Informationssicherheit nach VDA® ISA & TISAX® (eBook)
130 Seiten
Carl Hanser Verlag GmbH & Co. KG
978-3-446-47751-3 (ISBN)
Dieser praxisnahe Leitfaden zeigt, worauf es bei der Umsetzung von TISAX® ankommt, führt Schritt für Schritt durch die Anforderungen und unterstützt konkret bei deren Erfüllung. Viele Beispiele und hilfreiche Umsetzungstipps erleichtern dabei den Praxistransfer.
TISAX® und der zugehörige VDA® ISA-Katalog haben sich in den letzten Jahren fest etabliert und finden branchenübergreifend Anwendung bei Unternehmen die mit der Automobilindustrie zusammenarbeiten. Dementsprechend ist ein gültiges TISAX®-Label immer häufiger eine Voraussetzung, um Aufträge aus dieser Industrie zu erhalten.
- TISAX® verständlich erläutert
- Schritt für Schritt durch die TISAX®-Anforderungen
- Informationssicherheits-Managementsystem implementieren
- Ideale Vorbereitung für die Zertifizierung
- Viele Beispiele und konkrete Umsetzungstipps
Bennet Vogel ist Berater und Auditor für Managementsysteme.
2 | Human Resources |
2.1 | Personalmanagement |
2.1.1 | Inwieweit wird die Eignung von Mitarbeitern für sensible Tätigkeitsbereiche sichergestellt? |
Zitat aus der VDA® ISA 5.1.0
Kompetente, verlässliche und vertrauenswürdige Mitarbeiter sind ein Schlüssel für die Informationssicherheit in der Organisation. Aus diesem Grund ist es wichtig, die Eignung von potenziellen Mitarbeitern (z. B. Bewerbern) in einem angemessenen Maß zu überprüfen.
Muss
Sensible Tätigkeitsbereiche und Stellen sind ermittelt.
Die Anforderungen an Mitarbeiter bezüglich ihres Stellenprofils sind ermittelt und erfüllt.
Die Identität von potenziellen Mitarbeitern wird überprüft (z. B. Prüfung von Ausweisdokumenten).
Sollte
Die persönliche Eignung von potenziellen Mitarbeitern wird mit einfachen Methoden überprüft (z. B. Einstellungsgespräch).
Es findet eine erweiterte Prüfung der Eignung abhängig vom Tätigkeitsbereich und Stelle statt. (z. B. Assessment-Center, psychologische Analyse, Prüfung von Referenzen, Zeugnissen und Diplomen, Einsichtnahme in Führungszeugnisse, Prüfung des beruflichen und privaten Hintergrunds).
Umsetzung der Muss-Anforderungen
Ermittlung sensibler Stellen
Sie müssen in der Lage sein, Stellen und Tätigkeitsbereiche zu benennen, die besonders kritisch für Ihr Unternehmen sind und Zugriff auf besonders vertrauliche Informationen haben. Es ist hilfreich, eine Einstufung aller Stellen in entsprechende Kategorien vorzunehmen. Beispielsweise:
Geschäftsführung und Prokuristen
IT-Leitung
Management
Mitarbeiter mit besonderen Zugriffsrechten
Tätigkeitsbereich: IT-Administration
Tätigkeitsbereich: Buchhaltung
Idealerweise ist die Kritikalität der Stellen dem Sinn nach dem Organigramm zu entnehmen (z. B. durch Position in der Hierarchie).
Anforderungen und Prüfung der Identität
Die Auswahl von Mitarbeitern sollte nach einem Stellenprofil stattfinden und die Eignung für die Tätigkeit auf Basis der Bewerbung, des Bewerbungsgesprächs und entsprechender Zeugnisse überprüfbar sein.
Die Identität von Mitarbeitern sollte bei Einstellung durch die Vorlage des Ausweises überprüft werden.
Checkliste Personal (Beispiele)
Die hier beschriebenen Punkte und auch weitere Punkte des Abschnitts 2.1.1 sollten bei Einstellung, Wechsel oder Austritt von Mitarbeitern berücksichtigt werden.
Erstellen Sie für die notwendigen Schritte idealerweise eine Checkliste oder bilden Sie diese beispielsweise in Ihrer HR-Software ab, um die Durchführung sicherzustellen und nachweisen zu können.
Checkliste Einstellungsverfahren |
Zu erledigen | Durchgeführt am? |
Die Anforderungen des Berufsbildes werden vom Bewerber erfüllt (Nachweis einer einschlägigen Schul- und Berufsausbildung)
Die Echtheit der Identität des Mitarbeiters wurde anhand des Ausweises geprüft
Prüfung polizeiliches Führungszeugnis (bei Besetzungen Managementebene)
Personalakte wurde angelegt
Erster Arbeitstag | Durchgeführt am? |
Betriebseinweisung durchgeführt
Mitarbeiter ist in Belangen der Informationssicherheit geschult
Mitarbeiter sind über die Sanktionen informiert, die bei Nichteinhaltung der Informationssicherheitsrichtlinien folgen
Mitarbeiter wurde schriftlich auf Informationssicherheitsregeln verpflichtet
Mitarbeiter wurde schriftlich zur Geheimhaltung verpflichtet
Checkliste Verlängerte Abwesenheit (z. B. Elternzeit) |
Zu erledigen | Durchgeführt am? |
Eine E-Mail wurde an die IT-Abteilung gesendet, um die Accounts und Zugänge zu deaktivieren
Checkliste Bereichswechsel |
Zu erledigen | Durchgeführt am? |
Eine E-Mail wurde an die IT-Abteilung gesendet, um die Accounts und Zugänge zu deaktivieren und Zugänge der neuen Tätigkeit gemäß anzupassen
Checkliste Austritt |
Zu erledigen | Durchgeführt am? |
Alle Schlüssel wurden zurückgegeben
Es wurde eine E-Mail an die IT-Abteilung mit dem Namen des Mitarbeiters und dem Austrittsdatum gesendet, damit das Benutzerkonto deaktiviert sowie die Zugriffsrechte entzogen werden können
Der Mitarbeiter wurde darauf hingewiesen, dass die Geheimhaltungsvereinbarung über das Beschäftigungsverhältnis hinaus gilt
Umsetzung der Sollte-Anforderungen
Persönliche Eignung
Mitarbeiter sollten im Rahmen der Einstellung auf persönliche Eignung (Integrität, Vertrauenswürdigkeit) hin überprüft werden. Binden Sie hierzu idealerweise in Einstellungsgesprächen den zukünftigen Vorgesetzten mit ein.
Erweiterte Prüfung
Darüber hinaus sollten kritische Stellen, wie im Rahmen der Muss-Anforderungen definiert, einer erweiterten Prüfung unterzogen werden. Denkbar wäre beispielsweise:
Prüfung der Zeugnisse auf Echtheit bei Führungszeugnissen
Einsichtnahme von polizeilichen Führungszeugnissen bei Mitarbeitern mit Prokura
Wahrnehmung von Assessment-Center-Angeboten
Die durchzuführenden Prüfungen abhängig von der Stellenkritikalität sollten in der Checkliste Personal dokumentiert werden (Tabelle 2.1).
Tabelle 2.1 Checkliste Personal (Beispiel)
Beispiel: erweiterte Prüfung nach Kritikalität der Stelle | Vorlage Ausweis | Prüfung Führungszeugnis | Prüfung Referenzen | Assessment-Center |
Alle Mitarbeiter | X |
Führungskräfte | X | X |
IT-Leitung | X | X | X |
CEO und Prokurist | X | X | X | X |
Es kann sinnvoll sein, diese Prüfungen in regelmäßigen Abständen zu wiederholen (ein solches Vorgehen sollte zunächst arbeitsrechtlich geprüft werden). Zum Beispiel können die Führungszeugnisse aller Führungskräfte routinemäßig alle drei Jahre kontrolliert werden. Alle durchgeführten Prüfungen sollten dokumentiert werden.
2.1.2 | Inwieweit werden alle Mitarbeiter zur Einhaltung der Informationssicherheit verpflichtet? |
Zitat aus der VDA® ISA 5.1.0
Für Organisationen gelten Gesetze, Vorschriften und interne Richtlinien. Bereits bei der Einstellung von Mitarbeitern ist es wichtig, dass sich Mitarbeiter zur Einhaltung der Richtlinien verpflichten und die Konsequenzen eines Fehlverhaltens bekannt sind.
Muss
Es besteht eine Verpflichtung zur Geheimhaltung.
Es besteht eine Verpflichtung zur Einhaltung der Richtlinien zur Informationssicherheit.
Sollte
Es besteht eine Verpflichtung zur Geheimhaltung über das Arbeitsverhältnis bzw. den Auftrag hinaus.
Informationssicherheit wird in den Arbeitsverträgen der Mitarbeiter berücksichtigt.
Eine Vorgehensweise bei Verstößen gegen oben genannte...
Erscheint lt. Verlag | 10.7.2023 |
---|---|
Sprache | deutsch |
Themenwelt | Wirtschaft |
Schlagworte | Absicherung technische Infrastruktur • Branchenmodell TISAX • Digitalisierung von Geschäftsprozessen • Informationssicherheitsniveau • IT-Sicherheitsgesetz • IT-SIG 2.0 • Sicherheit informationstechnischer Systeme • TISAX-Modell • VDA-Arbeitskreis Informationssicherheit • VDA Information Security Assessment (ISA) • VDA ISA Katalog 5.0 |
ISBN-10 | 3-446-47751-9 / 3446477519 |
ISBN-13 | 978-3-446-47751-3 / 9783446477513 |
Haben Sie eine Frage zum Produkt? |
Größe: 9,1 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: PDF (Portable Document Format)
Mit einem festen Seitenlayout eignet sich die PDF besonders für Fachbücher mit Spalten, Tabellen und Abbildungen. Eine PDF kann auf fast allen Geräten angezeigt werden, ist aber für kleine Displays (Smartphone, eReader) nur eingeschränkt geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür einen PDF-Viewer - z.B. den Adobe Reader oder Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür einen PDF-Viewer - z.B. die kostenlose Adobe Digital Editions-App.
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
Größe: 1,9 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich