VDA-ISA (TISAX).

# 3.100-2

Stand: 20220122

Derzeit (VDA-ISA-Version 5.0.4) sind die einzelnen Anforderungen einer Control in der Exceldatei (und in opus i) so dargestellt:
(Wir haben hier zwei Anforderungen, die mit + gekennzeichnet sind)

     + Die Anforderungen an die Informationssicherheit sind ermittelt und dokumentiert.
        - Die Anforderungen sind an die Ziele der Organisation angepasst.
        - Eine Richtlinie ist erstellt und von der Organisationsleitung freigegeben.
     + Die Richtlinie enthält Ziele und den Stellenwert der Informationssicherheit in der Organisation.

Wünschenwert wäre, damit ein Softwaretool die einzelnen Anforderungen exakt und sicher identifizieren und verarbeiten könnte, dass jede Anforderung eine eindeutige ID bekäme, wie folgt:

     1.1.1.1 Die Anforderungen an die Informationssicherheit sind ermittelt und dokumentiert.
        - Die Anforderungen sind an die Ziele der Organisation angepasst.
        - Eine Richtlinie ist erstellt und von der Organisationsleitung freigegeben.
     1.1.1.2 Die Richtlinie enthält Ziele und den Stellenwert der Informationssicherheit in der Organisation.

Warum wäre eine eindeutige Kennzeichnung von Vorteil und deshalb wichtig?

In der Praxis wird es so sein, dass nicht alle Anforderungen gleichzeitig in Arbeit genommen werden und gleichzeitig vollständig erfüllt (umgesetzt, implementiert) werden. Risikoanalysen sind nicht in einem Tag abschließend bearbeitet und müssen in regelmäßigen Abständen überprüft und angepasst werden. Sind die Anforderungen nicht eindeutig identifizierbar, muss es der Anwender selbst übernehmen darauf zu achten, dass keine der oft mehreren Anforderungen derselben Control nicht übersehen wird oder in Vergessenheit gerät.

A) Gäbe es diese eindeutigen Idents, kann das Tool die Anforderungen separieren und jede Anforderung einzeln verarbeiten und managen, einschließlich Erfüllungsgrad, Wiedervorlage, usw.

B) VDA-ISA-Updates könnten maschinell durchgeführt werden. Entfallene Anforderungen könnten gekennzeichnet, ebenso verbale Änderungen berücksichtigt und neue Anforderungen sicher und extra sichtbar hinzugenommen werden.



Damit diese mögliche und zukünftige Vereinzelung durch opus i korrekt vorgenommen werden kann, bitten wir die Umsetzungs-Status wie folgt in dem Control-Text zu vermerken und direkt an das “+” anzuhängen - ohne Leerzeichen.

Damit wir auch die Controls eindeutig erkennen können - im unten stehenden Beispiel sind es vier Anforderungen - lassen Sie bitte den Controltext unverändert. Das ist im unten stehenden Beispiel bei der ersten Anforderung durch Kursivschrift nochmals verdeutlicht.


Beispiel mit einem Originaltext:

Anforderung MUSS
+Ja Ein einheitliches Schema zur Klassifizierung von Informationswerten hinsichtlich des Schutzziels Vertraulichkeit ist vorhanden.
+Entbehrlich* Es wird eine Bewertung der identifizierten Informationswerte nach den definierten Kriterien durchgeführt und dem vorhandenen Schema zur Klassifizierung zugeordnet.
+Teilweise Vorgaben für den Umgang mit Informationsträgern (z. B. Kennzeichnung, korrekte Handhabung, Transport, Speicherung, Rückgabe, Löschung/Entsorgung) in Abhängigkeit von der Klassifizierung der Informationswerte sind vorhanden und werden angewendet.
Anforderung SOLL
+JA Die Schutzziele Integrität und Verfügbarkeit werden berücksichtigt.


Am konkreten Beispiel der VDA-ISA-Control 1.3.2:

Sie übertragen die Anforderungen in das Eingabefeld UMSETZUNGSHINWEISE und vermerken den Umsetzungs-Status so wie hier dargestellt.

Falls Sie Hinweise zur Anforderung hinterlegen möchten, schreiben Sie diese bitte direkt unterhalb der Anforderung in die nächste Zeile. Im Bild unten ist dies dargestellt mit dem Text “In der nächsten Zeile unterhalb der Anforderung...”.
 



* “Entbehrlich” entspricht der VDA-ISA-Bezeichnung “n/a” (nicht anwendbar)
 

Eindeutigkeit der einzelnen Anforderungen innerhalb einer Control

www.kronsoft.de     Impressum     Datenschutzerklärung

www.kronsoft.de     Impressum     Datenschutzerklärung
Die Version der WEB-Seite ist  63   (2023-06-27)