Anforderungsmanagement

Anforderungen

Die Anforderungen an das Unternehmen kommen aus verschiedenen Richtungen. In der Regel lassen sie sich in folgende Gruppen einteilen:

  • betriebliche (interne/halbinterne) Anforderungen
  • gesetzliche Anforderungen
  • normative Anforderungen
  • Anforderungen von Partnern
  • gesellschaftliche Anforderungen (wenn CSR umgesetzt werden soll)

Anforderungsmanagement

Das Anforderungsmanagement als Teil des Compliance-Managements hat folgende Aufgaben:

Erkennen von Anforderungen

  • Erkennen von Änderungen an Anforderungen
  • Anforderungen dokumentieren, auch Hinsichtlich Ihrer Umsetzung
  • Überführung der Umsetzung in ein (Sub-)Managementsystem
  • Überwachung des Umsetzungsgrades und Überprüfung/Nachweis

Um diese Aufgaben erfüllen zu können, sind die unten stehenden Prozesse definiert worden. Verantwortlichkeiten ergeben sich aus der Rollendefinition und RACI-Matrix und die erkannten Anforderungen werden in einer Liste vorgehalten. Letztlich müssen die Umsetzungen zu den Anforderungen dokumentiert vorgehalten werden.

Prozesse

Rollen und RACI-Matrix

Anforderungsliste

Cyber Security

Im Rahmen eines ISMS werden in der Regel Anforderungen aus dem Bereich CyberSecurity betrachtet, dies können z.B. sein

  • NIST SP 800-53
    SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations
  • IEC 62443
    Security and Privacy Controls for Information Systems and Organizations
    IEC 62443-1-1 General
    IEC 62443-2-* Policies and Procedures
    IEC 62443-3-* System
    IEC 62443-4-* Components and Requirements
  • IEC 30111
    “Information technology — Security techniques — Vulnerability handling processes”
  • CLC/TS 50701
    “Railway applications – Cybersecurity”
  • ISO/SAE 21434
    Road vehicles – Cybersecurity engineering

ISMS

Konkret auf ein ISMS selbst beziehen sich folgende Anforderungen:

  • VDA-ISA
    “Informationssicherheit in Unternehmen” (TISAX)
  • BSI Grundschutz
    The ” Bundesamt für Sicherheit in der Informationstechnik” (BSI) is the Federal Cyber Security Authority and the chief architect of secure digitalisation in Germany.
    The BSI is Author and maintainer of “IT-Grundschutz”
    “IT-Grundschutz – As a sound and sustainable methodology for information security management systems (ISMS), IT-Grundschutz covers technical, organisational, infrastructural and personnel aspects in equal measure. With its broad foundation, IT-Grundschutz offers a systematic approach to information security that is compatible to ISO/IEC 27001.
  • BSI 200-1 “General requirements for an information security management system”
    (compatible to ISO27001)
  • BSI 200-2 “BSI methodology for establishing a sound information security management system (ISMS)”
  • BSI 200-3 “Risk Management – includes all risk-related work steps in the implementation of IT-Grundschutz”
  • BSI 200-4 “Practical guidance on how to set up and establish a Business Continuity Management System (BCMS) in your own organisation”
  • ISO/IEC 2700*
    ISO/IEC 27000:2018 “Information technology – Security techniques
    – Information security management systems – Overview and vocabulary”
    ISO/IEC 27001:2022  “Information security, cybersecurity and privacy protection
    – Information security management systems – Requirements”
    ISO/IEC 27002:2022 “Information security, cybersecurity and privacy protection
    – Information security controls”
    ISO/IEC 27003:2017 “Information technology – Security techniques
    – Information security management systems – Guidance”
    ISO/IEC 27004:2016 “Information technology – Security techniques – Information security management
    – Monitoring, measurement, analysis and evaluation”
    ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection
    – Guidance on managing information security risks”

Umsetzungen

In diesem Bereich werden die Dokumentationen zur Umsetzungen zuvor erkannter Anforderungen aufgelistet. Diese Dokumentationen beschreiben WIE eine Anforderung umgesetzt wurde und helfen dadurch bei Audits / Überprüfungen. Durch diese Art der Dokumentation werden Zusammenhänge leichter zugänglich und im Rahmen von Verbesserungsprozessen oder in der Einführungsphase neuer Anforderungen lässt sich der Umsetzungsstatus zentral verfolgen.

DS-GVO (GDPR)

Updated on 23. März 2024
“Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO; französisch Règlement général sur la protection des données RGPD, englisch General Data Protection
Weiterlesen

ISO27001

Updated on 23. März 2024
“Die internationale Norm ISO/IEC 27001  spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eine
Weiterlesen

IT-Grundschutz

Updated on 23. März 2024
“Der IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte und frei verfügbare Vorgehensweise um ein ganzhe
Weiterlesen

NIS-2

Updated on 23. März 2024
“Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheit
Weiterlesen

VDA-ISA (TISAX)

Updated on 30. März 2024
“TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus von Prüfergebnissen nach dem branchenspezifischen Stan
Weiterlesen

Last Updated on 2024-3-23 by Mark