VDA ISA 6.0.2

TISAX® Kapitel 5.3.1
Inwieweit wird Informationssicherheit bei neuen oder weiterentwickelten IT-Systemen berücksichtigt?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Informationssicherheit ist ein fester Bestandteil über den gesamten Lebenszyklus von IT-Systemen. Dies umfasst insbesondere die Berücksichtigung von Anforderungen an die Informationssicherheit bei der Entwicklung oder Anschaffung von IT-Systemen.

Anforderungen

Muss
Die Anforderungen an die Informationssicherheit bei der Planung und Entwicklung von IT-Systemen sind ermittelt und werden berücksichtigt.
Muss
Die Anforderungen an die Informationssicherheit bei der Beschaffung oder Erweiterung von IT-Systemen und IT-Komponenten sind ermittelt und werden berücksichtigt.
Muss
Anforderungen an die Informationssicherheit bei Änderungen in entwickelten IT-Systemen sind berücksichtigt.
Muss
Systemabnahmetests werden unter Berücksichtigung der Anforderungen an die Informationssicherheit durchgeführt.
Sollte
Lastenhefte sind erstellt. Die folgenden Aspekte werden berücksichtigt:
Sollte
Die Anforderungen an die Informationssicherheit.
Sollte
Empfehlungen des Verkäufers und bewährte Verfahren für eine sichere Konfiguration und Implementierung
Sollte
Bewährte Verfahren und Sicherheitsleitlinien
Sollte
Ausfallsicher (so konzipiert, dass im Falle eines Ausfalls oder einer Fehlfunktion eine Rückkehr in einen sicheren Zustand erfolgt)
Sollte
Lastenhefte werden gegen die Anforderungen an die Informationssicherheit geprüft.
Sollte
Eine Prüfung des IT-Systems auf Einhaltung der Vorgaben vor dem produktiven Einsatz wird durchgeführt.
Sollte
Es wird so weit wie möglich vermieden, produktive Daten für Testzwecke zu verwenden (falls anwendbar, Anonymisierung oder Pseudonymisierung):
Sollte
Wenn produktive Daten für Testzwecke genutzt werden, muss sichergestellt werden, dass im Testsystem vergleichbare Schutzmaßnahmen wie im Produktivsystem vorhanden sind
Sollte
Anforderungen an den Lebenszyklus von Testdaten (z.B. Löschung, höchste Lebensdauer im IT-System)
Sollte
Es werden fallbezogene Vorgaben für die Erstellung von Testdaten definiert.
Bei Sehr Hoch
Die Sicherheit von für einen bestimmten Zweck speziell entwickelter Software oder von in erheblichem Umfang maßgeschneiderter Software wird geprüft (z.B. Penetrationstests) (C, I, A)
Bei Sehr Hoch
während der Inbetriebnahme
Bei Sehr Hoch
im Falle wesentlicher Änderungen
Bei Sehr Hoch
oder in regelmäßigen Abständen

Umsetzung

Erfüllung der Muss-Anforderungen

Beginnen Sie mit einer präzisen Analyse, um die Anforderungen an die Informationssicherheit bei der Planung und Entwicklung Ihrer IT-Systeme zu identifizieren. Dies sollte ein integraler Bestandteil der Spezifikationen zu Beginn eines jeden Projekts sein. Stellen Sie sicher, dass diese Anforderungen während des gesamten Entwicklungsprozesses präsent und kontinuierlich überprüft werden. Gleichermaßen wichtig ist die Integration von Informationssicherheitsstandards bei der Beschaffung oder Erweiterung von IT-Systemen und -Komponenten. Hierzu sollten Sie Sicherheitsbewertungen der vorgesehenen Produkte vornehmen. Änderungen in bestehenden IT-Systemen sollten ebenfalls einer strengen Prüfung unterzogen werden, um zu gewährleisten, dass die Informationssicherheit nicht kompromittiert wird. Abschließend ist darauf zu achten, dass Systemabnahmetests explizit Informationssicherheitskriterien einbeziehen, um frühzeitig Risiken auszuschließen.

Erfüllung der Sollte-Anforderungen

Die Erstellung von Lastenheften, die Aspekte wie Informationssicherheit, bewährte Verfahren für sichere Konfiguration und Implementierung sowie grundsätzliche Sicherheitsleitlinien umfassen, ist ein wesentlicher Schritt. Um eine hohe Qualität der Umsetzung sicherzustellen, führen Sie eine gezielte Prüfung der Lastenhefte gegen die Informationssicherheitsanforderungen durch. Vor der Inbetriebnahme neuer IT-Systeme sollten Sie stets eine gründliche Prüfung auf Einhaltung dieser Vorgaben durchführen. Um die Sicherheit im Testprozess zu garantieren, vermeiden Sie die Verwendung produktiver Daten, oder stellen Sie durch Anonymisierung und Pseudonymisierung sicher, dass diese keinen realweltlichen Bezug mehr haben. Falls dennoch produktive Daten erforderlich sind, müssen im Testsystem vergleichbare Schutzmaßnahmen wie im Produktivsystem implementiert sein. Zusätzlich ist ein klar definierter Lebenszyklus für Testdaten, einschließlich deren Löschung, sicherzustellen.

Anforderungen bei sehr hohem Schutzbedarf

Für Systeme mit sehr hohem Schutzbedarf sollten zusätzliche Sicherheitsprüfungen durchgeführt werden, insbesondere bei speziell entwickelter oder maßgeschneiderter Software. Hierzu gehören Penetrationstests, die bei Inbetriebnahme, bei wesentlichen Änderungen oder in regelmäßigen Abständen durchgeführt werden sollten. Diese Tests sind darauf ausgerichtet, potenzielle Sicherheitslücken aufzudecken und zu schließen, bevor sie ausgenutzt werden können.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde