Lessons Learned aus der TISAX - Implementierung bei KMU s

Ähnliche Dokumente
Spezielle Bedingungen für die Durchführung von TISAX-Bewertungen der TÜV NORD CERT GmbH

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

TISAX Assessment. Informationssicherheit in der Automobilindustrie.

Sicherheits-Kennzahlen in der Praxis

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Einführung Risk - Management

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Thomas W. Harich. IT-Sicherheit im Unternehmen

ALPHA-OMEGA PROJECTS. Alpha-Omega Projects. Wir erstellen Ihr ISMS und unterstützen Sie bei der Zertifizierung ISO EnWG

IT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen

Fragenkatalog Informationssicherheitsmanagement Zertifizierung nach ISO/IEC und ISO /IEC

Vorstellung, Status & Vision

Übersicht über die IT- Sicherheitsstandards

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

Zertifizierung Auditdauer und Preise

Normrevision DIN EN ISO 9001:2015. Seite: 1

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

ISO Zertifizierung

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Glücklich mit Grundschutz Isabel Münch

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN. Jörn Maier, Director Information Security Management

Information Security Management System Informationssicherheitsrichtlinie

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

ISO 14001:2015 die Änderungen aus der Sicht der Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

Informationssicherheitsma nagementsystem (ISMS)

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Blick über den Tellerand Erfahrungen der EVU

Management von Informationssicherheit und Informationsrisiken Februar 2016

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

FSKB IT Guideline Ausgabe 2018

Informationssicherheit für den Mittelstand

EcoStep 5.0. Aktualisierung des integrierten Managementsystems für kleine und mittlere Unternehmen

Die Neuerungen bei den Anforderungen nach dem DStV-Qualitätssiegel. Anforderungen nach dem DStV-Qualitätssiegel

ISO 9001: Einleitung. 1 Anwendungsbereich. 2 Normative Verweisungen. 4 Qualitätsmanagementsystem. 4.1 Allgemeine Anforderungen

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

Fallbeispiele zur Kompetenz IT-Sicherheit und CyberSecurity Berlin, Leipziger Platz 15

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Norm Revision ISO 9001:2015. Konsequenzen für Unternehmung, Prozesseigner und Auditoren

Zertifizierung von IT-Standards

ANHANG 17-A SCHUTZ- UND SICHERHEITSVERFAHREN

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

DATENSCHUTZ in der Praxis

Prozessorientiertes Qualitätsmanagement

Was geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung

DIN EN (VDE ): EN 62304: A1:2015

ISO Zertifizierungen. Alexander Häußler

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

GRC TOOLBOX PRO Vorstellung & News

Normrevision DIN EN ISO 14001:2015. Seite: 1

Produktvorstellung. Seiler. Musterbeispiel DIN ISO 10005: QM-Plan. Zielgruppe: Große Unternehmen. Inhalte. Lieferung. Leseprobe.

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Hand in Hand: IT- und Facility-Management

PROJEKTE ZUM ERFOLG FÜHREN

ISIS12 Tipps und Tricks

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

11. Westsächsisches Umweltforum 12. November 2015, Meerane. Informationen zur Revision der DIN EN ISO 14001:2015

Genesis Consulting. ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Hermann Banse Oliver Tagisade- Ralf Wildvang

Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit?

Quality. Excellence. Search. Navigation. Knowledge. Security. Management.

Inhalt. Einleitung und Auftragsgegenstand Leistungsumfang Change-Request-Verfahren... 4 Deutsche Sprache... 4 Reporting... 4 Preise...

Qualitätsmanagement Beratung für ISO9001, VDA6.3 und IATF16949

Zertifizierung nach ISO unter Berücksichtigung des Konformitätsprogramms der BNetzA

SCHUCHERT-Selbstcheck zu neuen Anforderungen der DIN EN ISO 9001:2015

Zertifizierung nach DIN EN / ISO Norbert Kraus Energieeffizienz und Energiemanagement, Nürnberg, 13. Juli 2011

HSE-Eignungsprüfung unserer Lieferanten

Wissensmanagement. Thema: ITIL

Standardisierung und Anforderungen an SMGW Administration

Wissensmanagement. Thema: ITIL

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

Cyber Security der Brandschutz des 21. Jahrhunderts

Erhebung von Leistungskennzahlen bei den Zertifizierungsstellen für Managementsysteme gemäss Dokument IAF MD15

Inhaltsverzeichnis. 1 Einleitung 1. Bibliografische Informationen digitalisiert durch

DIN EN ISO 9001:2015 Neue Anforderungen

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Audit-Bericht ISO 9001

Übersicht über ISO 9001:2000

ÄNDERUNGEN UND SCHWERPUNKTE

ISO-Ambulanz. Unterstützung zu Ihrem Managementsystem: kompetent effizient schnell.

