Schlagwort-Archiv VDA

Schutzzonen Konzept

Was sind Schutzzonen und was muss ich beachten?

Wer Informationssicherheit korrekt umsetzen möchte, muss sich letztendlich auch mit diesen Fragen einmal auseinander setzen. Was hat eigentlich das Facilitymanagement damit zu tun und kann ich die Bereiche effizient verbinden?

Am 20.07.2022 bieten wir einen kostenlosen Workshop mit dem ISMS Experten Klaus Kilvinger der Opexa Advisory an.

Inhalte des Workshops:
Schutzzonen & Facility Management

  • Was fordert der TISAX®-Standard?
  • Gibt es Besonderheiten bei Prototypen?
  • Wie setze ich das konkret um?
  • Welche Maßnahmen sind erforderlich?
  • Was muss ich bei der Implementierung beachten?
  • Welche Nachweise werden benötigt?

Natürlich ist der Workshop auch auf andere Standards, wie die VdS 10000 oder der ISO/IEC 27001 anwendbar.

Klkaus Kilvinger ist seit über 30 Jahren in der IT-Branche zu Hause und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Metier. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter besitzt er breite Branchenkenntnisse über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor, bis hin zur Wirtschaftsprüfung.

Auf dieser Seite können Sie sich bequem und unverbindlich zum Workshop anmelden.

Bei Fragen wenden Sie sich bitte an hello@certvision.de!

Aktualisierung – VDA ISA 5.1

Was hat sich geändert?

Gerade noch im Zertifizierungsaudit zur VDA ISA 5.0.4 gesessen und bereits eine Woche später schleicht sich klammheimlich und unerwartet die Version 5.1 heran. Mein erster Gedanke „Was hat sich denn nun schon wieder verändert?“, denn gefühlt wird keine andere Norm so häufig aktualisiert, wie die VDA ISA.

Laut dem Registerblatt Änderungshistorie im VDA ISA Katalog 5.1 wurde gar nicht so viel verändert. Hier ein kurzer Überblick:

  • Korrektur Rechtschreibung und Ausdruck, sprachliche Klarstellung, Beseitigung von Uneindeutigkeiten
  • Neustrukturierung Tabellenblatt „Willkommen“, Definition der Teballenblätter in „Definition“ verschoben
  • Ergänzung der Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt „Informationssicherheit“
  • Entfernen der Spalte „Adressierte Schutzziele“ in den Tabellenblätter „Informationssicherheit“ und „Prototypenschutz“
  • Inhalte der Spalte „Üblicher Prozessverantwortlicher“ in den Tabellenblättern „Informationssicherheit“ und „Prototypenschutz“ geleert

Halten wir fest, kleine Schönheitsreperaturen wurden durchgeführt, die addressierten Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität) wurden an die Anforderungen direkt rangehängt sowie die Hilfestellungen durch Vorbefüllung der üblichen Prozessverantwortlichen herausgenommen.

War das wirklich schon alles?

Bei einem zweiten Blick erhasche ich jedoch noch weitere Punkte, die in der Änderungshistorie glatt vergessen wurden. Kommt also bald die Version 5.1.1 mit Korrektur der Änderungshistorie heraus? Wir werden es sehen.

Welche wichtigen Änderungen gab es noch zur Vorgängerversion 5.0.4?

  • Anforderung 3.1.3 unter sehr hohem Schutzbedarf scheint zukünftig nicht mehr erforderlich zu sein und wurde herausgenommen (zur Erinnerung: „Die Entsorgung von Informationsträgern erfolgt gemäß eines der gängigen Standards (z. B. ISO21964, mind. Sicherheitsstufe 5)“)
  • Anforderung 4.2.1 unter hohem Schutzbedarf wurde nun zu sehr hohem Schutzbedarf verschoben
  • Anforderung 5.1.2 unter hohem Schutzbedarf wurde ebenfalls zu sehr hohem Schutzbedarf verschoben

Aktualisiserung NormTracker – Normen-Modul 5.0 zu 5.1

Natürlich haben wir im NormTracker bereits auf die Aktualisierung reagiert, die Änderungen entsprechend angepasst und den neuen Audit-Report VDA ISA 5.1 für Ihre Auswertung der Gesamtergebnisse hinterlegt.

NormTracker Anwender bekommen die durchgeführte Aktualisierung gar nicht mit. Genau so still und heinlich wie die Aktualisiserung des VDA ISA Katalogs 5.1 fand auch die Aktualisierung im Tool statt. Als NormTracker Anwender nutzen Sie Ihre Datenbank wie gewohnt weiter und müssen nichts weiter tun.

Für alle Neukunden, Interessenten und Partnerberater gillt: Ergebnisse früherer Versionen ab 4.1. sowie Auditreports und Auswertungen, können problemlos in die aktuelle NormTracker VDA ISA 5.1 übernommen werden, sprechen Sie mich gerne auf Datenübernahme und Importe an.

Entscheiden Sie sich jetzt noch für einen kostenlosen Testaccount. Wenden Sie sich an hello@certvision.de!

Mobiles Arbeiten (2.1.4)

VDA 5.0.1 ist draußen und damit verbunden einige Änderungen zur Vorgängerversion 4.1. Neben Umstrukturierungen innerhalb der Norm, gibt es auch einige neue Controls, wie zum Beispiel 2.1.4 mobiles Arbeiten. Halt stopp, gab es den nicht schon? Direkt mal kurz nachgeschlagen…

Wer bereits die VDA ISA Anforderungen umgesetzt hat, hat sich einige Gedanken zum Punkt 6.3 machen müssen „Mobile Endgeräte“. Dieser Punkt scheint nun in der neuen Version futsch zu sein. Oder wurde er jetzt nur in den Bereich Human Ressources verschoben und unter dem Begriff „mobiles Arbeiten“ umdefiniert?

In Zeiten des Cloud-Computings und den damit verbundenen, angebotenen und auch sicheren Services, scheint der Punkt obsolet zu sein, sodass in 2.1.4 zukünftig nur noch auf den generellen Umgang von mobilen Arbeiten eingegangen werden muss. So unsere Annahme, denn der Punkt 6.3 ja noch nicht einmal in der Änderungshistorie wiederzufinden.

Was steht genau in der VDA TISAX® 5.0.1 zum mobilen Arbeiten?

Ziel: Beim Arbeiten außerhalb der dafür definierten Sicherheitszonen (mobiles Arbeiten) entstehen besondere Risiken, die entsprechende Schutzmaßnahmen erfordern.

Aha, also Risikoanalyse durchführen und Maßnahmen definieren, um das Gefahrenpotenzial zu senken!

MUSS:

  • Ermittlung und Erfüllung der Anforderungen an mobiles Arbeiten. Dazu zählt:
  • Sicherer Umgang mit und Zugriff auf Informationen (sowohl elektronisch als auch auf Papier) unter Berücksichtigung des Schutzbedarfs und der vertraglichen Anforderungen in privaten (z. B. im Home-Office) und öffentlichen Bereichen (z. B. auf Reisen)
  • Verhalten in privaten Bereichen
  • Verhalten in öffentlichen Bereichen
  • Maßnahmen zum Schutz vor Diebstahl (z. B. in öffentlichen Bereichen)
  • Der Zugang zum Netzwerk der Organisation erfolgt über eine gesicherte Verbindung (z. B. VPN) und über eine starke Authentifizierung.

Auch wenn nicht explizit erwähnt, ist hier die Rede von einer Richtlinie, in der genau beschrieben wird, WAS mit welchem ZIEL geregelt wird. Ebenso wird ein oder werden mehrere Verfahren erforderlich, die genau beschreiben, WIE es umgesetzt wird und WARUM.

SOLLTE:

Berücksichtigung folgender Aspekte:

  • Maßnahmen bei Reisen (z. B. bei Einsichtnahme durch Behörden)
  • Maßnahmen bei Reisen in sicherheitskritische Länder
  • Mitarbeitersensibilisierung.

Was sind Ihre nächsten Steps und wie können wir Sie unterstützen?

  1. Fragen Sie uns nach Mustervorlagen für Richtlinien und Verfahren für mobiles Arbeiten!
  2. Führen Sie entsprechend der ermittelten Anforderungen Ihr Risk Assessment und definieren Sie neben Maßnahmen auch Mitarbeiterschulungen!
  3. Ergänzen Sie Ihren jährlichen Schulungs- und Auditplan um den Punkt „2.1.4 mobiles Arbeiten“. Vermeiden Sie so vor allem Auditspitzen und vergessen Sie keine anfallenden Aufgaben!
  4. Führen Sie über die Schulung / Audits Protokolle, sodass Sie im Audit diese transparent darlegen können.
  5. Nutzen Sie bewährte Systeme wie den NormTracker, um zu jeder Zeit compliant zu sein. Testaccounts und Demos auf Anfrage verfügbar.
  6. Besuchen Sie auch unbedingt unsere Web-Seminarreihe Readiness Check Step by Step.

Bei Fragen zu diesem Thema können Sie uns eine E-Mail. Wir freuen uns von Ihnen zu hören!

In nur 5 Minuten wird eine perfekt vorbereitete Datenbank generiert. Der Implementierungsaufwand eines ISMS wird mit dem NormTracker spürbar reduziert.“

TISAX® ist eine eingetragene Marke der ENX Association.

Eignung von Mitarbeitern (2.1.1)

Mit der überarbeiteten Version VDA 5.0.1 kommt ein ganzer Schwung neuer Anforderungen und Controls hinzu. Unter anderem wird in 2.1.1 auf die Sicherstellung der Eignung von Mitarbeitern für sensible Tätigkeitsbereiche eingegangen, dieser Control ist neu. Aber mal unter uns, ist der Punkt „Eignung der Mitarbeiter“ nicht selbstverständlich und schließt dieser nicht auch die Eignung des Mitarbeiters für sensible Tätigkeiten erst recht mit ein?

Erst am vergangenen Montag haben wir über die Sensibilisierung der Mitarbeiter für ihren Arbeitsbereich in unserem #20minutes Intensivkurs gesprochen. Selbst eine kleine kompakte Norm wie die VdS10000 geht auf diesen Punkt ein. Doch tatsächlich sieht die Realität in den Betrieben ganz anders aus. Vor allem dann, wenn es sich um Organisationsgrößen handelt, in denen nur wenige IT-Mitarbeiter tätig sind und langsam in die Informationssicherheit hereingewachsen sind. Dieser Zustand ist in vielen, nein sogar bei der Mehrzahl der kleinen und mittleren Organisationen so kritisch, dass der Punkt 2.1.1 in der Tat seine absolute Berechtigung hat.

Was steht genau in der VDA TISAX® 5.0.1 zur Eignung der Mitarbeiter?

Ziel: Kompetente, verlässliche und vertrauenswürdige Mitarbeiter sind ein Schlüssel für die Informationssicherheit in der Organisation. Aus diesem Grund ist es wichtig, die Eignung von potenziellen Mitarbeitern (z. B. Bewerbern) in einem angemessenen Maß zu überprüfen.

MUSS:

  • Ermittlung der sensiblen Tätigkeitsbereiche und Stellen in der Organisation (=IST Aufnahme und Gefahrenpotenzial)
  • Im Rahmen der ermittelten sensiblen Tätigkeitsbereiche werden konkrete Anforderungen an die Mitarbeiter festgelegt und das Stellenprofil ggf. angepasst. (=Weisen die bestehenden Mitarbeiter nicht das erforderliche Know-How auf, so muss nachgeschult werden.)
  • Die Erfüllung des Stellenprofils wird regelmäßig überprüft.

Interessant ist auch unter diesem Aspekt der vierte Punkt „Die Identität von potenziellen Mitarbeitern wird überprüft (z. B. Prüfung von Ausweisdokumenten).“ Hier sei anzumerken, dass insbesondere auch die angegebenen Qualifikationen zu hinterfragen sind, genauso wie die Aktualität der erworbenen Qualifikationen, auch wenn sie konkret erst unter den SOLLTE-Anforderungen zu finden sind. Was sagt ein Ausweis über die Eignung aus?

SOLLTE:

  • Von potenziellen Mitarbeitern wird mit einfachen Methoden die persönliche Eignung überprüft (z. B. Einstellungsgespräch).
  • Eine erweiterte Prüfung der Eignung abhängig vom Tätigkeitsbereich und Stelle findet statt. (z. B. Assessment-Center, psychologische Analyse, Prüfung von Referenzen, Zeugnissen und Diplomen, Einsichtnahme in Führungszeugnisse, Prüfung des beruflichen und privaten Hintergrunds).

Die regelmäßige Prüfung auf Eignung der Mitarbeiter kann über Fragebogen geprüft werden, z.b. per Multiple Choice. Auch im Rahmen eines internen Audits wird die Eignung des Mitarbeiters über offen gestellte Fragen (keine ja/nein-Antworten) geprüft und somit Schulungsbedarf ermittelt.

Was sind Ihre nächsten Steps und wie können wir Sie unterstützen?

  1. Fragen Sie uns nach Fragebögen für die Prüfung der Mitarbeiter bei Einstellung und für interne Audits.
  2. Führen Sie über die Prüfung / Audits Protokolle, sodass Sie im Audit diese transparent darlegen können.
  3. Planen Sie für ein Jahr im Voraus die erforderlichen Prüfungen / Audits ein und legen Sie Termine hierfür fest, so vermeiden Sie nicht nur Auditspitzen sondern vergessen auch kein erforderliches ToDo.
  4. Nutzen Sie bewährte Systeme wie den NormTracker, um zu jeder Zeit compliant zu sein. Testaccounts und Demos auf Anfrage verfügbar.
  5. Besuchen Sie unbedingt auch unsere kostenlose Seminarreihe Readiness Check Step by Step, um mehr über die Änderungen in VDA 5.0.1 und Ihre ToDos zu erfahren.

Bei Fragen erreichen Sie uns per E-Mail. Wir freuen uns von Ihnen zu hören!

In nur drei Wochen haben wir Dank NormTracker ein komplettes ISMS einführen können. Ein kleiner Invest für eine große Aufwandseinsparung.“

TISAX® ist eine eingetragene Marke der ENX Association.

Neuer VDA TISAX® Katalog 5.0. Was hat sich denn nun geändert?

Seit Anfang August steht der neue VDA ISA Katalog Version 5.0 für neue Assessments zur Verfügung. Für bereits laufende Assessments kann bis zum 31. März 2021 noch der alte Katalog verwendet werden. Doch was hat sich geändert? In Vorbereitung der Umsetzung der Änderungen im NormTracker ISMS haben wir uns den neuen Katalog genauer angeschaut.

Der VDA spricht von einer grundlegenden Überarbeitung mit strukturellen als auch inhaltlichen Optimierungen. Wir stellen fest, dass sich viele Detailanpassungen hinter den in der Versionshistorie aufgeführten Änderungen verbergen, die speziell bei einem Re-Assessment neben einer genaueren Betrachtung der Änderungen auch ein Nachziehen von Prozessen und Dokumenten notwendig machen.
Der Wegfall des eigenständigen kleinen Moduls „Anbindung Dritter“ und dessen Überführung in die Themengebiete des Moduls „Informationssicherheit“ ist im Zusammenhang weitestgehend selbsterklärend. Ähnliches gilt für die 3 neuen Controls „mobiles Arbeiten“, „Eignung von Mitarbeitern“ und „Umgang mit Identifikationsmitteln“.

Die großen Änderungen verbergen sich im Hauptmodul „Informationssicherheit“. Um diese greifen zu können, reicht nicht allein der Blick in die Änderungshistorie. Nicht nur Control Nummerierungen haben sich an vielen Stellen verschoben, auch die Kontrollfragen und Anforderungen selbst wurden schon mal umformuliert und umstrukturiert. Neue Anforderungen kamen dazu und existierende Anforderungen können ihre Einstufung zwischen „Soll“ oder „Muss“ gewechselt haben. Die Einstufung „Kann“ existiert nicht mehr. Die eigene Control „mobiles Arbeiten“ geht nun stärker auf die aktuellen Anforderungen im Home-Office und Maßnahmen beim Reisen in sicherheitskritische Länder ein.

In unserer Web-Seminar Reihe gehen wir Ende September in einem „Deep Dive“ auch auf Ihre Fragen zum neuen Katalog der Version 5.0.1 ein. Unsere NormTracker Kunden bekommen die neue Katalogstruktur baldmöglichst zur Verfügung gestellt.

Bei Fragen erreichen Sie uns per E-Mail oder telefonisch unter +49 911 14 885 202. Wir freuen uns von Ihnen zu hören und Sie in einem so wichtigen Thema unterstützen zu dürfen.

TISAX® ist eine eingetragene Marke der ENX Association.

Mit NormTracker auf ein ISMS nach TISAX® vorbereiten – Wissen wie es geht!

NormTracker ist Ihr webbasiertes ISMS Tool, das sie dabei unterstützt, ganzheitlich und zielorientiert Informationssicherheit umzusetzen und zu leben, zum Beispiel entsprechend der VDA TISAX®.

Im entsprechenden Normen-Modul finden Sie alle erforderlichen Bausteine, um Ihr perfektes ISMS aufzubauen und den kontinuierlichen Verbesserungsprozess in Ihrer Organisation vollumfänglich zu leben.

Simple Checklisten helfen Ihnen dabei, die VDA TISAX® Anforderungen im Workflow abzuarbeiten und den Reifegrad zu bestimmen. Die Ergebnisse können per 1-Click als auditkonformen Report generiert werden.

Ein durchdachtes Assetmanagement in Verbindung mit einem umfänglichen Risikomanagement steht Ihnen mit der Inventarisierung zur Verfügung. Sämtliche durchgeführte Tests können protokolliert und dann übersichtlich im Audit präsentiert werden.

NormTracker unterstützt Sie zudem dabei, ein Datenschutz-Managementsystem aufzubauen und zu überwachen.

Das umfangreiche Aufgaben- und Rollenkonzept hilft Ihnen, die Informationssicherheit vollumfänglich zu überwachen und Planterminen nachzugehen. Darüber hinaus stellen wir auf Wunsch umfangreiche Dokumentenpakete zur Verfügung, damit Sie einen schnellen Einstieg finden und Energie einsparen. Sparen Sie somit locker 30% Zeit ein!

Sehr gute Erfahrungen konnten wir auch bereits mit der Umstellung bzw. Weiterentwicklung von ISO27001 zur TISAX® sammeln, so dauert das Einpflegen der Bestandsdaten je nach Komplexität nur wenige Tage. NormTracker gibt Ihnen vor, welche Anforderungen Sie darüber hinaus noch erfüllen müssen.

Wenn Sie Fragen zur Vorbereitung eines TISAX® Assessments mit NormTracker oder weitere Wünsche für die Rubrik „Wissen wie es geht“ haben, freuen wir uns auf Ihre Nachricht an hello@certvision.de.

Erfahren Sie hier die top 5 Gründe, warum Sie jetzt Informationssicherheit leben sollten!

Melden Sie sich zu unserem Newsletter an, und erhalten Sie in regelmäßigen Abständen wichtige Informationen zum Thema Informationssicherheit.

Sie glauben nicht alles was Sie lesen? Kein Problem, sprechen Sie uns auf Referenzen an!

TISAX® ist eine eingetragene Marke der ENX Association.

Schnell, sicher, einfach zum TISAX® Assessment mit NormTracker

NormTracker, mittlerweile bekannt als das VdS Tool auf dem deutschsprachigen Markt, hat sich schnell weiterentwickelt. So wurde innerhalb weniger Wochen das Normenmodul unter Hochdruck von unserem erfahrenen Entwicklerteam in Nürnberg entwickelt. Dabei unterstützen durften uns einige unserer registrierten Partnerberater, deren Wünsche in unsere Weiterentwicklungen zu 100% einfließen.

Nach einer zweiwöchigen internen Testphase wurde der NormTracker für Testkunden aus der Automobil- und Maschinenbaubranche für einen umfangreichen Praxistest freigegeben. Uns erreichten schon einige Erweiterungsvorschläge, die nun sukzessive umgesetzt werden. Mit Hilfe der engen Zusammenarbeit zwischen CertVision und unseren aktiven Partnerberatern, können wir sicherstellen, dass unser ISMS Tool NormTracker sowohl den hohen Ansprüchen der Experten als auch den Anwendern im umsetzenden Unternehmen gerecht wird.

Wenn auch Sie Testkunde oder Partnerberater für den NormTracker werden möchten, dann finden Sie hier weitere Informationen und können uns auch direkt eine Nachricht an hello@certvision.de senden.

Bei Fragen zur Entwicklung und für Erweiterungsvorschläge habe ich gerne ein offenes Ohr für Sie.

TISAX® ist eine eingetragene Marke der ENX Association.