VDA ISA 6.0.2
TISAX® Kapitel 1.5.2
Inwieweit wird das ISMS von einer unabhängigen Stelle überprüft?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
Als wesentliches Kontrollwerkzeug reicht es nicht aus, die Wirksamkeit des ISMS ausschließlich von einem internen Standpunkt aus zu bewerten. Es muss zusätzlich in regelmäßigen Abständen und bei wesentlichen Änderungen eine unabhängige und damit objektive Bewertung eingeholt werden.
Anforderungen
- Muss
- Prüfungen der Informationssicherheit werden von einer unabhängigen und sachkundigen Stelle in regelmäßigen Abständen und bei wesentlichen Änderungen durchgeführt.
- Muss
- Korrekturmaßnahmen für mögliche Abweichungen werden eingeleitet und verfolgt.
- Sollte
- Die Ergebnisse der durchgeführten Prüfungen werden dokumentiert und an die Organisationsleitung berichtet.
Umsetzung
Unabhängige Überprüfung der Informationssicherheit:
Die fortwährende Gewährleistung der Informationssicherheit erfordert eine kontinuierliche und unvoreingenommene Evaluation. Hierfür sind folgende Schritte essentiell:
- Regelmäßige und Zielgerichtete Prüfung: Es ist von Bedeutung, dass Ihre Organisation in geplanten Abständen sowie nach signifikanten Änderungen die Handhabung und Implementierung der Informationssicherheitsmaßnahmen prüft.
- Initiative des Managements: Das Management sollte proaktiv die unabhängige Bewertung beauftragen. Diese Bewertung dient der Sicherstellung, dass der Ansatz zur Informationssicherheit sowohl zweckmäßig als auch angemessen und wirksam ist.
- Fokus der Prüfung: Die Bewertung sollte nicht nur den aktuellen Sicherheitsstatus überprüfen, sondern auch Potenziale zur Optimierung sowie notwendige Anpassungen in den Sicherheitsrichtlinien und -zielen identifizieren.
- Auswahl der Prüfer: Personen, die die Prüfung durchführen, sollten weder direkt noch indirekt mit dem zu prüfenden Bereich verbunden sein. Möglichkeiten hierfür könnten interne Auditoren, externe Experten oder spezialisierte Institutionen sein. Wichtig ist, dass diese Personen oder Einrichtungen über die erforderlichen Kenntnisse und Erfahrungen verfügen.
- Dokumentation: Die Ergebnisse jeder unabhängigen Prüfung sollten sorgfältig dokumentiert und dem Management, welches die Überprüfung beauftragt hat, vorgelegt werden. Es ist ratsam, diese Unterlagen für zukünftige Referenzen und Nachweise aufzubewahren.
- Reaktionsmaßnahmen: Falls Mängel im Ansatz des Informationssicherheitsmanagements identifiziert werden - beispielsweise wenn dokumentierte Ziele nicht erreicht werden oder nicht im Einklang mit den Informationssicherheitsrichtlinien stehen - sollte das Management umgehend Korrekturmaßnahmen in Betracht ziehen und implementieren.
Verwandte TISAX-Kapitel
- Kapitel 1.5.1 – Compliance sicherstellen – Einhaltung in Verfahren und Prozessen prüfen.
- Kapitel 5.2.6 – Technische Überprüfung – Penetrationstests und System-Audits.
