StartseiteBlogTISAX und ISO 27001
Wie hängt das zusammen?

TISAX und ISO 27001
Wie hängt das zusammen?

TISAX steht für Trusted Information Security Assessment Exchange

Das bedeutet, es gib zu TISAX keine Zertifizierung sondern ein Assessment.

Was ist ein Assessment? Fragen wir Wikipedia:

Als Assessment wird die Abschätzung von Auswirkungen einer Aktivität und deren Bewertungen bezeichnet. Das Assessment hebt damit die Trennung zwischen Ergebnisermittlung und -bewertung auf und betrachtet den gesamten Komplex.

Und was sagt Wikipedia zur Zertifizierung?

Als Zertifizierung bezeichnet man ein Verfahren, mit dessen Hilfe die Einhaltung bestimmter Anforderungen nachgewiesen wird.

In der Praxis hat das Auswirkungen. In der ISA, dem Information Security Assessment Tool, sind neben den Anforderungen (quasi 1:1 aus der ISO 27001 übernommen) auch konkrete Aktivitäten aufgelistet.

Wir schauen uns das am Beispiel Change Management an.

Die TISAX Frage lautet: Inwieweit werden Änderungen gesteuert?

Das Ziel dieser Frage ist definiert: Änderungen in der Organisation, den Geschäftsprozessen und an IT-Systemen müssen Informationssicherheitsaspekte berücksichtigen.

Dazu gibt es Aktivitäten:

  • Anforderungen der Informationssicherheit bei Änderungen werden ermittelt und umgesetzt.
  • Ein formales Genehmigungsverfahren ist etabliert.
  • Änderungen werden bezüglich möglicher Auswirkungen auf die Informationssicherheit geprüft, bewertet, geplant und getestet.
  • Verfahren für den Rückfall im Fehlerfall sind berücksichtigt.
  • Die Einhaltung der Anforderungen der Informationssicherheit wird während und nach der Umsetzung der Änderungen überprüft.

Und was ist mit der ISO 27001?

Die ISO Anforderung lautet: Änderungen der Organisation, der Geschäftsprozesse, an den informationsverarbeitenden Einrichtungen und an den Systemen werden gesteuert.

Das wars?

In der ISO 27001 war es das. In der ISO 27002, dem Leitfaden zur ISO 27001, werden acht Möglichkeiten zur Umsetzung aufgezeigt. Nicht als Anforderung, sondern als Option.

Beim Audit bedeutet das, der TISAX Auditor bewertet jede einzelne Aktivität auf Umsetzung und Wirksamkeit. Der ISO 27001 Auditor bewertet die Einhaltung der Anforderung. Dabei ergibt sich durch die sehr allgemeine Formulierung erheblicher Spielraum für die Bewertung. Vielleicht wird die ISO 27002 zukünftig als verbindlicher Leitfaden definiert. Das würde mehr Klarheit verschaffen.