Schlagwortarchiv für: Automotiv

,

TISAX® – Informationssicherheit im Detail, Teil 2

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es auch in diesem Artikel um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja bereits im vorherigen Artikel erwähnt.

Im vorherigen Blogbeitrag wurden bereits zwei wesentliche Elemente bei der Umsetzung von Informationssicherheit erwähnt, Asset Management und Klassifizierung. Diese beiden Elemente stehen in einem engen Zusammenhang zu einem weiteren Baustein, dem Risikomanagement. Dabei werden verschiedene Umstände – „Risikoszenarien“ – aufgenommen und untersucht, um herauszufinden, welche dieser Szenarien besonders schädliche Auswirkungen auf das eigene Unternehmen haben. Dies ist der Fall, wenn das entsprechende Szenario entweder besonders häufig eintritt, oder aber bei jedem Eintreten besonders hohe Schäden hervorruft. Im schlimmsten Fall trifft beides zu – besonders hohe Schäden und ein häufiges Eintreten …

Der Zusammenhang zum Assetmanagement entsteht dadurch, dass ein tatsächlich eintretendes Risikoszenario ein oder mehrere Assets zumindest beeinträchtigt, vielleicht sogar beschädigt oder zerstört. Daher wird auf die Assetliste (d.h. die Übersicht mit allen relevanten Informationswerten) zurückgegriffen, um bei der Risikobeurteilung zu erkennen, welche Assets von dem untersuchten Risikoszenario bedroht werden. Anders ausgedrückt: um passende Schutzmaßnahmen zu finden, muss man vorher wissen, was man schützen will.

Auch zwischen dem Klassifizierungsschema und dem Risikomanagement kann man eine Verbindung ziehen. Hierzu ein Beispiel:

Wie im vorherigen Artikel beschrieben, enthält das Klassifizierungsschema Vorgaben, wie mit entsprechend klassifizierten Informationen umzugehen ist. Die Klassifizierung als „vertraulich“ – und damit verbunden natürlich auch die Markierung als „vertraulich“ – könnte z.B. mit dem Verbot des Mitnehmens in das Home Office verbunden sein. Aus der Klassifizierung als „vertraulich“ folgt also das Verbot des Mitnehmens in das Home Office, somit sinkt die Wahrscheinlichkeit, dass das Risikoszenario „Offenlegung vertraulicher Informationen gegenüber Familienmitgliedern“ tatsächlich eintritt. Das Risiko wurde verringert.

Zusammenwirken einzelner Elemente eines ISMS

Dieses Beispiel zeigt, wie die einzelnen Bestandteile und Elemente eines Informationssicherheits-Managementsystems (ISMS) oftmals zusammenwirken. Dabei spielt es keine Rolle, ob als Standard TISAX®, die ISO 27001, der BSI IT-Grundschutz oder eine andere Methodik genutzt wird. Es zeigt aber auch, dass in den meisten Fällen nicht einfach einzelne Elemente des ISMS weggelassen werden können.

Der VDA hat, wie auch für das Thema Klassifizierung, ein Whitepaper zum Risikomanagement herausgegeben, welches Vorschläge und Handreichungen zur Ausgestaltung des eigenen Risikomanagements enthält. Aber auch mit diesem Whitepaper ist eine Anpassung des Risikomanagements an die Gegebenheiten im eigenen Unternehmen immer noch notwendig.

Asset Management, Risikomanagement und Klassifizierungsschema sind jedoch bei weitem nicht die einzigen Elemente eines ISMS nach TISAX®. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar: 

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 1

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es heute um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja im vorherigen Artikel kurz erwähnt.

Dieser Katalog erweist sich als eine etwas größere Excel-Tabelle, in der sich neben einigen Hinweisen zum Ablauf Fragen zu 41 Themengebieten der Informationssicherheit finden, die – natürlich – beantwortet werden wollen. Dabei müssen zunächst organisatorische Festlegungen getroffen werden. So soll z.B. festgelegt werden, wer innerhalb einer Organisation für das Thema Informationssicherheit verantwortlich ist, wie Anforderungen der Informationssicherheit auch in Projekten berücksichtigt werden oder wie die Zusammenarbeit zwischen der eigenen IT und unternehmensfremden IT-Dienstleistern geregelt sein soll. Überhaupt geht es bei einem systematischen Aufbau immer – nicht nur bei TISAX® – darum, viele Arbeitsabläufe in Unternehmen in Bezug auf Sicherheitsanforderungen zu betrachten und vielleicht auch erstmalig per Vorgabe unternehmensweit zu regeln.

Grundlagen eines ISMS

Solche Prozesse sind z.B. das Risikomanagement und das Assetmanagement. Unter dem Begriff „Assetmanagement“ versteht man hier die Inventarisierung, Verwaltung, Klassifizierung und Nutzung von allen Arten von Informationswerten. Dazu zählen nicht nur einzelne Dateien oder Anwendungen, der Begriff „Informationswert“ wird hier sehr weit gefasst: auch Prototypen, Zeichnungen auf Papier, Netzwerke, Patente und geistiges Eigentum, Designs werden als Informationswerte betrachtet, aber auch Prozesse, Vertragsbeziehungen oder Menschen in Schlüsselpositionen. Kurzum – alle Dinge, die Informationen enthalten oder für den Ablauf von Geschäftsprozessen benötigt werden, werden beim Assetmanagement betrachtet. Der Grund ist recht einfach: Ich muss wissen, welche Dinge vorhanden sind, damit ich sie angemessen schützen kann.

Assetmanagement und Klassifizierung

Eng verbunden mit dem Assetmanagement ist die Klassifizierung. Schließlich möchte man ja nicht nur wissen, welche Dinge vorhanden sind, sondern auch, wie mit ihnen umgegangen werden soll. Eine Klassifizierung liefert genau solche Handhabungsvorgaben. Hier macht der VDA den Vorschlag, ein vierstufiges Klassifizierungsschema mit den Stufen „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“ zu nutzen. Zu jeder der vier Stufen werden dann in abgestufter Form Handhabungsvorgaben gemacht. So könnte man z.B. festlegen, dass „öffentliche“ Informationen innerhalb und außerhalb des Unternehmens weitergegeben werden dürfen. „Interne“ Informationen dagegen dürfen nicht nach Außen gegeben werden, innerhalb des Unternehmens jedoch frei genutzt werden. Zugang zu „vertraulichen“ Informationen erhält man nur mit einer Freigabe des Werteverantwortlichen. Ähnlich werden auch andere Aktivitäten wie Drucken, Versenden per Mail oder die Nutzung im Homeoffice abgestuft geregelt, immer passend zum Schutzbedarf des jeweiligen Informationswertes.

Mit TISAX® werden grundlegende Aktivitäten in einem Informationssicherheitsmanagementsystem nicht neu erfunden, sondern – je nach Bedeutung innerhalb der Automobilindustrie – systematisch abgefragt. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen