TISAX® Kapitel 1.4.1 - Inwieweit werden Informationssicherheitsrisiken gemanagt?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt

Jetzt kostenlos Erstberatung vereinbaren

VDA ISA 5.1

Ziel

Ziel eines Informationssicherheits-Risikomanagements ist das frühzeitige Erkennen, Bewerten und Behandeln von Risiken zur Erreichung der Schutzziele der Informationssicherheit. Es befähigt damit die Organisation, unter Abwägung der Chancen und Risiken angemessene Maßnahmen zum Schutz der Informationswerte der Organisation zu etablieren. Es ist empfehlenswert, das Informationssicherheits-Risikomanagement einer Organisation so einfach wie möglich zu gestalten, um es effektiv und effizient betreiben zu können.

Anforderungen (muss):

Risikobeurteilungen werden sowohl regelmäßig als auch anlassbezogen durchgeführt.

Informationssicherheitsrisiken werden in geeigneter Form (z. B. Eintrittswahrscheinlichkeit und potenzieller Schaden) bewertet.

Informationssicherheitsrisiken sind dokumentiert.

Jedem Informationssicherheitsrisiko ist ein Verantwortlicher (Risikoeigner) zugeordnet. Dieser ist für die Beurteilung und Behandlung der Informationssicherheitsrisiken verantwortlich.

Anforderungen (sollte):

Es existiert eine Vorgehensweise, wie Informationssicherheitsrisiken innerhalb der Organisation identifiziert, beurteilt und behandelt werden.

Kriterien für die Beurteilung und Behandlung von Informationssicherheitsrisiken sind vorhanden.

Maßnahmen zur Behandlung von Informationssicherheitsrisiken und deren Verantwortliche sind festgelegt und dokumentiert.

Es existiert ein Maßnahmenplan bzw. Statusübersicht der Maßnahmenumsetzung.

Bei Änderung des Umfelds (z. B. Organisationsstruktur, Standort, Änderung von Regelwerken) erfolgt eine zeitnahe Neubewertung.

Referenz zu anderen Standards:

Referenz zu ISO 27001: 6.1.2, 6.1.3

Umsetzung

Maßnahmen zum Umgang mit Risiken und Chancen

Im Rahmen der Planung des Informationssicherheitsmanagementsystems (ISMS) muss die Organisation eine sorgfältige Analyse der wichtigen Themen und Anforderungen durchführen. Dabei sind die Risiken und Chancen zu identifizieren, die berücksichtigt werden müssen, um:

Die Integrität des ISMS zu gewährleisten und die beabsichtigten Ergebnisse zu erzielen

Mögliche negative Auswirkungen zu verhindern oder zu minimieren

Eine kontinuierliche Verbesserung des Systems zu fördern

Die Organisation sollte deshalb strategisch planen wie sie die Entwicklung und Implementierung von Maßnahmen umsetzt, um die identifizierten Risiken und Chancen effektiv zu bewältigen. Sie sollte außerdem planen, wie sie die Integration dieser Maßnahmen in die ISMS-Prozesse der Organisation einbringt und die Wirksamkeit dieser Maßnahmen bewertet, um sicherzustellen, dass sie die gewünschten Ergebnisse erzielen.

Informationssicherheits-Risikobeurteilung

Die Organisation muss einen robusten Prozess zur Informationssicherheitsrisikobeurteilung etablieren und umsetzen, der klare und konsistente Informationssicherheitsrisikokriterien definiert und aufrechterhält. Dazu gehören:

Der Kriterien für die Akzeptanz von Risiken

Der Kriterien für die Durchführung von Informationssicherheitsrisikobeurteilungen

Der Prozess sollte außerdem die Durchführung wiederholter Informationssicherheitsrisikobeurteilungen sicherstellen, um konsistente, gültige und vergleichbare Ergebnisse zu erzielen.

Außerdem sollte er die Informationssicherheitsrisiken identifizieren, indem er:

Der Prozess zur Informationssicherheitsrisikobeurteilung angewendet wird, um Risiken im Zusammenhang mit dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu ermitteln

Die Eigentümer der Risiken klar identifiziert

Um die Informationssicherheitsrisiken zu analysieren, sollte er:

Die möglichen Folgen der identifizierten Risiken abschätzen

Die realistischen Eintrittswahrscheinlichkeiten dieser Risiken bewerten

Die Risikoniveaus bestimmen

Der Prozess sollte außerdem die Informationssicherheitsrisiken bewerten, indem:

Die Ergebnisse der Risikoanalyse mit den festgelegten Risikokriterien abgeglichen werden

Die analysierten Risiken entsprechend ihrer Bedeutung für die Risikobehandlung priorisiert werden

TISAX® Anforderungen

TISAX® Kapitel 1.1.1 - Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?

TISAX® Kapitel 1.2.1 - Inwieweit wird in der Organisation Informationssicherheit gemanagt?

TISAX® Kapitel 1.2.2 - Inwieweit sind die Verantwortlichkeiten für Informationssicherheit organisiert?

TISAX® Kapitel 1.2.3 - Inwieweit werden Informationssicherheitsanforderungen in Projekten berücksichtigt?

TISAX® Kapitel 1.2.4 - Inwieweit sind die Verantwortlichkeiten zwischen organisationsfremden IT-Service-Anbietern und der eigenen Organisation definiert?

TISAX® Kapitel 1.3.1 - Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?

TISAX® Kapitel 1.3.2 - Inwieweit werden Informationswerte hinsichtlich ihres Schutzbedarfs klassifiziert und gemanagt?

TISAX® Kapitel 1.3.3 - Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene organisationsfremde IT-Dienste zum Verarbeiten von Informationswerten der Organisation eingesetzt werden?

TISAX® Kapitel 1.4.1 - Inwieweit werden Informationssicherheitsrisiken gemanagt?

TISAX® Kapitel 1.5.1 - Inwieweit wird die Einhaltung der Informationssicherheit in Verfahren und Prozessen sichergestellt?

TISAX® Kapitel 1.5.2 - Inwieweit wird das ISMS von einer unabhängigen Instanz überprüft?

TISAX® Kapitel 2.1.1 - Inwieweit wird die Eignung von Mitarbeitern für sensible Tätigkeitsbereiche sichergestellt?

Beispiellose Cyber Security, die wirtschaftlich ist.

Jetzt kontaktieren

LEISTUNGEN

INFO

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close