VDA ISA 6.0.2

TISAX® Kapitel 1.4.1
Inwieweit werden Informationssicherheitsrisiken gemanagt?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Ziel des Informationssicherheits-Risikomanagements ist das rechtzeitige Erkennen, Bewerten und Behandeln von Risiken zur Erreichung der Schutzziele der Informationssicherheit. Es befähigt damit die Organisation, angemessene Maßnahmen zum Schutz ihrer Informationswerte unter Abwägung der damit verbundenen Chancen und Risiken zu etablieren. Es wird empfohlen, das Informationssicherheits-Risikomanagement einer Organisation so einfach wie möglich zu gestalten, um es effektiv und effizient betreiben zu können.

Anforderungen

Muss
Risikobewertungen werden sowohl in regelmäßigen Abständen als auch als Reaktion auf Ereignisse durchgeführt.
Muss
Informationssicherheitsrisiken werden angemessen (z.B. hinsichtlich Eintrittswahrscheinlichkeit und potenziellem Schaden) bewertet.
Muss
Informationssicherheitsrisiken sind dokumentiert.
Muss
Jedem Informationssicherheitsrisiko ist ein Verantwortlicher (Risikoeigner) zugeordnet. Dieser ist für die Bewertung und Behandlung der Informationssicherheitsrisiken verantwortlich.
Sollte
Es ist ein Verfahren vorhanden, das festlegt, wie Sicherheitsrisiken innerhalb der Organisation zu identifizieren, bewerten und behandeln sind.
Sollte
Kriterien für die Bewertung und Behandlung von Sicherheitsrisiken sind vorhanden.
Sollte
Maßnahmen für den Umgang mit Sicherheitsrisiken und die dafür Verantwortlichen sind festgelegt und dokumentiert:
Sollte
Es wird nach einem Maßnahmenplan oder einer Übersicht über den Umsetzungsstatus der Maßnahmen vorgegangen.
Sollte
Bei Änderungen des Umfelds (z.B. Organisationsstruktur, Standort, Änderungen von Regelwerken) erfolgt eine rechtzeitige Neubewertung.

Umsetzung

Maßnahmen zum Umgang mit Risiken und Chancen

Im Rahmen der Planung des Informationssicherheitsmanagementsystems (ISMS) muss die Organisation eine sorgfältige Analyse der wichtigen Themen und Anforderungen durchführen. Dabei sind die Risiken und Chancen zu identifizieren, die berücksichtigt werden müssen, um:

  • Die Integrität des ISMS zu gewährleisten und die beabsichtigten Ergebnisse zu erzielen
  • Mögliche negative Auswirkungen zu verhindern oder zu minimieren
  • Eine kontinuierliche Verbesserung des Systems zu fördern

Die Organisation sollte deshalb strategisch planen wie sie die Entwicklung und Implementierung von Maßnahmen umsetzt, um die identifizierten Risiken und Chancen effektiv zu bewältigen. Sie sollte außerdem planen, wie sie die Integration dieser Maßnahmen in die ISMS-Prozesse der Organisation einbringt und die Wirksamkeit dieser Maßnahmen bewertet, um sicherzustellen, dass sie die gewünschten Ergebnisse erzielen.

Informationssicherheits-Risikobeurteilung

Die Organisation muss einen robusten Prozess zur Informationssicherheitsrisikobeurteilung etablieren und umsetzen, der klare und konsistente Informationssicherheitsrisikokriterien definiert und aufrechterhält. Dazu gehören:

  • Der Kriterien für die Akzeptanz von Risiken
  • Der Kriterien für die Durchführung von Informationssicherheitsrisikobeurteilungen

Der Prozess sollte außerdem die Durchführung wiederholter Informationssicherheitsrisikobeurteilungen sicherstellen, um konsistente, gültige und vergleichbare Ergebnisse zu erzielen.

Außerdem sollte er die Informationssicherheitsrisiken identifizieren, indem er:

  • Der Prozess zur Informationssicherheitsrisikobeurteilung angewendet wird, um Risiken im Zusammenhang mit dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu ermitteln
  • Die Eigentümer der Risiken klar identifiziert

Um die Informationssicherheitsrisiken zu analysieren, sollte er:

  • Die möglichen Folgen der identifizierten Risiken abschätzen
  • Die realistischen Eintrittswahrscheinlichkeiten dieser Risiken bewerten
  • Die Risikoniveaus bestimmen

Der Prozess sollte außerdem die Informationssicherheitsrisiken bewerten, indem:

  • Die Ergebnisse der Risikoanalyse mit den festgelegten Risikokriterien abgeglichen werden
  • Die analysierten Risiken entsprechend ihrer Bedeutung für die Risikobehandlung priorisiert werden

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde