Der BAYOOSOFT Access Manager

Ein zentraler Part für die TISAX® Zertifizierung im Automotive Sektor

Die Digitalisierung und weitverzweigte Lieferketten fordern in der Automobilindustrie ein besonders hohes Niveau an Datensicherheit.

Der Prüf- und Austauschstandard TISAX® ist ein Fragenkatalog basierend auf der Norm ISO 27001. Der Verband der Automobilindustrie (VDA) hat 2003 den Arbeitskreis „Informationssicherheit“ etabliert. Hier arbeiten Experten in der Automobilindustrie zusammen, um auf Basis internationaler Normen gemeinsame Standards zu erarbeiten und angemessene Schutzmaßnahmen zu empfehlen.

Die Bewertung des zu zertifizierenden Unternehmens erfolgt mittels eines Fragebogens in dem 52 Sicherheitsthemen (Controls) mit deren Zielerreichung gelistet sind. Das sog. Reifegradmodell wird in 5 Stufen unterteilt.

TISAX^® Unternehmensbewertung nach Reifegradmodell

Level 0 – Controls unvollständig	Level 1 – Controls durchgeführt	Level2 – Controls gesteuert
Level 3 – Controls etabliert	Level 4 – Controls vorhersagbar	Level 5 – Controls optimierend

Der VDA Fragenkatalog Vers. 4.1.1 ist als Self-Assessment zu bearbeiten. Alle Punkte, bei denen kein Reifegrad von mindestens 3.0 inkl. Publikation von Dokumentation und Belegen erzielt wird, müssen überarbeitet und erfolgreich umgesetzt werden.

Die Hauptbewertungskriterien liegen in den Punkten Informationssicherheit, Datenschutz und Prototypenschutz. Die Zertifizierung erfolgt durch einen von der VDA vorgegebenen Audit-Dienstleister, der von der dazu bevollmächtigten ENX Association akkreditiert wurde.

Unter der Rubrik Informationssicherheit findet sich das Kapitel 9 „Access Control“. Die dort gestellten Fragen, Anforderungen und Ziele machen den Einsatz geeigneter technischer Mittel für Datenschutz zu einem zentralen Part. Der BAYOOSOFT Access Manager unterstützt Sie, Maßnahmen zur Beantwortung folgender TISAX^®/VDA relevanter Fragen zu beantworten.

9.1 Inwieweit sind Regelungen und Verfahren bezüglich des Benutzerzuganges zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen vorhanden?

Das BAYOOSOFT Berechtigungsaudit erlaubt Ihnen eine toolgestützte Analyse Ihrer aktuellen Berechtigungssituation auf den Fileservern.

Mit der automatisierten Verwaltung Berechtigungen auf Fileservern, SharePoint sowie Applikationen und Drittsysteme, die über das Active Directory verwaltet werden, haben Sie jeder Zeit einen Überblick, wer gerade wo Zugriffsrechte hat – zum aktuellen Tag oder einem Stichtag in der Vergangenheit.

9.2 Inwieweit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen?

Das Anlegen oder Deaktivieren von Mitarbeiteraccounts im Active Directory wird regelmäßig durch personelle und strukturelle Veränderungen ausgelöst. Zusätzlich muss die Berechtigungssituation in den verschiedenen IT-Systemen auf feingranularer Ebene angepasst werden.

Mit Identity Management standardisieren und automatisieren Sie ebensolche Aufgaben. Durch die Optimierung ganzer Prozessketten werden Ressourceneinsatz und die Fehlerquoten deutlich reduziert und die Nachvollziehbarkeit zur Erfüllung zentraler regulatorischer Anforderungen geschaffen.

9.3 Inwieweit gibt es verbindliche Regeln für den Anwender zur Erstellung und im Umgang mit vertraulichen Anmeldeinformationen?

Die sichere Generierung von Zufallspasswörtern und Verteilung an verschiedene Zielsysteme erlaubt der Access Manager Password Reset. Gleichzeitig erlaubt das Self Service Tool die Wiederherstellung vergessener Passwörter durch die Mitarbeiter – ohne Eingreifen des Help Desk und unter Einhaltung gesetzlicher Vorgaben des Bundesdatenschutzgesetz und der EU-DSGVO.

[Quelle: VDA-ISA_DE_4-1-1_2019-05-29]

Die TISAX^® Anforderung, welche hinter diesen Fragen steht, ist die Notwendigkeit eines Reporting, das eine revisionssichere Dokumentation gewährleistet.

Alle mit dem Access Manager durchgeführten Aktionen werden akribisch protokolliert und lassen sich jederzeit von berechtigten Personen einsehen.

Mit der Audit-Funktionalität können Sie außerdem jederzeit genau nachvollziehen, welche Veränderungen wann und von wem für welche Ressource vorgenommen wurden. Sie erhalten die volle Kontrolle über die Aktivitäten in Ihren Systemen zurück. Darüber hinaus erfahren Sie, ob im Dateisystem unerwünschte Berechtigungen vergeben oder entzogen wurden, die Sie nicht autorisiert haben.

Diese Kernfunktion des Access Managers ermöglicht es, Ihre unternehmensinternen Regelungen, vertraglichen Vereinbarungen und gesetzlichen Anforderungen im Bereich der Dateizugriffsberechtigungen sicherzustellen und revisionssicher zu dokumentieren.

Dank der damit gewonnenen Transparenz und lückenloser Nachvollziehbarkeit wird das Thema Access Control innerhalb der TISAX^® Zertifizierung sicherlich positiv bewertet werden.

Der BAYOOSOFT Access Manager sorgt dafür, dass die nach 3 Jahren nötige TISAX^® Rezertifizierung ein Kinderspiel sein wird.

Es ist an der Zeit ein „TISAX^®-ready“ Unternehmen zu werden.

Seien Sie TISAX® gerüstet ! In unserem kurzen Online Webinar zeigen wir Ihnen die Antwort auf alle VDA Fragen in puncto Access Control.

Hinweis

Wir haben zur Zeit Probleme mit unseren Formularen. Falls Ihnen eine Fehlermeldung angezeigt wird, senden Sie gerne eine Mail mit ihrem Anliegen direkt an [email protected]

Datenschutzerklärung