Embed Size (px)
Citation preview
Informationssicherheit in der
Automobilindustrie.
TISAX Assessment
Ihre Referenten
2
Thomas Mörwald
Management Security Consultant
Thomas Quietmeyer
Management Security Consultant
Agenda
04.12.2017 TISAX Assessment3
Kapitel Thema
Ablauf TISAX Assessment2
Tipps & Erfahrungswerte3
Vorstellung TISAX1
Vorstellung TISAX
04.12.2017 TISAX Assessment4
TISAX
(Trusted Information Security
Assessment Exchange) dient
einer unternehmensüber-
greifenden Anerkennung von
Assessments der Informations-
sicherheit in der Automobil-
industrie und schafft hierfür
einen gemeinsamen Prüf-
und Austauschmechanismus.
Vorstellung TISAX
04.12.2017 TISAX Assessment5
VORTEILE
Assessments beruhen auf dem VDA Fragebogen zur
Informationssicherheit (ISA – Information Security Assessment)
Doppel- und Mehrfachprüfungen gehören somit der
Vergangenheit an
Geprüftes Unternehmen hat volle Kontrolle über Assessment-
ergebnisse und kann entscheiden mit wem es diese teilen will
Die Erneuerung von bestehenden Lieferantenbeziehungen
wird erleichtert
Die Möglichkeit zur Begründung gänzlich neuer Geschäfts-
beziehungen wird durch die branchenweite Anerkennung
eröffnet
Standardisierung schafft Preistransparenz für Assessments
Vorstellung TISAX
04.12.2017 TISAX Assessment6
Übersicht Assessment Level (AL)
Assessment Level Beschreibung Schutzbedarf
AL1 Selbstauskunft des Auditee, Prüfung der Existenz der Selbstauskunft
des Auditee
Normaler Schutzbedarf
AL2 Plausibilitätsprüfung der kommentierten Selbstauskunft
(inklusive Reifegradeinschätzung) und ein telefonisches Interview
Hoher Schutzbedarf(*)
AL3 Komplettes Assessment vor Ort, inklusive Begehung relevanter
Räumlichkeiten
Sehr hoher
Schutzbedarf(*)
(*) meistens, jedoch nicht immer liegt dieser Schutzbedarf vor
Vorstellung TISAX
04.12.2017 TISAX Assessment7
Übersicht Zusatzmodule
Zusatzmodul Beschreibung Bemerkung
Anbindung Dritter Anforderungen, wenn Flächen durch einen Lieferanten oder
Dienstleister angemietet werden und in dieser Liegenschaft eine
Verbindung ins fremde Unternehmensnetz etabliert wurde.
Vor Ort Assessment
nötig, nur in Verbindung
mit AL2 oder AL3
Prototypenschutz Anforderungen im Umgang mit Prototypen und Teilen eines
Prototypen.
Vor Ort Assessment
nötig, nur in Verbindung
mit AL2 oder AL3
Datenschutz In Übereinstimmung mit §11 BDSG (Auftragsdatenverarbeitung).
Vorstellung TISAX
04.12.2017 TISAX Assessment8
Reifegrade
Level Bezeichnung Beschreibung
0 Unvollständig Prozess nicht implementiert oder sein Zweck wird nicht erreicht
1 Durchgeführt Prozess erfüllt seinen Zweck; Nachweise über Prozessergebnisse vorhanden; Basispraktiken
sind vorhanden, werden durchgeführt und liefern geeignete Arbeitsergebnisse
2 Gesteuert Steuerung der Prozessdurchführung (Ziele definiert, Ausführung geplant und überwacht, Verant-
wortlichkeiten zugewiesen); Management der Arbeitsprodukte (Anforderungen definiert, werden
dokumentiert, überwacht und angepasst)
3 Etabliert
(eingeführt)
Standard Prozess ist definiert und mit weiteren Unternehmensprozessen verbunden; Verant-
wortlichkeiten und Befugnisse zugeteilt; Ressourcen und Infrastruktur bereitgestellt; Daten zur
Analyse der Wirksamkeit werden erhoben
4 Vorhersagbar Prozessmessung (Ziele & Kennzahlen definiert); Prozesskontrolle (Messwerte werden
ermittelt und ausgewertet, Korrekturmaßnahmen werden bestimmt und umgesetzt)
5 Optimierend Prozessinnovation (Ziele zur Prozessverbesserung definiert, Umsetzungsstrategie definiert);
kontinuierliche Optimierung (Auswirkungen von Änderungen bewertet, Umsetzung gesteuert,
Wirksamkeit von Änderungen beurteilt)
Vorstellung TISAX
04.12.2017 TISAX Assessment9
Klassifizierungen von Findings
Klasse Definition
Major Non-Conformity Nichtübereinstimmung zu einer oder mehreren Anforderungen eines Controls,
welche an der Gesamteffektivität des ISMS zweifeln lässt oder zu einem signifikanten
Informationssicherheitsrisiko führt.
Minor Non-Conformity Isolierte oder vereinzelte Fehler. Nichtübereinstimmungen oder Defizite während der
Umsetzung der Anforderungen oder eigener Richtlinien, welche weder die Gesamteffektivität
des ISMS in Frage stellen noch zu einem signifikanten Informationssicherheitsrisiko führen.
Observation Verstoß, welcher nicht als Non-Conformity gewertet werden kann bezüglich der Anforderungen
oder eigener Richtlinien, aber welcher weiter untersucht werden muss, um die Möglichkeit eines
daraus entstehenden Informationssicherheitsrisiko in Zukunft abzuschätzen.
Improvement Verstoß, welcher nicht in eine der oberen Klassen eingruppiert werden kann und welcher keine
Gefahr für die Informationssicherheit darstellt, aber dennoch Raum zur Verbesserung bietet.
Vorstellung TISAX
04.12.2017 TISAX Assessment10
Gesamtbetrachtung Assessment
1Abweichungen des tatsächlichen Reifegrads zum Zielreifegrad von bis zu
10% sind tolerierbar, so lange dadurch keine Sicherheitsrisiken entstehen.
2Abweichungen des tatsächlichen Reifegrads zum Zielreifegrad von über 30% sind als
Major Non-Conformity zu betrachten, unabhängig ob dadurch ein Risiko entsteht oder nicht.
3Mehrere Minor Non-Conformities, welche auf ein systematisches Problem
des ISMS hinweisen sind als Major Non-Conformity zu bewerten.
4Major Non-Conformities bei welchen durch angemessene kompensierende Maßnahmen die
drohende Gefahr beseitigt wird, sind als Minor Non-Conformities zu bewerten.
Agenda
04.12.2017 TISAX Assessment11
Kapitel Thema
Vorstellung TISAX1
Tipps & Erfahrungswerte3
Ablauf TISAX Assessment2
Ablauf TISAX Assessments
04.12.2017 TISAX Assessment12
Übersicht Assessments
ERSTBEAUFTRAGUNG FOLGEBEAUFTRAGUNG
Initial
Assessment
Corrective Action
Plan AssessmentFollow-Up
Auditee mit
Ergebnis
zufrieden
Auditee entscheidet sich gegen temporäres Label
Initial Assessment
Bericht
Assessment with
Corr. Action Bericht
Auditee mit
Ergebnis
zufrieden
Follow-Up
Assessment Bericht
Auditee mit
Ergebnis
zufrieden
Audit Vorgang beendetAudit Vorgang beendet Audit Vorgang beendet
Ablauf TISAX Assessments
AL2 Assessment
Ausfüllen der kommentierten Selbstauskunft und Zusendung an
TÜV Rheinland i-sec GmbH [Kunde]
Erstellung des Entwurfes des Initial Assessment
Berichts durch den Auditor [TÜV Rheinland i-sec GmbH]
Für das Follow-Up Assessment ist
eine Neubeauftragung nötig [Kunde]
Closing Meeting und Corrective Action Plan Assessment:
Besprechung des Berichts, der Findings und der Maßnahmen
[Kunde + TÜV Rheinland i-sec GmbH]
Telefonisches Assessment ausgewählter
Controls [Kunde + TÜV Rheinland i-sec GmbH]
Erstellung und Zustellung des endgültigen Assessment
Berichts, inklusive der Findings und Maßnahmen – Projekt
ist damit beendet [TÜV Rheinland i-sec GmbH]
04.12.2017 TISAX Assessment13
10
8
7
6
1
2
4
5
3Plausibilitätsprüfung der kommentierten Selbstauskunft
(inklusive Reifegradeinschätzung) durch den
Auditor [TÜV Rheinland i-sec GmbH]
Durchführung Kick-off, Klärung und Vorbereitung von organi-
satorischen und technischen Voraussetzungen für das
Assessment [Kunde + TÜV Rheinland i-sec GmbH]
9
Review des Initial Assessment Berichts und Entwicklung von
Maßnahmen für jede Non-Conformity (Corrective Action Plan) [Kunde]
<Zeit … Kunde behebt Findings … Zeit>
Ablauf TISAX Assessments
Initial Assessment bei AL3
Review des Initial Assessment Berichts und Entwicklung von
Maßnahmen für jede Non-Conformity (Corrective Action Plan)
[Kunde]
Für das Follow-Up Assessment ist
eine Neubeauftragung nötig [Kunde]
Closing Meeting und Corrective Action Plan Assessment:
Besprechung des Berichts, der Findings und der Maßnahmen
[Kunde + TÜV Rheinland i-sec GmbH]
Erstellung des Entwurfes des Initial Assessment
Berichts durch den Auditor [TÜV Rheinland i-sec GmbH]
Erstellung und Zustellung des endgültigen Assessment
Berichts, inklusive der Findings und Maßnahmen – Projekt
ist damit beendet [TÜV Rheinland i-sec GmbH]
<Zeit … Kunde behebt Findings … Zeit>
04.12.2017 TISAX Assessment14
9
8
7
6
2
4
5
3Durchführung eines Assessments vor Ort,
inklusive Begehung relevanter Räumlichkeiten
[Kunde + TÜV Rheinland i-sec GmbH]
Durchführung Kick-off, Klärung und Vorbereitung von organi-
satorischen und technischen Voraussetzungen für das
Assessment [Kunde + TÜV Rheinland i-sec GmbH]
1
Ausfüllen der kommentierten Selbstauskunft und Zusendung an
TÜV Rheinland i-sec GmbH [Kunde]
Agenda
04.12.2017 TISAX Assessment15
Kapitel Thema
Vorstellung TISAX1
Ablauf TISAX Assessment2
Tipps & Erfahrungswerte3
Tipps & Erfahrungswerte
04.12.2017 TISAX Assessment16
Der VDA ISA Katalog findet sich hier:
https://www.vda.de/de/themen/sicherheit-und-standards/informationssicherheit/informationssicherheit-
sicherheitsanforderungen.html
Er ist wie folgt unterteilt:
Er ist wie folgt zu lesen:
Tipps & Erfahrungswerte
04.12.2017 TISAX Assessment17
Registrierung bei ENX nicht vergessen!
Zeit nehmen für die Selbstauskunft – insbesondere bei AL2
Richtige Teilnehmer für TISAX Assessment identifizieren
TISAX nutzt die ISO27001, ist aber keine ISO27001 Zertifizierung
TISAX Participant Handbook:
http://www.enx.com/tisax/files/downloads/TISAX-Participant-Handbook-Version-1.0.pdf
Kontakt
Thomas Mörwald
Management Security Consultant
+49 221 56783 501
TÜV Rheinland i-sec GmbH
Am Grauen Stein
51105 Köln
www.tuv.com/tisax
Thomas Quietmeyer
Management Security Consultant
+49 221 56783 501
TÜV Rheinland i-sec GmbH
Am Grauen Stein
51105 Köln
www.tuv.com/tisax
VIELEN DANK FÜR IHRE AUFMERKSAMKEIT!
Regelmäßig aktuelle Informationen im
Newsletter und unter www.tuv.com/informationssicherheit
19
