Implementierung von VDA und ENX TISAX^®

Bitte lesen Sie unsere Fallstudie zur Implementierung von ENX TISAX® in einem Unternehmen, das Automobilsysteme entwickelt. Wir sind stolz darauf, dass wir eines der ersten ENX TISAX®-Zertifizierungsprojekte in Osteuropa abgeschlossen haben. Danach haben wir unsere Erfahrung in anderen ENX TISAX®-Implementierungen genutzt. Wir waren die Ersten und bleiben die Besten!

ISO 27001 Online Master von Bewertung der Konformität wird ebenfalls für Sie empfohlen. Überprüfen Sie innerhalb von 10 Minuten, inwieweit Ihr Unternehmen die Norm ISO 27001 erfüllt und wie viel Zeit Sie benötigen, um die vollständige Einhaltung und Zertifizierung zu erreichen.

WAS IST VDA ISA UND ENX TISAX^®?

VDA logotype Der internationale Informationssicherheitsstandard VDA ISA wurde vom Verband der Automobilindustrie (VDA) auf Basis der Normen ISO/IEC 27001 und 27002 entwickelt.

Der Standard VDA ISA (Information Security Assessment) enthält streng strukturierte Kriterien zur Bewertung der Informationssicherheit, KPIs und zusätzliche optionale Module:

Verbindung zu Dritten
Datenschutz
Prototypenschutz

ENX TISAX® (Trusted Information Security Assessment Exchange, TISAX® ist eine eingetragene Marke von ENX) ist ein Framework für VDA ISA, mit dem unabhängige Anbieter ihre Zertifizierungs- und Bewertungsergebnisse mit ihren Kunden (in der Regel aus der Automobilindustrie) teilen können.

Unsere Zertifizierungen (CISSP, Leitender Auditor nach ISO 27001, CISA, OSCP, CEH usw.) ermöglichen es uns, sowohl formale als auch praktische Aspekte der Einhaltung von Sicherheitsbestimmungen und des Sicherheitsmanagements abzudecken.

Beim Aufbau eines ISMS oder von Sicherheitskontrollen setzen wir nicht nur auf ISO 27001/27002, VDA ISA und ENX TISAX®, sondern setzen auch aktiv andere Standards und Frameworks ein, wenn dies von unseren Kunden oder deren Partnern angemessen oder ausdrücklich gefordert wird. Zum Beispiel: ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination), GDPR (DSGVO) und so weiter.

Unser Ansatz zur Implementierung beginnt mit einfachen Schritten, um Ihnen den ersten Wert kostenlos zu geben, Sie in den Prozess einzuführen und Ihnen zu ermöglichen, das Wesentliche der Implementierungsarbeiten und Ihre Rolle in ihnen klar zu verstehen.

GELTUNGSBEREICH UND PRIORISIERUNG

Metaphor for priorities Für unsere Kunden erstellen wir individuelle Selbstbewertungsfragebögen, um den aktuellen Stand des ISMS nach VDA ISA zu bewerten. Anschließend definieren und dokumentieren wir den Umfang und erarbeiten den Projektplan für die Erstprüfung und Lückenanalyse.

Die Festlegung des Geltungsbereichs ist für VDA ISA und ENX TISAX® von entscheidender Bedeutung. Fehler in dieser Phase können zu übermäßigen Implementierungs- und Wartungsarbeiten oder zu falschen Zertifizierungsergebnissen führen. Darüber hinaus nehmen wir die anfängliche Priorisierung von Aufgaben vor, um so schnell wie möglich die größtmögliche Sicherheit zu erreichen.

Normalerweise umfasst der Geltungsbereich die Geschäftsprozesse des Kunden, für die physische und logische Sicherheitsprozesse gelten. Sie umfassen, sind aber nicht beschränkt auf:

Humanressourcen
Kundenstrategie und -beziehungen: Marketing, Kundenerfolgsmanagement, Lizenzerneuerung
Kundenakquise: Verkauf und Vorverkauf
Technologiemanagement
Produkt- / Service-Release und Lieferung
Produktentwicklung
Produkttest
Kundenbetreuung: Technischer Support
Rechnungsführung
Finanzanalyse und Kapitalmanagement

Wir führen diese Phase für Sie kostenlos . durch. Wenn Sie verstehen, dass Sie an einer weiteren Zusammenarbeit mit uns interessiert sind, senden wir Ihnen ein kommerzielles Angebot und unterzeichnen einen Servicevertrag.

ERSTE PRÜFUNG, LÜCKENANALYSE UND DETAILLIERTE PROJEKTPLANUNG

Wir führen diese Phase in der Regel 3 bis 4 Wochen durch, abhängig vom genehmigten Umfang. Während des ersten Audits befragen wir die Mitarbeiter des Kunden, überprüfen Dokumente, bewerten die physische Sicherheit und den Umfang usw.

Diese Phase umfasst die Analyse des ursprünglichen oder aktuellen Zustands der Prozesse und der Verwaltungskontrollen für die Informationssicherheit, der Geschäftsprozesse und der technologischen Prozesse. Analyse der physischen Sicherheit der Räumlichkeiten, des Personals, der IT-Infrastruktur usw. Das Ergebnis dieser Phase ist ein Bericht über die Erstprüfung, eine Lückenanalyse und ein detaillierter Zeitplan für die Umsetzung der VDA-ISA-Kontrollen.

Der Implementierungsplan berücksichtigt die Fähigkeit des Kunden, einen Teil der Projektaufgaben auszuführen.

UMSETZUNG VON SICHERHEITSVERFAHREN UND –OPERATIONEN

Cyber security Diese Phase wird in der Regel 4 bis 9 Monate lang durchgeführt, abhängig vom genehmigten Umfang, dem Ausgangszustand, den Anforderungen und den Ergebnissen der vorherigen Phase.

Diese Phase umfasst die Implementierung der folgenden wesentlichen Schritte, ist jedoch nicht darauf beschränkt:

Aufbau und Automatisierung des ISMS mithilfe der entsprechenden GRC-Tools (Governance, Risikomanagement und Compliance). Sie ermöglicht es, die Vermögenswerte zu klassifizieren und verantwortliche Personen für sie zuzuweisen, eine Risikomatrix zu erstellen und für jeden Vermögenswert eine Selbstbewertung mit Nachweisen für jeden Gegenstand durchzuführen. Die GRC-Tools enthalten auch Berichte zu verschiedenen Aktivitäten, die von Sicherheitsbewusstseinsschulungen bis hin zu unabhängigen Sicherheitsüberprüfungen reichen.
Management von Sicherheitsvorfällen mithilfe eines Task-Management- und Tracking-Systems (Redmine, Jira usw.). Der Kunde kann den gesamten Workflow von der Aufgabenerstellung über die Zuweisung der verantwortlichen Person für jede Aufgabe bis hin zu Maßnahmen zur Reaktion und zum Abschluss von Vorfällen und der Berichterstellung verfolgen.
Änderungsmanagement. Alle wesentlichen Änderungen im Kundeninformationssystem sollten transparent sein und mithilfe von Änderungsanforderungen verarbeitet werden.
Implementierung der erforderlichen grundlegenden Sicherheitsmaßnahmen und -kontrollen, einschließlich Firewalls, VPN, Einschränkung der Zugriffsrechte, Trennung von Gast- und internem drahtlosem Netzwerk und vielen anderen Dingen. Die Implementierung wird von der IT-Abteilung des Kunden unter strenger Aufsicht und Anleitung durch unser Personal durchgeführt.
Implementierung der Grundelemente des Secure Software Development Lifecycle (SDLC) innerhalb der Produktionsprozesse.
Schulung der Mitarbeiter zu Sicherheitsrichtlinien und -regeln an allen Standorten. Jeder Mitarbeiter muss die Sicherheitsrichtlinienverpflichtung und den Bericht über das Sicherheitsbewusstseinstraining unterzeichnen.
Entwicklung und Berechnung des KPI nach unterschiedlichen Kriterien und Anforderungen des VDA ISA.

