top of page
IMG_0969_edited_edited.png

JEDERZEIT VERFÜGBAR UND KOSTENLOS, DER ONLINE ISMS BERATERGPT FÜR SCHNELLE FORTSCHRITTE:

Suche
AutorenbildMarc Borgers
28. Juli

VDA ISA: Muss- und Sollte-Anforderungen


AutomotiveIndustry, Informationssicherheit, Compliance, VDAISA, Automobilindustrie, TISAX, Sicherheitsstandards, MussAnforderungen, SollteAnforderungen, ISO27001, Risikomanagement, Datenschutz, Vertragskonformität, Sicherheitsniveau, CyberSecurity, ITSecurity, AutomotiveSecurity, FreelancerTips, Informationsschutz, Datenintegrität, SecurityCompliance, Unternehmenssicherheit, ITCompliance, Sicherheitsanforderungen, Audit, Zertifizierung, Prozesssicherheit, Geschäftssicherheit, CyberRisk, ITGovernance, Sicherheitsvorgaben, ISOStandards, DigitalSecurity, Sicherheitsmanagement, Sicherheitsprozesse, SecurityAssessment, RegulatoryCompliance, DigitalerSchutz, ITStandards, Schutzmaßnahmen, Sicherheitslabel, CyberSecurityAwareness

In der heutigen Geschäftswelt sind Informationssicherheit und Compliance nicht nur wichtig für die interne Sicherheit, sondern oft auch gesetzlich vorgeschrieben. Der VDA ISA (Verband der Automobilindustrie - Information Security Assessment) bietet Unternehmen in der Automobilbranche eine strukturierte Grundlage, um die erforderlichen Sicherheitsstandards zu erfüllen. Dabei wird im VDA ISA zwischen Muss- und Sollte Anforderungen unterschieden, die unterschiedliche Grade der Verbindlichkeit darstellen. Doch was bedeuten diese Kategorien genau, und wie sollten Unternehmen mit ihnen umgehen?


SecurityAssessment, Informationssicherheit, Compliance, VDAISA, Automobilindustrie, TISAX, Sicherheitsstandards, MussAnforderungen, SollteAnforderungen, ISO27001, Risikomanagement, Datenschutz, Vertragskonformität, Sicherheitsniveau, CyberSecurity, ITSecurity, AutomotiveSecurity, FreelancerTips, Informationsschutz, Datenintegrität, SecurityCompliance, Unternehmenssicherheit, ITCompliance, Sicherheitsanforderungen, Audit, Zertifizierung, Prozesssicherheit, Geschäftssicherheit, CyberRisk, ITGovernance, Sicherheitsvorgaben, AutomotiveIndustry, ISOStandards, DigitalSecurity, Sicherheitsmanagement, Sicherheitsprozesse, RegulatoryCompliance, DigitalerSchutz, ITStandards, Schutzmaßnahmen, Sicherheitslabel, CyberSecurityAwareness

Muss-Anforderungen: Strikte Vorgaben


Muss-Anforderungen sind verbindlich und ohne Ausnahme umzusetzen. Sie definieren grundlegende Sicherheitsmaßnahmen, die erforderlich sind, um ein bestimmtes Sicherheitsniveau zu erreichen und aufrechtzuerhalten. Das Versäumnis, diese Anforderungen zu erfüllen, kann schwerwiegende Folgen haben, sowohl in Bezug auf Sicherheitsrisiken als auch auf die Einhaltung von Vorschriften und Verträgen.



Sollte-Anforderungen: Flexibilität mit Bedacht


Diese Maßnahmen sind grundsätzlich umzusetzen, es sei denn, es gibt stichhaltige Gründe für eine Ausnahme. Unternehmen müssen bei Ausnahmen die sich daraus ergebenden Risiken bewerten und falls erforderlich alternative Maßnahmen ergreifen, um die Informationssicherheit zu gewährleisten. Es ist wichtig, dass die Informationssicherheitsziele auch dann erreicht werden, wenn die im VDA ISA genannte Maßnahme nicht sprichwörtlich umgesetzt wird.


Sicherheitslabel, Informationssicherheit, Compliance, VDAISA, Automobilindustrie, TISAX, Sicherheitsstandards, MussAnforderungen, SollteAnforderungen, ISO27001, Risikomanagement, Datenschutz, Vertragskonformität, Sicherheitsniveau, CyberSecurity, ITSecurity, AutomotiveSecurity, FreelancerTips, Informationsschutz, Datenintegrität, SecurityCompliance, Unternehmenssicherheit, ITCompliance, Sicherheitsanforderungen, Audit, Zertifizierung, Prozesssicherheit, Geschäftssicherheit, CyberRisk, ITGovernance, Sicherheitsvorgaben, AutomotiveIndustry, ISOStandards, DigitalSecurity, Sicherheitsmanagement, Sicherheitsprozesse, SecurityAssessment, RegulatoryCompliance, DigitalerSchutz, ITStandards, Schutzmaßnahmen, CyberSecurityAwareness

Neben muss und sollte, gibt es auch noch Zusatanforderungen bei hohem und sehr hohem Schutzbedarf. Bei beiden handelt es sich um Muss-Anforderungen.



