E-Training: Informationssicherheitsbeauftragter Automotive

E-Training: Informationssicherheitsbeauftragter Automotive

Ziel

Diese Schulung zum Informationssicherheitsbeauftragten (ISB) gemäß TISAX-Anforderungen vermittelt Ihnen die zentralen Aufgaben dieser Funktion. Dazu gehört die Koordination aller informationssicherheitsrelevanten Maßnahmen in einem Unternehmen: von der Erstellung und Durchsetzung von Sicherheitsleitlinien, Maßnahmenplänen, bis hin zur konkreten Umsetzung von IT-Sicherheitskonzepten. In diesem Training werden detaillierte Kenntnisse zu dem in der Automobilindustrie etablierten ISMS-Standard nach dem TISAX-Modell vermittelt. Weiter werden ausgehend von TISAX-Anforderungen ausgewählte Best-Practise-Lösungen präsentiert und diskutiert. Praktische Übungen und Diskussionen stehen dabei besonders im Fokus.
Was sind die Aufgaben eines Informationssicherheitsbeauftragten?Gemäß Bundesamt für Sicherheit in der Informationstechnik gehören zu den Aufgaben eines ISB:
- den Sicherheitsprozess zu steuern und zu koordinieren,
- die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
- die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
- Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
- der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
- sicherheitsrelevante Projekte zu koordinieren,
- sicherheitsrelevante Vorfälle zu untersuchen sowie
- Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.

Was ist ein TISAX-Assessment und woher kommt der Standard?
- Das Akronym „TISAX“ steht für Trusted Information Security Assessment Exchange.
- Es ist ein Prüf- und Austauschmechanismus für Informationssicherheit.
- Die gemeinsame Anerkennung der Prüfergebnisse zwischen allen Beteiligten, reduziert die Notwendigkeit von Kundenaudits zum Thema Informationssicherheit.
- Das Verfahren pflegt und überwacht die ENX (European Network Exchange) Association.
- Grundlage des Assessments ist der VDA ISA Fragenkatalog.

Was sind die 3 Schutzziele der Informationssicherheit?
- Vertraulichkeit
- Integrität
- Verfügbarkeit
Diese Ziele leiten sich aus der Definition von Informationssicherheit der Norm ISO/IEC 27000:2018 ab: Informationssicherheit ist die „Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen“. Im VDA ISA Fragenkatalog sind den Zusatzanforderungen die betreffenden Schutzziele zugeordnet.
Was unterscheidet ein Informationssicherheitsassessment (nach VDA ISA) von einem Audit nach ISO 27001?
- Die ISO 27001 ist ein zertifizierbarer branchenübergreifender Standard zum Management von Informationssicherheit. Das Assessment VDA ISA wurde speziell für die Anforderungen der Automobilindustrie entwickelt.
- Die ISO 27001 lässt Organisationen die Möglichkeit, den Umfang der Prüfung und die Risikobewertung dem Kontext der Organisation entsprechend darzulegen; beim TISAX-Verfahren geht es um aussagekräftige Ergebnisse für und Risikobewertungen aus Sicht von Geschäftspartnern.
- Der VDA ISA Fragenkatalog hat zu Informationssicherheit weiniger Controls als die ISO 27001. Dafür gibt es darüber hinaus Controls zu den Themen Prototypenschutz und Datenschutz.
- Die Controls des VDA ISA sind mit Reifegraden belegt, um unterschiedliche Schutzbedarfe abbilden zu können.
- Die Nachweisverfahren für beide Standards sind unterschiedlich strukturiert: Für den Nachweis der Anforderungen der ISO 27001 gibt es ein Zertifikat, während das TISAX-Verfahren ein Label mit ausgewiesenem Reifegrad vergibt, das über eine nicht-öffentliche Austauschplattform der ENX abgerufen werden kann.

Wissenswert: Die Controls des VDA ISA-Fragenkatalogs zu Informationssicherheit leiten sich aus den Controls der ISO 27001 ab. Eine Referenzangabe ist im Fragenkatalog integriert.