Folge 4: Überprüfung des ISMS
Control 1.5.2: Inwieweit wird das ISMS von einer unabhängigen Instanz überprüft?
Die Muss-Anforderungen zu diesem Control lauten:
„Eine unabhängige und kompetente Instanz führt regelmäßig und nach signifikanten Änderungen der Organisation Prüfungen der Informationssicherheit durch.“
„Korrekturmaßnahmen für mögliche Abweichungen werden eingeleitet und verfolgt.“
Viele Unternehmen stellen sich hier die Frage, ob nicht bereits die Teilnahme am TISAX® Prozess die Anforderung erfüllt. Und die simple Antwort darauf lautet: Ja.
Dies wurde im Rahmen der regelmäßig stattfindenden Workshops aller Prüfdienstleister durch die ENX bestätigt.
Die akkreditierten und zur Auswahl stehenden TISAX® Prüfdienstleister stellen eine unabhängige und kompetente Instanz dar, welche durch die ENX-Kontrollgremien regelmäßig überprüft werden.
Die Regelmäßigkeit der TISAX® Prüfung beträgt zwar nur alle 3 Jahre, was ein großer Unterschied zur ISO27001-Zertifizierung ist, jedoch erfüllt es den Tatbestand der Regelmäßigkeit.
Der TISAX® Assessmentprozess stellt zudem die Kontrolle der Durchführung von Korrekturmaßnahmen sicher (Corrective Action Plan Assessment sowie Follow Up Assessment).
Für alle, die sich jetzt die Frage stellen, warum das Control 1.5.2 dann überhaupt im Fragenkatalog auftaucht, sei gesagt, dass der VDA ISA Katalog nicht nur für TISAX® verwendet wird, sondern auch als internes Werkzeug in Unternehmen Anwendung finden kann