Ein Beispiel aus der Praxis: Der Fotograf


Oft wird das TISAX®-Verfahren mit ISO 27001 Zertifizierungen verglichen. Beide haben Gemeinsamkeiten, aber auch wesentliche Unterschiede. Nach einer erfolgreichen ISO 27001 Prüfung wird ein Zertifikat für das Managementsystem ausgestellt, während bei TISAX®-Labels vergeben werden, die ein spezifisches Sicherheitsniveau attestieren. Dieses festgelegte Sicherheitsniveau kennt die ISO 27001 nicht und bei TISAX® spielen finanzielle Erwägungen im Kontext der Angemessenheit eine andere Rolle.



Informationssicherheit, Compliance, VDAISA, Automobilindustrie, TISAX, Sicherheitsstandards, MussAnforderungen, SollteAnforderungen, ISO27001, Risikomanagement, Datenschutz, Vertragskonformität, Sicherheitsniveau, CyberSecurity, ITSecurity, AutomotiveSecurity, FreelancerTips, Informationsschutz, Datenintegrität, SecurityCompliance, Unternehmenssicherheit, ITCompliance, Sicherheitsanforderungen, Audit, Zertifizierung, Prozesssicherheit, Geschäftssicherheit, CyberRisk, ITGovernance, Sicherheitsvorgaben, AutomotiveIndustry, ISOStandards, DigitalSecurity, Sicherheitsmanagement, Sicherheitsprozesse, SecurityAssessment, RegulatoryCompliance, DigitalerSchutz, ITStandards, CyberSecurityAwareness, Schutzmaßnahmen, Sicherheitslabel

Stellen wir uns einen freiberuflichen Fotografen vor, der sich auf die Ablichtung von noch nicht veröffentlichten Fahrzeugen spezialisiert hat und deshalb von den Automobilherstellern als Dienstleister beauftragt werden soll. Plötzlich steht in der Anfrage das Wort TISAX® mit drin und der Fotograf muss sich mit der Umsetzung des VDA ISA auseinandersetzen. Aus seiner Sicht sind viele darin enthaltenen Forderungen finanziell nicht vertretbar, weshalb er sich dazu entscheidet, die kostspieligen Anforderungen zu streichen. Denn sein ISO 27001 Berater teilte ihm mit, dass er bei der Umsetzung besonders auf die Angemessenheit achten soll. Konkret bedeutet dies, dass die vom Hersteller gelieferten Fahrzeuge am Straßenrand geparkt und nur mit einer Plane abgedeckt werden, statt die vertraglichen sowie die im VDA ISA enthaltenen Vorgaben einzuhalten.


Hier macht der Fotograf gleich mehrere Fehler:


  • Vertragsbrüchigkeit: Er darf nicht gegen vertraglich festgelegte Anforderungen verstoßen. Neben den allgemeinen Maßnahmen im VDA ISA, geben die Automobilhersteller auch konkrete Regeln zum Umgang mit solchen Fahrzeugen in ihren Verträgen vor.

  • Risikoübernahme: Er darf nicht die Risiken für fremdes Eigentum aufgrund eigener Entscheidungen akzeptieren. Insbesondere wenn sich daraus ein erhebliches unmittelbares Risiko für die Informationssicherheit ergibt.

  • Kostenargument: Finanzielle Überlegungen rechtfertigen nicht das Auslassen geforderter Sicherheitsmaßnahmen.


Auch wenn er sich dazu entscheiden würde, die Umsetzung der Maßnahmen aufzuschieben, bis der erster Auftrag eingegangen ist, wäre die Erlangung eines Labels nicht möglich. Denn in der Prüfung werden nur umgesetzte Maßnahmen sowie die Funktion der Prozesse geprüft. Maßnahmen, die noch nicht umgesetzt sind, können nur negativ bewertet und nicht gelebte Prozesse, im Reifegrad gemindert werden.



Testat statt Zertifikat


Das Label soll ein objektiver Nachweis sein, auf das sich alle TISAX®-Teilnehmer verlassen können. Wenn ein entsprechendes TISAX®-Label vorliegt, dann beutet dies, dass die damit verbundenen Sicherheitsanforderungen, Verfahen und Prozesse vollständig umgesetzt, vorhanden, trainiert und dokumentiert sind.




Telefon2trans.png

Sie haben Fragen?

Manchmal ist ein direktes Gespräch einfach unschlagbar. Zögern Sie bitte nicht über unseren Telefonkalender ein kostenloses Erstgespräch zu vereinbaren!

IMG_1091.png
bottom of page