Leitfaden & Best Practices für Compliance mit VDA® ISA

Festlegung der Definition jeder Reifegradstufe

Die Bewertung des VDA® ISA-Fragebogens erfolgt nach einem Bewertungssystem, das aus sechs Reifegraden (0-5) besteht. Je nachdem, wie gut Sie die einzelnen VDA® ISA-Anforderungen umgesetzt haben, wird Ihnen ein bestimmter Reifegrad (für jede Anforderung) zugewiesen. Sie müssen mindestens die Reifegradstufe 3 erreichen, um zu bestehen.

Sie sollten sich mit dem Bewertungssystem vertraut machen, um besser zu verstehen, wie Sie das Assessment bestehen können: Hier sind die verschiedenen Reifegrade für VDA® ISA:

• 0 (unvollständig): Der Prozess wurde nicht oder nicht in einer Weise implementiert, die den Anforderungen entspricht.

• 1 (Durchgeführt): Der Prozess wurde umgesetzt, aber die Dokumentation und die Nachweise sind unzureichend.

• 2 (Verwaltet): Der eingeführte Prozess hat die angestrebten Ziele erfolgreich erreicht. Detaillierte Unterlagen und konkrete Beweise für die Umsetzung sind leicht zugänglich.

• 3 (etabliert): Es wurde ein Standardverfahren angewandt und in das Informationssicherheitssystem integriert. Die Umsetzung und die Verknüpfung mit anderen Prozessen sind gut dokumentiert. Es gibt Belege dafür, dass das Verfahren über einen langen Zeitraum hinweg konsequent angewendet wurde.

• 4 (vorhersehbar): Es wurde ein etablierter Prozess eingeführt, dessen Wirksamkeit regelmäßig anhand von Leistungskennzahlen überwacht wird. Es werden Grenzwerte festgelegt, die anzeigen, wenn der Prozess nicht zufriedenstellend ist und angepasst werden muss.

• 5 (Optimieren): Es wurde ein vorhersehbarer Prozess verfolgt, dessen Hauptziel die kontinuierliche Überwachung und Verbesserung ist. Die Verbesserungen werden durch spezielle Ressourcen unterstützt.

Prüfungsziele hängen von der Vertraulichkeit ab

Je nach der Art der zu schützenden Informationen werden Sie einer anderen Bewertung unterzogen. Wenn Sie z. B. mit hochsensiblen Daten umgehen, wird Ihnen die höchste Bewertungsstufe (Assessment Level 3) zugewiesen. Die verschiedenen Stufen beinhalten unterschiedliche Prüfungsziele und -module. Sie müssen auch den Umfang Ihrer Bewertung berücksichtigen.

Hier sind die drei Bewertungsstufen:

• Assessment Level 1 (AL 1): Ein Self-Assessment auf der Grundlage der VDA® ISA-Testfragen, ohne dass externe Auditoren oder Nachweise vorgelegt werden müssen.

• Assessment Level 2 (AL 2): Eine Selbstbewertung auf der Grundlage von VDA® ISA-Fragen sowie ein offizielles Audit durch einen vom VDA zugelassenen Auditor (aus der Ferne, außer bei Prototypenschutzmodulen). Außerdem müssen Sie sich einer Plausibilitätsprüfung unterziehen und Ihre Nachweise überprüfen lassen.

• Assessment Level 3 (AL 3): Eine Selbsteinschätzung auf der Grundlage des VDA® ISA-Fragebogens, Plausibilitätsprüfungen, Nachweisprüfungen und Vor-Ort-Audits durch VDA-akkreditierte Auditoren. 

Einstellung eines Beauftragten für Informationssicherheit

Stellen Sie einen Beauftragten für Informationssicherheit (Information Security Officer) ein, der Sie bei der Ausarbeitung und Umsetzung von Sicherheitsrichtlinien zum Schutz Ihrer Daten vor verschiedenen Bedrohungen unterstützt. Ein Beauftragter setzt auch ISMS-Richtlinien und -Verfahren durch, um sicherzustellen, dass Schwachstellen in Ihrem System effizient behoben werden.

Fähigkeiten, auf die Sie bei der Auswahl eines Beauftragten für Informationssicherheit achten sollten:

• Fachwissen über ISMS und VDA® ISA

• Große Kommunikationsfähigkeit

• Problemlösungs- und analytische Fähigkeiten

• Kenntnisse über bewährte Sicherheitsverfahren

Immer mit der neuesten Version von VDA® ISA vertraut sein

Bleiben Sie immer auf dem neuesten Stand der VDA® ISA-Anforderungen, um sicherzustellen, dass Sie die Anforderungen weiterhin erfüllen.