeltaSecure GmbH. Alle Rechte vorbehalten.