VDA ISA 6.0.2

TISAX® Kapitel 1.6.1
Inwieweit werden für die Informationssicherheit relevante Ereignisse oder Beobachtungen gemeldet?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Mögliche Sicherheitsereignisse oder -beobachtungen werden von jedermann erkannt. Es ist entscheidend, dass jedermann bekannt ist, wann und wie eigene Beobachtungen, die mögliche Sicherheitsauswirkungen haben, oder Ereignisse zu melden sind, so dass die Experten entscheiden können, ob und wie damit umzugehen ist.

Anforderungen

Muss
Es ist eine Definition für ein berichtspfichtiges Sicherheitsereignis oder eine berichtspflichtige sicherheitsrelevante Beobachtung vorhanden, die den Mitarbeitern und maßgeblichen Beteiligten bekannt ist. Die folgenden Aspekte werden berücksichtigt:
Muss
Ereignisse und Beobachtungen in Bezug auf Personal (z.B. Verfehlung/Fehlverhalten)
Muss
Ereignisse und Beobachtungen in Bezug auf die physische Sicherheit (z.B. Einbruch, Diebstahl, unbefugter Zugang zu Sicherheitszonen, Schwachstellen in den Sicherheitszonen)
Muss
Ereignisse und Beobachtungen in Bezug auf die IT und Cybersicherheit (z.B. anfällige IT-Systeme, erkannte erfolgreiche oder nicht erfolgreiche Angriffe)
Muss
Ereignisse und Beobachtungen in Bezug auf Lieferanten und andere Geschäftspartner (z.B. alle Vorfälle, die sich negativ auf die Sicherheit der eigenen Organisation auswirken können)
Muss
Es sind angemessene Mechanismen für die Meldung von Sicherheitsereignissen auf der Grundlage wahrgenommener Risiken festgelegt, die umgesetzt werden und allen maßgeblichen möglichen meldenden Personen bekannt sind
Muss
Es sind geeignete Kommunikationskanäle für die Ereignisse meldenden Personen vorhanden.
Sollte
Es ist ein einheitlicher Ansprechpartner (SPOC, en: single point of contact) für die Meldung von Ereignissen vorhanden.
Sollte
Je nach dem wahrgenommenen Schweregrad stehen unterschiedliche Meldewege zur Verfügung (d.h. Echtzeitkommunikation für signifikante Ereignisse/Notfälle zusätzlich zu asynchronen Mechanismen wie Tickets oder E-Mail).
Sollte
Mitarbeiter sind verpflichtet, relevante Ereignisse zu melden und sind entsprechend geschult.
Sollte
Meldungen von Sicherheitsereignissen durch organisationsfremde Parteien werden berücksichtigt.
Sollte
Es ist eine von außen zugängliche Möglichkeit, um Sicherheitsereignisse zu melden, vorhanden und wird kommuniziert
Sollte
Die Reaktion auf Sicherheitsereignis-Meldungen von organisationsfremden Parteien ist definiert
Sollte
Verfahren zur Meldung von Vorfällen und Informationen darüber, wie diese zu melden sind, sind für alle maßgeblichen Meldenden zugänglich.
Sollte
Ein Verfahren für Rückmeldungen an die Meldenden ist etabliert.

Umsetzung

Verantwortlichkeiten und Verfahren

Stellen Sie sicher, dass folgende Prozesse entwickelt und effektiv kommuniziert werden:

  • Planungs- und Vorbereitungsverfahren für Vorfälle.
  • Überwachung, Erkennung, Analyse und Berichterstattung von Sicherheitsereignissen.
  • Protokollierung von Vorfallshandlungen.
  • Umgang mit forensischen Beweisen.
  • Bewertung von Sicherheitsereignissen und Identifizierung von Schwachstellen.
  • Eskalations- und Wiederherstellungsverfahren sowie Kommunikationsstrategien.

Einrichten von festgelegten Verfahren: Dies beinhaltet:

  • Auswahl von Fachpersonal für Sicherheitsfragen.
  • Einrichtung einer zentralen Meldestelle für Sicherheitsvorfälle.
  • Aufbau und Pflege von Beziehungen zu relevanten externen Behörden und Gruppen.

Arbeiten Sie Meldeverfahren aus, dies beinhaltet:

  • Erstellung von Berichtsformularen zur Unterstützung des Meldeprozesses.
  • Klar definierte Verfahren für den Fall eines Sicherheitsereignisses.
  • Etablierung eines formalen Prozesses für den Umgang mit Mitarbeitern, die Sicherheitsverstöße begangen haben.
  • Implementierung eines Feedback-Systems für Meldende.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde