TISAX®: Aufwand und Umfang (4.1.1 vs. 5.0)

Oft wird ein Vergleich zwischen der Norm ISO 27001, ihrem Annex und dem VDA ISA Katalog hergestellt und dabei übersehen, dass die im Katalog enthaltenen Anforderungen nicht mit dem Fragezeichen der Kontrollfrage des jeweiligen Kapitels enden. Im Gegenteil, sie besitzen eigene Felder, sind klar formuliert und in Stufen gegliedert:

Modul (VDA ISA Katalog v4.1.1) Muss Sollte Kann Hoch/Zusatz Sehr hoch
Informationssicherheit

130

143 24  31 10
Anbindung Dritter

5

0 0 11 3
Datenschutz

24

0 0 0 0
Prototypenschutz

26

7 1 3 0
Summen der Anforderungen

185

150 25 45 13
Modul (VDA ISA Katalog v5.0)    Muss Sollte Kann Hoch/Zusatz Sehr hoch
Informationssicherheit

98

91 n/a 25 6
Anbindung Dritter

n/a

n/a n/a n/a n/a
Datenschutz

23

0 n/a 0 0
Prototypenschutz

58

6 n/a 3 0
Summen der Anforderungen   

179

97 n/a 28 6

(n/a ≙ entfällt)

Es ist faszinierend und erschreckend zugleich, wie oft diese Anforderungen unterschätzt werden und wie viele der Ansicht sind, dass das Wort "muss" noch eine andere Bedeutung besitzt. Dabei ist die Definitionen der Schlüsselbegriffe eindeutig und können aus meiner Sicht wie folgt zusammengefasst werden:

Muss Strikte Anforderung, für die es keine Ausnahmen gibt.
Sollte Grundsätzlich durch die Organisation umzusetzen. Es kann jedoch unter bestimmten Umständen eine zulässige Begründung geben, diese Anforderung nicht zu erfüllen. Die Auswirkungen der Ausnahme müssen durch die Organisation verstanden und die Abweichung nachvollziehbar begründet sein.
Hoch Strikte Zusatzanforderung bei hohem Schutzbedarf, für die es keine Ausnahmen gibt.
Sehr hoch Strikte Zusatzanforderung bei sehr hohem Schutzbedarf, für die es keine Ausnahmen gibt.

Ferner scheinen einige der festen Überzeugung zu sein, dass es sich um eine ausschließliche Prüfung von Richtlinien handelt und verkennen dabei, dass der Katalog allzu oft konkrete Vorgaben zur Umsetzung beinhaltet und zusätzlich auch noch Ziele (Prozessziele) kennt, deren Reifegrade gemäß der Vorgaben bestimmt werden müssen:

Zusammengenommen führen die genannten Missverständnisse und Verfehlungen häufig zu Abweichungen, die man mit einer gewissenhaften Vorbereitung vermeiden kann. Abweichungen können auf der Ebene der Anforderungen (Maßnahmen), dem Reifegrad als auch auf der Ebene des Berichtes bestehen:

Welcher Aufwand sich für ein Unternehmen hinter den einzelnen Anforderungen verbirgt, hängt vom Ist-Stand der Umsetzung ab und dieser kann nur durch ein Self-Assessment (aka Assessment Level 1) bzw. durch eine Reifegradanalyse verlässlich ermittelt werden. Falls Sie wissen möchten wie weit Ihr Weg bis zum Ziel noch ist, sprechen Sie mich gerne an und wenn Sie vorab schon eine erste Indikation zum aktuellen Stand der Informationssicherheit in Ihrem Unternehmen erhalten wollen, nutzen Sie gerne meinen Quick Check unter: quickcheck.borgers.eu

Beratung: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung (Aggregatoren), Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting
Termin prüfen: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG

TISAX® und ENX® sind eingetragene Marken der ENX Association.