Mit VdS 3473 zum erfolgreichen VDA-Audit (TISAX)

In letzter Zeit bekomme ich vermehrt Anfragen von Automobilzulieferern, bei denen auf Grund der engen Zusammenarbeit mit den Herstellern ein Audit zur Informationssicherheit ansteht. Zu diesem Zweck hat der Arbeitskreis Informationssicherheit  im Verband der Automobilindustrie (VDA) ein Information Security Assessment entwickelt, das auf den Anforderungen der ISO 27002:2013 basiert und grundlegende Maßnahmen zur Informationssicherheit. Die Prüfungstiefe ist dabei davon abhängig, wie vertraulich bzw. kritisch die ausgetauschten Informationen sind. Hierbei wird in den Schutzbedarf normal, hoch und sehr hoch unterschieden.

Für den hohen Schutzbedarf gibt es nun den ersten Nachweis, dass die VdS-Richtlinien 3473 grundsätzlich dazu geeignet sind, die Anforderungen eines TISAX-Audits zu erfüllen. Hierzu fand in der letzten Woche ein erfolgreiches Audit bei einem Unternehmen in der Region statt, bei dem ich seit März 2018 ein Informationssicherheitsmanagementsystem (ISMS) nach VdS 3473 aufbaue. Grundsätzlich ist festzuhalten, dass die optionalen „SOLLTE“-Anforderungen der 3473 im VDA-Kontext zu einem „MUSS“ werden. Zudem fehlen einige Punkte, die entsprechend ergänzt werden müssen. Hier sind insbesondere die Bereiche Informationsklassifizierung, Kryptographie und physische Sicherheit zu nennen.

Letztendlich bleibt festzuhalten, dass es mit den VdS-Richtlinien 3473 möglich ist, mit überschaubarem Aufwand und in kürzester Zeit ein solides ISMS zu implementieren, was leicht höheren Anforderungen angepasst werden kann.

„Best of 2018“ Auszeichnung für VdS 10010

Die Initiative Mittelstand hat die VdS-Richtlinien 10010 zur Umsetzung der DSGVO im Rahmen des Innovatoinspreises-IT mit der „Best of 2018“ Auszeichnung prämiert. Die Umsetzung der europäischen Datenschutzgrundverordnung ist für viele Unternehmen immer noch ein Buch mit sieben Siegeln. Daher ist es auch nicht verwunderlich, dass die Fachjury die Richtlinien in die Spitzengruppe der innovativsten Lösungen im Bereich Informationstechnologie wählte. Die VdS 10010 zeigt, wie die DSGVO einfach und mit überschaubarem Aufwand in Unternehmen umzusetzen ist. Sie orientiert sich dabei an der Struktur den VdS-Richtlinien 3473 zur Informationssicherheit in KMU und lässt sich daher auch gut mir ihnen in einem integrierten Managementsystem betreiben.