FAQs

Selbstlern Webinar

Ob ein Selbststudium mittels Webinar besser oder schlechter als ein Präsenztraining ist, kann wohl nie zweifelsfrei beantwortet werden. Die Persönlichkeit eines jeden Menschen ist hier entscheidend. Und wie wir alle wissen, sind unsere Vorlieben nur allzu unterschiedlich.

Trotzdem bietet das Selbststudium einige spezifische Vorteile im Vergleich zum Präsenztraining. Hier sind einige davon:

1.   Wiederholungsmöglichkeiten: Das Selbststudium ermöglicht den Lernenden die Wiederholung des Lernmaterials nach Bedarf. Sie können zu bereits behandelten Themen zurückkehren, um ihr Verständnis zu vertiefen oder bestimmte Konzepte zu festigen. Dies ist besonders nützlich, wenn Lernstoff nicht sofort verstanden wird oder um Wissenslücken zu schließen oder sich auf Prüfungen oder Zertifizierungen vorzubereiten. Ein gutes Beispiel ist hier das „Grundlagen für statistische Prozesskontrolle“. Die Thematik ist schwer verständlich, oftmals kann das Thema nicht auf Anhieb verstanden werden. Durch das Webinar kann man sich den Inhalt Stück für Stück erarbeiten.

Wie ist der Aufbau der ISO/IEC 27001?

ISO/IEC 27001 ist eine Norm, die die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) definiert. Sie besteht aus verschiedenen Abschnitten, die Folgendes umfassen:

1.    Anwendungsbereich: Beschreibt den Geltungsbereich der Norm und definiert die Anwendung auf alle Arten von Organisationen und Informationen.

2.    Normative Verweise: Enthält eine Liste der anderen relevanten Normen und Dokumente, auf die Bezug genommen wird.

3.    Begriffe und Definitionen: Definiert die wichtigsten Begriffe und Definitionen, die in der Norm verwendet werden, um ein einheitliches Verständnis sicherzustellen.

4.    Kontext der Organisation: Beschreibt die Anforderungen an die Organisation, um den Kontext und die Rahmenbedingungen für das ISMS festzulegen. Hierzu gehören interne und externe Einflüsse, interessierte Parteien und Compliance-Verpflichtungen.

5.    Führung: Betont die Bedeutung des Engagements der obersten Führungsebene für das ISMS und legt Anforderungen für die Führung, Politik, Rollen und Verantwortlichkeiten fest.

6.    Planung: Umfasst die Anforderungen für die Risikobewertung, Behandlung von Risiken und Chancen, Festlegung von Zielen und die Auswahl angemessener Controls.

7.    Unterstützung: Beschreibt die Anforderungen an Ressourcen, Kompetenz, Bewusstsein, Kommunikation, Dokumentation und Kontrolle von Dokumenten.

8.    Betrieb: Legt Anforderungen an die Umsetzung der Risikobehandlung und die Durchführung von Operationen wie das Management von Änderungen, die Handhabung von Sicherheitsvorfällen und die Geschäftskontinuitätsplanung fest.

9.    Bewertung der Leistung: Enthält Anforderungen an die Überwachung, Messung, Analyse und Bewertung der Leistung des ISMS, einschließlich interner Audits und Managementbewertungen.

10.  Verbesserung: Legt Anforderungen an die kontinuierliche Verbesserung des ISMS fest, basierend auf den Ergebnissen der Bewertung der Leistung, internen Audits und der Behandlung von Nichtkonformitäten.

Die ISO/IEC 27001-Norm bietet eine systematische Methode zur Einrichtung und Aufrechterhaltung eines wirksamen ISMS, um die Informationssicherheit in Organisationen zu gewährleisten. Sie ermöglicht es Unternehmen, Risiken zu identifizieren, geeignete Kontrollen zu implementieren und die Informationssicherheit kontinuierlich zu verbessern.

Was sind die Änderungen der ISO/ICE 27001:2022 Auflage

Im Oktober 2022 wurde die weithin anerkannte internationale Norm für Informationssicherheit, ISO 27001:2013, aktualisiert und die neue Version, ISO/IEC 27001:2022, veröffentlicht.

In den vergangenen neun Jahren hat sich die ISO 27001 in verschiedenen Branchen stark durchgesetzt. Die jüngste Überarbeitung ist eher eine kleine Evolution statt einer Revolution. Nachfolgend möchten wir diese Schritt für Schritt aufzeigen.

Zusammenfassung der Änderungen in ISO 27001:2022:

1.     Keine wesentlichen Änderungen in den Abschnitten 4 bis 10 der ISO 27001:2013:
Die grundlegenden Anforderungen der Version ISO 27001:2013 bleiben in der Version 2022 weitgehend unverändert.

2.     Die Controls sind jetzt in 4 Hauptbereiche unterteilt:
In der ISO 27002:2022, die eine Anleitung zur Implementierung der Controls der ISO 27001 enthält, wurden diese neu strukturiert.
Anstelle der früheren 14 Kategorien werden die Controls nun in 4 Hauptbereiche unterteilt: Organizational, People, Physical, and Technological.

3.     Hashtags für einfachere Referenz und Navigation:
Zur Verbesserung der Benutzerfreundlichkeit und zum leichteren Nachschlagen führt die ISO 27002:2022 die Verwendung von Hashtags ein. Diese Hashtags können bei der Navigation und dem Auffinden bestimmter Controls innerhalb des Dokuments helfen.

4.     Verringerung der Anzahl der Controls:
Die Zahl der Sicherheits-Controls im Anhang A wurde von 114 in der Fassung von 2013 auf 93 in der Fassung von 2022 reduziert.
Diese Verringerung ist das Ergebnis der Zusammenlegung bestimmter Controls, während leider keine Controls vollständig gestrichen wurden.

5.     Einführung von neuen organisatorischen und physischen Controls:
ISO 27002:2022 enthält neue Controls in den Bereichen der organisatorischen und physischen Sicherheit. Diese Ergänzungen zielen darauf ab, aufkommende Sicherheitsherausforderungen anzugehen und sich an die sich entwickelnde Landschaft der Informationssicherheit anzupassen.

Insgesamt konzentrieren sich die Änderungen in ISO/IEC 27001:2022 in erster Linie auf die Umstrukturierung und Konsolidierung der Controls, wodurch die Norm übersichtlicher und benutzerfreundlicher wird und gleichzeitig an die sich verändernde Sicherheitslandschaft angepasst wird.

Was müssen Unternehmen bei TISAX® beachten?

Unternehmen, die mit der Automobilindustrie zusammenarbeiten oder Aufträge erhalten wollen, sollten darauf Wert legen, ein speziell auf die Automobilindustrie abgestimmtes ISMS zu implementieren, welches sich an der ISO 27001:2022 orientiert und zusätzliche Datenschutzvorgaben und den Schutz von Prototypen erfüllt.

So existieren innerhalb von TISAX® grundlegend drei Assessment Level bzw. Anforderungstypen. Das Level orientiert sich an dem notwendigen Schutzbedarf der Informationen, die zwischen den einzelnen Unternehmen ausgetauscht werden. Je nachdem, ob der Schutzbedarf der Information als normal (Level 1), hoch (Level 2) oder sehr hoch (Level 3) eingestuft wird, sind andere Methoden und Aufwände für die Prüfung von Bedeutung. Dabei steigen der Prüfumfang sowie der aufzubringende Aufwand mit jedem Level:

Level 1: Grundprüfung: Selbstauskunft (Self Assessment). 

Level 2: Hier kommt ein von der ENX Association akkreditierter Prüfleister dazu, dieser sichtet die Selbstauskunft und führt eine Plausibilitätsprüfung durch und stellt Fragen.

Level 3: Der Prüfleister prüft die Self Assessments und das Managementsystem vor Ort. 

Was ist TISAX®

TISAX® (Trusted Information Security Assessment Exchange) ist ein Framework, das speziell für die Automobilindustrie entwickelt wurde, um sicherzustellen, dass Informationssicherheitsstandards und Datenschutzanforderungen in der Lieferkette erfüllt werden. TISAX® beinhaltet eine Reihe von Elementen und Anforderungen, um die Informationssicherheit und den Datenschutz in der Automobilbranche zu gewährleisten. Zu den Hauptbestandteilen von TISAX® gehören:

1.   Anforderungen an Informationssicherheit: TISAX® basiert auf ISO/IEC 27001:2022 und erweitert diese Standards, um spezifische Anforderungen für die Automobilindustrie zu berücksichtigen.

Dies umfasst die aus der ISO 27001:2022 Prüfziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie Schutzmaßnahmen für personenbezogene Daten aus der EU-Datenschutzverordnung DSGVO und Kundenspezifische Anforderungen wie etwa der Prototypen Schutz.

Wo sind also die Unterschiede zwischen 27001:2022 and TISAX®?

1. Anforderungskatalog

Die Basis von TISAX® ist der Anforderungskatalog VDA-ISA. Dieser Anforderungskatalog orientiert sich an den Controls der ISO und passt diese auf die Lieferanten der Automobilindustrie an.

Hinzukommen…

• spezielle Anforderungen zur Verarbeitung personenbezogener Daten
• Geheimhaltungs-Vereinbarungen
• Prototypenschutz

..., die so nicht in der ISO 27001:2022 enthalten sind.

Die im VDA-ISA enthaltenen Anforderungen fordern konkrete Umsetzungsnachweise, während die Maßnahmen der ISO 27001:2022 eher generisch sind.

Beim TISAX®-Anforderungskatalog gibt es den Unterschied zwischen „muss“ und „sollte“ sowie die Anforderungen bei „hohem Schutzbedarf“ und „sehr hohem Schutzbedarf“.

2. Prüfprozess

Bei der Zertifizierung nach 27001:2022 muss durch ein Audit nachgewiesen werden, dass die Erfüllung der Maßnahmen, Anforderungen und Anforderungsziele wirksam umgesetzt worden sind.

TISAX® hingegen fokussiert das Prüfziel. 

Davon gibt es 8 und es muss mindestens ein Prüfziel definiert werden, es können jedoch auch mehrere angezogen werden.

Je nach Prüfziel sind verschiedene ISMS-Prozesse und Maßnahmen umzusetzen.

Jedes Prüfziel befindet sich im VDA-ISA Anforderungskatalog und ist Maßstab für das ISMS.

Bei der Zertifizierung nach TISAX® gibt es drei verschiedene Prüfstufen, die sogenannten Assessment Level, mit entsprechend unterschiedlichen Anforderungen für jedes Level

Level 1 bedeutet Selbstbewertung und wird nur sehr selten akzeptiert.

Level 2 beinhaltet eine Dokumentenprüfung mit einem Remote Audit

Level 3 hat ebenfalls die Dokumentenprüfung, ist jedoch mit einem Vor-Ort-Audit verbunden.

Der TISAX® Anforderungskatalog hat im Gegensatz zu der ISO 27001:2022 ein festgelegtes Reifegradkonzept in 6 Stufen (von 0 bis 5).

Jede geforderte Maßnahme muss mindestens mit dem Ziel-Reifegrad 3 abgeschlossen werden.

APQP und Control Plan haben sich als Reaktion auf die Veränderungen in der Branche weiterentwickelt - insbesondere in Bezug auf den technologischen Fortschritt und die Komplexität der Fahrzeuge - und wurden aktualisiert, um den steigenden Anforderungen durch höhere Automatisierung, autonomes Fahren, Elektrifizierung und die erweiterte Definition von Mobilität gerecht zu werden.

Die Entkopplung der beiden Dokumente unterstreicht auch die Bedeutung von Kontrollplänen in der Produktentwicklung und erleichtert zeitnahe Aktualisierungen, wenn sich die Systeme weiterentwickeln.

Das APQP-Handbuch der 3. Ausgabe konzentriert sich auf das "Warum" hinter dem "Was" und "Wann" und zeigt auf, wie die erfolgreiche Einführung neuer Produkte verbessert werden kann. Es wurde aktualisiert, um dem agilen Produktmanagement Rechnung zu tragen, und enthält neue Abschnitte zu Beschaffung, Änderungsmanagement, APQP-Programmkennzahlen, Plänen zur Risikominderung und Gated Management.

Neben der Streichung des Control Plans, der jetzt ein eigenständiges Dokument ist, wurden auch neue Informationen zur Rückverfolgbarkeit von Teilen, verschiedene Checklisten und Beispiele für verschiedene Analysetechniken, die während des APQP-Prozesses verwendet werden, in das Handbuch aufgenommen, um dein Verständnis zu verbessern.