|
|
|
Braucht IT-Sicherheit bei Automobilzulieferern
mehr Aufmerksamkeit?
IT-Sicherheit bei Automobilzulieferern ist zum Gegenstand erhöhter Aufmerksamkeit geworden. Insbesondere die fortschreitende Computerisierung bei Prototypen- und Neuproduktentwicklungen sowie Projektmanagement hat den Fokus des Interesses in Sachen IT-Sicherheit auch auf diejenigen Bereiche gelenkt, die im Rahmen üblicher IT-Sicherheitsprüfungen bisher nur am Rande betrachtet wurden. Auch die Zertifizierung nach ISO 9001 hilft hier nichts, da sie eine andere Zielsetzung hat.
Dies hat sich seit einiger Zeit drastisch geändert, nachdem einige namhafte Hersteller sich nicht nur für die Frage interessieren, ob ihre Zulieferer IT-sicherheitszertifiziert sind, sondern ob sie vor allem auch sämtliche mit neuen Produkten und Produktentwicklungen zusammenhängende Bereiche bei diesem Zertifizierungsprozeß mit haben auditieren und zertifizieren lassen.
Die Grundlage für diesen Zertifizierungsprozeß bietet die international anerkannte Norm ISO/IEC 27001-02. Hierbei wird bei der Auditierung/Zertifizierung das Scope gezielt um diejenigen Bereiche erweitert, die den genannten Gebieten unmittelbar zugehören. Das Problem bei manchen Zulieferern liegt darin, dass der F+E-Bereich entweder aufgrund von regionaler Ausgliederung, z. B. befindet er sich oft in einer separaten Organisationseinheit, nicht bewusst entsprechend sicher gestaltet wird. Auch ist dieser bei einer Integration in das Gesamtsystem manchmal nicht hinreichend abgeschottet. Dies muss auf jeden Fall beachtet werden, wenn das Scope für die Zertifizierung festgelegt wird. Zusätzlich ergeben sich Konsequenzen für das „Statement of Applicability“ (Erklärung zur Anwendbarkeit), in dem ebenfalls das erweiterte Scope zum Ausdruck kommen muss.
Die UIMCert hat auf diesem Sektor eine Kompetenz gewonnen, die in einer Anzahl durchgeführter Auditierungen/Zertifizierungen erworben wurde. Darüber hinaus ist das UIMCert-Tool geeignet, Vorprüfungen im Hinblick auf die ISO/IEC 27001-Konformität durchzuführen. Bei einer hinreichenden Fachkompetenz ist dies leicht durch das an einer Zertifizierung interessierte Unternehmen selbst zu realisieren. Allerdings lehrt die Erfahrung, dass das generelle, an den Anforderungen der ISO 27001 gemessene IT-Sicherheitsniveau häufig noch verbesserungsnotwendig ist und ein Projekt zur Konformitätsherstellung der offiziellen Auditierung/Zertifizierung vorgeschaltet werden muss. Hierzu ist dann in manchen Unternehmen weder die fachliche Kompetenz noch die personelle Kapazität gegeben.
Anregungen zur Zertifzierung, zur Scope-Definition und zum Statement of Applicability sind auf der UIMCert-Homepage bei den Tipps unter www.uimcert.de zu finden.
Erschienen / eingestellt bei
www.pressrelations.de
www.openPR.de
und anderen
|
|
|
|
mehr... |
