Lektion 1, Thema 1
In Bearbeitung

GAP-Analyse, Risikobewertung und ISO/ISB

GAP-Analyse

Alle Maßnahmen (Controls) aus dem VDA ISA 5.0 Katalog und dem Reiter “Informationssicherheit” sollen mindestens in Ihrem Unternehmen umgesetzt werden. Hierbei wird direkt Bezug auf den von Ihnen gewählten Anwendungsbereich (Scope) genommen, indem Sie dann nur Informationssicherheit abdecken müssen oder beispielsweise noch die Maßnahmen für Prototypenschutz umsetzen müssen. Insgesamt gibt es 41 Controls im Reiter Informationssicherheit, 22 Controls im Reiter Prototypenschutz und 4 Controls im Reiter Datenschutz. Die Controls des Prototypenschutzes unterteilt sich in die verschiedenen Prüfziele. Dies wird in der folgenden Tabelle aufgeschlüsselt:

PrüfzielGeltende Kapitel des VDA ISA Katalogs
Schutz für Bauteile und
Komponenten von Prototypen
Proto Parts
25.1
25.2
25.3
Schutz für Prototypenfahrzeuge
Proto Vehicles
25.1
25.2
25.3
Schutz bei Erprobungsfahrzeugen
Test Vehicles
25.2
25.3
25.4
Schutz für Prototypen währen Veranstaltungen, Film- & Fotoshootings
Events & Shootings
25.2
25.3
25.5

Sie haben durch den VDA ISA Katalogs also zum einen einen Ablaufplan und zum anderen können Sie dort direkt die GAP Analyse durchführen. Nutzen Sie den Katalog auch um zu sehen und zu planen, wo Sie aktuell stehen und wie viel Sie noch vor sich haben.

Risikobewertung, Risikomanagement und Risikobehandlung

Da ein ISMS i.d.R. Risikobasiert ist, sprich sich alle Regeln an dem gegebenen Risiko orientieren, sollte es ein Risikomanagement geben, welches weiterführend auch eine Risikobewertung und einen Behandlungsplan enthält. Das Risikomanagement befasst sich im besondern mit der Ermittlung der möglichen Gefahren und deren Bewertung im Bezug auf die Informationssicherheit. Dadurch wird eine risikobasierte Abwägung der Gefahren und den passenden Gegenmaßnahmen ermöglicht. Dazu kommt noch eine bessere Übersicht über Kosten und Einschränkungen, welche gegebenenfalls den Nutzen übersteigen können.

Tipp: Bilden Sie ein Team zur Risikoeinschätzung. Dadurch werden oft mehr Risiken entdeckt und durch die verschiedenen Perspektiven bleiben Sie auch nahe an der Praxis, damit auch Ihr Blick auf die Risiken geschärft wird.

Die Dokumente „Verfahren Risikomanagement“ in Begleitung mit der Tabelle “Risikobewertung und Behandlungsplan” bieten Ihnen eine simple Methode um Ihre Risiken zu identifizieren, zu bewerten und zu behandeln. Sie sollten in den Prozessbeschreibungen die Risikoklassen definieren sowie das Verhalten im Umgang mit den Risiken beschreiben.

Bestellen des Informationssicherheitsbeauftragten (ISO/ISB)

Der Informationssicherheitsbeauftragte hat eine große Verantwortung und sollte daher die folgenden Fähigkeiten mit sich bringen:

  • Erforderliche Fachkenntnisse
  • Führungskompetenz
  • Sozialkompetenz
  • Unternehmerische Kompetenz

Seine Aufgaben sind unter anderem die folgenden:

  • Durchführung interner Audits
  • Mitarbeiterschulungen
  • Ansprechpartner für Probleme und Fragen
  • Unterstützung der Geschäftsführung durch Beratung
  • Umsetzen der aktuellen Vorschriften und Maßnahmen
  • Erarbeitung von Sicherheitskonzepten
  • Mitarbeiter mit Wissen und Informationen versorgen

Sie können den Informationssicherheitsbeauftragten (ISO/ISB) benennen und vertraglich sicherstellen. Eine passende Dokumentvorlage gibt es dazu im Toolkit mit dem Titel “Bestellung Information Security Officer”. Dort sind die Aufgaben nochmals Aufgeführt und dann wird das Dokument von der Geschäftsleitung und dem neuen ISO/ISB unterschrieben.