VDA ISA 6.0.2

TISAX® Kapitel 5.2.6
Inwieweit werden IT-Systeme und -Dienste technisch überprüft (System- und Dienst-Audit)?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Das Ziel von technischen Überprüfungen ist die Erkennung von Zuständen, die zu einer Gefährdung der Verfügbarkeit, Vertraulichkeit oder Integrität von IT-Systemen und -Diensten führen können.

Anforderungen

Muss
Anforderungen an die Auditierung von IT-Systemen oder -Diensten sind ermittelt.
Muss
Der Umfang des Systemaudits ist rechtzeitig festgelegt.
Muss
System- oder Dienst-Audits sind mit dem Betreiber und den Nutzern der IT-Systeme oder -Dienste abgestimmt.
Muss
Die Ergebnisse von System- oder Dienst-Audits werden rückverfolgbar gespeichert und an das zuständige Management berichtet.
Muss
Von den Ergebnissen werden Maßnahmen abgeleitet.
Sollte
System- und Dienst-Audits werden unter Berücksichtigung aller Sicherheitsrisiken geplant, die dadurch hervorufen werden könnten (z.B. Störungen).
Sollte
Regelmäßige System- oder Dienst-Audits werden durchgeführt
Sollte
von Fachpersonal durchgeführt
Sollte
geeignete Werkzeuge (z.B. Schwachstellen-Scanner) werden für System
Sollte
und Dienst-Audits verwendet (sofern anwendbar)
Sollte
vom Internet und dem internen Netzwerk durchgeführt
Sollte
Innerhalb eines angemessenen Zeitraums nach Abschluss des Audits wird ein Bericht erstellt.
Schutzbedarf hoch
Für kritische IT-Systeme oder -Dienste wurden zusätzliche Anforderungen an das System
Schutzbedarf hoch
oder Dienst-Audit identifiziert, die erfüllt werden (z. B. dienstspezifische Tests und Werkzeuge und/oder Penetrationstests, risikobasierte Zeitintervalle) (A)
Bei Sehr Hoch
IT-Systeme und -Dienste werden regelmäßig auf Schwachstellen gescannt. (A)
Bei Sehr Hoch
Bei Systemen und Diensten, die nicht gescannt werden können, müssen geeignete Schutzmaßnahmen umgesetzt werden.

Umsetzung

Planung und Durchführung von IT-System- und Dienst-Audits

Beginnen Sie mit der Ermittlung der spezifischen Anforderungen für die Auditierung Ihrer IT-Systeme und -Dienste. Identifizieren Sie dabei, welche Elemente und Aspekte überwacht werden müssen und legen Sie klare Ziele für das Audit fest. Anschließend ist es essentiell, den Umfang und die Tiefe des Audits rechtzeitig zu bestimmen und sicherzustellen, dass alle beteiligten Parteien, darunter der Betreiber und die Nutzer der Systeme oder Dienste, entsprechend informiert und in die Planung einbezogen sind.

Stellen Sie sicher, dass die Audits ohne Störungen der laufenden Betriebsprozesse und unter Beachtung eventueller Sicherheitsrisiken durchgeführt werden. Nutzen Sie dabei Spezialisten für die Durchführung der Audits und setzen Sie, wenn möglich und angebracht, automatisierte Werkzeuge ein, etwa Schwachstellen-Scanner. Diese Überprüfungen sollten sowohl über das interne Netzwerk als auch über das Internet erfolgen, um eine umfassende Sicherheitsbewertung zu gewährleisten.

Bewahren Sie alle Audit-Ergebnisse nachvollziehbar auf und stellen Sie sicher, dass diese an das zuständige Management berichtet werden. Daraus sind dann unmittelbar Maßnahmen zur Verbesserung der IT-Sicherheitslage abzuleiten und umzusetzen. Es ist ratsam, die Audits regelmäßig durchzuführen, um die Sicherheitsstandards kontinuierlich zu verbessern und an neue Bedrohungen anzupassen.

Besondere Maßnahmen bei erhöhtem Schutzbedarf

Für kritische IT-Systeme und -Dienste sind aufgrund des höheren Schutzbedarfs zusätzliche Sicherheitsprüfungen vorzunehmen. Zu diesen zählen spezielle dienstspezifische Tests und, wo angebracht, Penetrationstests, die mit risikobasierten Zeitintervallen durchgeführt werden sollten.

Anforderungen bei sehr hohem Schutzbedarf

Bei einem sehr hohen Schutzbedarf ist es erforderlich, dass IT-Systeme und Dienste regelmäßig auf Schwachstellen untersucht werden. Für Systeme und Dienste, die nicht effektiv gescannt werden können, müssen alternativ geeignete Schutzmaßnahmen etabliert werden, um die Sicherheit zu gewährleisten.

Abschließend ist es kritisch, dass nach jedem Audit zeitnah ein eingehender Bericht erstellt wird. Dieser Bericht sollte nicht nur die Ergebnisse des Audits festhalten, sondern auch praxisnahe Empfehlungen für anpassende oder verbesserte Sicherheitsmaßnahmen enthalten, um gewährleisten zu können, dass alle erkannten Schwachstellen oder Sicherheitsrisiken angemessen adressiert werden.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde