Schweitzer Fachinformationen
Wenn es um professionelles Wissen geht, ist Schweitzer Fachinformationen wegweisend. Kunden aus Recht und Beratung sowie Unternehmen, öffentliche Verwaltungen und Bibliotheken erhalten komplette Lösungen zum Beschaffen, Verwalten und Nutzen von digitalen und gedruckten Medien.
Dieses Buch richtet sich insbesondere an kleine und mittelständische Unternehmen der Automobilindustrie und soll sie dabei unterstützen, die Anforderungen von TISAX gemäß dem VDA ISA Katalog 6 zu verstehen und erfolgreich umzusetzen. Die enthaltenen Best Practices, Fallstudien und praxisnahen Tipps sowie die Nachweisliste für das Assessment bieten wertvolle Unterstützung für eine erfolgreiche Zertifizierung sowie für die kontinuierliche Verbesserung der Informationssicherheit.
Die im Buch aufgeführten Anhänge, Checklisten, Best Practices und Tipps zur Nachweiserbringung dienen als Orientierung und sollten individuell an die Gegebenheiten Ihres Unternehmens angepasst werden, da diese je nach Standort, Geschäftsfeld oder Unternehmensgröße variieren können.
Ziel dieses Buchs ist es, eine praxisnahe Orientierung entlang des ISA-Katalogs zu bieten und Unternehmen so gezielt auf das TISAX-Assessment vorzubereiten. Es erläutert, wie die Anforderungen umzusetzen sind, welche Nachweise erforderlich sind, welche Dokumente vorzulegen sind und mit welchen Fragestellungen im Assessment zu rechnen ist.
Die zunehmende Digitalisierung und Vernetzung in der Automobilindustrie erfordert hohe Standards in der Informationssicherheit. Um diesen Anforderungen gerecht zu werden, wurde von der ENX Association speziell für die Automobilindustrie ein Prüf- und Ergebnisaustauschverfahren namens TISAX® entwickelt. Die Trusted Information Security Assessment Exchange (folgend TISAX) als risikobasierter und prozessorientierter Managementsystemansatz für die Lieferkette wurde 2017 eingeführt. Es basiert auf dem VDA Information Security Assessment (VDA ISA), einem öffentlich zugänglichen Fragenkatalog, der zu etwa 85 % auf den Anforderungen der ISO/IEC 27001:2022 basiert. Während allgemeine Standards wie ISO/IEC 27001:2022 branchenübergreifend gelten, ist TISAX mit dem zugrunde liegenden VDA ISA speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten und wird darüber hinaus häufiger aktualisiert. Sie dient dazu, die Informationssicherheit entlang der gesamten Lieferkette zu gewährleisten und den Austausch von Sicherheitsbewertungen zwischen Unternehmen zu erleichtern. TISAX hat sich mit der Prüfung von über 10.000 Standorten in mehr als 75 Ländern als einer der führenden und anerkanntesten Standards für Sicherheitsprüfungen auf globaler Ebene etabliert.
Der TISAX seit dem 01.04.2024 zugrunde liegende VDA ISA in Version 6 gliedert sich in drei Anforderungsbereiche:
Informationssicherheit (Kataloge 1-7)
Dieser Bereich umfasst die grundlegenden Anforderungen an den Schutz von Informationen innerhalb des Unternehmens.
Prototypenschutz (Katalog 8, Zusatzmodul)
Dieses Zusatzmodul adressiert den Schutz von Prototypen und vertraulichen Entwicklungsdaten, die in der Automobilindustrie von besonderer Bedeutung sind.
Datenschutz (Katalog 9, Zusatzmodul)
Dieses Modul stellt sicher, dass personenbezogene Daten gemäß den gesetzlichen Vorgaben geschützt und verarbeitet werden.
TISAX fordert die kontinuierliche Weiterentwicklung der Informationssicherheit in Unternehmen. Zu den grundlegenden Prinzipien gehören Risikobewertungen, die Umsetzung geeigneter Sicherheitskontrollen, die regelmäßige Überwachung der Maßnahmen und die stetige Verbesserung der Prozesse. Die Zertifizierung sollte in einem dreijährigen Zyklus durchgeführt werden.
Die Automobilindustrie ist stark vernetzt und auf den Austausch sensibler Informationen angewiesen. TISAX stellt sicher, dass alle Beteiligten einheitliche Informationssicherheitsstandards einhalten, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.
Seit der Einführung hat sich TISAX® kontinuierlich weiterentwickelt, um den steigenden Sicherheitsanforderungen gerecht zu werden. Im Jahr 2024 wurde die Version 6 des zugrunde liegenden VDA ISA-Katalogs veröffentlicht, die aktuelle Änderungen und Verbesserungen enthält. Diese Version ist verpflichtend für alle ab dem 1. April 2024 durchgeführten TISAX-Prüfungen. Bereits begonnene Bewertungen nach dem älteren Standard ISA 5.1 - einschließlich solcher, die Korrekturmaßnahmenpläne, Nachfolgebewertungen oder die Erweiterung des Anwendungsbereichs betreffen - können jedoch weiterhin nach diesem Standard abgeschlossen werden.
Die Version 6 des VDA ISA-Katalogs integriert Vorgaben und Standards aus verschiedenen renommierten Normen, darunter ISO/IEC 27001:2013, ISO/IEC 27001:2022 sowie ISA/IEC 62443. Ergänzend dazu wird auf Implementierungsrichtlinien verwiesen, wie den BSI-Standard 200, das NIST (National Institute of Standards and Technology) Cybersecurity Framework und die Vorgaben aus NIST SP 800-52. Die in diesen Normen definierten Anforderungen und Handlungsempfehlungen finden in diesem Buch ebenfalls Berücksichtigung, um eine umfassende Umsetzung zu gewährleisten.
Ein zentraler Fokus der Version 6 liegt auf einer erweiterten Anzahl von Kontrollfragen, insbesondere im Bereich Datenschutz sowie Vorfalls- und Krisenmanagement. Diese Neuerungen zielen darauf ab, die Resilienz von Unternehmen gegenüber modernen Bedrohungen wie Ransomware-Angriffen und Advanced Persistent Threats (APT) nachhaltig zu stärken. Zudem wird die Anwendbarkeit auf IT- und Operational Technology (OT-Systeme) ausdrücklich bestätigt, indem auf die Norm ISA/IEC 62443-2 verwiesen wird, welche die Sicherheit von industriellen Automatisierungssystemen adressiert.
Asset-Management
Kontrolle 1.3.4: Sicherstellung der Verwendung bewerteter und zugelassener Software für die Verarbeitung von Informationen NEU
Vorfall- und Krisenmanagement
Kontrolle 1.6.1: Meldung von sicherheitsrelevanten Ereignissen oder Beobachtungen NEU
Kontrolle 1.6.2: Verwaltung gemeldeter Sicherheitsereignisse NEU
Kontrolle 1.6.3: Vorbereitung der Organisation auf Krisensituationen NEU
Physische Sicherheit
Kontrolle 3.1.2 Weggefallen
Operations Security
Kontrolle 5.2.6 Ergänzt
Kontrolle 5.2.8: Kontinuitätsplanung für IT-Services NEU
Kontrolle 5.2.9: Sicherstellung von Backup und Wiederherstellung von Daten und IT-Services NEU
Systemanschaffung, Anforderungsmanagement und Entwicklung
Kontrolle 5.3.1 Ergänzt
Datenschutz
Kontrolle 9.1.1-9.8.1 Überarbeitet
Neues TISAX-Assessment-Dokument verfügbar
Unternehmen können nach erfolgreich abgeschlossenem Assessment ein automatisch erstelltes TISAX®-Assessment-Dokument herunterladen, das ihre TISAX®-Assessment-Daten in einer anschaulichen Darstellung präsentiert. Dieses Dokument erfüllt die geltenden Nutzungsbedingungen und kommt dem Wunsch der Anwender entgegen, die Ergebnisse auch in gedruckter Form vor Ort verfügbar zu machen. Es enthält detaillierte Informationen zum Scope des TISAX®-Assessments sowie zu den entsprechenden Zielsetzungen.
Link: https://portal.enx.com/de-DE/news/New-decorative-TISAX-assessment-document-now-available
Das Ziel einer TISAX-Prüfung besteht darin, zu validieren, ob das ISMS eines Unternehmens die festgelegten Anforderungen erfüllt. Der Prüfdienstleister bewertet, inwiefern das ISMS den erwarteten Standards entspricht und angemessen umgesetzt wurde.
Um optimal auf eine TISAX-Prüfung vorbereitet zu sein, muss Ihr Informationssicherheitsmanagementsystem (ISMS) einen hohen Reifegrad aufweisen. Eine erste Einschätzung dieses Reifegrads erfolgt durch eine Selbsteinschätzung basierend auf dem ISA-Katalog. Der ISA-Katalog umfasst drei spezifische Anforderungskataloge bzw. Bereiche: Informationssicherheit, Prototypenschutz und Datenschutz. Welcher dieser Kataloge für Ihre Prüfung relevant ist, ergibt sich aus dem festgelegten Prüfziel und dem Scope-Dokument.
Im Anforderungskatalog müssen zwei zentrale Felder verpflichtend ausgefüllt werden:
Beschreibung der Umsetzung
Referenzdokumentation
Die Anforderungen im ISA-Katalog gliedern sich in vier Hauptkategorien, die auf unterschiedliche Schutzbedarfsniveaus abzielen:
Muss-Anforderungen
Soll-Anforderungen
Zusatzanforderungen für hohen Schutzbedarf
Zusatzanforderungen für sehr hohen Schutzbedarf
Im Assessment werden alle Muss-Anforderungen vollständig und ohne Ausnahme geprüft. Zusatzanforderungen für hohen und sehr hohen Schutzbedarf werden ebenfalls detailliert...
Dateiformat: ePUBKopierschutz: Wasserzeichen-DRM (Digital Rights Management)
Systemvoraussetzungen:
Das Dateiformat ePUB ist sehr gut für Romane und Sachbücher geeignet - also für „fließenden” Text ohne komplexes Layout. Bei E-Readern oder Smartphones passt sich der Zeilen- und Seitenumbruch automatisch den kleinen Displays an. Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.
Weitere Informationen finden Sie in unserer E-Book Hilfe.
