VDA ISA 6.0.2

TISAX® Kapitel 1.5.2
Inwieweit wird das ISMS von einer unabhängigen Stelle überprüft?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Als wesentliches Kontrollwerkzeug reicht es nicht aus, die Wirksamkeit des ISMS ausschließlich von einem internen Standpunkt aus zu bewerten. Es muss zusätzlich in regelmäßigen Abständen und bei wesentlichen Änderungen eine unabhängige und damit objektive Bewertung eingeholt werden.

Anforderungen

Muss
Prüfungen der Informationssicherheit werden von einer unabhängigen und sachkundigen Stelle in regelmäßigen Abständen und bei wesentlichen Änderungen durchgeführt.
Muss
Korrekturmaßnahmen für mögliche Abweichungen werden eingeleitet und verfolgt.
Sollte
Die Ergebnisse der durchgeführten Prüfungen werden dokumentiert und an die Organisationsleitung berichtet.

Umsetzung

Unabhängige Überprüfung der Informationssicherheit:

Die fortwährende Gewährleistung der Informationssicherheit erfordert eine kontinuierliche und unvoreingenommene Evaluation. Hierfür sind folgende Schritte essentiell:

  • Regelmäßige und Zielgerichtete Prüfung: Es ist von Bedeutung, dass Ihre Organisation in geplanten Abständen sowie nach signifikanten Änderungen die Handhabung und Implementierung der Informationssicherheitsmaßnahmen prüft.
  • Initiative des Managements: Das Management sollte proaktiv die unabhängige Bewertung beauftragen. Diese Bewertung dient der Sicherstellung, dass der Ansatz zur Informationssicherheit sowohl zweckmäßig als auch angemessen und wirksam ist.
  • Fokus der Prüfung: Die Bewertung sollte nicht nur den aktuellen Sicherheitsstatus überprüfen, sondern auch Potenziale zur Optimierung sowie notwendige Anpassungen in den Sicherheitsrichtlinien und -zielen identifizieren.
  • Auswahl der Prüfer: Personen, die die Prüfung durchführen, sollten weder direkt noch indirekt mit dem zu prüfenden Bereich verbunden sein. Möglichkeiten hierfür könnten interne Auditoren, externe Experten oder spezialisierte Institutionen sein. Wichtig ist, dass diese Personen oder Einrichtungen über die erforderlichen Kenntnisse und Erfahrungen verfügen.
  • Dokumentation: Die Ergebnisse jeder unabhängigen Prüfung sollten sorgfältig dokumentiert und dem Management, welches die Überprüfung beauftragt hat, vorgelegt werden. Es ist ratsam, diese Unterlagen für zukünftige Referenzen und Nachweise aufzubewahren.
  • Reaktionsmaßnahmen: Falls Mängel im Ansatz des Informationssicherheitsmanagements identifiziert werden - beispielsweise wenn dokumentierte Ziele nicht erreicht werden oder nicht im Einklang mit den Informationssicherheitsrichtlinien stehen - sollte das Management umgehend Korrekturmaßnahmen in Betracht ziehen und implementieren.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde