Die Anforderungen an das Unternehmen kommen aus verschiedenen Richtungen. In der Regel lassen sie sich in folgende Gruppen einteilen:
- betriebliche (interne/halbinterne) Anforderungen
- gesetzliche Anforderungen
- normative Anforderungen
- Anforderungen von Partnern
- gesellschaftliche Anforderungen (wenn CSR umgesetzt werden soll)
Anforderungsmanagement
Das Anforderungsmanagement als Teil des Compliance-Managements hat folgende Aufgaben:
Erkennen von Anforderungen
- Erkennen von Änderungen an Anforderungen
- Anforderungen dokumentieren, auch Hinsichtlich Ihrer Umsetzung
- Überführung der Umsetzung in ein (Sub-)Managementsystem
- Überwachung des Umsetzungsgrades und Überprüfung/Nachweis
Um diese Aufgaben erfüllen zu können, sind die unten stehenden Prozesse definiert worden. Verantwortlichkeiten ergeben sich aus der Rollendefinition und RACI-Matrix und die erkannten Anforderungen werden in einer Liste vorgehalten. Letztlich müssen die Umsetzungen zu den Anforderungen dokumentiert vorgehalten werden.
Prozesse
Rollen und RACI-Matrix
Anforderungsliste
Cyber Security
Im Rahmen eines ISMS werden in der Regel Anforderungen aus dem Bereich CyberSecurity betrachtet, dies können z.B. sein
- NIST SP 800-160
SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems
SP 800-160 Vol. 2 Rev. 1 Developing Cyber-Resilient Systems
- NIST SP 800-53
SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations - IEC 62443
Security and Privacy Controls for Information Systems and Organizations
IEC 62443-1-1 General
IEC 62443-2-* Policies and Procedures
IEC 62443-3-* System
IEC 62443-4-* Components and Requirements - IEC 30111
“Information technology — Security techniques — Vulnerability handling processes” - CLC/TS 50701
“Railway applications – Cybersecurity” - ISO/SAE 21434
Road vehicles – Cybersecurity engineering
ISMS
Konkret auf ein ISMS selbst beziehen sich folgende Anforderungen:
- VDA-ISA
“Informationssicherheit in Unternehmen” (TISAX) - BSI Grundschutz
The ” Bundesamt für Sicherheit in der Informationstechnik” (BSI) is the Federal Cyber Security Authority and the chief architect of secure digitalisation in Germany.
The BSI is Author and maintainer of “IT-Grundschutz”
“IT-Grundschutz – As a sound and sustainable methodology for information security management systems (ISMS), IT-Grundschutz covers technical, organisational, infrastructural and personnel aspects in equal measure. With its broad foundation, IT-Grundschutz offers a systematic approach to information security that is compatible to ISO/IEC 27001. - BSI 200-1 “General requirements for an information security management system”
(compatible to ISO27001) - BSI 200-2 “BSI methodology for establishing a sound information security management system (ISMS)”
- BSI 200-3 “Risk Management – includes all risk-related work steps in the implementation of IT-Grundschutz”
- BSI 200-4 “Practical guidance on how to set up and establish a Business Continuity Management System (BCMS) in your own organisation”
- ISO/IEC 2700*
ISO/IEC 27000:2018 “Information technology – Security techniques
– Information security management systems – Overview and vocabulary”
ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection
– Information security management systems – Requirements”
ISO/IEC 27002:2022 “Information security, cybersecurity and privacy protection
– Information security controls”
ISO/IEC 27003:2017 “Information technology – Security techniques
– Information security management systems – Guidance”
ISO/IEC 27004:2016 “Information technology – Security techniques – Information security management
– Monitoring, measurement, analysis and evaluation”
ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection
– Guidance on managing information security risks”
Umsetzungen
In diesem Bereich werden die Dokumentationen zur Umsetzungen zuvor erkannter Anforderungen aufgelistet. Diese Dokumentationen beschreiben WIE eine Anforderung umgesetzt wurde und helfen dadurch bei Audits / Überprüfungen. Durch diese Art der Dokumentation werden Zusammenhänge leichter zugänglich und im Rahmen von Verbesserungsprozessen oder in der Einführungsphase neuer Anforderungen lässt sich der Umsetzungsstatus zentral verfolgen.
DS-GVO (GDPR)
ISO27001
IT-Grundschutz
NIS-2
VDA-ISA (TISAX)
Last Updated on 2024-3-23 by Mark