Musterhandbuch Qualitätsmanagementplan

_isis12_de_sample_set01_v2, Gruppe A

Zertifizierung Auditdauer und Preise

_itsm_20000_fnd_de_sample_set01_v1, Gruppe A

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

DSGVO erfolgreich meistern

Fragenkatalog 2 CAF-Gütesiegel - Fragenkatalog für den CAF-Aktionsplan (Verbesserungsplan)

Transkript:

Lessons Learned aus der TISAX - Implementierung bei KMU s ipu fit for success Lise-Meitner-Straße 1 85716 Unterschleißheim www.ipu-fitforsuccess.de

Experte Michael Terre (MBA, B.Eng) Qualifikationen und Kompetenzen: 1st and 2nd party-auditor IATF 16949:2016 Zertifizierter Prozess-Auditor VDA 6.3 Qualitätsmanagement-Beauftragter (QMB-TÜV) Qualitätsmanagement-Fachkraft (QMF-TÜV) Foundation Training TISAX Assessment Qualitäts- und Prozessmanagement terre@ipu-fitforsuccess.de Lieferantenmanagement/ -entwicklung Projektmanagement Automotive Core Tools (APQP, FMEA, etc.) -2-

Inhalte 1 2 3 4 5 6 7 8 9 10 Einführung: TISAX Abgrenzung zur ISO 27001 Selbsteinschätzung nach VDA ISA Das Teilnehmerhandbuch Hauptbestandteile TISAX -Prüfung ISM-Leitlinien Geforderte KPI s TISAX Pflichtdokumente TISAX Pflichtprozesse Fazit -3-

1. Einführung: TISAX TISAX steht für Trusted Information Security Assessment Exchange Wie der Name schon verrät, ist eines der Ziele von TISAX, der Austausch von Angaben bezüglich des Niveaus der Informationssicherheit der Beteiligten. Es ist ein von der Automobilindustrie definierter Standard für Informationssicherheit, welcher speziell für die Anforderungen der Branche angepasst wurde. Grundlage dieses Standards ist die ISO 27001, auf welche auch häufig verwiesen wird. Ebenso handelt es sich bei TISAX um eine Plattform, mit deren Hilfe Unternehmen der Automobilindustrie das geforderte Niveau in der Informationssicherheit prüfen lassen, dokumentieren und nachweisen können. -4-

2. Abgrenzung zur ISO 27001 Eine Zertifizierung nach 27001 (ISMS) oder 9001 (QMS) ist zwar keine zwingende Voraussetzung für TISAX, stellt aber eine sehr gute Basis dafür dar Zum Verständnis: Die Abgrenzung von ISO 27001 und TISAX sieht folgendermaßen aus: ISMS Zertifizierung Gültigkeit ISO 27001 - High Level Sturktur - Grundlage der ISO 27001 Zertifizierung - Vollständiges Managementsystem - Formales Statement of Applicability (SoA) - Zertifizierung eines Informationssicherheitsmanagemen tsystems - Durchgeführt von einem Auditor - Veröffentlichung per Zertifikat - 3 Jahre - Jährliche Überwachungsaudits TISAX - Ansatz für Informationssicherheit auf Basis ISO 27001 und VDA-ISA - Kein vollständiges Managementsystem - Ausgefülltes Self-Assessment = SoA - Prüfung der Einführung der VDA-ISA Anforderungen - Durchgeführt von einem Prüfer - Veröffentlichung der Labels auf ENX Plattform - 3 Jahre - Keine jährlichen Überwachungsaudits -5-

3. Selbsteinschätzung nach VDA ISA Damit die Prüfung nicht unnötig lang dauert oder sogar scheitert, kann das Unternehmen das Informationssicherheitsmanagementsystem, mit Hilfe der Selbsteinschätzung, auf Basis des VDA ISO auf Herz und Nieren überprüfen. Damit versetzen Sie sich zu Beginn des eigentlichen Prüfungsprozesses in eine gute Ausgangssituation. Der Fragenkatalog des VDA ISA kann unter dem folgenden Link runtergeladen werden: https://www.vda.de/de/services/publikationen/vda-isa-katalog-version-5.0.html Der Fragenkatalog des VDA ISA besteht aus den vier Reitern: 1. Informationssicherheit 2. Anbindung Dritter (23) 3. Datenschutz (24) 4. Prototypenschutz (25) -6-

4. Das Teilnehmerhandbuch Das Teilnehmerhandbuch ist eine von der ENX Association zur Verfügung gestellte Anleitung, welche detailliert beschreibt wie Sie eine TISAX -Prüfung bestehen und Ihr Prüfergebnis mit Ihren Partnern teilen Das Teilnehmerhandbuch steht unter dem folgenden Link frei zum Download zur Verfügung: https://enx.com/tisax /files/downloads/tisax -Teilnehmerhandbuch.pdf Das Teilnehmerhandbuch enthält somit alles was die eine Organisation wissen muss, um den TISAX -Prozess erfolgreich zu durchlaufen Wichtige Inhalte sind beispielsweise: - Überblick und Einleitung - Der TISAX -Prozess - Registrierung = Schritt 1 - Prüfung = Schritt 2 - Austausch = Schritt 3-7-

5. Hauptbestandteile TISAX -Prüfung ISM-Leitlinien Kennzahlen (KPI s) Dokumentation und Richtlinien Prozesse und Vorgehensweisen Eine zusammenfassende Übersicht aller hinsichtlich der Informationssicherheit betreffenden Vorgaben und Verpflichtungen, welche innerhalb der Organisation festgelegt wurden, muss als bindende Vorgabe für alle Mitarbeiter erstellt und zur Verfügung gestellt werden. Zum Überwachen und Messen der Prozessergebnisse sowie der vorgegebenen Controls, werden von der TISAX beispielhafte Key Performance Indicators vorgeschlagen, welche für ein zentrales Management der Informationssicherheit sehr hilfreich sind. Mit Hilfe der Erstellung von bestimmten Richtlinien sowie einer strukturierten und gelenkten Dokumentation müssen die von der TISAX geforderten Vorgaben durchgängig definiert, dokumentiert und für die Mitarbeiter zugänglich gemacht werden. Die aus der TISAX resultierenden Mindestanforderungen an die einzuführenden bzw. umzusetzenden Prozesse und Vorgehensweisen in einer Organisation können mit Hilfe von bestimmten Pflichtprozessen dargestellt und umgesetzt werden. -8-

6. ISM-Leitlinien Die Erstellung der ISM-Leitlinien bildet die grundlegende Basis für die TISAX - Implementierung und deckt bereits einen Großteil aller zu erfüllenden Anforderungen ab Die ISM-Leitlinie gilt für alle Mitarbeiter, Angestellten und Auftragnehmer einer Organisation, einschließlich Zeitarbeitskräfte und Auftragnehmer mit Zugang zu Informationen und Datenverarbeitungssystemen Mit Hilfe der ISM-Leitlinie wird sichergestellt, dass JEDER Mitarbeiter: - weiß, dass ein ISM-System in der Organisation implementiert ist - sich mit dem ISM-System vertraut machen kann - die Informationssicherheitsdokumentation, welche für jeden Bereich und jedes Verfahren gilt, anwendet - sich strikt an alle Vorschriften und Anforderungen der Informationssicherheit hält Jedes Hauptkapitel der ISM-Leitlinien enthält zusätzliche Informationen zu: - den Zielen einer Sicherheitsmaßnahme und was mit dieser erreicht werden soll - einer oder mehreren Sicherheitsmaßnahmen, um das angewandte Ziel zu erreichen -9-

7. Geforderte KPI s Zur Überwachung fordert die TISAX explizit eine durchgängige Erhebung, Messung und Dokumentation von festgelegten Kennzahlen. Alle von der TISAX mindestens geforderten KPI s werden in der VDA ISA (=Excel-Datei) im Tabellenreiter Beispiele KPI aufgelistet und explizit beschrieben. Der Inhalt des Tabellenblattes dient zwar als reine Hilfestellung zur Identifizierung eigener, passender KPIs, wird jedoch in den meisten Fällen einfach übernommen. Für Controls, bei denen der VDA ISA einen Zielreifegrad Level 4 definiert hat als auch für weitere Controls, bei denen eine Messung sinnvoll erscheint, müssen konkrete KPI s definiert und durchgängig erhoben, dokumentiert und bewertet werden. -10-