Das Ergebnis dieser Phase sind nicht nur eine Reihe von Dokumenten und Aufzeichnungen, die Ihren tatsächlichen Prozessen entsprechen, sondern auch eine neue Sicherheitskultur Ihrer Organisation und ein Höchstmaß an Bereitschaft zur amtlichen Zertifizierung.

ZERTIFIZIERUNGSPROZESS

Der Zertifizierungsprozess dauert in der Regel 1-3 Monate, abhängig vom genehmigten Umfang. Diese Phase umfasst die Auswahl der Zertifizierungsstelle, das Voraudit, Korrekturmaßnahmen und das Zertifizierungsaudit.

Zunächst helfen wir Ihnen, sich für das Audit anzumelden und das ENX TISAX®-Antragsformular auszufüllen. Dann helfen wir Ihnen bei der Auswahl einer Zertifizierungsstelle aus der Liste der ENX-zugelassenen TISAX®-Prüfungsanbieter. Wir wenden uns in Ihrem Namen an die Zertifizierungsorganisation.

Dann treffen Sie direkt eine Vereinbarung mit der Zertifizierungsstelle, und wir beginnen mit dem oben beschriebenen Voraudit- und Implementierungsprozess.

Wenn das Datum der offiziellen Zertifizierung kommt, vertreten wir Sie und demonstrieren, was wir für Sie gebaut haben. Danach analysiert der Prüfer die Ergebnisse, sammelt die Nachweise und erstellt den Abschlussbericht. Wir unterstützen Sie ständig und helfen Ihnen, die gewünschten Nachweise zu erhalten.

Schließlich erhalten Sie das ENX TISAX®-Zertifikat, werden offiziell konform und können die Bewertungsergebnisse über das ENX-Portal an Ihre Kunden weitergeben.

WAS KOMMT ALS NÄCHSTES?

Die TISAX®-Zertifizierung ist 3 Jahre gültig. Das Informationssicherheits-Managementsystem muss die ganze Zeit aktiv sein. Es soll weiterentwickelt, gepflegt und optimiert werden.

Wir bieten kontinuierliche Unterstützung des ISMS über den gesamten ISMS-Lebenszyklus hinweg in vollem Umfang. Es umfasst, ist aber nicht beschränkt auf:

Monatliche / vierteljährliche Schulung der Mitarbeiter an allen Standorten. Die Schulung dauert 1 Stunde und kann für verschiedene Kategorien von Mitarbeitern (allgemeine Mitarbeiter, Softwareentwickler, Systemadministratoren, Personalabteilung usw.) durchgeführt werden.
Überwachung der implementierten Sicherheitssysteme.
Überwachung von Sicherheitslücken.
Vierteljährlicher Schwachstellenscan und Pentests (automatisiert und manuell).
Regelmäßige Überprüfung der Quellcodesicherheit.
Fortsetzung der Implementierung von Sicherheitsrichtlinien und -verfahren mit einem separaten Schwerpunkt auf der weiteren reibungslosen Implementierung von Sicherheitsanforderungen für den Software Development Life Cycle (SDLC).
Implementierung des Reportings in die GRC-Tools.
Teilnahme an allen Arbeitsabläufen des Unternehmens ab dem Zeitpunkt der Einhaltung der Sicherheitsanforderungen.
Monatliche / vierteljährliche Berichterstattung an das Top-Management über etwaige Sicherheitsvorfälle sowie über den allgemeinen IT-Sicherheitsstatus und -fortschritt.

Wir bieten eine verwaltete Einhaltung von ENX TISAX® und die vollständige Unterstützung weiterer Bestätigungen des Status der ENX TISAX®-Einhaltung.

Erhalten Sie Hilfe zur Implementierung von VDA ISA und ENX TISAX®:

Beurteilen Sie die ISO 27001-Konformität Ihres Unternehmens online in wenigen Minuten:

Wer wir sind, was wir tun und was bieten wir an.

Compliance-Dienstleistungen.

Cyber Sicherheit Team-Erweiterung und Remote CISO Service.

Implementierung von VDA und ENX TISAX®

WAS IST VDA ISA UND ENX TISAX®?