VDA ISA 6.0.2

TISAX® Kapitel 1.2.4
Inwieweit sind die Verantwortlichkeiten zwischen organisationsfremden IT-Dienstleistern und der eigenen Organisation definiert?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Es ist wichtig, dass ein gemeinsames Verständnis der Verantwortungsaufteilung existiert und die Umsetzung aller Sicherheitsanforderungen sichergestellt wird. Bei der Nutzung von organisationsfremden IT-Dienstleistern und IT-Diensten sind deshalb die Verantwortlichkeiten bezüglich der Umsetzung von Maßnahmen zur Informationssicherheit festzulegen und nachweisbar zu dokumentieren.

Anforderungen

Muss
Die betreffenden eingesetzten IT-Dienste sind identifiziert.
Muss
Die für den IT-Dienst relevanten Sicherheitsanforderungen sind ermittelt
Muss
Die für die Umsetzung der Anforderung verantwortliche Organisation ist definiert und sich ihrer Verantwortung bewusst
Muss
Für gemeinsame Verantwortlichkeiten sind Mechanismen festgelegt und umgesetzt
Muss
Die verantwortliche Organisation wird ihren jeweiligen Verantwortlichkeiten gerecht.
Sollte
Bei IT-Diensten wurde die Konfiguration anhand der notwendigen Sicherheitsanforderungen konzipiert, umgesetzt und dokumentiert.
Sollte
Das verantwortliche Personal ist entsprechend geschult.
Schutzbedarf hoch
Es existiert ein Verzeichnis der betreffenden IT-Dienste und der jeweils verantwortlichen IT-Dienstleister. (C, I, A)
Schutzbedarf hoch
Die Anwendbarkeit der ISA-Maßnahmen wurde verifiziert und dokumentiert. (C, I, A)
Schutzbedarf hoch
Die Dienstkonfiguration ist in die regelmäßigen Sicherheitsbewertungen einbezogen. (C, I, A)
Schutzbedarf hoch
Es liegen Nachweise vor, dass die IT-Dienstleister ihrer Verantwortung gerecht werden. (C, I, A)
Schutzbedarf hoch
Integration in lokale Schutzmaßnahmen (wie z.B. sichere Authentifikationsverfahren) ist etabliert und dokumentiert. (C, I, A)

Umsetzung

Cloud-Dienstleistungskunde

Als Cloud-Dienstleistungskunde sollten Sie Ihre bestehenden Richtlinien und Verfahren in Übereinstimmung mit Ihrer Nutzung von Cloud-Diensten definieren oder erweitern. Es ist wichtig, dass Sie die Nutzer Ihrer Cloud-Dienste über ihre Rollen und Verantwortlichkeiten bei der Nutzung des Cloud-Dienstes informieren. Dies kann durch Schulungen, Richtlinien und Verfahren sowie durch regelmäßige Kommunikation erreicht werden.

Cloud-Dienstleister

Als Cloud-Dienstleister sollten Sie Ihre Fähigkeiten, Rollen und Verantwortlichkeiten in Bezug auf die Informationssicherheit dokumentieren und kommunizieren. Dies beinhaltet auch die Rollen und Verantwortlichkeiten, die der Cloud-Dienstleistungskunde im Rahmen seiner Nutzung des Cloud-Dienstes implementieren und verwalten muss. Eine klare Kommunikation und Dokumentation dieser Rollen und Verantwortlichkeiten ist entscheidend für die Sicherheit der Cloud-Dienste.

Sonstige Informationen

In einer Cloud-Computing-Umgebung ist es unerlässlich, dass die Verantwortlichkeiten für die Informationssicherheit klar definiert und zugewiesen sind. Dies beinhaltet die Identifizierung und Dokumentation der jeweiligen Rollen und Verantwortlichkeiten, die sowohl vom Cloud-Dienstleistungskunden als auch vom Cloud-Dienstleister übernommen werden. Die effektive Kommunikation dieser Rollen und Verantwortlichkeiten ist ebenso wichtig wie ihre Implementierung.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde