TISAX Version 6: Die wichtigsten Änderungen auf einen Blick
Ab dem 1. April gelten für neu bestellte Testierungen die Anforderungen des TISAX Version 6-Katalogs. Damit sind viele Automobilzulieferer gefragt, Teile ihres Informationssicherheitsmanagementsystems (ISMS) entweder anzupassen oder neu aufzusetzen. Die größten Änderungen der neuen Version betreffen die Anpassung des Incident und Crisis Management. Damit reagiert der Verband der Automobilindustrie auf die zahlreichen globalen und regionalen Krisen wie etwa die Corona-Pandemie oder auch den Ukraine-Krieg.
Verbesserungen im Incident und Crisis Management
Die Verbesserung bei der Neugestaltung des Incident und Crisis Managements zielen darauf ab, Unternehmen effektiver auf Krisensituationen vorzubereiten und angemessen darauf zu reagieren. Durch klare Prozesse und Richtlinien wird die Handhabung von Vorfällen optimiert, um mögliche Auswirkungen zu minimieren. Das Incident Management legt den Fokus auf eine schnelle Identifizierung und Bewertung von Sicherheitsvorfällen, während das Crisis Management eine strukturierte Herangehensweise an Krisen bietet. Unternehmen, die diese neuen Anforderungen erfolgreich implementieren, profitieren nicht nur von einer erhöhten Sicherheit, sondern auch von einem gestärkten Vertrauen ihrer Kunden und Partner.
Einführung der Änderungen in TISAX Version 6
Die Definition und Einführung von neuen Prozessen stellen Unternehmen auf verschiedenen Ebenen vor Herausforderungen. Einerseits müssen bestehende Prozesse angepasst werden, andererseits muss durch eine entsprechende Kommunikation gewährleistet sein, dass alle Stakeholder über die Veränderungen informiert und auch von deren Sinnhaftigkeit überzeugt sind. Wie die Erfahrung zeigt, werden die Prozesse nur dann auch entsprechend gelebt. Um eine kontinuierliche Verbesserung zu erreichen, hat sich der PDCA Zyklus mit seinen Plan-Do-Check-Act-Schritten als eine sehr zielführende Methode erwiesen. So stellen Unternehmen sicher, dass sie die Anforderungen des TISAX-Katalogs gezielter und effizienter erfüllen können.
Die Rolle von Schulungen und Trainings
Doch nicht nur die Anpassung und Verbesserung der Prozesse spielen eine Rolle bei der Implementierung von Änderungen. Durch gezielte Weiterbildungsmaßnahmen wie Schulungen und Trainings können Mitarbeiter optimal auf mögliche Krisensituationen vorbereitet werden. Dabei geht es nicht nur um die Vermittlung von theoretischem Wissen, sondern auch um praktische Übungen, um im Ernstfall angemessen reagieren zu können. Schulungen helfen dabei, das Bewusstsein für Sicherheitsrisiken zu schärfen und das richtige Verhalten in kritischen Situationen zu trainieren. Zudem ermöglichen Trainings ein besseres Verständnis der Prozesse und Abläufe im Umgang mit Incidents und Krisen gemäß den Anforderungen von TISAX Version 6.
Mit dem richtigen Ansatz zum sicheren Umgang mit Krisen
In der heutigen immer komplexeren Geschäftswelt ist ein effektives Incident und Crisis Management entscheidend für den langfristigen Erfolg eines Unternehmens. Mit der Einführung von TISAX Version 6 wird die Bedeutung dieses Prozesses weiter unterstrichen. Unternehmen, die das TISAX Testat anstreben, müssen sich intensiv mit dem neuen Incident Management Prozess auseinandersetzen und diesen umsetzen. Denn Krisenmanagement wird zunehmend als Schlüssel zum Umgang mit Herausforderungen angesehen, da es Unternehmen hilft, flexibel auf unvorhergesehene Situationen zu reagieren. Deshalb kann eine proaktive Haltung in Bezug auf Krisenbewältigung ein entscheidender Erfolgsfaktor für Organisationen sein, um langfristig erfolgreich zu agieren.
Inhalt:
Neuauflage ISO 27001 kommt
Was sich ändert und was es zu beachten gilt
Die ISO/IEC-Norm 27001 bekommt nicht nur eine Auffrischung und Neustrukturierung, es gibt auch einige Änderungen, die es zu beachten gilt. Allerdings haben alle, die bereits zertifiziert sind, noch Zeit, sich auf die Neuerungen einzustellen, denn der Release der neuen Norm ist erst im Ende des Jahres geplant. Danach gilt voraussichtlich eine Übergangsfrist von drei Jahren. Wer jedoch eine Erstzertifizierung bzw. Einführung eines ISMS (Informationssicherheitsmanagementsystem) plant, sollte dies auf Grundlage des aktualisierten Leitfadens, der ISO 27002, tun. Denn diese ist bereits seit dem Februar 2022 veröffentlicht und bietet eine gute Grundlage für die Umsetzung.
Neuer Titel und Neustrukturierung der ISO/IEC 27002
Neu bei der ISO 27002 ist bereits der Titel: Von nun an lautet er „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits‐Maßnahmen“. Damit reagiert die Norm auf die neuen Herausforderungen, denen sich Unternehmen im Rahmen der Datensicherheit gegenübersehen. Während es in der alten Version noch vierzehn Themenbereiche und 35 Maßnahmenziele gab, sind diese nun in die vier Hauptbereiche Organisatorische Maßnahmen, Maßnahmen in Verbindung mit Menschen, Physische Maßnahmen und Technische Maßnahmen unterteilt. So soll eine bessere Lesbarkeit garantiert werden. Darüber hinaus ändert sich die Anzahl der Controls von 114 auf 93. Diese Änderung ergibt sich daraus, dass einige Controls zusammengefasst wurden. Allerdings beinhaltet die Neufassung der ISO 27002 nicht weniger geforderte Maßnahmen, sondern es kommen elf Controls hinzu.
Neuerungen und notwendige Schritte für eine ISMS Zertifizierung
Neu sind Controls wie etwa Webfiltering, Data Masking, Physical security monitoring oder Information Deletion. Doch was bedeutet das für die Re- oder Neuzertifizierungen eines ISMS? Gerade einige der neuen Controls wie das Physical security monitoring, bei dem gewährleistet werden muss, dass jederzeit klar ist, wer wann in den Räumen des Unternehmens war, könnte kleinere Unternehmen vor neue Herausforderungen stellen. Wie groß der Aufwand für die Umstellung ist, hängt sicherlich genauso von der Größe des Unternehmens wie von seinen Strukturen ab. Dies lässt sich erst nach einem genauen Blick auf bestehende Maßnahmen bestimmen. Sicher ist jedoch, dass Unternehmen bereits jetzt damit beginnen sollten, den Gap zwischen dem vorhandenen ISMS und dem von der neuen Norm geforderten zu analysieren. Wer eine Erstzertifizierung nach ISO 27001 plant, sollte sofort auf Grundlage der neuen Regelungen arbeiten, um zu vermeiden, bestehende, neu implementierte Prozesse und Dokumentationen anpassen zu müssen.
Sie planen eine Rezertifizierung auf Grundlage der neuen Norm oder möchten ein ISMS einführen? Wir unterstützen Sie mit einer Gap-Analyse und begleiten Sie auf dem Weg zur erfolgreichen ISMS Zertifizierung.
ISMS – unsere
Informationssicherheitsleitlinie
Zertifiziert nach ISO 27001:2013
Wir, die think tank Business Solutions AG, Messerschmittstraße 7, 80992 München (folgend: think tank) haben ein Information Security Management System (ISMS) nach ISO 27001:2013 implementiert. Das ISMS soll die Grundlage bilden, um vorhandene Risiken systematisch zu identifizieren und zu beherrschen. Das ISMS hat darüber hinaus die Funktion, die kontinuierliche Verbesserung der Schutzziele für Informationssicherheit – Vertraulichkeit, Integrität, Verfügbarkeit – zu gewährleisten. Das ISMS der think tank gilt für alle Organisationseinheiten. Es sind daher alle Verfahren, Prozesse und Tätigkeiten des Unternehmens beinhaltet. Werden Dritte mit der Erbringung von Leistungen beauftragt, ist durch vertragliche Vereinbarungen sicher zu stellen, dass die Informationssicherheitsleitlinie in den Leistungsbeziehungen berücksichtigt wird.
Geltungsbereich des ISMS nach ISO27001:2013
Der Vorstand verantwortet die Informationssicherheit der think tank. Im Rahmen dieser Verantwortung erlässt die Vorstandschaft diese Informationssicherheitsleitlinie. Nach Maßgabe dieser Leitlinie ist nach der Vorstandschaft jeder Bereich der think tank für die Sicherheit und einen angemessenen Schutz der Informationen zuständig. Diese Maßnahmen sind nicht nur gesetzlich vorgeschrieben, sondern auch Teil unserer Verpflichtungen gegenüber unseren Kunden. Jeder Mitarbeiter muss sich daher an diese Leitlinie und die daraus abgeleiteten Standards halten.
Zielgruppe
Die vorliegende Leitlinie gilt verbindlich für alle Mitarbeiter der think tank. Alle Mitarbeiter sind seitens der Vorstandschaft aufgefordert, Informationssicherheit auf Basis dieser Leitlinie und nach ISO 27001, Datenschutz nach BDSG und EU-DSGVO und materielle Sicherheit nach Kräften aktiv im jeweiligen Tätigkeitsbereich umzusetzen.
Verantwortlichkeiten
Die Verantwortung für die Informationssicherheit tragen neben der Vorstandschaft als Gesamtverantwortliche zudem alle an den Geschäftsprozessen Beteiligten. Die Vorstandschaft unterstützt die Maßnahmen und Strategien der Informationssicherheit aktiv und treibt die Umsetzung der Sicherheitsmaßnahmen im Unternehmen voran. Jeder Verantwortliche hat in seinem Bereich vor allem folgendes zu beachten:
- Die Einschätzung und Festlegung der geschäftlichen Relevanz der von ihm verantworteten Informationen und Daten,
- die Festsetzung und Genehmigung des Sicherheits- und Kontrollumfangs, um in angemessener Weise die Verfügbarkeit, Vertraulichkeit und Integrität der von ihm verantworteten Informationen und Daten zu gewährleisten,
- die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz der von ihm verantworteten Informationen und Daten implementiert werden,
- die Sicherstellung, dass die Systeme, mit denen die von ihm verantworteten Informationen und Daten bearbeitet werden, regelmäßig hinsichtlich der Einhaltung der Informationssicherheitsleitlinie geprüft werden.
Alle Mitarbeiter sind bei der Erstellung, Nutzung und Verwaltung von Informationen und Daten verpflichtet, die Leitlinie und alle abgeleiteten Richtlinien einzuhalten. Die Mitarbeiter sind für sämtliche Maßnahmen verantwortlich, die sie bei der Nutzung von Informationen und den damit verbundenen Systemen ergreifen. Die Mitarbeiter müssen verstehen, dass Informationssicherheit ein zentraler Faktor der Unternehmensphilosophie darstellt und ein entsprechendes Sicherheitsbewusstsein entwickeln. Mitarbeiter, die eine Verletzung der Informationssicherheit und der damit verbundenen Informationssicherheitsstandards vermuten oder Kenntnis davon erlangt haben bzw. annehmen, dass Informationen nicht in geeigneter Weise geschützt sind, müssen dies unverzüglich ihrem Vorgesetzten und/oder dem Informationssicherheitsbeauftragten melden. Die Nichteinhaltung oder bewusste Verletzung der Unternehmensvorgaben kann entsprechend ihrem Umfang zu Disziplinarmaßnahmen, Entlassung und straf- und/oder zivilrechtlichen Verfahren führen.
Sicherheitsbewusstsein
Aufgrund der Wichtigkeit der Informationssicherheit wird von jedem Mitarbeiter ein hohes Sicherheitsbewusstsein erwartet. Ihre Einhaltung wird überprüft. Sicherheitsbewusstsein ist durch folgendes Verhalten gekennzeichnet:
- Erkennen, dass Informationssicherheit ein kritisches und wesentliches Element der Unternehmensphilosophie und des Unternehmenserfolgs ist,
- stets vorhandenes Sicherheitsbewusstsein bei allen täglich anfallenden Arbeiten,
- persönliche Verantwortlichkeit für proaktive sowie effektive reaktive Maßnahmen in Bezug auf sämtliche Risiken, Schwachstellen, Vorfälle für Mitarbeiter, Informationen, Vermögenswerte und die Fortführung der Geschäftstätigkeit im Notfall,
der Informationssicherheitsbeauftragte wird bei Unregelmäßigkeiten umgehend informiert.
Ziele
Da die Bedeutung der Informationssicherheit für die Durchführung der Geschäftsprozesse zentral ist, ergeben sich folgende zentrale, strategische Informationssicherheitsziele:
- Schutz vertraulicher Daten sowohl von Kunden als auch des Unternehmens und dessen Mitarbeiter,
- Verfügbarkeit sämtlicher Dienstleistungen und damit gegeben die Verfügbarkeit der involvierten Daten,
- Integrität sämtlicher Dienstleistungen und damit gegeben die Integrität der involvierten Daten,
- Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte,
- Einhaltung der aus gesetzlichen, vertraglichen und aufsichtsrechtlichen Verpflichtungen resultierenden Anforderungen,
- Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb des Unternehmens,
- Etablierung und Erhaltung eines guten Rufs des Unternehmens bzgl. Informationssicherheit im öffentlichen Bewusstsein,
- Reduzierung der im Schadensfall entstehenden Kosten.
- Minimal- bzw. Need-to-know-Prinzip: Der Zugriff auf sicherheitskritische Systeme, Applikationen und Informationen ist auf einen minimalen Personenkreis einzuschränken. Dabei ist prinzipiell verboten, was nicht explizit erlaubt ist (Verbot mit Erlaubnisvorbehalt).
- Einführung und fortlaufender Erhalt des ISMS in Anlehnung an den kontinuierlichen Verbesserungsgedanken im Sinne des PDCA-Modells (Plan-Do-Check-Act).
Bereitstellung ausreichender Ressourcen zur Erreichung der gesetzten Ziele.
Risikomanagement
Das Risikomanagement ist die Grundlage des ISMS nach ISO 27001. Die Risikoanalyse im Rahmen des ISMS dient der systematischen Betrachtung potenzieller Risiken, gefolgt von deren Bewertung und gegebenenfalls der Einleitung von Gegenmaßnahmen. Die für die Informationstechnologie und -sicherheit existierenden Risiken werden festgehalten und nach einem vorgegebenen Schema bewertet. Die Anwendung angemessener, wirtschaftlicher Maßnahmen, die Verlagerung geschäftlicher Risiken und das Senken bzw. das bewusste Hinnehmen von Risiken unterhalb eines festgelegten, akzeptablen Niveaus werden in der Risikoanalyse beschrieben und von der Vorstandschaft gegengezeichnet.
Kontinuierlicher Verbesserungsprozess
Das ISMS auf Basis des PDCA-Modells wird implementiert, um die Informationssicherheit zu erhalten und kontinuierlich zu verbessern. In den PDCA-Kreislauf fließen Verbesserungsmaßnahmen aus verschiedenen Quellen ein, die in ihrer Umsetzung fortlaufend dokumentiert werden.
