In einer immer vernetzteren Welt nehmen Themen wie Datenschutz und Informationssicherheit einen wichtigen Platz ein. Insbesondere in der Automobilindustrie ist es unerlässlich, einen sorgfältigen Umgang mit sensiblen Daten zu garantieren. Hier kommen TISAX® und VDA ISA ins Spiel. In diesem Beitrag beleuchte ich das Konzept der "externen Liegenschaften" in diesem Kontext und erläutere, wann und wie diese geprüft werden sollten.
Was sind externe Liegenschaften?
Generell können externe Liegenschaften als alle Einrichtungen und Bereiche definiert werden, die außerhalb der primären Geschäftsstelle liegen und in denen eine Lagerung oder Verarbeitung von Informationswerten stattfindet. Beispiele hierfür sind Lagerräume, Garagen, Werkstätten, Teststrecken oder Rechenzentren. Diese Einrichtungen können in vielfältiger Weise genutzt werden, einschließlich der Speicherung sensibler Daten oder der Durchführung kritischer Geschäftsprozesse. (siehe VDA ISA v5.1 Kapitel 3.1.1, Informationssicherheit in Unternehmen | VDA, Linkdatum: 31.08.2023)
Welche Standorte sind in der Prüfung zu berücksichtigen?
Dies lässt sich am einfachsten mit dem vorgeschriebenen Umfang der Prüfung beantworten. Laut TISAX®-Teilnehmerhandbuch beschreibt der Prüf-Scope ...
"[...] den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes."
(siehe https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html#ID3532, Linkdatum: 31.08.2023)
Dies spiegelt sich auch im Standard-Scope wieder:
[...] Die Prüfung umfasst alle Prozesse, Verfahren und beteiligte Ressourcen, die unter der Verantwortung der zu prüfenden Organisation stehen und die für die Sicherheit der in den genannten Prüfzielen definierten Schutzobjekte und deren Schutzziele an den aufgeführten Standorten relevant sind.[...]
(siehe https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html#ID5210, Linkdatum: 31.08.2023)
Organisation = Ihre Firma
Prüfziele = siehe https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html#ID4685
Schutzobjekte = Information Assets
Schutzziele = VDA ISA Vorgaben (+ Zeichen) im Kontext der Prüfziele
Standorte = Standorte Ihrer Firma
Wieso sind externen Liegenschaften im Sicherheitszonenkonzept zu berücksichtigen?
Weil in Kapitel 3.1.1 vom VDA ISA verlangt wird, dass externe Liegenschaften, die zur Lagerung und Verarbeitung von Informationswerten dienen, im Rahmen des Sicherheitszonenkonzeptes berücksichtigt werden. (siehe VDA ISA v5.1, Kapitel 3.1.1, Informationssicherheit in Unternehmen | VDA, Linkdatum: 31.08.2023)