In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es heute um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja im vorherigen Artikel kurz erwähnt.
Dieser Katalog erweist sich als eine etwas größere Excel-Tabelle, in der sich neben einigen Hinweisen zum Ablauf Fragen zu 41 Themengebieten der Informationssicherheit finden, die – natürlich – beantwortet werden wollen. Dabei müssen zunächst organisatorische Festlegungen getroffen werden. So soll z.B. festgelegt werden, wer innerhalb einer Organisation für das Thema Informationssicherheit verantwortlich ist, wie Anforderungen der Informationssicherheit auch in Projekten berücksichtigt werden oder wie die Zusammenarbeit zwischen der eigenen IT und unternehmensfremden IT-Dienstleistern geregelt sein soll. Überhaupt geht es bei einem systematischen Aufbau immer – nicht nur bei TISAX® – darum, viele Arbeitsabläufe in Unternehmen in Bezug auf Sicherheitsanforderungen zu betrachten und vielleicht auch erstmalig per Vorgabe unternehmensweit zu regeln.
Grundlagen eines ISMS
Solche Prozesse sind z.B. das Risikomanagement und das Assetmanagement. Unter dem Begriff „Assetmanagement“ versteht man hier die Inventarisierung, Verwaltung, Klassifizierung und Nutzung von allen Arten von Informationswerten. Dazu zählen nicht nur einzelne Dateien oder Anwendungen, der Begriff „Informationswert“ wird hier sehr weit gefasst: auch Prototypen, Zeichnungen auf Papier, Netzwerke, Patente und geistiges Eigentum, Designs werden als Informationswerte betrachtet, aber auch Prozesse, Vertragsbeziehungen oder Menschen in Schlüsselpositionen. Kurzum – alle Dinge, die Informationen enthalten oder für den Ablauf von Geschäftsprozessen benötigt werden, werden beim Assetmanagement betrachtet. Der Grund ist recht einfach: Ich muss wissen, welche Dinge vorhanden sind, damit ich sie angemessen schützen kann.
Assetmanagement und Klassifizierung
Eng verbunden mit dem Assetmanagement ist die Klassifizierung. Schließlich möchte man ja nicht nur wissen, welche Dinge vorhanden sind, sondern auch, wie mit ihnen umgegangen werden soll. Eine Klassifizierung liefert genau solche Handhabungsvorgaben. Hier macht der VDA den Vorschlag, ein vierstufiges Klassifizierungsschema mit den Stufen „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“ zu nutzen. Zu jeder der vier Stufen werden dann in abgestufter Form Handhabungsvorgaben gemacht. So könnte man z.B. festlegen, dass „öffentliche“ Informationen innerhalb und außerhalb des Unternehmens weitergegeben werden dürfen. „Interne“ Informationen dagegen dürfen nicht nach Außen gegeben werden, innerhalb des Unternehmens jedoch frei genutzt werden. Zugang zu „vertraulichen“ Informationen erhält man nur mit einer Freigabe des Werteverantwortlichen. Ähnlich werden auch andere Aktivitäten wie Drucken, Versenden per Mail oder die Nutzung im Homeoffice abgestuft geregelt, immer passend zum Schutzbedarf des jeweiligen Informationswertes.
Mit TISAX® werden grundlegende Aktivitäten in einem Informationssicherheitsmanagementsystem nicht neu erfunden, sondern – je nach Bedeutung innerhalb der Automobilindustrie – systematisch abgefragt. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.
Was Sie noch interessieren könnte…
Seminar:
“TISAX® – Informationssicherheit in der Automobilindustrie”
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.