VDA ISA 6.0.2

TISAX® Kapitel 1.2.2
Inwieweit sind die Verantwortlichkeiten für Informationssicherheit organisiert?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Ein erfolgreiches ISMS benötigt klare Verantwortlichkeiten in der Organisation.

Anforderungen

Muss
Verantwortlichkeiten für die Informationssicherheit in der Organisation sind definiert, dokumentiert und zugewiesen.
Muss
Die verantwortlichen Mitarbeiter sind definiert und für ihre Aufgabe qualifiziert.
Muss
Die notwendigen Ressourcen stehen zur Verfügung.
Muss
Die Ansprechpartner sind innerhalb der Organisation und relevanten Geschäftspartnern bekannt.
Sollte
Es ist eine Definition und Dokumentation einer geeigneten Informationssicherheitsstruktur in der Organisation vorhanden.
Sollte
Weitere relevante Sicherheitsaufgaben werden berücksichtigt.
Schutzbedarf hoch
Eine angemessene organisatorische Trennung von Verantwortlichkeiten sollte zur Vermeidung von Interessenskonflikten etabliert sein (Funktionstrennung). (C, I, A)

Umsetzung

Informationssicherheitsrollen und -verantwortlichkeiten

Die Verantwortlichkeiten für Informationssicherheit sollten klar definiert und dokumentiert sein. Dies umfasst die Identifizierung von Werten und Informationssicherheitsprozessen, die Zuweisung verantwortlicher Entitäten für jeden Wert oder Prozess und die Dokumentation dieser Verantwortlichkeiten. Darüber hinaus sollten Berechtigungsebenen definiert und dokumentiert werden.

Personen, denen Verantwortlichkeiten für Informationssicherheit zugeordnet sind, können Sicherheitsaufgaben an andere delegieren, bleiben jedoch für die ordnungsgemäße Durchführung dieser Aufgaben verantwortlich. Sie sollten daher sicherstellen, dass alle delegierten Aufgaben ordnungsgemäß ausgeführt wurden.

Um die Verantwortlichkeiten im Bereich Informationssicherheit zu erfüllen, sollten die ernannten Personen in diesem Bereich kompetent sein und die Möglichkeit erhalten, mit Entwicklungen Schritt zu halten. Darüber hinaus sollten die Koordination und der Überblick über die Informationssicherheitsaspekte in Lieferantenbeziehungen identifiziert und dokumentiert werden.

Aufgabentrennung

Die Aufgabentrennung ist eine Methode, um das Risiko versehentlichen oder bewussten Missbrauchs von Werten der Organisation zu verringern. Sie stellt sicher, dass keine Einzelperson oder Abteilung die vollständige Kontrolle über einen bestimmten Prozess oder eine bestimmte Ressource hat.

Um die Möglichkeiten für unbefugte oder unbeabsichtigte Änderungen oder den Missbrauch der Werte der Organisation zu reduzieren, sollten miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche getrennt werden.

Es sollte sichergestellt werden, dass keine einzelne Person Zugriff auf Werte hat und diese ohne Genehmigung oder Nachweis modifizieren oder verwenden kann. Das Auslösen eines Ereignisses sollte von seiner Berechtigung getrennt werden. Die Möglichkeit von Absprachen sollte bei der Gestaltung der Maßnahmen berücksichtigt werden.

Für kleine Organisationen könnte die Aufgabentrennung nur mit Schwierigkeiten zu erreichen sein. Das Prinzip sollte jedoch so weit wie möglich und praktikabel angewandt werden. Falls die Aufgabentrennung nur schwer durchführbar ist, sollten andere Maßnahmen wie die Überwachung von Tätigkeiten, Prüfpfade und Leitungsaufsicht in Betracht gezogen werden.

Weitere Informationen

Viele Organisationen ernennen einen Manager für Informationssicherheit, der die Gesamtverantwortung für die Entwicklung und Umsetzung der Informationssicherheit übernimmt. Die Verantwortung für die Bereitstellung von Ressourcen und die Umsetzung von Maßnahmen liegt jedoch oft bei den einzelnen Managern.

Eine gängige Praxis ist es, einen Eigentümer für jeden Wert zu ernennen, der dann für den laufenden Schutz der Werte verantwortlich ist.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde