Klare Lösungen für ISO 27001 & TISAX® – Einfach. Praxisnah. Zertifizierbar.

Kontakt

Glossar ISO/IEC 27001 & TISAX

Kontakt

1. Grundlagen der Informationssicherheit

  • Informationssicherheit – Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
  • Vertraulichkeit – Nur befugte Personen haben Zugriff auf Informationen.
  • Integrität – Informationen sind korrekt und vollständig – und werden nicht unbemerkt verändert.
  • Verfügbarkeit – Informationen und Systeme sind bei Bedarf zuverlässig nutzbar.
  • Schutzziele – Die drei Kernziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Grundlage für Schutzbedarf und Maßnahmenplanung.

2. Managementsystem & Normen

  • ISMS (Informationssicherheits-Managementsystem) – Ein Managementsystem zur Steuerung von Richtlinien, Prozessen und Maßnahmen zur Informationssicherheit. Ziel ist der systematische Schutz sensibler Informationen.
  • ISO/IEC 27001:2022 – Internationale Norm mit Anforderungen an ein ISMS. Grundlage für viele Sicherheitszertifizierungen.
  • ISO/IEC 27002:2022 – Ergänzende Norm mit Empfehlungen für Sicherheitsmaßnahmen in der Praxis. Dient als Leitfaden für die Umsetzung der Controls aus ISO 27001.
  • SoA (Statement of Applicability) – Übersicht aller relevanten Sicherheitskontrollen aus ISO 27001 Anhang A mit Angabe zur Umsetzung oder Begründung bei Ausschluss.
  • Geltungsbereich (Scope) – Der organisatorische und technische Rahmen, auf den sich das ISMS bezieht. Muss in der ISMS-Dokumentation klar beschrieben sein.
  • Kontinuierliche Verbesserung – Fortlaufender Verbesserungsprozess (Plan-Do-Check-Act) zur Weiterentwicklung des ISMS. Pflichtbestandteil gemäß ISO 27001.

3. TISAX & ISA

  • TISAX (Trusted Information Security Assessment Exchange) – Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie, basierend auf ISO 27001 und dem branchenspezifischen ISA-Katalog.
  • ISA (Information Security Assessment) – Fragenkatalog der ENX Association zur Bewertung der Informationssicherheit. Grundlage für alle TISAX-Assessments.
  • Assessment – Eine strukturierte Bewertung der Umsetzung von Informationssicherheitsanforderungen, entweder im Rahmen von TISAX oder anderen Prüfverfahren. Ziel ist es, den Reifegrad und die Konformität des ISMS festzustellen.
  • Assessment Level (AL) – Prüfintensität im TISAX-Verfahren:
  • AL1: Selbstbewertung (kein Label)
  • AL2: Remote-Audit durch Prüfdienstleister
  • AL3: Vor-Ort-Audit durch Prüfdienstleister
  • TISAX-Label – Ergebnis eines TISAX-Assessments. Mögliche Labels sind z. B. „Confidential“, „Strictly Confidential“, „High Availability“ oder „Very High Availability“ – kein klassisches Zertifikat.
  • Schutzbedarf – Einstufung, wie kritisch Informationen für das Unternehmen sind. Übliche Kategorien: normal, hoch oder sehr hoch. Der Schutzbedarf beeinflusst u. a. das TISAX-Prüfniveau.

4. Maßnahmen & Prozesse

  • Risikomanagement – Prozess zur Identifikation, Bewertung und Behandlung von Risiken für die Informationssicherheit. Grundlage für die Auswahl von Maßnahmen (Controls).
  • Audit – Systematische Überprüfung des ISMS. Interne Audits erfolgen durch eigene Organisationseinheiten, externe durch unabhängige Dritte (z. B. Zertifizierer oder TISAX-Prüfer).
  • Sicherheitsvorfall (Incident) – Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen beeinträchtigen kann – z. B. Datenverlust, Systemausfall oder Angriffe.
  • Awareness – Sicherheitsbewusstsein der Mitarbeitenden. Durch regelmäßige Schulungen und Kommunikation sollen Risiken erkannt und Fehlverhalten vermieden werden.

5. Beteiligte & Kontext

  • Stakeholder – Alle internen und externen Parteien mit Interesse an der Informationssicherheit: Kunden, Partner, Behörden, Mitarbeitende.

6. Weitere angrenzende Normen

  • ISO/IEC 27000 – Norm zur Definition zentraler Begriffe und Konzepte rund um das Informationssicherheitsmanagement. Sie bildet die Begriffsgrundlage für die gesamte ISO/IEC 27000-Normenreihe.
  • ISO/IEC 27005 – Unterstützt Organisationen bei der Durchführung eines effektiven Informationssicherheits-Risikomanagements und ergänzt ISO 27001 im Umgang mit Risiken.
  • ISO/IEC 27017 – Leitfaden mit Sicherheitsmaßnahmen speziell für Cloud-Dienstleistungen. Relevant für Cloud-Anbieter und -Nutzer.
  • ISO/IEC 27018 – Fokus auf den Schutz personenbezogener Daten in Cloud-Umgebungen. Ergänzt ISO 27001 um Datenschutzanforderungen.
  • ISO/IEC 27701 – Erweiterung zu ISO/IEC 27001 für ein Datenschutz-Managementsystem (PIMS), zur Unterstützung der Einhaltung von Datenschutzgesetzen wie der DSGVO.

7. NIS-2-Richtlinie

  • Relevanz für die Schweiz – Obwohl die Schweiz nicht zur EU gehört, kann NIS 2 für schweizerische Unternehmen dennoch relevant sein – insbesondere, wenn sie Dienstleistungen für Kunden im EU-Raum erbringen, Teil europäischer Lieferketten sind oder Tochtergesellschaften in der EU betreiben. Entsprechend ist eine Orientierung an NIS 2 empfehlenswert, um Marktanforderungen zu erfüllen und regulatorische Erwartungen zu adressieren.
  • NIS 2 (Network and Information Security Directive 2) – EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union. Gilt ab Oktober 2024 verbindlich in nationalem Recht und betrifft viele Betreiber wesentlicher und wichtiger Einrichtungen.
  • Betroffene Sektoren – Unter anderem Energie, Verkehr, Finanzwesen, Gesundheitswesen, öffentliche Verwaltung, digitale Dienste und produzierende Industrie.
  • Pflichten – Umfassen Risikomanagement, Sicherheitsvorfallmanagement, Business Continuity, Schulungen sowie Berichtspflichten bei Sicherheitsvorfällen.
  • Verhältnis zu ISO 27001 – Die Umsetzung eines ISMS nach ISO/IEC 27001 wird als geeignetes Mittel zur Erfüllung der NIS-2-Anforderungen angesehen, ist jedoch nicht gleichbedeutend mit vollständiger Konformität.
  • Strafen bei Nichteinhaltung – Je nach Unternehmensgröße und Schwere der Verstöße sind empfindliche Bußgelder vorgesehen, vergleichbar mit der DSGVO.