SIMPLE-QUALITY
Quality - Keep it simple...!!
1775
Follower:innenSIMPLE-QUALITY
Quality - Keep it simple...!!
Cyber-Attacken - IATF
04.12.2020, 12:02 Uhr
Hallo,
eine der letzten SIs in Bezug auf IATF definiert die Anforderungen an den Notfallplan insbesondere hinsichtlich möglicher Cyber-Attacken genauer. Hier werden konkret auch Tests der Cyber-Sicherheit gefordert. Inklusive Nachweisen dazu.
Hat irgend jemand eine Art Checkliste für diese Tests? D.h., was muß wie getestet werden? Möchte vermeiden, daß wir einen Test durchführen / durchführen lassen und nachher fehlt etwas in der Dokumentation, weil wir es nicht besser gewußt haben.
Danke vorab!
eine der letzten SIs in Bezug auf IATF definiert die Anforderungen an den Notfallplan insbesondere hinsichtlich möglicher Cyber-Attacken genauer. Hier werden konkret auch Tests der Cyber-Sicherheit gefordert. Inklusive Nachweisen dazu.
Hat irgend jemand eine Art Checkliste für diese Tests? D.h., was muß wie getestet werden? Möchte vermeiden, daß wir einen Test durchführen / durchführen lassen und nachher fehlt etwas in der Dokumentation, weil wir es nicht besser gewußt haben.
Danke vorab!
07.12.2020, 14:29 Uhr
MTXDOM
Level 1 = Community-Lehrling
Gruppe: Aktivierungsprozess
Mitglied seit: 11.02.2011
Beiträge: 5
Mitglied seit: 11.02.2011
Beiträge: 5
Hallo,
um den Punkt der Norm effektiv zu erfüllen hat unser Unternehmen über die Konzernzentrale durch einen externen IT Dienstleister einen sg. Pentest durchführen lassen.
Unsere interne EDV/IT Abt. ist Präventiv sehr aktiv auf diesem Gebiet, aber dass Ergebnis des Pentest war von ernüchternder Bilanz. Um die aufgezeigten Defizite und Potentiale für mögliche Hackerangriffe abzusichern wurde/musste anschl. ein fast 6-stelliger € Betrag investiert werden.
Zudem wollten man bei uns im IATF Audit den Nachweis sehen, dass unsere Mitarbeiter regelmäßig (min. 1x /Auditperiode) über Verhaltensregeln und Vorsichtsmaßnahmen zu Online-Aktivitäten geschult/unterwiesen werden. Die Notfallplanung sollte auch eine Risikobewertung (realistisch) enthalten, bei uns in Form des Ampelsystems. Wir hatten die Risikobewertung bereits vor dem Pentest auf "rot" gesetzt - u.a. auch weil wir einen Standort in China haben und Kunden in Asien. Das Ergebnis der Risikobewertung sollte in die Managementbewertung integriert werden.
Gruß Bernd
um den Punkt der Norm effektiv zu erfüllen hat unser Unternehmen über die Konzernzentrale durch einen externen IT Dienstleister einen sg. Pentest durchführen lassen.
Unsere interne EDV/IT Abt. ist Präventiv sehr aktiv auf diesem Gebiet, aber dass Ergebnis des Pentest war von ernüchternder Bilanz. Um die aufgezeigten Defizite und Potentiale für mögliche Hackerangriffe abzusichern wurde/musste anschl. ein fast 6-stelliger € Betrag investiert werden.
Zudem wollten man bei uns im IATF Audit den Nachweis sehen, dass unsere Mitarbeiter regelmäßig (min. 1x /Auditperiode) über Verhaltensregeln und Vorsichtsmaßnahmen zu Online-Aktivitäten geschult/unterwiesen werden. Die Notfallplanung sollte auch eine Risikobewertung (realistisch) enthalten, bei uns in Form des Ampelsystems. Wir hatten die Risikobewertung bereits vor dem Pentest auf "rot" gesetzt - u.a. auch weil wir einen Standort in China haben und Kunden in Asien. Das Ergebnis der Risikobewertung sollte in die Managementbewertung integriert werden.
