Erfahrungen & Bewertungen zu 2Pro Automation & Engineering GmbH & Co. KG
 

VDA / ISA TISAX® 5.0.1

Inzwischen ist es über zwei Monate her seit der Veröffentlichung des neuen Anforderungskataloges des Verbandes der Automobilindustrie (VDA). Als Informationssicherheitsberater konnte ich erste Erfahrungen in Anwendung beim Endkunden sammeln, diese möchte ich gerne an Sie als Leser und Interessent weitergeben. Außerdem informiere ich sie gerne konkret über die Änderungen im Detail.


Die neue Version 5.0 des Anforderungskataloges für TISAX bringt viele Änderungen mit sich. Es ist wohl die größte Änderung des Kataloges seit Beginn seiner Kariere im Jahr 2017. Nicht nur in der optischen Erscheinung hat sich der Anforderungskatalog, den man sich übrigens auf der Internetseite des Verbandes der Automobilindustrie downloaden kann, verändert, sondern auch inhaltlich und strukturell.


Dabei sind die signifikantesten Änderungen im Modul Informationssicherheit zu finden. Die innerhalb der Kontrollfragen gegliederten Anforderungen, wurden bisher in drei Bereiche untergliedert: ,,soll, muss und kann.'' Im neuen Katalog ist ab sofort nur noch von ,,soll und muss" die Rede. Wobei sich an der Umsetzung dieser Anforderungen nichts geändert hat. Für die Muss-Kriterien gibt es keine Ausnahme, - diese müssen umgesetzt werden. Die Soll-Kriterien können unter bestimmten Voraussetzungen und einer plausiblen Begründung weggelassen werden.


Eine grundlegende Überarbeitung hat der Bereich des ,mobilen Arbeitens' erfahren. Der Verband der Automobilindustrie reagiert hiermit auf die, nicht zuletzt durch die ,,Corona-Krise", veränderte Arbeitsweise vieler Unternehmen. Das mobile Arbeiten gewinnt immer weiter an Bedeutung und somit wurde diesem Informationssicherheitsrisiko ein kompletter Control gewidmet.


Neu hinzugefügt hat der VDA auch eine Fragestellung im Bereich, Personal'. Ab sofort sollen die Eignung und Identität, sowie Referenzen von neuen Mitarbeitern überprüft werden. Dies ist verpflichtend für sensible Tätigkeitsbereiche. Als Hilfestellung steht im Assessmentkatalog das Prüfen von Personalausweisen, das Durchführen von Eignungsfeststellungen in Form von Gespräch - oder das Überprüfen von Lebensläufen. Mit diesem Schritt vertieft der Verband seine Anforderungen an das Personal und versucht betrügerischen Bewerbern das Handwerk, oder solchen, die bewusst auf Firmen angesetzt werden, zu legen.


Im Großen und Ganzen zeigt die Erfahrung bei der Anwendung des neuen Kataloges in Beratungen, dass die Komplexität des Kataloges nicht abgenommen hat. Dies hat sich nicht geändert, obwohl die Anzahl an Anforderungen von rund 450 auf etwa 390 gesunken ist. Die neue Formulierung von Fragen ist gut, ändert aber an der Masse nichts. Viele Kunden aus dem Bereich kleiner und mittelständischer Unternehmen berichten nach der GAP-Analyse, dass Sie ohne eine Beratung die Herausforderung nicht hätten stemmen können.


Ein Managementsystem über alle Unternehmensbereiche aufzubauen erfordert weiterhin Expertise und viel Engagement, um sicher, schnell und vor allem kosteneffizient ans Ziel zu kommen.


Leider zeigt meine Erfahrung, dass immer noch viele Unternehmen die Anforderungen falsch interpretieren und es dadurch zu unnötigen Nachprüfungen beim Assessment kommt. Mein Tipp daher: ,,Suchen Sie sich einen Berater Ihres Vertrauens. Viele Anforderungen brauchen keine teuren Softwarelösungen und sind mit etwas Verständnis einfach zu lösen."


Allen Lesern wünsche ich viel Erfolg bei den Prüfungen nach dem VDA / ISA 5.0.1 ! Dieser ist übrigens für Neuregistrierungen bei der ENX, seit dem 01. Oktober 2020, verpflichtend. Alle vor dem Stichtag registrierten Teilnehmer können noch nach VDA / ISA 4.1.1 geprüft werden.




Im Überblick:

Änderungen und Überarbeitungen

  • Neue Nummerierung der Controls

  • Neue strukturelle Gliederung in insgesamt sieben Themengebiete innerhalb des Moduls Informationssicherheit.

  • Bei einem Großteil der Controls wurde ein ,,üblicher Prozessverantwortlicher" hinzugefügt. (HR, IT, u.a.)

  • Welche Schutzziele der Control adressiert wurde ergänzt

  • Hilfestellungen und Erläuterungen wurden in einigen Controls hinzugefügt

  • Vereinheitlichung des Reifegrades aller Controls auf 3.


Neue Anforderungen

  • "mobiles Arbeiten"

  • "Eignung von Mitarbeitern"

  • "Umgang mit Identifikationsmitteln"


Wegfall von Anforderungen

  • Der Control 12.6 aus dem Katalog 4.1.1 wurde gestrichen

  • Kann Anforderungen gibt es nicht mehr


Prototypenschutz

  • Die Anzahl der MUSS Anforderungen wurde um 32 erhöht.

Integration von Controls und Modulen

  • Wegfall des Moduls Anbindung Dritter, dabei Integration in das Modul Informationssicherheit

  • Integration des Controls 1.2 in das neue Control 1.2.1

  • Integration des Controls 8.3 in das neue Control 3.1.4

  • Integration des Controls 9.3 in das neue Control 4.2.1

  • Integration des Controls 11.2 in das neue Control 3.1.2

  • Integration des Controls 11.3 in das neue Control 3.1.1

  • Integration des Controls 12.4 in das neue Control 3.1.2

  • Integration des Controls 12.6 in das neue Control 5.2.4

  • Integration des Controls 13.3 in das neue Control 5.2.7

  • Integration der Controls 14.2 und 14.3 in das neue Control 5.3.1

  • Integration des Controls 15.2 in das neue Control 6.1.1

  • Integration des Controls 16.2 in das neue Control 1.6.1
















27 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen