TISAX® Kapitel 5.2.1
Inwieweit werden Änderungen verwaltet?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Das Ziel ist es sicherzustellen, dass bei allen Änderungen in der Organisation, von Geschäftsprozessen und an IT-Systemen (Änderungsmanagement) Aspekte der Informationssicherheit berücksichtigt werden, damit diese Änderungen nicht zu einer ungeregelten Verringerung des Informationssicherheitsniveaus führen.
Anforderungen
- Muss
- Anforderungen an die Informationssicherheit bei Änderungen von Organisation, Geschäftsprozessen, IT-Systemen werden ermittelt und umgesetzt.
- Sollte
- Ein formales Genehmigungsverfahren ist etabliert.
- Sollte
- Änderungen werden bezüglich möglicher Auswirkungen auf die Informationssicherheit verifiziert und bewertet.
- Sollte
- Änderungen mit Auswirkung auf die Informationssicherheit werden geplant und geprüft.
- Sollte
- Notfallverfahren im Falle von Fehlern sind berücksichtigt.
- Schutzbedarf hoch
- Die Einhaltung der Anforderungen an die Informationssicherheit wird während und nach der Umsetzung der Änderungen verifiziert. (C, I, A)
Umsetzung
Verwaltung von Änderungen gemäß TISAX Kapitel 5.2.1
Bei der Umsetzung von Änderungen innerhalb der Organisation, Geschäftsprozessen oder IT-Systemen sollte ein ganzheitlicher Ansatz gewählt werden, um die Anforderungen an die Informationssicherheit effektiv zu erfüllen. Beginnen Sie mit der Implementierung eines formalen Genehmigungsverfahrens. Dieses Verfahren sollte alle Änderungen erfassen und sicherstellen, dass jede Änderung genehmigt wird, bevor sie umgesetzt wird. Dies kann durch ein spezielles Genehmigungsformular oder eine digitale Workflow-Lösung erreicht werden.
Es ist zudem wichtig, dass jede Änderung auf mögliche Auswirkungen auf die Informationssicherheit hin verifiziert und bewertet wird. Erstellen Sie dazu eine Checkliste oder ein Bewertungsschema, welches die Risiken jeder Änderung abfragt und eine Einschätzung der Auswirkungen ermöglicht. Personen, die für diese Bewertungen verantwortlich sind, sollten in den Grundlagen der Informationssicherheit geschult sein.
Weiterhin müssen Änderungen, die Auswirkungen auf die Informationssicherheit haben könnten, geplant und geprüft werden. Planen Sie diese Änderungen sorgfältig und führen Sie vor der Implementierung Testläufe durch, um unvorhergesehene Probleme zu identifizieren. Stellen Sie sicher, dass für jede Änderung, die umgesetzt wird, Notfallverfahren existieren, um im Falle von Fehlern schnell handeln zu können. Diese Verfahren könnten Pläne für die Rückkehr zum letzten stabilen Zustand oder Anweisungen für den Umgang mit Datenverlust beinhalten.
Bei einem hohen Schutzbedarf ist es entscheidend, nicht nur vor und während der Umsetzung der Änderungen die Einhaltung der Informationssicherheitsanforderungen zu prüfen, sondern auch danach. Führen Sie regelmäßige Überprüfungen durch und dokumentieren Sie diese, um sicherzustellen, dass die Änderungen keine negativen Auswirkungen auf die Sicherheit Ihrer Informationen haben. Nutzen Sie dafür spezielle Audit-Tools oder Sicherheitsbewertungen, die sowohl die Aspekte der Vertraulichkeit, der Integrität als auch der Verfügbarkeit abdecken.
Die systematische Umsetzung dieser Maßnahmen wird dazu beitragen, die Sicherheitsnormen effektiv zu erfüllen und gleichzeitig die Integrität und Sicherheit der geschäftlichen Abläufe zu wahren.
