ISB - Automotive (ISBA)
Fokus: Vermittlung vertiefter Kenntnisse für ein Managementsystem der Informationssicherheit unter Bezug auf VDA ISA. Teilnehmer können ein ISMS auf Basis des Standards aufbauen und effektiv umsetzen.
Themen:
- VDA ISA Kriterienkatalog verstehen und anwenden
- Erstellung von Informationssicherheitsrichtlinien und Etablierung einer IS Organisation
- Festlegung des Anwendungsbereichs
- Aufbau eines Asset- und Risikomanagement
- Strategien und Ansätze für Informationssicherheitsaudits und Pentests
- Handhabung von Informationssicherheitsvorfällen
- Etablierung der Informationssicherheit in den Personalprozessen
- Umsetzung der physischen Sicherheit und des Business Continuity Management
- Implementierung von Identitätsmanagement & Zugriffskontrollen
- Einführung in die Passwortsicherheit und Kryptographie
- Arbeiten mit Netzwerkplänen
- Changemanagement & Patchmanagement
- Schwachstellenmanagement
- OSI-Referenzmodell und ausgewählte Netzwerkdienste
- Die einschlägigen Gesetze im Bereich Informationssicherheit
- Umsetzung des Prototypenschutz
- Kurze Einführung in den Datenschutz
- Prüfungsprozess
Weitere Inhalte:
- Grundlagen, Hintergrund, Akteure, Ziele, Struktur, Anforderungen des VDA ISA-Fragenkatalog, Einführung in Label und Level, Prüfungspraxis, Scope und Anwendungsbereich bestimmen.
- Richtlinien & Organisation: Scope-Definition, Geltungsbereich für das TISAX-Assessment definieren, Standort(e), Prozesse, Lieferanten analysieren
- Kontext der Organisation: Interne und externe Einflussfaktoren sammeln, Umwelt, Markt, Gesetzgebung, Kundenanforderungen
- Stakeholder und Anforderungen: Interessierte Parteien identifizieren, Anforderungen und Erwartungen ableiten
- Gap-Analyse - IS-Modul: VDA ISA IS-Modul durchgehen, IST-Stand gegen Vorgaben bewerten
- Gap-Analyse - Datenschutz & Prototypenschutz: DS- und PT-Module prüfen (sofern relevant), Abweichungen dokumentieren
- Risikomanagement vorbereiten: Kritische Assets erfassen, Bedrohungen und Schwachstellen identifizieren
- Risikobewertung durchführen: Eintrittswahrscheinlichkeit und Auswirkung bewerten, Risikomatrix erstellen
- Risikobehandlungsplan entwickeln: Optionen (Vermeiden, Vermindern etc.) wählen, Plan dokumentieren Datenschutz, TOMs, Datenschutzfolgeabschätzung
- Kontrollen auswählen: Passende VDA ISA Controls für Risiken festlegen, Maßnahmen priorisieren
- Policies und Leitlinien: IS-Leitlinie formulieren oder überarbeiten, Managementverpflichtung sicherstellen
- Verfahrensanweisungen erstellen: Prozesse für Zugriffskontrolle, Incident Management etc., Templates ausfüllen
- SoA (Statement of Applicability): Controls aus ISA- Modulen auflisten, Auswahl/Nichtauswahl begründen
- Awareness- und Schulungsplan entwickeln: Zielgruppen bestimmen, Inhalte und Frequenz planen
- Audit- und Assessmentvorbereitung: Auditplan entwerfen, Checklisten anpassen, Nachweise zusammenstellen
- Managementreview & Self-Assessment: Review-Agenda vorbereiten, Statusbericht / Reifegradbewertung erstellen