Gruß Bernd
08.12.2020, 11:16 Uhr
Guten Tag ATEU,
auf der Internetseite vom VDA
https://vda.de/de/services/Publikationen/vd...ersion-5.0.html
können Sie den VDA ISA Fragenkatalog herunterladen. Dieser Fragenkatalog beinhaltet u. a. Fragen und Stichworte, die auch für Ihr Thema Cybersicherheit hilfreich sein können.
auf der Internetseite vom VDA
https://vda.de/de/services/Publikationen/vd...ersion-5.0.html
können Sie den VDA ISA Fragenkatalog herunterladen. Dieser Fragenkatalog beinhaltet u. a. Fragen und Stichworte, die auch für Ihr Thema Cybersicherheit hilfreich sein können.
--------------------
Mit freundlichen Grüßen
aus dem Naheland
Sonntag
aus dem Naheland
Sonntag
20.12.2021, 13:27 Uhr
Maximilian84
Level 2 = Community-Facharbeiter
Gruppe: Aktivierungsprozess
Mitglied seit: 09.01.2020
Beiträge: 90
Mitglied seit: 09.01.2020
Beiträge: 90
Hallo zusammen,
ich wollte das Thema nochmal neu aufgreifen. Auch gerade in Hinblick auf die Wirksamkeitsprüfung der eingeführten Maßnahmen.
Nehmen wir das Beispiel von oben. Es wurde ein Test gemacht und dabei wurde offensichtlich festgestellt, dass das System sehr durchlässig ist. Nun hat man 100k investiert und jetzt? Nochmal testen? und wenn ja wie oft? Jedes Jahr so ein Test ist ja ein kostspieliges Unterfangen, das mir kein Kunde bezahlt.
Bei uns ist die IT ein externer Dienstleister. Wie geht man damit um? Kann/muss er das absichern? Bei ursprünglichem Vertragsabschluss war von TS oder IATF nichts zu sehen. Somit ist das vermutlich schwierig einzufordern.
Wie macht ihr das in der Praxis?
Gruß Max
ich wollte das Thema nochmal neu aufgreifen. Auch gerade in Hinblick auf die Wirksamkeitsprüfung der eingeführten Maßnahmen.
Nehmen wir das Beispiel von oben. Es wurde ein Test gemacht und dabei wurde offensichtlich festgestellt, dass das System sehr durchlässig ist. Nun hat man 100k investiert und jetzt? Nochmal testen? und wenn ja wie oft? Jedes Jahr so ein Test ist ja ein kostspieliges Unterfangen, das mir kein Kunde bezahlt.
Bei uns ist die IT ein externer Dienstleister. Wie geht man damit um? Kann/muss er das absichern? Bei ursprünglichem Vertragsabschluss war von TS oder IATF nichts zu sehen. Somit ist das vermutlich schwierig einzufordern.
Wie macht ihr das in der Praxis?
Gruß Max
23.02.2022, 15:46 Uhr
Guten Tag,
es müssen nicht immer große Hard- und Softwareinvestitionen getätigt werden.
Zur Verbesserung des Testergebnisses können mit kleinem Geld verpflichtende Onlineschulungen für alle Beschäftigten mit Mailadresse durchgeführt werden. Die Schulungen schließen mit einer Lernerfolgskontrolle ab mit der Möglichkeit, die Onlineschulung zu widerholen.
Mit dieser relativ einfach durchzuführenden Sensibilisierung sollte beim nächsten Test ein deutlich besseres Ergebnis erreicht werden können
es müssen nicht immer große Hard- und Softwareinvestitionen getätigt werden.
Zur Verbesserung des Testergebnisses können mit kleinem Geld verpflichtende Onlineschulungen für alle Beschäftigten mit Mailadresse durchgeführt werden. Die Schulungen schließen mit einer Lernerfolgskontrolle ab mit der Möglichkeit, die Onlineschulung zu widerholen.
Mit dieser relativ einfach durchzuführenden Sensibilisierung sollte beim nächsten Test ein deutlich besseres Ergebnis erreicht werden können
--------------------
Mit freundlichen Grüßen
aus dem Naheland
Sonntag
aus dem Naheland
Sonntag
1 Besucher lesen dieses Thema (Gäste: 1)
0 Mitglieder: