Schlagwort-Archiv Änderungen

Eignung von Mitarbeitern (2.1.1)

Mit der überarbeiteten Version VDA 5.0.1 kommt ein ganzer Schwung neuer Anforderungen und Controls hinzu. Unter anderem wird in 2.1.1 auf die Sicherstellung der Eignung von Mitarbeitern für sensible Tätigkeitsbereiche eingegangen, dieser Control ist neu. Aber mal unter uns, ist der Punkt „Eignung der Mitarbeiter“ nicht selbstverständlich und schließt dieser nicht auch die Eignung des Mitarbeiters für sensible Tätigkeiten erst recht mit ein?

Erst am vergangenen Montag haben wir über die Sensibilisierung der Mitarbeiter für ihren Arbeitsbereich in unserem #20minutes Intensivkurs gesprochen. Selbst eine kleine kompakte Norm wie die VdS10000 geht auf diesen Punkt ein. Doch tatsächlich sieht die Realität in den Betrieben ganz anders aus. Vor allem dann, wenn es sich um Organisationsgrößen handelt, in denen nur wenige IT-Mitarbeiter tätig sind und langsam in die Informationssicherheit hereingewachsen sind. Dieser Zustand ist in vielen, nein sogar bei der Mehrzahl der kleinen und mittleren Organisationen so kritisch, dass der Punkt 2.1.1 in der Tat seine absolute Berechtigung hat.

Was steht genau in der VDA TISAX® 5.0.1 zur Eignung der Mitarbeiter?

Ziel: Kompetente, verlässliche und vertrauenswürdige Mitarbeiter sind ein Schlüssel für die Informationssicherheit in der Organisation. Aus diesem Grund ist es wichtig, die Eignung von potenziellen Mitarbeitern (z. B. Bewerbern) in einem angemessenen Maß zu überprüfen.

MUSS:

  • Ermittlung der sensiblen Tätigkeitsbereiche und Stellen in der Organisation (=IST Aufnahme und Gefahrenpotenzial)
  • Im Rahmen der ermittelten sensiblen Tätigkeitsbereiche werden konkrete Anforderungen an die Mitarbeiter festgelegt und das Stellenprofil ggf. angepasst. (=Weisen die bestehenden Mitarbeiter nicht das erforderliche Know-How auf, so muss nachgeschult werden.)
  • Die Erfüllung des Stellenprofils wird regelmäßig überprüft.

Interessant ist auch unter diesem Aspekt der vierte Punkt „Die Identität von potenziellen Mitarbeitern wird überprüft (z. B. Prüfung von Ausweisdokumenten).“ Hier sei anzumerken, dass insbesondere auch die angegebenen Qualifikationen zu hinterfragen sind, genauso wie die Aktualität der erworbenen Qualifikationen, auch wenn sie konkret erst unter den SOLLTE-Anforderungen zu finden sind. Was sagt ein Ausweis über die Eignung aus?

SOLLTE:

  • Von potenziellen Mitarbeitern wird mit einfachen Methoden die persönliche Eignung überprüft (z. B. Einstellungsgespräch).
  • Eine erweiterte Prüfung der Eignung abhängig vom Tätigkeitsbereich und Stelle findet statt. (z. B. Assessment-Center, psychologische Analyse, Prüfung von Referenzen, Zeugnissen und Diplomen, Einsichtnahme in Führungszeugnisse, Prüfung des beruflichen und privaten Hintergrunds).

Die regelmäßige Prüfung auf Eignung der Mitarbeiter kann über Fragebogen geprüft werden, z.b. per Multiple Choice. Auch im Rahmen eines internen Audits wird die Eignung des Mitarbeiters über offen gestellte Fragen (keine ja/nein-Antworten) geprüft und somit Schulungsbedarf ermittelt.

Was sind Ihre nächsten Steps und wie können wir Sie unterstützen?

  1. Fragen Sie uns nach Fragebögen für die Prüfung der Mitarbeiter bei Einstellung und für interne Audits.
  2. Führen Sie über die Prüfung / Audits Protokolle, sodass Sie im Audit diese transparent darlegen können.
  3. Planen Sie für ein Jahr im Voraus die erforderlichen Prüfungen / Audits ein und legen Sie Termine hierfür fest, so vermeiden Sie nicht nur Auditspitzen sondern vergessen auch kein erforderliches ToDo.
  4. Nutzen Sie bewährte Systeme wie den NormTracker, um zu jeder Zeit compliant zu sein. Testaccounts und Demos auf Anfrage verfügbar.
  5. Besuchen Sie unbedingt auch unsere kostenlose Seminarreihe Readiness Check Step by Step, um mehr über die Änderungen in VDA 5.0.1 und Ihre ToDos zu erfahren.

Bei Fragen erreichen Sie uns per E-Mail. Wir freuen uns von Ihnen zu hören!

In nur drei Wochen haben wir Dank NormTracker ein komplettes ISMS einführen können. Ein kleiner Invest für eine große Aufwandseinsparung.“

TISAX® ist eine eingetragene Marke der ENX Association.

Neuer VDA TISAX® Katalog 5.0. Was hat sich denn nun geändert?

Seit Anfang August steht der neue VDA ISA Katalog Version 5.0 für neue Assessments zur Verfügung. Für bereits laufende Assessments kann bis zum 31. März 2021 noch der alte Katalog verwendet werden. Doch was hat sich geändert? In Vorbereitung der Umsetzung der Änderungen im NormTracker ISMS haben wir uns den neuen Katalog genauer angeschaut.

Der VDA spricht von einer grundlegenden Überarbeitung mit strukturellen als auch inhaltlichen Optimierungen. Wir stellen fest, dass sich viele Detailanpassungen hinter den in der Versionshistorie aufgeführten Änderungen verbergen, die speziell bei einem Re-Assessment neben einer genaueren Betrachtung der Änderungen auch ein Nachziehen von Prozessen und Dokumenten notwendig machen.
Der Wegfall des eigenständigen kleinen Moduls „Anbindung Dritter“ und dessen Überführung in die Themengebiete des Moduls „Informationssicherheit“ ist im Zusammenhang weitestgehend selbsterklärend. Ähnliches gilt für die 3 neuen Controls „mobiles Arbeiten“, „Eignung von Mitarbeitern“ und „Umgang mit Identifikationsmitteln“.

Die großen Änderungen verbergen sich im Hauptmodul „Informationssicherheit“. Um diese greifen zu können, reicht nicht allein der Blick in die Änderungshistorie. Nicht nur Control Nummerierungen haben sich an vielen Stellen verschoben, auch die Kontrollfragen und Anforderungen selbst wurden schon mal umformuliert und umstrukturiert. Neue Anforderungen kamen dazu und existierende Anforderungen können ihre Einstufung zwischen „Soll“ oder „Muss“ gewechselt haben. Die Einstufung „Kann“ existiert nicht mehr. Die eigene Control „mobiles Arbeiten“ geht nun stärker auf die aktuellen Anforderungen im Home-Office und Maßnahmen beim Reisen in sicherheitskritische Länder ein.

In unserer Web-Seminar Reihe gehen wir Ende September in einem „Deep Dive“ auch auf Ihre Fragen zum neuen Katalog der Version 5.0.1 ein. Unsere NormTracker Kunden bekommen die neue Katalogstruktur baldmöglichst zur Verfügung gestellt.

Bei Fragen erreichen Sie uns per E-Mail oder telefonisch unter +49 911 14 885 202. Wir freuen uns von Ihnen zu hören und Sie in einem so wichtigen Thema unterstützen zu dürfen.

TISAX® ist eine eingetragene Marke der ENX Association.