GAP ANALYSE (SCMS)

Cyber Security Management System (CSMS)

CYBER SECURITY MANAGEMENT SYSTEM

Das Weltforum für die Harmonisierung von Fahrzeugvorschriften (World Forum for Harmonization of Vehicle Regulations) ist eine Arbeitsgruppe (WP.29) des Inland Transport Committee (ITC) der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE). Die UNECE hat eine UN-Regelungen zu Cybersicherheit und für Cyber Security Management Systeme (CSMS) veröffentlicht.

Die neuen Regularien gelten für alle vierrädrigen Fahrzeuge, die mit automatisierten Fahrfunktionen ab Stufe 3 ausgestattet sind.

GAP-ANALYSE AL2 ODER AL3?

AL2

(Aktenlage – einfache/verkürzte Form)

01Durchführung einfachesinternes Audit remote

02Erstellung Auditbericht

03Erstellung Maßnahmenkatalog 1

04Management Review(Resümee Gap-Analyse)

AL3

(vollumfänglich – Simulation des Prüfungsaudits)

01Durchführung umfangreichesinternes Audit vor Ort

02Erstellung Auditbericht

03Erstellung Maßnahmenkatalog 1

04Management Review(Resümee Gap-Analyse)

BEISPIELHAFTER AUDITPLAN FÜR EINE GAP-ANALYSE

Wenn es schon eine Informationssicherheitsbeauftragte gibt sollte diese bei allen Gesprächen dabei sein

Personal

(etwa 1-2 Stunden)
Alle Themen rund um Personal: Recruiting, Arbeitsverträge, On-boarding, Schulungen, Off-boarding, etc.

Einkauf

(etwa 1 Stunde)
Alle Themen rund um Beauftragung: Unterauftragnehmer, Dienstleister, freie Mitarbeitende etc.

Recht

(etwa 1 Stunde)
Alle Themen rund um Verträge und Gesetze: Rahmenverträge, vertragliche und gesetzliche Verpflichtungen, etc.

Projektleitung

(etwa 1 Stunde)
Alle Themen rund um Auftragsbearbeitung: Abstimmung mit Auftraggeber, Klassifizierung von Projekten/Aufträgen, Durchführung von Projekten, etc.

IT

(etwa 3-4 Stunden)
Alle Themen rund um die IT-Infrastruktur: Auswahl/Einkauf, Betrieb, Hardware, Software, Sicherheit, Prozesse, etc.

Gebäudesicherheit

(etwa 1 Stunde)
Alle Themen rund um bauliches: Zutrittskontrolle, Zutrittsschutz, Sichtschutz, Brandschutz, Einbruchsschutz, etc.

Datenschutz

(etwa 1 Stunde)
Alle Themen rund um die DSGVO: Verarbeitungsverzeichnis, AVV, TOM, Konzept, Hinweise, etc.

Informationssicherheit

(etwa 1-2 Stunden)
Sonstige Themen rund um Informationssicherheit: Incident Management, Business Continuity Management, Change Management, Asset Managemen, etc.

Management

(etwa 1 Stunde)
Alle Themen rund um die Geschäftsführung: Umgang mit gesetzlichen und vertraglichen Verpflichtungen, Verantwortlichkeiten, Organisationsstruktur, etc.