TISAX Assessment – Fragebogen – ein Beispiel zur Vorgehensweise

Genau lesen, was im Vertrag steht

Wenn du dich entscheidest, TISAX regelkonform einzuführen, kommst du um das sog. VDA Information Security Assessment nicht herum. Hierbei handelt es sich um einen Fragebogen mit etwa 50 Fragen. Die Fragen musst du:

1. Beantworten
2. Umsetzen
3. Von einem zertifizierten Prüfer prüfen lassen
4. Ist das Ergebnis positiv, erhältst du die TISAX Zertifizierung (TISAX Label)

TISAX Fragebogen - Grundlagen vom "Information Security Assessment"

TISAX Assessment Fragebogen

Der Excel-Fragebogen ist sachlich okay, jedoch gewöhnungsbedürftig. Uns interessiert die 2. Spalte „ISA New“. Du siehst, dass jede Frage einem Code (Control) zugeordnet ist. Das dahinterstehende Prinzip erklären wir dir am Control 1.1.1, das dir in der Spalte „Kontrollfrage“ eine Frage stellt.

Kontrollfrage​

Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?

Damit sich diese Frage für dich aufhellt, gibt es in der nächsten Spalte einige Informationen zum Ziel, das du erreichen sollst.

Die Organisation benötigt mindestens eine Richtlinie für Informationssicherheit. Diese spiegelt die Wichtigkeit und Bedeutung der Informationssicherheit wieder und ist an die Organisation angepasst. Weitere Richtlinien können je nach Organisationsgröße und -struktur sinnvoll sein.


Wir geben dir einige Vorschläge:

Für die Informationssicherheitsrichtlinie ist zu beachten, dass sie auf Grundlage der Organisationsstrategie, Gesetzen und Verträgen erstellt werden sollte. In dieser Richtlinie sollten die Schutzziele der Informationssicherheit für dein Unternehmen festgelegt werden.

Du solltest dich fragen, ob es erforderlich sein könnte, weitere relevante Richtlinien zur Informationssicherheit zu erstellen. Wird die Richtlinie zu lang, können Unter-Richtlinien erstellt werden.

Du solltest außerdem überlegen, wie du die Aktualisierung organisieren willst. Du solltest prüfen, ob Richtlinien (ggf. auch in Auszügen) an externe Geschäftspartner weitergegeben werden sollten.

 

Anforderungen (muss)

Hier geht es nun ans „Eingemachte“. Deshalb jeden Satz ein wenig sacken lassen. Wir geben einige Tipps, die dir das ganze näher bringen.

– Die Anforderungen an die Informationssicherheit sind ermittelt und dokumentiert.
– Die Anforderungen sind an die Ziele der Organisation angepasst.
– Eine Richtlinie ist erstellt und von der Organisationsleitung freigegeben.
– Die Richtlinie enthält Ziele und den Stellenwert der Informationssicherheit in der Organisation.

Welche Gedanken könntest du dir hierzu machen?

Hier solltest du dir Gedanken machen, wie du die vielen Informationen, die dein Kunde dir zum Fertigen seiner Produkte (Dienstleistungen) bereitstellt, schützen willst. Dabei solltest du dir auch vor Augen führen, wie du deine eigenen Informationen, Daten und Werte schützt. Im Laufe der Jahre hat sich viel Know-how bei dir aufgebaut. Du verfügst über eingearbeitete Mitarbeiter, besondere Fertigungsmethoden, spezielle Lieferanten oder auch externe Dienstleister, die dir beim Aufbau deiner Firma geholfen haben.


Fazit bis hier:

Dein Kunde will letztendlich den Schutz seiner und deiner Daten in einem gemeinsamen Paket. Das musst du in einem Konzept (Leitlinie zur Informationssicherheit) darstellen. Diese Leitlinie soll einerseits beschreiben, was du unternimmst, um deine Werte zu schützen. Andererseits soll die Leitlinie deinem Kunden plausibel machen, wie du gedenkst, seine Informationen sicher in deiner Firma zu verarbeiten.

Anforderungen (sollte)​

In dieser Spalte findest du konkretere Hinweise zum Aufbau der Informationssicherheitsrichtlinie.

– Die Anforderungen an die Informationssicherheit auf der Grundlage der Organisationsstrategie, Gesetze und Verträge sind in der Richtlinie berücksichtigt.
– Verantwortlichkeiten für die Durchführung sind definiert.
– Die Richtlinie weist auf Konsequenzen bei Nichtbeachtung hin.
– Weitere relevante Richtlinien zur Informationssicherheit sind erstellt.
– Eine regelmäßige Prüfung und – falls notwendig – Überarbeitung der Richtlinien sind etabliert.
– Die Richtlinien werden Mitarbeitern in geeigneter Form (z. B. Intranet) zur Verfügung gestellt.
– Die Richtlinien werden fallbezogen (ggf. auch in Auszügen) an externe Geschäftspartner weitergegeben.
– Mitarbeiter und externe Geschäftspartner werden über für sie relevante Änderungen informiert.


Kleiner Tipp – Spalte ISA-Sollte (wirklich) verstehen

Am besten erstellst du dir eine kleine Tabelle mit den Anforderungen, die dir in der ISA-Sollte vorgegeben werden. Diese Punkte bilden mehr oder weniger die Gliederung deiner Leitlinie zur Informationssicherheit ab.

Zusatzanforderungen bei hohem und sehr hohem Schutzbedarf

Es werden keine Anforderungen gestellt.

Üblicher Prozessverantwortlicher​

Für jedes Control musst du einen Verantwortlichen benennen, der sich um die Umsetzung kümmert.

Beschreibung der Umsetzung

Diese und die folgenden Spalten müssen zum Anzeigen von dir aktiviert werden. Links über der dunkelgrünen Kopfzeile findet du zwei kleine Kästchen 1 und 2. Wenn du auf die 2 drückst, öffnen sich weitere drei Spalten. Die beiden Ersten sind von dir auszufüllen. In die Dritte schreibt der Prüfer seine Feststellungen.

Hier trägst du ein wie du, dass Control 1.1.1 umgesetzt hast. Wir geben dir Hilfestellung.

Wie könnte die Umsetzung erfolgt sein?

In der Leitlinie zur Informationssicherheit wird die Bedeutung des Umgangs mit Informationswerten in unserem Unternehmen beschrieben. Aus der Summe der Vorgaben, die zum Schutz von Informationen und der sich daraus ableitenden Organisatorischen und Technischen Maßnahmen schützen wir Informationen bzw. Informationswerte.

Unser Informationssicherheitsbeauftragter koordiniert und überprüft mit den Prozessverantwortlichen die Einhaltung der Informationsrichtlinien und erforderlichen Maßnahmen.

Wir legen großen Wert auf die Umsetzung der geltenden gesetzlichen Vorgaben. Diese gehen, wenn immer erforderlich, in die Umsetzung der Technischen und Organisatorischen Maßnahmen ein.

 

Referenz Dokumentation​

Dieses Control ist vollständig, wenn du deine in der Spalte Umsetzung gemachten Angaben durch fundierte Dokumente belegen kannst.

Deshalb zählst du alle Anlagen zum Control auf und übergibst dem Zertifizierer die Dateien zur Überprüfung.

LinkedIn
Facebook
Twitter

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert