Kategorien-Archiv Wissen wie es geht

TISAX® Vorlagenpaket

ISMS-Quick Start Programm – Für Ihren schnellen, sicheren und vereinfachten Start in die Informationssicherheit

Sie haben sich dazu entschieden, ein Informationssicherheits-Managementsystem (ISMS) umzusetzen oder wurden sogar von Ihrem Kunden dazu verpflichtet, die hohen Anforderungen an die Informationssicherheit zu erfüllen? Sie wollen nun handeln, schnell und ohne Umwege zum Erfolg gelangen? Mit unserem umfangreichen und von Experten mitentwickelten NormTracker Vorlagenpaket erhalten Sie toolgestützt die beste Schritt-für-Schritt Anleitung zu einem gelebten Informationssicherheits-Managementsystems zum Beispiel nach VDA ISA / TISAX®.

Fangen Sie nicht bei Null an und starten Sie direkt durch!

Mit unserem Voralgenpaket erhalten Sie nicht nur ein umfangreiches Dokumentenvorlagenpaket für den dokumentierten ISMS Aufbau, wir bieten Ihnen zudem eine toolgestützte und vorbereitete ISMS Struktur inklusive Aufgabenpaketen, sinnvollen Vorbefüllungsbeispielen und persönlicher Begleitung bei Fragen rund um die Informationssicherheit. Mit unserem ISMS-Quick Start Programm setzen Sie nicht nur ein ISMS um, sondern gelangen vereinfacht und gesteuert, mit verringertem Aufwand zu einem gelebten Managementsystem.

Jetzt neu – Unser dreimonatiges Schnupperpaket

Bereits ab 499,00 Euro erhalten Sie einen dreimonatigen Zugang zu unserem bewährten NormTracker System. Besuchen Sie zudem unsere inbegriffenen Intesivworkshops, erhalten Sie passende Aufgabenpakete, eine perfekt auf Ihr Projekt vorbereitete Datenbank sowie einen persönlichen Kick-Off-Workshop. Bei Bedarf stellen wir Ihnen zusätzliche Checklisten und ISMS Life Hacks sowie Coaches zur Verfügung und erstellen Ihnen einen individuellen Erfolgsplan zur Erreichung des TISAX® Labels.


Für mehr Infos, unverbindliche Angebote, Livedemos und Mustervorlagen freuen wir uns auf Ihre Nachricht an unser Experten-Team.

Schutzzonen Konzept

Was sind Schutzzonen und was muss ich beachten?

Wer Informationssicherheit korrekt umsetzen möchte, muss sich letztendlich auch mit diesen Fragen einmal auseinander setzen. Was hat eigentlich das Facilitymanagement damit zu tun und kann ich die Bereiche effizient verbinden?

Am 20.07.2022 bieten wir einen kostenlosen Workshop mit dem ISMS Experten Klaus Kilvinger der Opexa Advisory an.

Inhalte des Workshops:
Schutzzonen & Facility Management

  • Was fordert der TISAX®-Standard?
  • Gibt es Besonderheiten bei Prototypen?
  • Wie setze ich das konkret um?
  • Welche Maßnahmen sind erforderlich?
  • Was muss ich bei der Implementierung beachten?
  • Welche Nachweise werden benötigt?

Natürlich ist der Workshop auch auf andere Standards, wie die VdS 10000 oder der ISO/IEC 27001 anwendbar.

Klkaus Kilvinger ist seit über 30 Jahren in der IT-Branche zu Hause und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Metier. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter besitzt er breite Branchenkenntnisse über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor, bis hin zur Wirtschaftsprüfung.

Auf dieser Seite können Sie sich bequem und unverbindlich zum Workshop anmelden.

Bei Fragen wenden Sie sich bitte an hello@certvision.de!

Aktualisierung – VDA ISA 5.1

Was hat sich geändert?

Gerade noch im Zertifizierungsaudit zur VDA ISA 5.0.4 gesessen und bereits eine Woche später schleicht sich klammheimlich und unerwartet die Version 5.1 heran. Mein erster Gedanke „Was hat sich denn nun schon wieder verändert?“, denn gefühlt wird keine andere Norm so häufig aktualisiert, wie die VDA ISA.

Laut dem Registerblatt Änderungshistorie im VDA ISA Katalog 5.1 wurde gar nicht so viel verändert. Hier ein kurzer Überblick:

  • Korrektur Rechtschreibung und Ausdruck, sprachliche Klarstellung, Beseitigung von Uneindeutigkeiten
  • Neustrukturierung Tabellenblatt „Willkommen“, Definition der Teballenblätter in „Definition“ verschoben
  • Ergänzung der Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt „Informationssicherheit“
  • Entfernen der Spalte „Adressierte Schutzziele“ in den Tabellenblätter „Informationssicherheit“ und „Prototypenschutz“
  • Inhalte der Spalte „Üblicher Prozessverantwortlicher“ in den Tabellenblättern „Informationssicherheit“ und „Prototypenschutz“ geleert

Halten wir fest, kleine Schönheitsreperaturen wurden durchgeführt, die addressierten Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität) wurden an die Anforderungen direkt rangehängt sowie die Hilfestellungen durch Vorbefüllung der üblichen Prozessverantwortlichen herausgenommen.

War das wirklich schon alles?

Bei einem zweiten Blick erhasche ich jedoch noch weitere Punkte, die in der Änderungshistorie glatt vergessen wurden. Kommt also bald die Version 5.1.1 mit Korrektur der Änderungshistorie heraus? Wir werden es sehen.

Welche wichtigen Änderungen gab es noch zur Vorgängerversion 5.0.4?

  • Anforderung 3.1.3 unter sehr hohem Schutzbedarf scheint zukünftig nicht mehr erforderlich zu sein und wurde herausgenommen (zur Erinnerung: „Die Entsorgung von Informationsträgern erfolgt gemäß eines der gängigen Standards (z. B. ISO21964, mind. Sicherheitsstufe 5)“)
  • Anforderung 4.2.1 unter hohem Schutzbedarf wurde nun zu sehr hohem Schutzbedarf verschoben
  • Anforderung 5.1.2 unter hohem Schutzbedarf wurde ebenfalls zu sehr hohem Schutzbedarf verschoben

Aktualisiserung NormTracker – Normen-Modul 5.0 zu 5.1

Natürlich haben wir im NormTracker bereits auf die Aktualisierung reagiert, die Änderungen entsprechend angepasst und den neuen Audit-Report VDA ISA 5.1 für Ihre Auswertung der Gesamtergebnisse hinterlegt.

NormTracker Anwender bekommen die durchgeführte Aktualisierung gar nicht mit. Genau so still und heinlich wie die Aktualisiserung des VDA ISA Katalogs 5.1 fand auch die Aktualisierung im Tool statt. Als NormTracker Anwender nutzen Sie Ihre Datenbank wie gewohnt weiter und müssen nichts weiter tun.

Für alle Neukunden, Interessenten und Partnerberater gillt: Ergebnisse früherer Versionen ab 4.1. sowie Auditreports und Auswertungen, können problemlos in die aktuelle NormTracker VDA ISA 5.1 übernommen werden, sprechen Sie mich gerne auf Datenübernahme und Importe an.

Entscheiden Sie sich jetzt noch für einen kostenlosen Testaccount. Wenden Sie sich an hello@certvision.de!

Was ist KRITIS?

Wofür steht eigentlich KRITIS und was steckt dahinter? Alle Hintergründe und die Basics zu KRITIS erläutern wir Ihnen im folgenden spannenden Beitrag. Bin ich KRITIS – mit praktischer Analyse-Tabelle!

KRITIS steht für Kritische Infrastruktur. Dazu zählen laut Definition vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie Bundesamt für Sicherheit in der Informationstechnik (BSI) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Soweit so gut. Schauen wir uns das im Folgenden etwas genauer an.

In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zu den Kritischen Infrastrukturen gezählt.1 Diese in 2009 von der Bundesregierung verabschiedeten Bereiche werden wiederum in Sektoren unterteilt. Hier lohnt es sich einen genaueren Blick hineinzuwerfen, denn nicht jeder, der sich beispielsweise zum Bereich Gesundheit zählt, ist automatisch KRITIS. Dazu später mehr.

Worum geht es konkret bei KRITIS?

Es geht bei KRITIS um die Gewährleistung, dass im Ausnahmezustand die Dienstleistungen/Produkte der KRITIS Betreiber weiterhin zur Verfügung stehen. Die Betreiber Kritischer Infrastrukturen sollen durch geeignete technische und organisatorische Maßnahmen die Bedrohungen auf die IT reduzieren oder sogar eliminieren können. In Ausnahme -bzw. Krisensituationen muss die Organisation oder Einrichtung weiterhin handlungsfähig bleiben. Die IT kann wesentlich durch Hackerangriffe, feindliche Staaten sowie Naturkatastrophen und andere Elementare Gefährdungen bedroht werden, wie beispielsweise Stromausfall, Hochwasser und Feuer.

Die Wiederstandfähigkeit der IT und die Absicherung der kritischen Infrastruktur durch geeignete und empfohlene Maßnahmen wird wiederum in regelmäßigen Audits geprüft. KRITIS Betreiber müssen alle drei Jahre einen Auditierungsnachweis erbringen.

Ferner ist die Rede davon, dass die IT dem Stand der Technik entsprechen muss, welcher das ist, kann zum Beispiel durch die Ableitung eines gängigen Standards (ISO/IEC 27001) ermittelt werden. Zu beachten ist nur, dass der „Stand der Technik“ in der Definition nie allgemeingültig ist und von Branche zu Branche unterschiedlich sein kann. Darüber hinaus unterliegen einige Branchen weiterer Standards bzw. Sicherheitsvorkehrungen, hierzu zählt unter anderem der B3S (Abk. für Branchenspezifische Sicherheitsstandards).2 Im B3S werden auf die jeweilige Branche angepasste Anforderungen an die Kritische Infrastruktur definiert.

Auch an dieser Stelle der Hinweis, dass der B3S ebenfalls nicht unbedingt von allen Organisationen und Einrichtungen der jeweiligen Branche/Sektoren umgesetzt werden muss.

Weiterhin gilt, dass KRITIS Betreiber eine Kontaktstelle benennen müssen, die eine Erreichbarkeit zu jeder Zeit ermöglicht. Zu melden ist diese Kontaktstelle auf der Meldeseite des BSI. Doch Obacht, über diese gemeldete Kontaktstelle hat die Kommunikation ausschließlich und 24/7 zu erfolgen, Außnahmen durch Feiertage, Betriebsferien oder ähnliches sind nicht gestattet. Meldet der KRITIS Betreiber jedoch keine Kontaktstelle, so muss er mit Bußgeldern rechnen. Zusammenschlüsse mehrerer Einheiten unter einer Kontaktstelle sind möglich.

KRITIS Betreiber unterliegen zudem einer Meldepflicht von Sicherheitsvorfällen sowie erheblicher IT-Störungen, die zu einem Ausfall führen können. Allerdings muss erst bei einem Ausfall die Meldung namentlich erfolgen, Störungen können zunächst auch anonym gemeldet werden.

Wer zu den KRITIS Betreibern gehört, sollte sich Unterstützung zur Umsetzung der geforderten Maßnahmen suchen. Unterstützung bietet zum Beispiel auch der UP KRITIS. Dieser ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen.3 Übrigens können auch kleinere Unternehmen, die zwar eine Kritische Infrastruktur haben, aber nicht unter KRITIS fallen, beim UP KRITIS aufgenommen werden. Die Teilnahme ist kostenfrei.

Ist man offiziell KRITIS Betreiber und erfüllt nicht alle geforderten technischen und/oder organisatorische Maßnahmen, so können ebenfalls Bußgelder verhängt werden. Diese erhöhen sich, wenn man diese selbst nach Aufforderungen durch das BSI nicht behebt. Wenn ein KRITIS Betreiber eine Maßnahme aufgrund von Kostengründen nicht umsetzen möchte, ist dies nicht zulässig.

Außerdem ist es ratsam, sich mit seiner Bedrohungslage auch dann auseinander zu setzen und entsprechende technische und organisatorische Maßnahmen anzunehmen, wenn man nicht unter KRITIS fällt. Wie Sie eine Risikoanalyse sinnvoll umsetzen, können Sie in diesen Beiträgen nachlesen:

Risikobewertung – Wissen wie es geht!

Risikomanagement – Und warum wir es lieben

Wie weiß ich nun, ob ich oder mein Kunde KRITIS ist oder nicht?

Informieren Sie sich zum Beispiel auf der Website des BSI und finden Sie heraus, ob Sie zu den aufgelisteten Sektoren zählen, die in §2 Absatz 10 des BSI-Gesetzes BSIG zu finden sind.4 Darüber hinaus müssen Sie den Versorgungsgrad ermitteln, eine bestimmte Mitarbeiteranzahl überschreiten sowie über 2 Mio. Jahresumsatz liegen. Nutzen Sie darüber hinaus unsere praktische KRITIS Analyse-Tafel, bei der Sie in fünf Schritten zum Ergebnis kommen.

NormTracker – Jetzt auch für ISO/IEC 27001!

Profitieren auch Sie von einer sicheren KRITIS Analyse und Umsetzung, wappnen Sie sich mit unserem cleveren ISMS-Tool NormTracker. Sie wollen mehr zum Thema KRITIS erfahren oder einen kostenlosen Testaccount? Kontaktieren Sie uns!

Bin ich KRITIS? Hier in 5 Schritten KRITIS analysieren!

Quellen:

1 KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html

2 B3S https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/B3S_Orientierungshilfe.pdf?__blob=publicationFile

3 UP KRITIS https://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Nationales/UPK/upk_node.html

4 BSIG https://www.gesetze-im-internet.de/bsig_2009/__2.html

KHZG Krankenhauszukunftsgesetz

umfassende Unterstützung vom Förderantrag bis zur Umsetzung

Das Krankenhauszukunftsgesetz (KHZG) ist im September 2020 in Kraft getreten und soll maßgeblichen zur Digitalisierung in Krankenhäusern beitragen. Über den Krankenhauszukunftsfonds (KHZF) wird eine finanzielle Hilfe von über 4,3 Milliarden Euro von Bund und Ländern zur Verfügung gestellt. Investiert werden soll in moderne Notfallkapazitäten, IT-Sicherheit und Digitalisierungsvorhaben.

Wer nicht schnell genug ist, wird aus dem Fördertopf nichts mehr abbekommen, zudem ist bei den Förderanträgen Transparenz und professionelle Ausarbeitung erforderlich, um eine Bewilligung zu erhalten.

Neben dem Druck, die notwendigen Fördermittel zu erhalten, bedarf den Krankenhäusern an Experten KnowHow bei der ganzheitlichen Umsetzung, nicht zuletzt, um die hohen Sanktionen, die ab 2025 greifen werden, umgehen zu können.

In den vergangenen Wochen durften wir mehrere intensive und offene Gespräche mit IT-Leitern und Geschäftsführern aus dieser Branche führen, wir wollten die Herausforderungen besser verstehen und analysieren, mit dem Ziel, die passende Lösung bereitstellen zu können.

Bei uns erhälst Du die perfekte Lösung – alles aus einer Hand!

Gemeinsam mit der aConTech GmbH, Simon Projects GmbH und FUNDAMENTAL Consulting GmbH & Co. KG haben für Dich die optimalste Lösung gebaut, sodass Du alles aus einer Hand beziehen kannst, vom Förderantrag bis zur Umsetzung der geforderten Maßnahmen.

Worauf es Dir ankommt:

  • Beratung Fördermittelantrag zum Festpreis mit MUSS/KANN Kriterien-Liste und professioneller Ausarbeitung Deines Antrags
  • Erstellung umfangreicher IT-Sicherheitskonzepte mit Betrachtung der Maßnahmen auf technischer und organisatorischer Ebene sowie DSGVO Anforderungs-Mapping zu 365 Lösungen durch ausgewiesene Experten
  • ISMS Umsetzung nach B3S gemäß Verpflichtung §75c SGB V mit NormTracker; verschlüsselte Datenspeicherung auf der Microsoft Cloud-Plattform und sichere Anmeldung durch Azure Active Directory, DSGVO Konformität, SharePoint Online Integration, optimierte Kommunikation mit dem DSB
  • Soft- und Hardwareberatung inkl. Impelentierung und Schwachstellenanalysemanagement

Unser ISMS-Tool NormTracker bietet dabei die ideale Unterstützung, um den branchenspezifischen Standard B3S schnell, sicher und einfach umzusetzen.

50% Aufwandseinsparung bei der Umsetzung des ISMS

75% Kosteneinsparung beim Betrieb des ISMS

Bereits die ersten Krankenhäuser haben mit uns Digitalisierungs- und IT-Security-Vorhaben gestartet, Krankenhäuser, bei denen NormTracker im Einsatz ist, loben die enorme Zeiteinsparung und Leichtigkeit bei der B3S-Umsetzung mit der cloudbasierten Software.

Durch die intuitive Bedienung und moderne Kacheloptik, fühlen sich User schnell im Tool zurecht, sie werden bei den alltäglichen Dingen an die Hand genommen und durchgängig begleitet. Zudem können auch andere relevante Normen bestens in der Datenbank ergänzt werden, wodurch weitere QM-Tools obsolet werden.

