Netwrix Logo
{{ firstError }}

Software von Netwrix
für die TISAX-Compliance

Kostenlose 20-Tage-Testversion herunterladen
{{ firstError }}
Die Sicherheit Ihrer Daten ist uns wichtig.
Datenschutzrichtlinie

Vorschriften für die TISAX-Compliance mit Lösungen von Netwrix zuverlässig einhalten

Der EU-weite Prüf- und Austauschmechanismus TISAX basiert auf einem Anforderungskatalog für die Informationssicherheit in der Automobilindustrie, der wichtige Prüfkriterien wie Datenschutz und die Anbindung Dritter beinhaltet. Das branchenspezifische Rahmenwerk für die Überprüfung der Informationssicherheit von Zulieferern, Automobilherstellern, Erstausrüstern und Partnern wurde vom Verband der Automobilindustrie (VDA) im Auftrag der ENX Association entwickelt:
1. Allgemeine Aspekte
  • 1.2 Inwieweit ist ein Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheits-Risiken definiert, dokumentiert und umgesetzt?
  • 1.3 Inwieweit wird die Wirksamkeit des ISMS sichergestellt?
6. Organisation der Informationssicherheit
  • 6.3 Inwieweit gibt es eine Richtlinie zur Nutzung von mobilen Endgeräten und deren Remote-Zugriff auf Daten der Organisation?
8. Management von organisationseigenen Werten
  • 8.2 Inwieweit werden Informationen hinsichtlich ihres Schutzbedarfs eingestuft und gibt es Regeln für Kennzeichnung, Handhabung, Transport, Speicherung, Lagerung, Löschung und Entsorgung?
9. Zugriffssteuerung
  • 9.1 Inwieweit sind Regelungen und Verfahren bezüglich des Benutzerzuganges zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen vorhanden?
  • 9.2 Inwieweit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen?
  • 9.3 Inwieweit ist die Zuweisung sowie die Nutzung von privilegierten Benutzer- und technischen Konten geregelt und wird diese überprüft?
  • 9.4 Inwieweit gibt es verbindliche Regeln für den Anwender zur Erstellung und im Umgang mit vertraulichen Anmeldeinformationen?
  • 9.5 Inwieweit wird der Zugriff auf Informationen und Applikationen auf berechtigte Personen eingeschränkt?
12. Betriebssicherheit
  • 12.1 Inwieweit werden Änderungen von Organisation, Geschäftsprozessen, informationsverarbeitenden Einrichtungen und Systemen bzgl. ihrer Sicherheitsrelevanz gesteuert und umgesetzt?
  • 12.5 Inwieweit werden Ereignis-Logs, die z. B. Benutzeraktivitäten, Ausnahmen, Fehler und Sicherheitsereignisse beinhalten können, erzeugt, aufbewahrt, überprüft und gegen Veränderungen abgesichert?
  • 12.6 Inwieweit werden die Aktivitäten von Systemadministratoren und -operatoren protokolliert, die Ablage der Protokolle gegen Veränderungen abgesichert und regelmäßig überprüft?
  • 12.7 Inwieweit werden Informationen über technische Schwachstellen der IT-Systeme zeitnah beschafft, beurteilt und geeignete Maßnahmen ergriffen (z. B. Patch-Management)?
  • 12.8 Inwieweit werden Auditanforderungen und -aktivitäten, die zur Überprüfung von IT-Systemen dienen, geplant, abgestimmt und die IT-Systeme in der Folge technisch überprüft (Systemaudit)?
13. Kommunikationssicherheit
  • 13.1 Inwieweit werden Netzwerke verwaltet und gesteuert, um Informationen in IT-Systemen und Anwendungen zu schützen?
  • 13.4 Inwieweit werden Informationen während des Austauschs oder der Übermittlung geschützt?
14. Anschaffung, Entwicklung und Wartung von Systemen
  • 14.2 Inwieweit werden sicherheitsrelevante Aspekte im Software-Entwicklungsprozess (inkl. Change Management) berücksichtigt?
  • 14.3 Inwieweit wird sichergestellt, dass Testdaten sorgfältig erstellt, geschützt und kontrolliert eingesetzt werden?
16. Informationssicherheits-Vorfallmanagement
  • 16.1 Inwieweit sind Verantwortlichkeiten, Verfahren, Meldewege und Kritikalitäts-Stufen im Umgang mit Informationssicherheitsereignissen oder -schwachstellen festgelegt?
  • 16.2 Inwieweit erfolgt eine Bearbeitung von Informationssicherheitsereignissen?
18. Compliance
  • 18.1 Inwieweit wird die Einhaltung gesetzlicher (länderspezifisch) und vertraglicher Bestimmungen sichergestellt (z. B. Schutz des geistiges Eigentums, Einsatz von Verschlüsselungstechniken und Schutz von Aufzeichnungen)?
Je nach Konfiguration Ihrer IT-Systeme, Ihren internen Verfahren, der Art Ihrer Geschäftstätigkeit und anderen Faktoren kann Netwrix Auditor möglicherweise auch die Compliance mit TISAX-Vorgaben erfüllen, die nicht oben aufgeführt sind.

Wie Sie mit Netwrix die Norm TISAX
für Informationssicherheit befolgen

Lösungen von Netwrix gewähren unternehmensweiten Einblick in lokale und cloudbasierte Systeme und Anwendungen und unterstützen Sie dabei, geeignete Informationssicherheitskontrollen einzurichten und zu sicherzustellen, dass diese Kontrollen den Anforderungen von TISAX entsprechen.
Inwieweit ist ein Prozess zur Bewertung von Informationssicherheits-Risiken umgesetzt?
Grundpfeiler eines effektiven IT-Risikomanagements ist die fortlaufende Bewertung und Eindämmung von Risiken. Erhalten Sie einen Überblick über Ihr aktuelles Risikoprofil, ermitteln Sie die Schwachstellen und stufen diese nach Risikograd ein. So sorgen Sie für zuverlässige Sicherheit und eine lückenlose Einhaltung von gesetzlichen Vorgaben.
Inwieweit wird die Wirksamkeit des ISMS sichergestellt?
Identify both data and infrastructure security gaps in your environment, such as a large number of inactive user accounts or empty security groups. Prioritize and mitigate those risks, and prove to auditors that you’re actively reducing your attack surface area. 
Inwieweit die Richtlinie zur Nutzung von mobilen Endgeräten umgesetzt ist?
Der Umgang mit mobilen Endgeräten (und deren Remote Zugriff auf Daten der Organisation) - insbesondere in ungeschützten Umgebungen - ist mit erhöhten Risiken verbunden (z. B. Verlust, Diebstahl, Infektion mit Malware). Damit die auf dem Gerät abgelegten Informationen geschützt sind, müssen technische Schutzmaßnahmen umgesetzt werden.
Inwieweit sind die Rollen zwischen Cloud Providern und der Organisation definiert?
Bei der Nutzung von Dienstleistungen und IT-Diensten (z. B. Cloud-Diensten) hat das Verhältnis zwischen Anbieter und eigener Organisation in Bezug auf die Informationssicherheit eine besondere Bedeutung, da die Umsetzungsverantwortung der Anforderungen geteilt wird. Die eigene Organisation muss Teile der Sicherheitsanforderungen weiterhin eigenverantwortlich umsetzen, während andere Anforderungen komplett oder in Teilen durch den Dienstleister umgesetzt werden.
Inwieweit gibt es Verzeichnisse für Werte (Assets), die Informationen enthalten?
Neben der klassischen Inventarisierung von physischen Gegenständen ist es wichtig, eine Übersicht über die innerhalb der Organisation verarbeiteten Informationen zu erhalten. Information-Assets sind hierbei Elemente mit Informationscharakter, wie z. B. Dokumente, Bilder, Dateien, Programme, Server, Netze, Einrichtungen, Fahrzeug-Prototypen, designrelevante bzw. formgebende Werkzeuge und Vorrichtungen.

Wie andere Unternehmen mit Netwrix die Compliance sicherstellen und ihre Datensicherheit verbessern

ANWENDERBERICHTE
Der Finanzdienstleister Credissimo konnte mit Netwrix Auditor den Zeitaufwand für die Einhaltung der DSGVO und die ISO-Compliance um 75 % verringern.

 
Weiterlesen
ANWENDERBERICHTE
Perfetti Van Melle Turkey benötigt mit Netwrix 60 % weniger Zeit für die Vorbereitung der jährlichen Audits der ISO-27001-Compliance und sorgt für einen zuverlässigen Schutz seiner Betriebsgeheimnisse.
Weiterlesen