TISAX® Kapitel 1.5.2 - Inwieweit wird das ISMS von einer unabhängigen Instanz überprüft?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt

VDA ISA 5.1

Ziel

Als wesentliches Kontrollwerkzeug reicht es nicht aus, die Wirksamkeit des ISMS ausschließlich aus einer Innensicht zu bewerten. Es muss zusätzlich in regelmäßigen Abständen und bei signifikanten Änderungen eine unabhängige und damit unbefangene Bewertung eingeholt werden.

Anforderungen (muss):

Eine unabhängige und kompetente Instanz führt regelmäßig und nach signifikanten Änderungen der Organisation Prüfungen der Informationssicherheit durch.
Korrekturmaßnahmen für mögliche Abweichungen werden eingeleitet und verfolgt.

Anforderungen (sollte):

Die Ergebnisse der durchgeführten Prüfungen werden dokumentiert und an die Organisationsleitung berichtet.

Referenz zu anderen Standards:

Referenz zu ISO 27001: A.18.2.1

Umsetzung

Unabhängige Überprüfung der Informationssicherheit:

Die fortwährende Gewährleistung der Informationssicherheit erfordert eine kontinuierliche und unvoreingenommene Evaluation. Hierfür sind folgende Schritte essentiell:

Regelmäßige und Zielgerichtete Prüfung: Es ist von Bedeutung, dass Ihre Organisation in geplanten Abständen sowie nach signifikanten Änderungen die Handhabung und Implementierung der Informationssicherheitsmaßnahmen prüft.
Initiative des Managements: Das Management sollte proaktiv die unabhängige Bewertung beauftragen. Diese Bewertung dient der Sicherstellung, dass der Ansatz zur Informationssicherheit sowohl zweckmäßig als auch angemessen und wirksam ist.
Fokus der Prüfung: Die Bewertung sollte nicht nur den aktuellen Sicherheitsstatus überprüfen, sondern auch Potenziale zur Optimierung sowie notwendige Anpassungen in den Sicherheitsrichtlinien und -zielen identifizieren.
Auswahl der Prüfer: Personen, die die Prüfung durchführen, sollten weder direkt noch indirekt mit dem zu prüfenden Bereich verbunden sein. Möglichkeiten hierfür könnten interne Auditoren, externe Experten oder spezialisierte Institutionen sein. Wichtig ist, dass diese Personen oder Einrichtungen über die erforderlichen Kenntnisse und Erfahrungen verfügen.
Dokumentation: Die Ergebnisse jeder unabhängigen Prüfung sollten sorgfältig dokumentiert und dem Management, welches die Überprüfung beauftragt hat, vorgelegt werden. Es ist ratsam, diese Unterlagen für zukünftige Referenzen und Nachweise aufzubewahren.
Reaktionsmaßnahmen: Falls Mängel im Ansatz des Informationssicherheitsmanagements identifiziert werden – beispielsweise wenn dokumentierte Ziele nicht erreicht werden oder nicht im Einklang mit den Informationssicherheitsrichtlinien stehen – sollte das Management umgehend Korrekturmaßnahmen in Betracht ziehen und implementieren.

© DeltaSecure GmbH. Alle Rechte vorbehalten.

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close