TISAX® Kapitel 1.3.1 - Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt

VDA ISA 5.1

Ziel

Für jede Organisation ist es wichtig, die Informationen zu kennen, die einen wesentlichen Wert für sie darstellen (z. B. Geschäftsgeheimnisse, kritische Geschäftsprozesse, Know-how, Patente).
Diese werden als Informationswerte bezeichnet. Durch eine Inventarisierung wird sichergestellt, dass die Organisation einen Überblick über ihre Informationswerte erhält. Darüber hinaus ist es wichtig, die Informationsträger (z. B. IT-Systeme, Services/IT-Dienste, Mitarbeiter) zu kennen, welche diese Informationswerte verarbeiten.

Anforderungen (muss):

Die für die Organisation relevanten Informationswerte sind identifiziert und erfasst.
Diesen Informationswerten ist ein Verantwortlicher zugeordnet.
Informationsträger, welche die Informationswerte verarbeiten, sind identifiziert und erfasst: Diesen Informationsträgern ist ein Verantwortlicher zugeordnet.

Anforderungen (sollte):

Es existiert ein Verzeichnis der relevanten Informationswerte
Jedem relevanten Informationswert sind die Informationsträger zugeordnet
Eine regelmäßige Überprüfung des Verzeichnisses findet statt

Referenz zu anderen Standards:

Referenz zu ISO 27001: A.8.1.1, A.8.1.2

Umsetzung

Inventarisierung der Werte

Informationen und andere Werte, die im Zusammenhang mit informationsverarbeitenden Einrichtungen stehen, sollten systematisch erfasst werden. Ein präzises und kontinuierlich gepflegtes Inventar dieser Werte ist dabei zu erstellen.

Die Organisation ist angehalten, Werte zu identifizieren, die im gesamten Informationslebenszyklus relevant sind, einschließlich Erstellung, Verarbeitung, Speicherung, Übermittlung, Löschung und Zerstörung, und deren Bedeutung zu dokumentieren. Diese Dokumentation sollte in spezifischen oder bereits vorhandenen Inventaren aufbewahrt werden.

Das Inventar sollte genau, aktuell, konsistent sein und mit anderen Inventaren abgestimmt werden. Für jeden identifizierten Wert sollte ein Verantwortlicher benannt werden, und die Klassifizierung sollte festgelegt werden.

Zuständigkeit für Werte

Für alle im Inventar aufgeführten Werte sollte ein Zuständiger bestimmt werden.

Die Zuständigkeit für Werte kann sowohl Einzelpersonen als auch anderen Entitäten mit nachgewiesener Verantwortung für den Lebenszyklus des Wertes zugewiesen werden. Ein Prozess zur zeitnahen Bestimmung der Zuständigkeit sollte implementiert sein, und die Zuständigkeit sollte zugewiesen werden, sobald Werte geschaffen oder an die Organisation übertragen werden.

Der Zuständige für Werte hat die Verantwortung, Folgendes sicherzustellen:

Die Werte werden ordnungsgemäß inventarisiert.
Die Werte werden angemessen klassifiziert und geschützt.
Zugangsbeschränkungen und Klassifizierungen wichtiger Werte werden festgelegt und regelmäßig überprüft.
Ein ordnungsgemäßer Umgang bei der Löschung oder Zerstörung des Wertes wird gewährleistet.

Weitere Informationen

Der festgestellte Zuständige kann eine Person oder eine Entität sein, die für den gesamten Lebenszyklus eines Wertes verantwortlich ist. Routineaufgaben können delegiert werden, wobei die Verantwortung beim Zuständigen verbleibt. Bei komplexen Informationssystemen kann es sinnvoll sein, Gruppen von Werten zu bestimmen, die gemeinsam einen Dienst bereitstellen. In diesem Fall ist der Zuständige für die Erbringung dieses Dienstes verantwortlich.

© DeltaSecure GmbH. Alle Rechte vorbehalten.

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close