8. TISAX Pflichtdokumente Die folgenden Pflichtdokumente müssen mindestens vorliegen bzw. erstellt werden: Firewall Konzept Spezialkunde Informationssicherheits-Konzept-für-Mitarbeiter Konfigurations-Konzept Konzept zur Meldung und Behandlung von Sicherheitsvorfällen Konzept zur Klassifikation und Handhabung von Informationen Lösch-Konzept MS-Update-Konzept Notfallhandbuch Risikomanagement-Konzept Sensibilisierungs-Konzept zur Informationssicherheit Systemupdates-Konzept Virenschutz-Konzept Konzept-Passwortumgang ISMS Overview ISO27001 Datenschutzkonzept Information-Security-Policy Spezifische Arbeitsanweisungen (z.b. Installationsanleitung-BitLocker) Installations-Konzept Arbeitsplatz-PC-Laptop Konzept Dokumentenlenkung Kommunikationspolitik Zugriffschutz bei Externen Datenträger Monitoring der User Zugriffsrechte Gebäudesicherheit Liegenschaft Konzept gesperrter Bildschirm (und evtl. freier Schreibtisch) Physikalische-Zutrittsregelung Verwaltungspostfach ISMS und Netzlaufwerksbereich ISB Konzept Internetzugriff Admin PC -11-

9. TISAX Pflichtprozesse Die folgenden Pflichtprozesse müssen mindestens beschrieben bzw. definiert werden: Dokumentierte Prozesse Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheits-Risiken Prozess zur regelmäßigen Prüfung und Überarbeitung der Informationssicherheits-Richtlinien Prozess zum Umgang mit Informationssicherheitsvorfällen Prozess zur Asset-Verwaltung (Terminierungsprozess) Prozess zur Benutzerverwaltung (Vergabe, Änderung, Löschung von Benutzerkennungen) Prozess zur Verwaltung von Zutritts- sowie Zugriffsrechten Prozess für das Änderungsmanagement Genehmigungsprozess für die Verwendung von externen Diensten (z.b. Instant Messaging, Web Meeting, Web-Mail) Prozess zur Überwachung der Gültigkeit von befristeten Vereinbarungen (z.b. Geheimhaltungsvereinbarungen) Entwicklungsprozess für Software und IT-Systeme Prozess zum Management von Testdaten (Genehmigungsprozess) Beschaffungsprozess zur Evaluierung und Freigabe von externen IT-Diensten (z.b. Cloud-Dienste) Prozess zur Überwachung und Überprüfung von Dienstleistern (Lieferantenmanagement) Disaster Recovery Prozess zur Weiterführung eines ISMS in Krisensituationen Prozesse und Verfahren zum Schutz personenbezogener Informationen (Datenschutz) Prozessgruppe/Fachbereich Informationssicherheit und Datenschutz managen Informationssicherheit und Datenschutz managen Informationssicherheit und Datenschutz managen Infrastruktur managen Personal managen Personal managen oder Infrastruktur managen Qualität überwachen Informationssicherheit und Datenschutz managen Infrastruktur managen Innovationen und Softwaresysteme entwickeln Informationssicherheit und Datenschutz managen Infrastruktur managen Qualität überwachen Infrastruktur managen Informationssicherheit und Datenschutz managen -12-

10. Fazit Die Vorbereitung sowie die Umsetzung von entsprechenden Anforderungen inkl. Erstellung aller geforderten Dokumente und Richtlinien, welche für eine erfolgreiche TISAX Prüfung mindestens vorgelegt werden müssen, bedarf einer sorgfältigen Planung und erfordert einen enormen Ressourceneinsatz Neben der Angabe der TISAX Prüfziele, ist der Prüf Scope ein wichtiger Bestandteil der Registrierung als TISAX Teilnehmer Der Prüf Scope beeinflusst ebenfalls zu einem großen Teil den Umfang, der TISAX Prüfung. Als Basis für die Definition des Scopes dient der TISAX Standard Scope Dieser wird von allen Kunden akzeptiert Der Standard Scope erfasst dabei alle Prozesse, Verfahren und beteiligte Ressourcen am jeweiligen Standort Abweichungen vom Standard Scope (=Einschränkungen oder Erweiterungen des Scopes) müssen zwingend mit dem Kunden abgestimmt werden

So finden Sie uns Firmensitz ipu fit for success Lise-Meitner-Straße 1 85716 Unterschleißheim Tel.: 089 / 319 017 580 Fax: 089 / 319 017 588 mail@ipu-fitforsuccess.de www.ipu-fitforsuccess.de -14-

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback