Zum Inhalt springen

Projektantrag: Entwicklung von Optimierungsmaßnahmen zum Schutz von Informationswerten im Rahmen des TISAX-Prüfungsverfahrens


HAL_9000

Empfohlene Beiträge

Hallo Zusammen,

Ich bereite gerade einen Projektantrag für die IHK Darmstadt Rhein Main Neckar vor. Der Antrag hält sich, was die Länge und Struktor angeht, an den Vorgaben der IHK Darmstadt. Darüber hinaus sind die Vorgaben der FIAusbV § 20 im Projektantrag abgebildet.

Über Rückmeldungen bin ich dankbar. 🙂

 

1         Thema der Projektarbeit

Entwicklung von Optimierungsmaßnahmen zum Schutz von Informationswerten im Rahmen des TISAX-Prüfungsverfahrens

Was ist zu tun?

  • Ermittlung und Vergleich von verschiedenen TOMs
  • Entwicklung eines Maßnahmeplans
  • Umsetzung von Schutzmaßnahmen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte

Wofür?

  • Sicherung von Informationswerten
  • Management von Cyber Security Bedrohungen

 

2         Geplanter Bearbeitungszeitraum

Beginn:              Datum Projektgenehmigung durch IHK Prüfungsausschuss (Einreichung ab dem ab dem 02.01.2025 möglich. Spätester Einreichungstermin  ist der 01.02.2025))

Ende:                 Datum Abgabetermin (vorgegeben durch die IHK Darmstadt)

Möglicher Bearbeitungszeitraum laut Kursplan

02.01.2025 – 26.02.2025

  • Projektplanung
  • Ist-Analyse
  • Bedarfsanalyse

20.03.2025 – 09.04.2025

  • Nutzwertanalyse
  • Maßnahmeplanung
  • Projektdokumentation und -Übergabe

 

3         Ausgangssituation

Die #### GmbH ist Teil der #### Firmenfamilie mit insgesamt ca. 3500 Mitarbeitern in unterschiedlichen Gesellschaften. Die Gesellschaft hat ihren Firmensitz in ####. Die #### ist die Konzernmutter, die Tochtergesellschaften unterteilen sich in Markt- und Liefereinheiten. Der #### als Markteinheit mit ca. 35 Mitarbeitern kommt die Aufgabe zuteil, die zentral erbrachten Dienstleistungen aus dem sogenannten ##### als Standardprodukt am Markt anzubieten.

Durch Kundenanforderungen hat die Geschäftsführung der #### entschieden, ein TISAX-Label anzustreben. Mit diesem Label soll sowohl gegenüber den Kunden als auch konzernintern zukünftig ein Qualitätsnachweis erbracht werden. Auf Grundlage des ISMS der #### sowie des DSMS der #### möchte sich die #### kontinuierlich verbessern.

Im Rahmen dieses Prozesses setzt die Projektarbeit an. Es sollen die mit dem TISAX-Prüfungsverfahren verbundenen neuen Herausforderungen und Erwartungshaltung von Kunden, vor allem aus der Automobilbranche, praktisch umgesetzt werden. Der Fokus liegt dabei auf das Kapitel 5 des Information Security Assessments (ISA) der VDA: IT Security / Cyber Security. Dieses Kapitel wiederum unterteilt sich in 13 weitere Abschnitte. Die dort erwähnten Anforderungen werden durch vorgegebene technische Rahmenbedingungen (TISAX-Framework), spezielle Kundenanforderungen vor allem - aber nicht ausschließlich - aus der Automobilindustrie, geänderte Sicherheitslagen, neue Funktionalitäten und ähnliches bestimmt.

Der Projektantragsteller ist dem Country Security Manager (CSM) unterstellt. Der CSM ist der Informationssicherheitsbeauftragte der ####. Er berät die Geschäftsführung bei der Wahrnehmung deren Aufgaben bezüglich Informationssicherheit und Datenschutz und unterstützt bei der Umsetzung. Der CSM ist in seiner Rolle organisatorisch direkt der Geschäftsführung unterstellt. Der CSM hat das Zutrittsrecht zu allen Betriebsbereichen und ist befugt, IT-Komponenten und/oder IT-Anwendungen vorübergehend stillzulegen und Informationsverarbeitungen zu untersagen, wenn die Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Authenzität) bzw. der Datenschutz gefährdet ist.

Der notwendige Datenaustausch für den Geschäftsbetrieb und die Kundenkommunikation erfolgt über Kanäle wie E-Mail, Portale, Sharepoints und Cloudlösungen. Neben der Prozess-Sicherheit spielt auch die Informationssicherheit eine wichtige Rolle, um Daten vor Angriffen zu schützen, die Kommunikationssysteme stören könnten. Informationssicherheitsmanagementsysteme sorgen dafür, dass Informationen sicher und ohne Beeinträchtigung ankommen. Informationssicherheit umfasst mehr als nur technische Infrastruktur, sie sichert den gesamten Informationsfluss unter Berücksichtigung aller Risiken.

In der Automobilindustrie müssen Produktdaten, Konstruktionszeichnungen und Softwarearchitekturen zwischen allen Beteiligten der Wertschöpfungskette ausgetauscht werden. Um Risiken wie Datendiebstahl und Hackerangriffe zu begegnen, sind geeignete Schutzmaßnahmen notwendig. Die Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg erfordert ein einheitliches Informationssicherheitsniveau aller Beteiligten, das zuverlässig funktionieren muss.

Hier kommt TISAX als Prüf- und Austauschmechanismus der Automobilindustrie zum Nachweis der speziell geforderten Informationssicherheit im Unternehmen ins Spiel. TISAX steht für Trusted Information Security Assessment Exchange und wurde vom VDA (Verband der Automobilindustrie) in Zusammenarbeit mit der ENX (European Network Exchange Association) Anfang 2017 etabliert.

In der Automobilindustrie ist der digitale Austausch von Produkt- und Konstruktionsdaten zwischen Herstellern und Zulieferern alltäglich. Um Geschäftsgeheimnisse und Technologieneuerungen zu schützen, ist das Management der Informationssicherheit entscheidend. Seit 2017 wird der TISAX Standard genutzt. Dieser Standard sichert die Verarbeitung von Informationen, den Schutz von Prototypen und den Datenschutz gemäß DSGVO und richtet sich an alle Beteiligten der Wertschöpfungskette, einschließlich Unternehmen wie IT Dienstleister zu denen die #### zählt.

Die #### als branchenübergreifender IT Dienstleister nimmt am TISAX-Prüfungverfahren teil. Der Prüfkatalog unterscheidet zwischen acht Kapitel:

  1. IS Policies and Organisation
  2. Human Resources
  3. Physical Security and Business Continuity
  4. Identity and Access Management
  5. IT Security/ Cyber Security
  6. Supplier Relationships
  7. Compliance
  8. Prototypenschutz (na)

Der Projektantragsteller grenzt sein Projektvorhaben auf das Kapitel 5 IT Security/ Cybersecurity ab.

Anhand einer Ist-Analyse wird festgestellt, inwieweit die einzelnen Standards bereits umgesetzt sind. Mit Hilfe der Bedarfsanalyse (was wird benötigt?), bei dem der Bedarf an Ressourcen, Dienstleistungen und den Kosten gegenüberstellt werden, folgt die Nutzwertanalyse (welche ist die beste Lösung?) um zu verstehen, welche Maßnahmen die geeignetsten sind, um dem TISAX Anforderungskatalog zu entsprechen. Insbesondere bei der Entwicklung des Maßnahmenkatalogs sollten Alternativlösungen miteinander verglichen und gegenübergestellt werden, um ein möglichst effizientes und effektives Ergebnis zu erzielen. Dafür werden verschieden Compliance Tools, Software- und Hardwarelösungen untersucht und verglichen.

 

4         Projektziel

Was soll nach Abschluss des Projektes erreicht sein?

Das Hauptziel des Projektes ist die Sicherstellung der Informationswerte sowie das effektive Management von Cyber Security Bedrohungen nach den Vorgaben des TISAX Prüfungskatalogs. Hierbei sollen die spezifischen Schutzmaßnahmen im Rahmen des Kapitels 5 erarbeitet werden, um die TISAX-Anforderungen zu erfüllen. Ziel ist es, den Reifegrad der IT-Sicherheitsmaßnahmen in der #### zu analysieren, Schwachstellen zu identifizieren und entsprechende Optimierungsmaßnahmen zu entwickeln.

Das abschließende Ziel ist es, den Kunden und Partnern der #### zu zeigen, dass das Unternehmen über die erforderlichen Sicherheitsmaßnahmen verfügt, um sensible Informationen sicher zu verwalten und zu schützen, was auch zur Steigerung des Vertrauens von Kunden und der Auftragslage für die #### beitragen wird.

Wie soll das Projektziel erreicht werden?

Das Projekt wird selbstständig, aber in enger Koordination mit dem Country Security Manager umgesetzt, um sicherzustellen, dass alle Sicherheitsaspekte in die Planung und Umsetzung einfließen. Die Analyse bestehender Prozesse und Systeme sowie die Entwicklung einer zukunftsfähigen Sicherheitsstrategie wird es der #### ermöglichen, die TISAX-Anforderungen zu erfüllen und eine verbesserte Informationssicherheit zu gewährleisten.

Der erste Schritt wird sein zu ermitteln, welche Anforderungen an die Informationswerte geknüpft sind. Wie sieht der Ist-Zustand aus? Anhand einer Ist-Analyse soll dokumentiert werden, wie Informationswerte bisher geschützt, verarbeitet und an Dritte übermittelt werden. Welche Informationen werden mit Kunden ausgetauscht, und welchen Grad an Sensibilität haben diese Informationen? Untersucht wird, wo besteht der Bedarf, welche Informationswerte wie zu schützen anhand einer Bedarfsanalyse.

Im zweiten Schritt soll eine Marktanalyse ermitteln, welche GRC-Softwarelösungen für Risikomanagement, Automatisierung von Kontrollprozessen, Dokumentation und Berichterstattung zur Verfügung stehen, und eine Nutzwertanalyse feststellen, welche Software für die #### in Frage kommt. Eine Auswahl von folgenden Softwarelösungen soll in Betracht genommen werden:

  • IBM OpenPages
  • Workiva
  • Auditboard
  • IsiMap
  • Impero
  • SAP GRC
  • MetricStream
  • NAVEX Global
  • LogicGate

Im dritten Schritt wird anhand der Ergebnisse der Nutzwertanalyse ein Maßnahmenkatalog entwickelt mit konkreten Verbesserungsmaßnahmen, die im Anschluss sodann umgesetzt werden. Die Planung und Umsetzung der identifizierten Maßnahmen als auch die Projektergebnisse werden schließlich im Rahmen eines Projektberichts erfasst und dokumentiert.

 

5         Zeitplanung

Projektphasen

Beschreibung und Stundenanzahl (in Klammern)

PLANUNGSPHASE

1        Projektplanung

1.1 Planung und Definition der Projektziele (3)

1.2 Festlegung der Ressourcen und Zeitrahmen (Zeit und Ablaufplanung) (2)

STARTPHASE

2      Ist-Analyse

2.1 Dokumentation der aktuellen relevanten Informationswerte für das Prüfverfahren (3)

2.2 Erfassung des Ist-Zustandes der IT-Systeme hinsichtlich der IT-Sicherheit (4)

DURCHFÜHRUNGSPHASE

3        Soll-Konzept und Bedarfsanalyse

3.1 Identifikation der erforderlichen Ressourcen, Dienstleistungen und Kosten (Budgetierung) (2)

3.2 Bewertung der Ist-Situation im Vergleich zu den TISAX-Anforderungen (Soll-/Ist-Vergleich) (4)

4        Nutzwertanalyse & Wirtschaftlichkeitsbetrachtung

4.1 Bewertung und Gewichtung möglicher Maßnahmen und Lösungen zur Erfüllung der TISAX-Anforderungen (3)

4.2 Vergleich von Hardware-, Software- und organisatorischen Lösungen und deren Effizienz (3)

5        Maßnahmeplanung

5.1 Entwicklung eines Maßnahmenkatalogs mit spezifischen Verbesserungsmaßnahmen (3)

5.2 Planung und Umsetzung der identifizierten Maßnahmen (4)

ABSCHLUSSPHASE

6        Dokumentation und Projektabschluss

6.1 Erstellung einer umfassenden Projektdokumentation der Projektergebnisse und der durchgeführten Maßnahmen, Benutzerdokumentation (7)

6.2 Sicherstellung der Anforderungsgerechtigkeit der Dokumentation  (1,5)

6.3 Projektübergabe (0,5)

 

6         Präsentationsmittel

  • Laptop
  • LCD-Projektor (Beamer)

 

 

 

 

 

 

 

Bearbeitet von mapr
Formatierung
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 7 Minuten schrieb HAL_9000:

Hallo Brapchu,

vielen Dank für Deine Rückmeldung. 🙂 Nach langem überlegen muss ich eingestehen, dass ich Deinen Kommentar bzw. Deine Frage nicht ganz verstehe. Was meinst Du denn genau mit "Aufsetzen" und wofür man einen FiSi benötigt? 🤔

LG

Ich seh da nur Planung, aber nichts wirklich durchgeführtes. Keine Migration, keine Installation, kein Aufsetzen.

zB einen BackUp Server mit integrieren etc. Einbindung in das Unternehmensnetz, irgendetwas was ein FISI tut :D

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo MiaMuh,

vielen Dank für Deine Erläuterung. Ja, in der Tat, keine Migration, keine Installation etc. Ich arbeite im Bereich Informationssicherheit wo es u.a. um den Schutz von Informationswerten geht. Laut § 20 der FIAausbV muss ich nachweisen, dass ich in der Lage bin, 1. auftragsbezogene Anforderungen zu analysieren, 2. Lösungsalternativen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte vorzuschlagen, 3. Systemänderungen und -erweiterungen durchzuführen und zu übergeben, 4. IT-Systeme einzuführen und zu pflegen, 5. Schwachstellen von IT-Systemen zu analysieren und Schutzmaßnahmen vorzuschlagen und umzusetzen sowie 6. Projekte der Systemintegration anforderungsgerecht zu dokumentieren. All diese Punkte würde ich im Projekt abdecken können (oder zumindest versuchen!). Insbesondere Punkt 5 wäre hier zu erwähnen. 🙂

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • mapr änderte den Titel in Projektantrag: Entwicklung von Optimierungsmaßnahmen zum Schutz von Informationswerten im Rahmen des TISAX-Prüfungsverfahrens

Verstehe, vielen Dank Brapchu 🙂

Ich beziehe die Systemänderungen und -erweiterungen auf die organisatorischen Prozesse in Bezug auf Informationssicherheit, mit Hilfe von einer (zu ermittelnden) Software ( = Teil eines IT-Systems). Systemänderungen und -erweiterung müssen ja nicht zwangsläufig auf Soft- oder Hardware beschränkt sein, oder liege ich mit dieser Einschätzung völlig daneben? 🤔

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 3 Stunden schrieb Brapchu:

Du scheinst überhaupt nichts zu Implementieren oder Aufzusetzen.. wofür brauche ich dabei einen FiSi?

vor 3 Stunden schrieb MiaMuh:

Ich seh da nur Planung, aber nichts wirklich durchgeführtes. Keine Migration, keine Installation, kein Aufsetzen.

Das finde ich tatsächlich etwas zu kurz gedacht, ein PoC kann ja auch genehmigungsfähig sein, zudem sehe ich wenig Alternativen zu einem FiSi um die aufkommenden Fragen fachgerecht zu klären. Auch wenn das sicherlich kein typisches Projekt ist.

Bin aber sehr gespannt wie das von den erfahrenen Prüfern hier bewertet wird.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 21.10.2024 um 13:22 schrieb HAL_9000:

Ich beziehe die Systemänderungen und -erweiterungen auf die organisatorischen Prozesse in Bezug auf Informationssicherheit, mit Hilfe von einer (zu ermittelnden) Software ( = Teil eines IT-Systems).

Korrekt. Bis hier hin.

Am 21.10.2024 um 13:22 schrieb HAL_9000:

Systemänderungen und -erweiterung müssen ja nicht zwangsläufig auf Soft- oder Hardware beschränkt sein, oder liege ich mit dieser Einschätzung völlig daneben? 🤔

Na ja. WIr würden schon gerne sehen, dass du hier dann etwas "übergibst", welches hinterher für den Betrieb nutzbar ist.

Du wirst ja eine Entscheidung treffen müssen, aus verschiedenen Lösungsalternativen. Ist das dann die zu ermittlende Software? Gibst du dann (einem PoC eben) eine Empfehlung und gibst mit, wie diese in der vorhandenen Umgebung integriert wird? Oder nehmt ihr diese dann auch in Betrieb?

Interessantes Thema. Jedoch würde ich hier, nach erfolgter Genehmigung, nicht auf jemanden wie @charmanta oder in abgemidlerter Form, meiner Person treffen wollen. Da musst du wirklich fit sein, mit den Inhalten des BSI Grundschutzes und der DSGVO. Darauf wird es, bei dieser Thematik, hinauslaufen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

 

Hallo ickevondepinguin, vielen Dank für deinen Feedback. Ein zentraler Bestandteil des Vorhabens besteht darin, die geeignetste Softwarelösung aus verschiedenen Optionen zu identifizieren. Auf dieser Grundlage wird die Software entsprechend angepasst und in das bestehendes IT-System sowie das ISMS integriert. Die Anforderungen der DSGVO, des BDSG, des BSI-Grundschutz-Kompendiums und der ISO/IEC 27001:2022 werden berücksichtigt. Der Schwerpunkt liegt auf Informationssicherheit, wobei der Informationsschutz und Datenschutz nicht vernachlässigt werden sollen. Ziel ist es, die Software und die dazugehörigen Prozesse nahtlos in den betrieblichen Ablauf zu integrieren und anzuwenden. Dabei soll die Informationssicherheit nicht nur die technische Infrastruktur, sondern den gesamten Informationsfluss unter Berücksichtigung aller Risiken umfassen. Dabei ist wichtig, Schwachstellen zu identifizieren und geeignete Optimierungsmaßnahmen zu entwickeln, um den TISAX-Anforderungen gerecht zu werden. Auf diese Weise kann der Betrieb seinen Partnern und Kunden demonstrieren, dass er über die notwendigen Sicherheitsmaßnahmen verfügt, um sensible Informationen sicher zu verwalten und zu schützen. Dies trägt letztlich zur Stärkung des Vertrauens der Kunden und zur Verbesserung der Auftragslage des Unternehmens bei.

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Was nicht rauskommt ist, ob dies dann auch im Rahmen deines Projektes umgesetzt wird.

Das ist hier die spannende Frage, um was es geht. Deine Antwort @HAL_9000 klingt jedoch irgendwie generiert.

Wenn du die Inhalte drauf hast, viel Spaß!

Bearbeitet von ickevondepinguin
Link zu diesem Kommentar
Auf anderen Seiten teilen

Danke für die wertgeschätzte Rückmeldung. 🙂

Es ist ein "echtes", internes Projekt (interner Auftraggeber), welches auf jeden Fall umgesetzt wird. Mein Projektvorhaben wäre ein eigenständiger Teil davon, da ich nur 40 Stunden zur Verfügung habe.

Wie könnte ich es im Antrag deiner Meinung nach verständlicher darlegen, dass dieses Vorhaben in die Tat umgesetzt wird? Was fehlt denn ganz konkret? Gibt es bestimmte Textbausteine oder Formulierungen, die von den Prüfenden gerne gesehen/gelesen werden?

Wäre es möglicherweise sinnvoll, ein Gantt-Diagramm für das gesamte Projekt in den Antrag einzubauen, um die Schritte der Umsetzung visuell abzubilden?

Was meinst du mit "Deine Antwort klingt irgendwie generiert"? Ist die Antwort zu generisch, nicht spezifisch/ausführlich/konkret genug?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 21.10.2024 um 11:09 schrieb HAL_9000:

Dafür werden verschieden Compliance Tools, Software- und Hardwarelösungen untersucht und verglichen.

Der Satz würde mir zur Zulassung reichen. Ein PoC ist zulassungsfähig.

Am 21.10.2024 um 11:09 schrieb HAL_9000:

        Nutzwertanalyse & Wirtschaftlichkeitsbetrachtung

4.1 Bewertung und Gewichtung möglicher Maßnahmen und Lösungen zur Erfüllung der TISAX-Anforderungen (3)

4.2 Vergleich von Hardware-, Software- und organisatorischen Lösungen und deren Effizienz (3)

Erschlägt dem kaufmännischen Part

Am 22.10.2024 um 14:17 schrieb ickevondepinguin:

Da musst du wirklich fit sein, mit den Inhalten des BSI Grundschutzes und der DSGVO. Darauf wird es, bei dieser Thematik, hinauslaufen.

Oooooh Ja :D Das könnte ein durchaus anspruchsvolles Fachgespräch geben.

Kurz: ich würde es zulassen, wärst Du mein Azubi, Dich aber bezüglich des letzten Parts coachen

Link zu diesem Kommentar
Auf anderen Seiten teilen

Vielen Dank Charmanta für Deine Antwort 🙂. Ich stehe noch ziemlich am Anfang meiner Praxisphase und werde die Zeit im Betrieb nutzen um mein Wissen weiter zu vertiefen bzw. das bereits Erlernte Know-How einzusetzen. Am Ende kann ich hoffentlich ein gutes und überzeugendes Projekt abliefern und präsentieren.

Dieses Forum und die darin enthaltene Fachexpertisen und Anregungen, Ratschläge und Kritik ist wirklich sehr hilfreich.

Da komme ich gerne immer wieder zurück für Coaching und Unterstützung 🙂 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...