TISAX® Kapitel 1.2.4 - Inwieweit sind die Verantwortlichkeiten zwischen organisationsfremden IT-Service-Anbietern und der eigenen Organisation definiert?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt

VDA ISA 5.1

Ziel

Es ist wichtig, dass ein gemeinsames Verständnis der Verantwortungsaufteilung existiert und die Umsetzung aller Sicherheitsanforderungen sichergestellt wird. Bei der Nutzung von organisationsfremden IT-Dienstleistungen und IT-Diensten sind deshalb die Verantwortlichkeiten bezüglich der Umsetzung von Maßnahmen zur Informationssicherheit festzulegen und nachweisbar zu dokumentieren.

Anforderungen (muss):

Eingesetzte betroffene IT-Dienste und IT-Dienstleistungen sind identifiziert.
Die für den IT-Dienst relevanten Sicherheitsanforderungen sind ermittelt.
Die verantwortliche Organisation für die Umsetzung der Anforderung ist definiert und sich ihrer Verantwortung bewusst.
Für gemeinsame Verantwortlichkeiten sind Mechanismen festgelegt und umgesetzt.
Die verantwortliche Organisation wird ihren jeweiligen Verantwortlichkeiten gerecht.

Anforderungen (sollte):

Bei IT-Diensten wurde die Konfiguration anhand der notwendigen Sicherheitsanforderungen konzipiert, umgesetzt und dokumentiert.
Das verantwortliche Personal ist entsprechend geschult.

Zusatzanforderungen

Es existiert ein Verzeichnis betroffener IT-Dienstleistungen und IT-Dienste und der jeweils verantwortlichen IT-Service-Anbieter. (C, I, A)
Die Anwendbarkeit der Controls des ISA wurde geprüft und dokumentiert. (C, I, A)
Die Dienstkonfiguration ist in die regelmäßigen Sicherheitsprüfungen einbezogen. (C, I, A)
Es liegen Nachweise vor, dass der IT-Dienstanbieter seiner Verantwortlichkeit gerecht wird. (C, I, A)
Integration in lokale Schutzmaßnahmen (wie z. B. sichere Authentifikationsverfahren) ist etabliert und dokumentiert. (C, I, A)

Umsetzung

Cloud-Dienstleistungskunde

Als Cloud-Dienstleistungskunde sollten Sie Ihre bestehenden Richtlinien und Verfahren in Übereinstimmung mit Ihrer Nutzung von Cloud-Diensten definieren oder erweitern. Es ist wichtig, dass Sie die Nutzer Ihrer Cloud-Dienste über ihre Rollen und Verantwortlichkeiten bei der Nutzung des Cloud-Dienstes informieren. Dies kann durch Schulungen, Richtlinien und Verfahren sowie durch regelmäßige Kommunikation erreicht werden.

Cloud-Dienstleister

Als Cloud-Dienstleister sollten Sie Ihre Fähigkeiten, Rollen und Verantwortlichkeiten in Bezug auf die Informationssicherheit dokumentieren und kommunizieren. Dies beinhaltet auch die Rollen und Verantwortlichkeiten, die der Cloud-Dienstleistungskunde im Rahmen seiner Nutzung des Cloud-Dienstes implementieren und verwalten muss. Eine klare Kommunikation und Dokumentation dieser Rollen und Verantwortlichkeiten ist entscheidend für die Sicherheit der Cloud-Dienste.

Sonstige Informationen

In einer Cloud-Computing-Umgebung ist es unerlässlich, dass die Verantwortlichkeiten für die Informationssicherheit klar definiert und zugewiesen sind. Dies beinhaltet die Identifizierung und Dokumentation der jeweiligen Rollen und Verantwortlichkeiten, die sowohl vom Cloud-Dienstleistungskunden als auch vom Cloud-Dienstleister übernommen werden. Die effektive Kommunikation dieser Rollen und Verantwortlichkeiten ist ebenso wichtig wie ihre Implementierung.

© DeltaSecure GmbH. Alle Rechte vorbehalten.

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close