2023-10-17 von Immo Wehrenberg ISA6
Zusammen mit dem Inkrafttreten der ISA-Version 6 werden wir auch einige Änderungen an den TISAX-Prüfzielen und den entsprechenden TISAX-Labels vornehmen. Dies betrifft die bestehenden Prüfziele "Info High" und "Info Very High" sowie die der Prototypen. Die Änderungen für die "Info"-Labels folgen dem Weg, der bereits in Neue TISAX-Labels für Verfügbarkeit festgelegt wurde.
Anfang 2023 hat ENX neue Labels für die Verfügbarkeit in TISAX eingeführt. Dies war der Beginn einer Aufteilung der "Info"-Labels ("Info High" und "Info Very High"). Wir haben diese Aufteilung vorgenommen, um der Tatsache Rechnung zu tragen, dass sich das Sicherheitsanforderungsprofil für die Bereitstellung von Produktionsteilen oder wichtiger Infrastruktur für die Produktion stark vom angemessenen Umgang mit Geschäftsgeheimnissen des Kunden unterscheidet.
Da ISA 6 zusätzliche Anforderungen enthält, die auf die Reduzierung von Verfügbarkeitsrisiken abzielen und sich somit an die Anbieter von Produktionsteilen und Infrastruktur richten, werden wir nun die Aufteilung abschließen und "Vertraulich" und "Streng vertraulich" als logische Ergänzung zu den bereits bestehenden "Verfügbarkeit"-Labels einführen.
Bevor wir auf die Details eingehen, machen wir einen kurzen Exkurs zum Übergang. Da die Änderungen in engem Zusammenhang mit der Veröffentlichung von ISA 6 stehen, haben wir auch den 1. April 2024 als Datum für das Inkrafttreten der neuen Prüfziele festgelegt. Dies ist genau auf dem Inkrafttreten der ISA-Version 6 abgestimmt. Die Regeln für den Übergang, die um diesen Stichtag herum festgelegt wurden, sind die gleichen wie bei früheren Änderungen:
Verfügbarkeitslabels sind für Zulieferer von Produktionsteilen und Infrastrukturanbieter gedacht, die für die Aufrechterhaltung der Produktion in der Automobilindustrie erforderlich sind. Im Gegensatz dazu sind Vertraulichkeitslabels für Zulieferer gedacht, die mit Geschäftsgeheimnissen umgehen, die die Wettbewerbsfähigkeit der Branche sichern.
Mit ISA 6 werden erhebliche zusätzliche Anforderungen an die Zuverlässigkeit und Sicherheit der Lieferkette und der erforderlichen zugrunde liegenden Infrastruktur gestellt. Die Erfüllung einiger dieser Anforderungen erfordert erhebliche Ressourcen. Der Einsatz dieser Ressourcen ist angebracht, wenn die Auswirkungen eines Ausfalls entlang der Lieferkette hoch sind.
In vielen Fällen werden Geschäftsgeheimnisse jedoch außerhalb einer Umgebung weitergegeben, in der ein solches Maß an Verfügbarkeit erforderlich ist. Aus diesem Grund ist es wichtig, zwischen Unternehmen, die zur Aufrechterhaltung der Produktion notwendig sind, und Unternehmen, die mit Geschäftsgeheimnissen umgehen, zu unterscheiden. Auf diese Weise können Anforderungen, die dazu führen, dass die Produktion am Laufen gehalten wird, auf Lieferanten von Produktionsteilen ausgerichtet werden, und Anforderungen, die Geschäftsgeheimnisse schützen, können auf Unternehmen ausgerichtet werden, die mit Geschäftsgeheimnissen umgehen. Die Aufteilung der Informationsetiketten in Vertraulichkeit und Verfügbarkeit dient genau diesem Zweck.
Der erste Schritt der Veränderung wurde bereits Anfang 2023 umgesetzt. Nun folgt der zweite Schritt der Aufteilung. Die neuen Vertraulichkeitskennzeichnungen folgen der gleichen Logik wie die Verfügbarkeitslabels und decken eine Teilmenge der Anforderungen der alten "Info"-Labels ab..
Wie die Prüfziele "Info" und "Verfügbarkeit" beziehen sich auch die "Vertraulichkeit" Prüfziele auf die Registerkarte "Informationssicherheit" des ISA und enthalten alle Basisanforderungen ("muss" und "sollte"). In dieser Hinsicht sind alle diese Labels zu 100% identisch. Diese Basisanforderungen sind immer für alle TISAX-Labels für Vertraulichkeit und Verfügbarkeit anwendbar.
Darüber hinaus enthalten die Vertraulichkeitsprüfziele alle zusätzlichen Anforderungen (für hohen und sehr hohen Schutzbedarf), die mit dem Buchstaben "C" für Vertraulichkeit (Confidentiality) gekennzeichnet sind. Dies ist völlig analog zu den Verfügbarkeitsanforderungen, die den Buchstaben "A" für Verfügbarkeit (Availability) enthalten.
Nehmen wir die neue ISA-Kontrollfrage 1.6.3 als Beispiel, so sind alle zusätzlichen Anforderungen (hoch und sehr hoch) nur mit einem "A" gekennzeichnet. Da die Kennzeichnung kein "C" enthält, sind diese Anforderungen für die Vertraulichkeit nicht anwendbar. Das heißt, wenn Sie nur das TISAX-Prüfziel "Vertraulich" auswählen, wird der Prüfer keine Abweichungen bezüglich dieser Anforderungen dokumentieren.
Ein anderes Beispiel ist Kontrollfrage 4.2.1, bei der die Anforderung mit "C", "I" und "A" gekennzeichnet ist. Da diese Kennzeichnung ein "C" enthält, sind diese Anforderungen für eine Prüfung anwendbar, die Vertraulichkeit beinhaltet.
Wir wollen TISAX so einfach wie möglich halten. Jedes TISAX-Prüfziel und jedes TISAX-Label ist ein weiterer Punkt, den ein Teilnehmer verstehen muss. Deshalb versuchen wir, die Anzahl der TISAX-Labels auf ein Minimum zu beschränken. Da Vertraulichkeit und Verfügbarkeit mit den Info-Labels identisch sind, ist die Abschaffung des Labels ohne Nachteile möglich. Daher haben wir beschlossen, die TISAX „Info“ Prüfziele abzuschaffen.
Sie haben vielleicht schon bemerkt, dass die Einführung neuer und die Abschaffung alter Prüfziele keinen zusätzlichen Prüfungsaufwand mit sich bringt.
In der Tat wäre eine Prüfung nach "Info Very High" zu 100 % identisch mit einer Prüfung, die sowohl "Streng vertraulich" als auch "Sehr hohe Verfügbarkeit" kombiniert.
Wenn Vertraulichkeits- oder Verfügbarkeitsprüfziele ohne ihre jeweiligen Gegenstücke verwendet werden, verringert sich die Anzahl der zu bewertenden Anforderungen effektiv, was zu einem etwas geringeren Prüfungsaufwand führt.