Oft wird ein Vergleich zwischen der Norm ISO 27001, ihrem Annex und dem VDA ISA Katalog hergestellt und dabei übersehen, dass die im Katalog enthaltenen Anforderungen nicht mit dem Fragezeichen der Kontrollfrage des jeweiligen Kapitels enden. Im Gegenteil, sie besitzen eigene Felder, sind klar formuliert und in Stufen gegliedert:
Modul (VDA ISA Katalog v4.1.1) | Muss | Sollte | Kann | Hoch/Zusatz | Sehr hoch |
Informationssicherheit |
130 |
143 | 24 | 31 | 10 |
Anbindung Dritter |
5 |
0 | 0 | 11 | 3 |
Datenschutz |
24 |
0 | 0 | 0 | 0 |
Prototypenschutz |
26 |
7 | 1 | 3 | 0 |
Summen der Anforderungen |
185 |
150 | 25 | 45 | 13 |
Modul (VDA ISA Katalog v5.0) | Muss | Sollte | Kann | Hoch/Zusatz | Sehr hoch |
Informationssicherheit |
98 |
91 | n/a | 25 | 6 |
Anbindung Dritter |
n/a |
n/a | n/a | n/a | n/a |
Datenschutz |
23 |
0 | n/a | 0 | 0 |
Prototypenschutz |
58 |
6 | n/a | 3 | 0 |
Summen der Anforderungen |
179 |
97 | n/a | 28 | 6 |
(n/a ≙ entfällt)
Es ist faszinierend und erschreckend zugleich, wie oft diese Anforderungen unterschätzt werden und wie viele der Ansicht sind, dass das Wort "muss" noch eine andere Bedeutung besitzt. Dabei ist die Definitionen der Schlüsselbegriffe eindeutig und können aus meiner Sicht wie folgt zusammengefasst werden:
Muss | Strikte Anforderung, für die es keine Ausnahmen gibt. |
Sollte | Grundsätzlich durch die Organisation umzusetzen. Es kann jedoch unter bestimmten Umständen eine zulässige Begründung geben, diese Anforderung nicht zu erfüllen. Die Auswirkungen der Ausnahme müssen durch die Organisation verstanden und die Abweichung nachvollziehbar begründet sein. |
Hoch | Strikte Zusatzanforderung bei hohem Schutzbedarf, für die es keine Ausnahmen gibt. |
Sehr hoch | Strikte Zusatzanforderung bei sehr hohem Schutzbedarf, für die es keine Ausnahmen gibt. |
Ferner scheinen einige der festen Überzeugung zu sein, dass es sich um eine ausschließliche Prüfung von Richtlinien handelt und verkennen dabei, dass der Katalog allzu oft konkrete Vorgaben zur Umsetzung beinhaltet und zusätzlich auch noch Ziele (Prozessziele) kennt, deren Reifegrade gemäß der Vorgaben bestimmt werden müssen:
Zusammengenommen führen die genannten Missverständnisse und Verfehlungen häufig zu Abweichungen, die man mit einer gewissenhaften Vorbereitung vermeiden kann. Abweichungen können auf der Ebene der Anforderungen (Maßnahmen), dem Reifegrad als auch auf der Ebene des Berichtes bestehen:


Welcher Aufwand sich für ein Unternehmen hinter den einzelnen Anforderungen verbirgt, hängt vom Ist-Stand der Umsetzung ab und dieser kann nur durch ein Self-Assessment (aka Assessment Level 1) bzw. durch eine Reifegradanalyse verlässlich ermittelt werden. Falls Sie wissen möchten wie weit Ihr Weg bis zum Ziel noch ist, sprechen Sie mich gerne an und wenn Sie vorab schon eine erste Indikation zum aktuellen Stand der Informationssicherheit in Ihrem Unternehmen erhalten wollen, nutzen Sie gerne meinen Quick Check unter: quickcheck.borgers.eu