VDA ISA 6.0.2
TISAX® Kapitel 1.6.1
Inwieweit werden für die Informationssicherheit relevante Ereignisse oder Beobachtungen gemeldet?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Mögliche Sicherheitsereignisse oder -beobachtungen werden von jedermann erkannt. Es ist entscheidend, dass jedermann bekannt ist, wann und wie eigene Beobachtungen, die mögliche Sicherheitsauswirkungen haben, oder Ereignisse zu melden sind, so dass die Experten entscheiden können, ob und wie damit umzugehen ist.
Anforderungen
- Muss
- Es ist eine Definition für ein berichtspfichtiges Sicherheitsereignis oder eine berichtspflichtige sicherheitsrelevante Beobachtung vorhanden, die den Mitarbeitern und maßgeblichen Beteiligten bekannt ist. Die folgenden Aspekte werden berücksichtigt:
- Muss
- Ereignisse und Beobachtungen in Bezug auf Personal (z.B. Verfehlung/Fehlverhalten)
- Muss
- Ereignisse und Beobachtungen in Bezug auf die physische Sicherheit (z.B. Einbruch, Diebstahl, unbefugter Zugang zu Sicherheitszonen, Schwachstellen in den Sicherheitszonen)
- Muss
- Ereignisse und Beobachtungen in Bezug auf die IT und Cybersicherheit (z.B. anfällige IT-Systeme, erkannte erfolgreiche oder nicht erfolgreiche Angriffe)
- Muss
- Ereignisse und Beobachtungen in Bezug auf Lieferanten und andere Geschäftspartner (z.B. alle Vorfälle, die sich negativ auf die Sicherheit der eigenen Organisation auswirken können)
- Muss
- Es sind angemessene Mechanismen für die Meldung von Sicherheitsereignissen auf der Grundlage wahrgenommener Risiken festgelegt, die umgesetzt werden und allen maßgeblichen möglichen meldenden Personen bekannt sind
- Muss
- Es sind geeignete Kommunikationskanäle für die Ereignisse meldenden Personen vorhanden.
- Sollte
- Es ist ein einheitlicher Ansprechpartner (SPOC, en: single point of contact) für die Meldung von Ereignissen vorhanden.
- Sollte
- Je nach dem wahrgenommenen Schweregrad stehen unterschiedliche Meldewege zur Verfügung (d.h. Echtzeitkommunikation für signifikante Ereignisse/Notfälle zusätzlich zu asynchronen Mechanismen wie Tickets oder E-Mail).
- Sollte
- Mitarbeiter sind verpflichtet, relevante Ereignisse zu melden und sind entsprechend geschult.
- Sollte
- Meldungen von Sicherheitsereignissen durch organisationsfremde Parteien werden berücksichtigt.
- Sollte
- Es ist eine von außen zugängliche Möglichkeit, um Sicherheitsereignisse zu melden, vorhanden und wird kommuniziert
- Sollte
- Die Reaktion auf Sicherheitsereignis-Meldungen von organisationsfremden Parteien ist definiert
- Sollte
- Verfahren zur Meldung von Vorfällen und Informationen darüber, wie diese zu melden sind, sind für alle maßgeblichen Meldenden zugänglich.
- Sollte
- Ein Verfahren für Rückmeldungen an die Meldenden ist etabliert.
Umsetzung
Verantwortlichkeiten und Verfahren
Stellen Sie sicher, dass folgende Prozesse entwickelt und effektiv kommuniziert werden:
- Planungs- und Vorbereitungsverfahren für Vorfälle.
- Überwachung, Erkennung, Analyse und Berichterstattung von Sicherheitsereignissen.
- Protokollierung von Vorfallshandlungen.
- Umgang mit forensischen Beweisen.
- Bewertung von Sicherheitsereignissen und Identifizierung von Schwachstellen.
- Eskalations- und Wiederherstellungsverfahren sowie Kommunikationsstrategien.
Einrichten von festgelegten Verfahren: Dies beinhaltet:
- Auswahl von Fachpersonal für Sicherheitsfragen.
- Einrichtung einer zentralen Meldestelle für Sicherheitsvorfälle.
- Aufbau und Pflege von Beziehungen zu relevanten externen Behörden und Gruppen.
Arbeiten Sie Meldeverfahren aus, dies beinhaltet:
- Erstellung von Berichtsformularen zur Unterstützung des Meldeprozesses.
- Klar definierte Verfahren für den Fall eines Sicherheitsereignisses.
- Etablierung eines formalen Prozesses für den Umgang mit Mitarbeitern, die Sicherheitsverstöße begangen haben.
- Implementierung eines Feedback-Systems für Meldende.