Melde Dich bei uns für einen kostenlosen NormTracker-Testzugang sowie für ein unverbindliches Gespräch: hello@certvision.de

Wir wünschen Dir viel Erfolg!

Dein CertVision-Team

B3S in Krankenhäusern

Von 0 auf 100 mit NormTracker!

Immer mehr Branchen werden verpflichtet, ein gelebtes ISMS vorzuweisen, so nun auch Krankenhäuser und Kliniken. Gemäß §75c SGB V sind diese ab Januar 2022 verpflichtet, die hohen Anforderungen aus dem branchenspezifischen Sicherheitsstandard B3S zu erfüllen.

Krankenhäuser stehen unter massiven Zeitdruck und vor einem Berg an Anforderungen.

Trotz Fördergelder über 4,3 Milliarden Euro von Bund und Ländern, stehen Krankenhäuser und Kliniken vor einer Mammutaufgabe. Vor allem kleinen Häusern unter 250 Betten fehlen oft personelle Ressourcen, um das stemmen zu können.

In den vergangenen Wochen durften wir mehrere intensive und offene Gespräche mit IT-Leitern und Geschäftsführern aus dieser Branche führen, wir wollten die Herausforderungen besser verstehen und analysieren, mit dem Ziel, die passende Lösung bereitstellen zu können.

Jetzt sind wir uns sicher –NormTracker ist die Lösung!
50% Aufwandseinsparung bei der Umsetzung
75% Kosteneinsparung beim Betrieb des ISMS

Bereits die ersten Krankenhäuser haben ihr ISMS-Vorhaben mit NormTracker gestartet und loben die enorme Zeiteinsparung und Leichtigkeit bei der B3S-Umsetzung mit der cloudbasierten Software.

• Schnelle Einführung: Implementierung innerhalb weniger Minuten
• Höchste Verfügbarkeit: Datenspeicherung in modernsten Rechenzentren
• Nahtlose Integration: Alles in einem Tool & Integration ins bestehende DMS
• Volle Kontrolle durch:
⇨ geführte Anforderungschecklisten
⇨ professionell aufbereitete Dokumentenvorlagen
⇨ integriertes Risikomanagement & Maßnahmenplanung
• Fördermittelantrag zum Festpreis, mit MUSS/KANN-Einschätzung

Durch die intuitive Bedienung und moderne Kacheloptik, fühlen sich User schnell im Tool zurecht, sie werden bei den alltäglichen Dingen an die Hand genommen und durchgängig begleitet. Zudem können auch andere relevante Normen bestens in der Datenbank ergänzt werden, wodurch weitere QM-Tools obsolet werden.

Melde Dich bei uns für einen kostenlosen Testzugang: hello@certvision.de

Wir wünschen Dir viel Erfolg bei der ISMS-Umsetzung und stehen für Fragen und alle weiteren Anliegen gerne zur Verfügung!

Dein CertVision-Team

Ihre NormTracker Mehrwerte

Martina, werde ich öfters gefragt, erzähle mir etwas über Deine Kunden und über die Mehrwerte des NormTrackers.

Vor allem KMU sprechen wir mit unserer Lösung an! Automotiv, Zulieferer, Dienstleister, Rechenzentren, Lebensmittelhersteller, Industrie, Kliniken, uvm., die mit einem simplen Tool viel Zeit, Energie und somit Kosten auf dem Weg zur Zertifizierung und darüber hinaus einsparen möchten.

Unsere Kunden haben verstanden, dass ein ISMS „nebenbei“ betrieben werden muss.

Hier finden Sie eine kleine Aufzählung der Mehrwerte, die Sie mit NormTracker erhalten.

  1. NormTracker spart Ressourcen! „..Ein kleiner Invest für eine große Aufwandseinsparung!“ Eine Referenz die uns stolz und glücklich macht, denn genau das ist unser Ziel! Starten Sie bereits ab 360€ jährlich.
  2. NormTracker ist genial, aber nicht die eierlegende Wollmilchsau! Obwohl NormTracker hochdynamisch und flexibel gestaltet wurde, enthält es nur die erforderlichen Funktionen, um ein ISMS aufzubauen und dann schlank zu betreiben.
  3. NormTracker wurde mit Experten entwickelt! Wir haben schon früh unsere Anwender, Berater und Nutzer, mit ins Boot geholt und gefragt, was sie für einen reibungslosen Prozess von uns benötigen. Ergebnis: NormTracker!
  4. NormTracker spart bis zu 50% und mehr Aufwände ein! Sie starten individuell an dem Punkt, an dem Sie sich befinden oder bereits befinden wollen. NormTracker kann speziell nach Ihren Anforderungen und Wünschen mit Dokumentenvorlagen, Aufgaben und Gefährdungen vorbereitet werden. Und zwar in wenigen Minuten!
  5. NormTracker ist einfach in der Bedienung! Kachelstruktur, wenig „Knöpfchen“, übersichtliche Ergebnisse, simple Reports.
  6. Mit NormTracker kann man sofort starten! Sie geben den Auftrag und binnen weniger Minuten erhalten Sie Ihren Zugang zu einem perfekt vorbereiteten System, ganz nach Ihrem Fortschritt und Wünschen.
  7. Mit NormTracker bestens und zu jeder Zeit vorbereitet sein! Zeigen Sie Auditoren, Prüfern, Ämtern mit NormTracker, dass Sie ernsthaft ein Informationssicherheits-Managementsystem betreiben. Sichern Sie sich den „Coolnessfaktor“ und verabschieden Sie sich von lästigen Auditspitzen. Ab sofort denkt NormTracker für Sie mit und läuft hinter den Kollegen her! 😉
  8. NormTracker bringt Organisationen mit Experten zusammen! Bei Fachfragen und/oder auf dem Weg zur Zertifizierung werden Sie auf Wunsch durch unsere registrierten Partnerberater an die Hand genommen.
  9. NormTracker vermeidet Auditspitzen! Das Tool bringt Sie entspannt zu Ihrem Informationssicherheits-Ziel und hilft Ihnen dabei, auch darüber hinaus die anfallenden Aufgaben zu verfolgen. Es wird Ihnen vorkommen, als liefe es „nebenbei“.
  10. CertVision unterstützt Sie mit Ersteinweisungen und Intensivkursen, damit Sie sicher und schnell starten können!

Bei Fragen zum NormTracker freut sich das CertVision-Team auf Ihre Kontaktaufnahme. Fragen Sie auch Ihren Berater des Vertrauens, ob er/sie bereits registrierter NormTracker-Partner/In ist.

Starten Sie jetzt durch und erleichtern Sie sich das Betreiben eines ISMS ebenfalls!

Mobiles Arbeiten (2.1.4)

VDA 5.0.1 ist draußen und damit verbunden einige Änderungen zur Vorgängerversion 4.1. Neben Umstrukturierungen innerhalb der Norm, gibt es auch einige neue Controls, wie zum Beispiel 2.1.4 mobiles Arbeiten. Halt stopp, gab es den nicht schon? Direkt mal kurz nachgeschlagen…

Wer bereits die VDA ISA Anforderungen umgesetzt hat, hat sich einige Gedanken zum Punkt 6.3 machen müssen „Mobile Endgeräte“. Dieser Punkt scheint nun in der neuen Version futsch zu sein. Oder wurde er jetzt nur in den Bereich Human Ressources verschoben und unter dem Begriff „mobiles Arbeiten“ umdefiniert?

In Zeiten des Cloud-Computings und den damit verbundenen, angebotenen und auch sicheren Services, scheint der Punkt obsolet zu sein, sodass in 2.1.4 zukünftig nur noch auf den generellen Umgang von mobilen Arbeiten eingegangen werden muss. So unsere Annahme, denn der Punkt 6.3 ja noch nicht einmal in der Änderungshistorie wiederzufinden.

Was steht genau in der VDA TISAX® 5.0.1 zum mobilen Arbeiten?

Ziel: Beim Arbeiten außerhalb der dafür definierten Sicherheitszonen (mobiles Arbeiten) entstehen besondere Risiken, die entsprechende Schutzmaßnahmen erfordern.

Aha, also Risikoanalyse durchführen und Maßnahmen definieren, um das Gefahrenpotenzial zu senken!

MUSS:

  • Ermittlung und Erfüllung der Anforderungen an mobiles Arbeiten. Dazu zählt:
  • Sicherer Umgang mit und Zugriff auf Informationen (sowohl elektronisch als auch auf Papier) unter Berücksichtigung des Schutzbedarfs und der vertraglichen Anforderungen in privaten (z. B. im Home-Office) und öffentlichen Bereichen (z. B. auf Reisen)
  • Verhalten in privaten Bereichen
  • Verhalten in öffentlichen Bereichen
  • Maßnahmen zum Schutz vor Diebstahl (z. B. in öffentlichen Bereichen)
  • Der Zugang zum Netzwerk der Organisation erfolgt über eine gesicherte Verbindung (z. B. VPN) und über eine starke Authentifizierung.

Auch wenn nicht explizit erwähnt, ist hier die Rede von einer Richtlinie, in der genau beschrieben wird, WAS mit welchem ZIEL geregelt wird. Ebenso wird ein oder werden mehrere Verfahren erforderlich, die genau beschreiben, WIE es umgesetzt wird und WARUM.

SOLLTE:

Berücksichtigung folgender Aspekte:

  • Maßnahmen bei Reisen (z. B. bei Einsichtnahme durch Behörden)
  • Maßnahmen bei Reisen in sicherheitskritische Länder
  • Mitarbeitersensibilisierung.

Was sind Ihre nächsten Steps und wie können wir Sie unterstützen?

  1. Fragen Sie uns nach Mustervorlagen für Richtlinien und Verfahren für mobiles Arbeiten!
  2. Führen Sie entsprechend der ermittelten Anforderungen Ihr Risk Assessment und definieren Sie neben Maßnahmen auch Mitarbeiterschulungen!
  3. Ergänzen Sie Ihren jährlichen Schulungs- und Auditplan um den Punkt „2.1.4 mobiles Arbeiten“. Vermeiden Sie so vor allem Auditspitzen und vergessen Sie keine anfallenden Aufgaben!
  4. Führen Sie über die Schulung / Audits Protokolle, sodass Sie im Audit diese transparent darlegen können.
  5. Nutzen Sie bewährte Systeme wie den NormTracker, um zu jeder Zeit compliant zu sein. Testaccounts und Demos auf Anfrage verfügbar.
  6. Besuchen Sie auch unbedingt unsere Web-Seminarreihe Readiness Check Step by Step.

Bei Fragen zu diesem Thema können Sie uns eine E-Mail. Wir freuen uns von Ihnen zu hören!

In nur 5 Minuten wird eine perfekt vorbereitete Datenbank generiert. Der Implementierungsaufwand eines ISMS wird mit dem NormTracker spürbar reduziert.“

TISAX® ist eine eingetragene Marke der ENX Association.

Eignung von Mitarbeitern (2.1.1)

Mit der überarbeiteten Version VDA 5.0.1 kommt ein ganzer Schwung neuer Anforderungen und Controls hinzu. Unter anderem wird in 2.1.1 auf die Sicherstellung der Eignung von Mitarbeitern für sensible Tätigkeitsbereiche eingegangen, dieser Control ist neu. Aber mal unter uns, ist der Punkt „Eignung der Mitarbeiter“ nicht selbstverständlich und schließt dieser nicht auch die Eignung des Mitarbeiters für sensible Tätigkeiten erst recht mit ein?

Erst am vergangenen Montag haben wir über die Sensibilisierung der Mitarbeiter für ihren Arbeitsbereich in unserem #20minutes Intensivkurs gesprochen. Selbst eine kleine kompakte Norm wie die VdS10000 geht auf diesen Punkt ein. Doch tatsächlich sieht die Realität in den Betrieben ganz anders aus. Vor allem dann, wenn es sich um Organisationsgrößen handelt, in denen nur wenige IT-Mitarbeiter tätig sind und langsam in die Informationssicherheit hereingewachsen sind. Dieser Zustand ist in vielen, nein sogar bei der Mehrzahl der kleinen und mittleren Organisationen so kritisch, dass der Punkt 2.1.1 in der Tat seine absolute Berechtigung hat.

Was steht genau in der VDA TISAX® 5.0.1 zur Eignung der Mitarbeiter?

Ziel: Kompetente, verlässliche und vertrauenswürdige Mitarbeiter sind ein Schlüssel für die Informationssicherheit in der Organisation. Aus diesem Grund ist es wichtig, die Eignung von potenziellen Mitarbeitern (z. B. Bewerbern) in einem angemessenen Maß zu überprüfen.

MUSS:

  • Ermittlung der sensiblen Tätigkeitsbereiche und Stellen in der Organisation (=IST Aufnahme und Gefahrenpotenzial)
  • Im Rahmen der ermittelten sensiblen Tätigkeitsbereiche werden konkrete Anforderungen an die Mitarbeiter festgelegt und das Stellenprofil ggf. angepasst. (=Weisen die bestehenden Mitarbeiter nicht das erforderliche Know-How auf, so muss nachgeschult werden.)
  • Die Erfüllung des Stellenprofils wird regelmäßig überprüft.

Interessant ist auch unter diesem Aspekt der vierte Punkt „Die Identität von potenziellen Mitarbeitern wird überprüft (z. B. Prüfung von Ausweisdokumenten).“ Hier sei anzumerken, dass insbesondere auch die angegebenen Qualifikationen zu hinterfragen sind, genauso wie die Aktualität der erworbenen Qualifikationen, auch wenn sie konkret erst unter den SOLLTE-Anforderungen zu finden sind. Was sagt ein Ausweis über die Eignung aus?

SOLLTE:

  • Von potenziellen Mitarbeitern wird mit einfachen Methoden die persönliche Eignung überprüft (z. B. Einstellungsgespräch).
  • Eine erweiterte Prüfung der Eignung abhängig vom Tätigkeitsbereich und Stelle findet statt. (z. B. Assessment-Center, psychologische Analyse, Prüfung von Referenzen, Zeugnissen und Diplomen, Einsichtnahme in Führungszeugnisse, Prüfung des beruflichen und privaten Hintergrunds).

Die regelmäßige Prüfung auf Eignung der Mitarbeiter kann über Fragebogen geprüft werden, z.b. per Multiple Choice. Auch im Rahmen eines internen Audits wird die Eignung des Mitarbeiters über offen gestellte Fragen (keine ja/nein-Antworten) geprüft und somit Schulungsbedarf ermittelt.

Was sind Ihre nächsten Steps und wie können wir Sie unterstützen?

  1. Fragen Sie uns nach Fragebögen für die Prüfung der Mitarbeiter bei Einstellung und für interne Audits.
  2. Führen Sie über die Prüfung / Audits Protokolle, sodass Sie im Audit diese transparent darlegen können.
  3. Planen Sie für ein Jahr im Voraus die erforderlichen Prüfungen / Audits ein und legen Sie Termine hierfür fest, so vermeiden Sie nicht nur Auditspitzen sondern vergessen auch kein erforderliches ToDo.
  4. Nutzen Sie bewährte Systeme wie den NormTracker, um zu jeder Zeit compliant zu sein. Testaccounts und Demos auf Anfrage verfügbar.
  5. Besuchen Sie unbedingt auch unsere kostenlose Seminarreihe Readiness Check Step by Step, um mehr über die Änderungen in VDA 5.0.1 und Ihre ToDos zu erfahren.

Bei Fragen erreichen Sie uns per E-Mail. Wir freuen uns von Ihnen zu hören!

In nur drei Wochen haben wir Dank NormTracker ein komplettes ISMS einführen können. Ein kleiner Invest für eine große Aufwandseinsparung.“

TISAX® ist eine eingetragene Marke der ENX Association.

Informationssicherheit mit unseren #20minutes Intensivkursen

Wie man in 20 Minuten Wissen aufbaut, erfahren Sie in unseren regelmäßigen Intensivkursen zu abwechselnden Themen rund um Informationssicherheit und was die Cyber-Welt aktuell bewegt.

Ebenfalls werden immer wieder Sessions zum NormTracker folgen, in denen wir bestimmte ToDos und deren gezielte und zeiteffiziente Abarbeitung behandeln.

Die Sessions werden immer maximal 20 Minuten lang sein, also komprimiertes Wissen, zu Themen, die Sie wirklich interessieren. Im Anschluss an jede Session werden die Fragen aus dem Chat beantwortet.

Mit dem CertVision Newsletter erfahren Sie einmal monatlich alle anfallenden Termine vor allen anderen.

What’s next:

[21.09.2020, 14:00 Uhr] #20minutes Schutz vor Kryptotrojaner

[28.09.2020, 15:30 Uhr] #20minutes Als Office365 Nutzer vom NormTracker doppelt profitieren

Vorschau Oktober:

[in Planung] #20minutes Risikomanagement mit NormTracker

[in Planung] #20minutes Mit einem Förderprogramm durchstarten

[in Planung] #20minutes ISMS Anforderungen umsetzen mit NormTracker

[in Planung] #20minutes Aufgabenmanagement mit NormTracker

Sie haben einen Termin verpasst? Kein Problem, denn zu einigen Themen wird es Aufzeichnungen geben und andere werden sich wiederholen! Mehr erfahren…

Bei Fragen erreichen Sie uns per E-Mail oder telefonisch unter +49 911 14 885 202. Wir freuen uns von Ihnen zu hören!

Vergangene Events:

[08.09.2020] #20minutes Aufgabenmanagement mit NormTracker