Rückblick: So verlief der ISMS-Day

Im Zentrum der Veranstaltung standen dabei drei Schwerpunktthemen, die die Referenten in ihren Präsentationen beleuchteten.

Der erste Block richtete sich besonders an Unternehmen der Automobil- und Zulieferindustrie. Mit TISAX® wurde ihnen ein Prüf- und Austauschverfahren vorgestellt, das die geforderten Kriterien zur Informationssicherheit innerhalb der Branche abdeckt und auf diese Weise ein hohes Maß an Vergleichbarkeit und Transparenz sicherstellt. Dabei zielen die TISAX®-Assessments auf den vom VDA entwickelten VDA-ISA Anforderungskatalog, der auf wesentlichen Aspekten und Kriterien der international anerkannten Norm ISO 27001 basiert. Zusätzlich wurden spezielle Kriterienkataloge für den Automobilsektor aufgenommen, wie beispielsweise Anbindung Dritter und Prototypenschutz. Die entsprechenden Assessmentdaten können von Teilnehmenden und Prüfdienstleistern auf der TISAX®-Online-Plattform ausgetauscht und eingesehen werden.

Als im Anschluss daran das IT-Sicherheitsgesetz thematisiert wurde, kamen vor allem Betreiber Kritischer Infrastrukturen auf ihre Kosten. Ihnen wurden Prüfungen und Zertifizierungen – wie beispielsweise die ISO 27001 – aufgezeigt, mit denen sie den wachsenden Anforderungen im Bereich der Informationssicherheit gerecht werden können. Denn das bereits im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber dazu, ein Mindestmaß an IT-Sicherheit zu gewährleisten. Dieses kann durch eine Prüfung nach §8a BSIG oder ggfs. durch eine Zertifizierung in Anlehnung an ISO 27001 erreicht werden, die abhängig von der jeweiligen Branche durch sektorspezifische Ergänzungen komplettiert werden muss.

Den thematischen Abschluss der Veranstaltung bildete die EU-Datenschutzgrundverordnung, deren Erfüllung mit dem Aufbau eines Datenschutz-Managementsystems nach BS 10012 erörtert wurde. Es wurde ferner eine Gegenüberstellung zur ISO 27001, ISO 27552 und ISO 29151 gegeben. Am Ende überwog die Erkenntnis, dass nur eine gezielte und strukturierte Herangehensweise – beispielsweise analog der ISO 27001 als "Mutter-Norm" bei Informationssicherheitsmanagementsystemen – geeignet ist, den unterschiedlichen Anforderungen des Gesetzgebers und der Geschäftspartner gerecht zu werden.

Beim darauffolgenden Rundgang durch das Porsche Museum ließen die Teilnehmenden die Veranstaltung ausklingen.